it-skalant-logo-icon-it-sekretariat-150px-2
Linkedin

it-skalant · Leistungen · NIS-2 Umsetzung

NIS-2 umsetzen. Ohne internes Chaos.

IT-Sicherheit und Business Continuity Management aus einer Hand. Für mittelständische Unternehmen, die ihre Anforderungen erfüllen wollen, ohne zwischen Dienstleistern, Checklisten und Zuständigkeiten verloren zu gehen.

 

Auch wenn keine formale Pflicht besteht — Kunden, Versicherer und Lieferketten stellen diese Anforderungen längst.

Erstgespräch vereinbaren
Stefan begleitet erfolgreich den Mittelstand bei IT-Themen

6. Dez. 2025

NIS-2-Umsetzungsgesetz tritt in Kraft (BSIG)

10 Mio. €

mögliche Bußgelder oder 2% Jahresumsatz.

Persönlich

Haftung der Geschäftsleitung ist ausdrücklich vorgesehen.

Für Unternehmen, die wissen möchten,
ob sie betroffen sind, was tatsächlich umgesetzt werden muss und wie sie dabei den Überblick behalten.

Schnelle Orientierung

Betrifft NIS-2 Ihr Unternehmen überhaupt?

Viele Unternehmen beschäftigen sich mit NIS-2, obwohl sie nicht betroffen sind. Andere sind betroffen und wissen es nicht.

Im Erstgespräch prüfen wir, ob für Ihr Unternehmen Handlungsbedarf besteht.

Gemeinsam Betroffenheit prüfen

Eine eigene Prüfung kann HIER vorgenommen werden. 

Sie könnten betroffen sein, wenn:
  • mehr als 50 Mitarbeitende beschäftigt sind
  • mehr als 10 Mio. € Jahresumsatz erreicht werden
  • Ihr Unternehmen in einer relevanten Branche tätig ist
  • Sie Teil einer kritischen Lieferkette sind

Eine Umsetzung ist aber auch ohne formale Pflicht sehr sinnvolI! 

Vielleicht kennst du das

Jemand sagt dir, dein Unternehmen könnte NIS-2-pflichtig sein. Aber was das konkret für deinen Betrieb bedeutet, erklärt dir niemand so, dass du danach weißt, was als Nächstes zu tun ist.

Du hast Angebote eingeholt. Einige reden nur über IT-Sicherheit. Andere nur über Backup, Notfallpläne oder Dokumentation. Keiner betrachtet dein Unternehmen als Ganzes – mit seinen Prozessen, Menschen und Abhängigkeiten.

Du hast gelesen, dass die Geschäftsleitung Verantwortung trägt. Und trotzdem ist noch nichts passiert. Weil einfach unklar ist, wo man sinnvoll anfängt.

Du willst kein jahrelanges Compliance-Projekt, das Ressourcen bindet und nie fertig wird. Du willst einen klaren Fahrplan, eine saubere Umsetzung und am Ende ein System, das dein Team selbst weiterführen kann.

Dann ist diese Seite für dich richtig.

Was NIS-2 wirklich ist

NIS-2 ist nicht „nur" IT-Sicherheit. Es ist Schutz und Standfestigkeit.

Das NIS-2-Umsetzungsgesetz verlangt zwei Dinge: dass dein Betrieb sich gegen Angriffe und Ausfälle schützt — und dass er handlungsfähig bleibt, wenn trotzdem etwas passiert.

NIS-2 = IT-Sicherheit + Business Continuity Management (BCM)

Säule 1 von 2

IT-Sicherheit

Schutz vor Angriffen, Fehlern und unerlaubtem Zugriff.
  • Risikoanalyse und Sicherheitskonzepte
  • Zugriffskontrolle und MFA
  • Authentifizierung
  • Kryptographie und sichere Kommunikation
  • Cyberhygiene und Mitarbeiterschulungen
  • Sichere Beschaffung und Lieferkettensicherheit
Säule 2 von 2

Business Continuity Management

Handlungsfähigkeit bewahren, wenn etwas passiert.
  • Notfallpläne und Eskalation
  • Wiederherstellung nach Ausfällen
  • Backup-Konzept und Datensicherung
  • Verantwortlichkeiten
  • Krisenkommunikation und Notfallorganisation
  • Lieferketten-Resilienz

NIS-2 scheitert selten an der Technik.

Viele Unternehmen haben bereits Firewalls, Backups, Microsoft 365, IT-Dienstleister und Sicherheitslösungen im Einsatz.

Die eigentliche Herausforderung ist eine andere:
  • Wer trägt Verantwortung?
  • Welche Risiken wurden bewertet?
  • Was passiert im Notfall?
  • Wer entscheidet im Ernstfall?
  • Wie wird alles dokumentiert und nachgewiesen?
Genau hier setzt it-skalant an.

An der Schnittstelle zwischen Unternehmensleitung, Prozessen und IT. Damit aus regulatorischen Anforderungen konkrete, betriebsfähige Maßnahmen werden.

Die größte Gefahr ist nicht ein fehlender Firewall-Haken. Die größte Gefahr ist zu glauben, man habe alles im Griff … obwohl Verantwortlichkeiten, Notfallprozesse oder Nachweise fehlen.

Bin ich überhaupt betroffen?

Viele Unternehmen sind betroffen – ohne es zu wissen.

Pflicht nach BSIG

Wahrscheinlich betroffen, wenn mindestens zwei der drei Schwellenwerte überschritten werden:

  • mehr als 50 Mitarbeitende
  • mehr als 10 Mio. € Jahresumsatz
  • mehr als 10 Mio. € Jahresbilanzsumme

Auch Unternehmen unterhalb dieser Schwellenwerte können betroffen sein, wenn sie in einem der 18 regulierten Sektoren tätig sind – etwa im Gesundheitswesen, der Lebensmittelversorgung, Energieversorgung, Logistik, Wasserwirtschaft oder als IT-Dienstleister.

Kostenlose offizielle Betroffenheitsprüfung: https://betroffenheitspruefung-nis-2.bsi.de/

Auch ohne formale Pflicht sinnvoll

Auch nicht direkt betroffene Unternehmen können durch Kundenanforderungen, Lieferketten oder Ausschreibungen unter Druck geraten.

  • Lieferkette: Kunden oder Partner verlangen Nachweise zur IT-Sicherheit

  • Versicherungen: Cyberversicherer fordern Dokumentation und Prozesse

  • Ausschreibungen: Sicherheitsanforderungen werden häufiger zur Voraussetzung

  • Wachstum: du näherst dich den Schwellenwerten und willst vorbereitet sein

  • Eigene Erkenntnis: du möchtest Risiken reduzieren, bevor etwas passiert

Wie ich vorgehe

Klarer Anfang. Klares Ende. Betriebsfertige Übergabe.

NIS-2 ist kein einmaliges Projekt — aber der Aufbau ist eines. Als NIS-2-Koordinator auf Zeit begleite ich von der ersten Bestandsaufnahme bis zur Übergabe eines laufenden Systems, das dein Team selbst weiterführen kann.

it-skalant icons it skalant 1
Bestandsaufnahme und Risikoanalyse

➔ Vollständige Aufnahme der IT-Infrastruktur (Assets, Lieferanten, Netzwerk)
➔ Risikoanalyse nach BSI-Methodik mit allen identifizierten Risiken
➔ Individueller Fahrplan mit priorisierten Handlungsempfehlungen

Ergebnis: Asset-Inventar · Risikoregister · priorisierter Fahrplan

it-skalant icons it skalant 2
Dokumentation aller 10 Maßnahmenbereiche

Für alle 10 Maßnahmenbereiche nach § 30 BSIG werden die erforderlichen Dokumente erstellt — sodass jeder Bereich nachweisfähig abgedeckt ist.

 

Nr. 1 — Risikoanalyse & Governance: Asset-Inventar · Risikoregister · Fahrplan

Nr. 2 — Vorfallbewältigung: Incident-Response-Konzept · Notfallkontaktliste

Nr. 3 — Business Continuity: BCM-Konzept · Wiederanlaufplan

Nr. 4 — Lieferkette: Lieferanten-Richtlinie · Self-Assessment · Musterklauseln

Nr. 5 — Erwerb & Wartung: Erwerb-RL · Beschaffungs-Checkliste · Patch-Tracking

Nr. 6 — Wirksamkeit: PDCA-Verfahren · 8 Kern-KPIs · Management-Review

Nr. 7 — Schulung: Awareness-Präsentation · Cyberhygiene-Anleitung

Nr. 8 — Kryptografie: Kryptografie-RL · Schlüsselverwaltung · Asset-Übersicht

Nr. 9 — Personal / Zugriff / Assets: Personalsicherheit-RL · Zugriffskontrolle

Nr. 10 — MFA & Kommunikation: MFA-Richtlinie · Kommunikationskonzept

Ergebnis: Alle 10 Maßnahmenbereiche dokumentiert · Lieferdokumente übergeben · nachweisfähig gegenüber dem BSI

it-skalant icons it skalant 3
Finalisierung und Schulung

➔ Inbetriebnahme-Konzept mit Go-Live-Checkliste
➔ Dokumentenregister mit Versionsführung und Review-Kalender
➔ ISMS-Jahresplan mit allen wiederkehrenden Aktivitäten
➔ Awareness-Schulung für alle Mitarbeitenden — Vor-Ort-Termin

Ergebnis: Betriebsfertiges System · ISMS-Jahresplan · Schulungsnachweise (§ 38 Abs. 3 BSIG)

it-skalant icons it skalant 4
Laufender Betrieb

Am Ende der Übergabe entscheidest du, wie es weitergeht:

➔ Mit deinem eigenen Team — alle Unterlagen, der Jahresplan und das Know-how liegen vor

➔ Mit mir als weiterführendem NIS-2-Koordinator auf Zeit — wenn gezielte Unterstützung sinnvoll ist

Ergebnis: Unabhängigkeit — du entscheidest wie und mit wem es weitergeht

Aus der Praxis

NIS-2-Umsetzung für eine inhabergeführte Apotheke.

Gesundheitssektor. Zytostatika-Labor mit GMP-Anforderungen. 16 Mitarbeitende, keine eigene IT-Abteilung. NIS-2-pflichtig als Einrichtung des Gesundheitswesens.

Ausgangslage
  • IT-Landschaft vorhanden
  • Kritische Prozesse und Abhängigkeiten nicht systematisch erfasst
  • Sicherheitsmaßnahmen vorhanden, jedoch ohne ganzheitlichen Nachweis
  • NIS-2-pflichtig — Handlungsdruck durch das Gesetz
  • Der Inhaber wusste: Das Thema muss angegangen werden – aber nicht, wo begonnen werden soll
Vorgehen — beide Säulen parallel
  • IT-Asset-Inventar und Risikoanalyse nach NIS-2
  • BCM-Konzept inklusive Notfall- und Wiederanlaufplanung
  • Lieferanten- und Dienstleisterbewertung
  • Awareness-Schulungen für das Team
  • Technische und organisatorische Maßnahmen
  • Vorbereitung und Begleitung der BSI-Registrierung
Ergebnis nach 16 Wochen
  • Vollständige Risikoanalyse
  • Dokumentiertes BCM-Konzept
  • Definierte Notfall- und Wiederanlaufprozesse
  • Klare Verantwortlichkeiten
  • Nachweisfähige Dokumentation
  • Erfolgreiche Vorbereitung der BSI-Meldung
  • Betriebsfähige Übergabe an das Unternehmen
Warum it-skalant

Einer, der das Gesamtbild sieht.

Du brauchst keinen Vollzeit-Compliance-Spezialisten. Und du brauchst nicht zwei Berater für IT-Sicherheit und BCM. Du brauchst jemanden, der NIS-2 als Ganzes versteht — und es strukturiert angeht.

Beide Säulen aus einer Hand

NIS-2 verlangt IT-Sicherheit und Business Continuity Management. Ich koordiniere beides gemeinsam – statt zwei getrennte Projekte daraus zu machen. Sie sind wie zwei Seiten derselben Medaille.

Zertifiziert und referenziert

Zertifizierter NIS-2-Koordinator (ICO-Cert) mit erfolgreicher Umsetzung im regulierten Gesundheitswesen. 

Ich spreche beide Sprachen

Ich war Teil der Geschäftsleitung eines mittelständischen Unternehmens mit über 160 Mitarbeitenden. Deshalb verstehe ich sowohl die Perspektive der Unternehmensleitung als auch die Sprache der IT – und kann zwischen beiden Seiten vermitteln.

Unabhängig statt abhängig

Ziel ist ein System, das dein Team selbst weiterführen kann. Wenn wir danach weiter zusammenarbeiten, dann aus Überzeugung – nicht aus Notwendigkeit.

Zur Klarheit

Was dabei ist — und was nicht.

Dabei ist
  • Vollständige Betroffenheitsprüfung und Asset-Inventar
  • Alle 10 Maßnahmenbereiche nach § 30 BSIG analysiert, Schwachstellen aufgedeckt und Handlungsempfehlungen ausgearbeitet.
  • Säule 1: IT-Sicherheit komplett (MFA, Zugriff, Kryptographie, Risiko)
  • Säule 2: reaktives BCM (Notfallplan, Wiederherstellung, Krisenmanagement)
  • BSI-Registrierung begleitet
  • Incident-Response-Konzept und Meldewesen (§ 32 BSIG, 24h-Frist)
  • Awareness-Schulung des Teams
  • Übergabe mit Jahresplan und wiederkehrenden Aktivitäten
Was ich nicht bin
  • Kein Rechtsanwalt — für juristische Einzelfallberatung verweise ich weiter
  • Kein Penetrationstester — technische Angriffssimulationen sind ein separates Gewerk
  • Kein Managed Security Service Provider — ich baue das System, betreibe es nicht dauerhaft
  • Kein Anbieter von Hardware oder Software — ich bin herstellerneutral
Nächster Schritt

Du musst das nicht allein herausfinden.

NIS-2 bringt genug Unsicherheit mit sich.

Die eigentliche Herausforderung ist oft nicht die Technik, sondern die Frage:

Wo fangen wir an?

 

Genau dabei unterstütze ich.

Gemeinsam schauen wir auf dein Unternehmen, prüfen den tatsächlichen Handlungsbedarf und entwickeln einen klaren Weg nach vorn. Ohne Panikmache. Ohne Dauerprojekt. Ohne unnötige Komplexität.

 

Dafür mit Struktur, Klarheit und einem Ansprechpartner, der das Gesamtbild im Blick behält.

Jetzt Erstgespräch vereinbaren
NIS2-zertifiziert-emblem

Zertifikat