Wir sind für Sie da
Erfahren Sie alles zu den Anforderungen des Gesetzes und wie cybersicher Ihr Unternehmen ist.
- Was kommt im Rahmen der NIS-2-Richtlinie auf Ihr Unternehmen zu?
- Wie beurteilen BSI und Experten von SHD das NIS-2-Umsetzungsgesetz?
- Wie bauen Sie einen umfassenden Schutz auf?
- Häufige Fragen zu NIS-2 kompakt beantwortet
Was für Sie bei NIS-2 wichtig wird
Durch das deutsche NIS-2 Gesetz der Bundesregierung werden rund 29.500 Unternehmen aus diversen Branchen zum Aufbau und der Pflege einer Cyberabwehr verpflichtet. Das Gesetz umfasst 77 Seiten und 65 Paragraphen sowie diverse Anhänge. Wir können Ihnen sagen, was davon für Sie wichtig ist.
Falls Ihr Unternehmen unter das NIS2UmsuCG fällt, kommen konkrete Aufgaben auf Sie zu - angefangen bei der Registrierung bis hin zur Erfüllung diverser Mindestanforderungen an die IT-Sicherheit. Erhebliche Sicherheitsvorfälle müssen Sie zudem in Zukunft melden und auch, welche Gegenmaßnahmen erfolgreich waren. Das Gute ist: Mit all diesen Maßnahmen erfüllen Sie nicht nur die Anforderungen des neuen Gesetzes, sondern Sie stärken auch nachhaltig die Cyber-Resilienz Ihres Unternehmens. Wir unterstützen Sie dabei, damit dies bestmöglich gelingt.
„In dem Gesetz steht nichts, was Unternehmen komplett überraschen würde, sondern: Ihr müsst Euch um Eure IT kümmern. Und ihr habt eine Verantwortung, Euch darum zu kümmern. Wenn ein Unternehmen nur nachweisen will, dass es die Mindestanforderungen erfüllt, dann verkennt es das eigentliche Problem. Das Gesetz gibt Firmen etwas an die Hand, damit sie sagen können: Wir müssen uns darum kümmern. Hier stehts. Und jetzt machen wir es auch.”
BSI-Präsidentin Claudia Plattner im Podcast „Security Insider”
So bauen Sie einen umfassenden Schutz auf
Wir machen Ihnen den Einstieg so einfach wie möglich: Mit einer Betroffenheitsprüfung klären wir grundsätzliche Fragen und unsere Gap-Analyse verschafft Ihnen einen Überblick über den Cyber-Resilienz-Status Ihres Unternehmens. Diese Workshops sind der erste, wichtige Schritt zum Aufbau eines permanenten Schutzschilds gegen Cyberangriffe. Gemeinsam mit Ihnen erweitern wir ihn dann Schritt für Schritt.
Lücken schließen, Verhalten ändern, Angriffe abwehren
Frau Dr. Keller, wie geht ihr Unternehmen SHD bei der Gap-Analyse, also der Suche nach Sicherheitslücken, strategisch vor?
Im Rahmen einer Gap-Analyse betrachten wir sowohl die bestehenden IT-Sicherheitsprozesse als auch die IT-Systeme. Dann bewerten wir den aktuellen Sicherheitsstatus und stellen potenziellen Handlungsbedarf fest. Auch branchenübliche Best Practice-Beispiele und spezifische Anforderungen des Kunden fließen in die Analyse ein.
Wir zeigen unseren Kunden den Weg auf, wie sie ein robustes Sicherheitsniveau erreichen. Dies bildet die Grundlage für die anschließende Einführung und Entwicklung eines ISMS gemäß ISO 27001.
Mehr erfahren
Mehr erfahren
Für den Aufbau eines ISMS müssen Sie viele Interna aus einem Unternehmen erfahren. Ist das ein Problem?
Es kommt häufig vor, dass Kunden anfangs Bedenken haben, sensible Unternehmensinformationen zu teilen. Wir erklären ihnen detailliert, wie wir mit ihren Daten umgehen und welche Sicherheitsvorkehrungen wir treffen, um diese zu schützen. Darüber hinaus unterzeichnen wir umfassende Vertraulichkeitsvereinbarungen und bieten eine offene Kommunikation, die es den Kunden ermöglicht, den gesamten Prozess nachzuvollziehen.
Beim Erfüllen von ISMS-Compliance-Anforderungen geht es auch um die Veränderung des Verhaltens aller Beschäftigten. Wie erreichen Sie das?
Dafür setzen wir auf gezielte Schulungen und Sensibilisierungsprogramme. Wir bieten zum Beispiel User-Awareness-Schulungen an, sowohl auf technischer als auch auf organisatorischer Basis. Beschäftigte müssen zum Beispiel in einem Test entscheiden, ob eine E-Mail ein Fake ist oder echt. Wir können auch den Umgang mit externen USB-Sticks testen, indem wir solche Sticks an die Belegschaft verteilen und sehen, wie die Personen damit umgehen. Diese Maßnahmen sollen das Bewusstsein für IT-Sicherheitsrisiken schärfen und sicherstellen, dass die neuen Routinen verstanden und im Alltag angewendet werden.
Das BSI ist die Aufsichtsbehörde für die Umsetzung der NIS-2-Richtlinie in Deutschland. Wie eng ist der Austausch von SHD mit dem BSI?
SHD ist Mitglied im Cyber-Sicherheitsnetzwerk des BSI und verfügt über mehrere Vorfall-Experten, deren Wissen rund um die Bewältigung von IT-Sicherheitsvorfällen vom BSI mit einem Zertifikat bestätigt wurde. Wir arbeiten also kontinuierlich mit dem BSI zusammen. Das hilft uns dabei, unsere Kunden bestmöglich zu unterstützen und sicherzustellen, dass alle NIS-2-Anforderungen ordnungsgemäß umgesetzt werden.
Acht Fragen zum Thema NIS-2
Wie ernst ist die aktuelle Bedrohungslage durch Cyberangriffe?
Wie ernst ist die aktuelle Bedrohungslage durch Cyberangriffe?
In Deutschland wird wie überall auf der Welt ein starkes Wachstum von Cyberangriffen auf Unternehmen registriert. Dies hat unter anderem mit den globalen Krisen (Ukraine, Israel etc.) zu tun. Die häufigsten Angriffe kommen aus China und Russland. Sie erfolgen aus kommerziellen und/oder politischen Motiven. Am bekanntesten sind Ransomware-Attacken, bei denen die IT-Systeme des angegriffenen Unternehmens verschlüsselt werden und eine Lösegeldforderung erhoben wird. Die Cyberkriminellen gehen dabei ebenso professionell wie arbeitsteilig vor.
Was ist die NIS-2-Richtlinie und wo kann ich sie einsehen?
Was ist die NIS-2-Richtlinie und wo kann ich sie einsehen?
Die Abkürzung „NIS“ steht für „Netzwerk- und Informationssicherheit“ und gibt der NIS-Richtlinie der Europäischen Union ihren Namen. Die erste NIS-Richtlinie der EU wurde im Jahr 2016 beschlossen und in Deutschland in nationales Recht umgesetzt. Die NIS-2-Richtlinie stellt ein inhaltliches Update zur ersten NIS-Richtlinie dar. Sie wurde am 27. Dezember 2022 veröffentlicht und sollte bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden. Das deutsche Umsetzungsgesetz zur NIS-2 wurde am 13.11.2025 durch den Bundestag beschlossen. Der Text der NIS-2-Richtlinie ist hier auf Deutsch zu finden: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555.
Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Das Gesetz wurde am 13.11.2025 durch den deutschen Bundestag beschlossen. Weitere Informationen dazu finden Sie in Kürze hier.
Welche Kriterien bestimmen, ob ein Unternehmen betroffen ist?
Welche Kriterien bestimmen, ob ein Unternehmen betroffen ist?
Künftig werden rund 29.500 Unternehmen in Deutschland zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. In der Anlage zum NIS2UmsuCG werden die Branchen aufgeführt, die das Gesetz betreffen, und im § 28 werden die quantitativen Maßstäbe (Zahl der Mitarbeitenden, Umsatz) festgelegt. Dort gibt es auch Ausführungen dazu, in welchen Fällen kleinere Betriebe, die zu einem Unternehmensverbund gehören, von dem Gesetz betroffen sind und wann nicht.
Was müssen betroffene Unternehmen tun?
Was müssen betroffene Unternehmen tun?
Betroffene Unternehmen haben Risikomanagement-, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten, die im Kapitel 2 des Gesetzes (§§ 38-42) genauer dargelegt werden. Dazu gehören zum Beispiel Konzepte und Verfahren zum Backup-, Notfall- und Krisenmanagement sowie zur Sicherung der Lieferkette. Erhebliche Sicherheitsvorfälle müssen bei einer gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingerichteten Stelle gemeldet werden.
Welche Aktion ist für NIS-2-betroffene Unternehmen zeitkritisch?
Welche Aktion ist für NIS-2-betroffene Unternehmen zeitkritisch?
In den ersten drei Monaten nach Inkrafttreten des Gesetzes müssen sich betroffene Unternehmen bei der Meldestelle von BSI und BBK registrieren.
Wer ist für die Umsetzung verantwortlich und haftbar?
Wer ist für die Umsetzung verantwortlich und haftbar?
Im § 38 des Gesetzes steht sinngemäß: Die Geschäftsleitungen müssen die vorgeschriebenen Risikomanagementmaßnahmen umsetzen und überwachen und sie müssen sich dafür schulen lassen, um Risiken erkennen und bewerten zu können. Geschäftsleitungen haften gemäß des Gesellschaftsrechts für einen schuldhaft verursachten Schaden.
Wie kann ich NIS-2 in meinem Unternehmen strategisch angehen?
Wie kann ich NIS-2 in meinem Unternehmen strategisch angehen?
Eine Bestandsaufnahme und eine Lückenanalyse steht am Anfang der Auseinandersetzung mit dem Thema Cybersicherheit. Danach sollte man gemeinsam mit einem externen Beratungsunternehmen planmäßig ein Information Security Management System (ISMS) aufbauen und betreiben. Für die Themen Notfallvorsorge und Geschäftsfortführung sollte mit externer Unterstützung ein Business Continuity Management (BCM) aufgebaut werden. Ergänzt werden diese organisatorischen Maßnahmen durch technische Maßnahmen, die sich sehr individuell an Ihre Unternehmensinfrastruktur richten und diese an geeigneten Stellen sicherer machen. Die SHD System-Haus-Dresden GmbH steht Ihnen dabei mit ihrer strategischen Kompetenz und Erfahrung gern zur Seite.
Ihr Ansprechpartner
Lassen Sie sich von unseren Experten beraten!
Was könnte der Inhalt Ihres individuellen NIS2-Fahrplans mit SHD sein? Finden wir es im gemeinsamen Gespräch heraus. Wir rufen Sie innerhalb von 24 Stunden (Next Business Day) zurück.