Die NIS-2-Richtlinie, in Deutschland umgesetzt als NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Sie betrifft schätzungsweise 29.000 bis 40.000 Unternehmen in Deutschland, darunter viele, die sich bislang als nicht reguliert sahen. Die Anforderungen reichen von der Risikoanalyse über den Aufbau eines ISMS (Informationssicherheits-Managementsystem) bis zu strikten Meldepflichten und der persönlichen Haftung der Geschäftsführung.

Yekta IT GmbH aus Dortmund begleitet Unternehmen und KRITIS-Betreiber von der ersten Betroffenheitsprüfung bis zur nachgewiesenen Compliance, auch in OT-Umgebungen (Operational Technology), wo viele reine IT-Berater an ihre Grenzen stoßen. Als einer der wenigen deutschen Anbieter mit IT- und OT-Kompetenz aus einer Hand decken wir alle NIS-2-Anforderungen ab: für klassische IT-Infrastruktur ebenso wie für industrielle Steuerungssysteme, Energienetze und Bahnsysteme.

Wen betrifft NIS-2?

NIS-2 unterscheidet zwei Kategorien betroffener Unternehmen nach Sektor, Mitarbeiterzahl und Jahresumsatz. Entscheidend: Es müssen beide Kriterien (Mitarbeiter und Umsatz) gleichzeitig erfüllt sein – oder das Unternehmen gehört unabhängig von der Größe zu einem der kritischen Sektoren.

KategorieMitarbeiterJahresumsatzBeispielsektorenMax. Bußgeld
Wesentliche Einrichtung≥ 250≥ 50 Mio. EUREnergie, Trinkwasser, Verkehr, Banken, Gesundheit10 Mio. EUR oder 2 % Jahresumsatz
Wichtige Einrichtung≥ 50≥ 10 Mio. EURPost, Chemie, Lebensmittel, digitale Dienste7 Mio. EUR oder 1,4 % Jahresumsatz

Betreiber kritischer Infrastrukturen (KRITIS) sind unabhängig von Größe und Umsatz direkt einbezogen. Auch Unternehmen unterhalb der Schwellenwerte können betroffen sein, wenn sie als Zulieferer für wesentliche oder wichtige Einrichtungen tätig sind (Supply-Chain-Klausel §30 BSIG) – NIS-2 zieht sich entlang der gesamten Lieferkette.

Wichtige Frist: Alle betroffenen Einrichtungen müssen sich bis spätestens 6. März 2026 beim BSI registrieren. Zudem verpflichtet NIS-2 die Geschäftsführung zu regelmäßigen Schulungen, mindestens alle drei Jahre.

Unsicher, ob Ihr Unternehmen betroffen ist? Im kostenlosen Erstgespräch klären wir das gemeinsam und dokumentieren die Betroffenheitsprüfung rechtssicher für Sie.

Was fordert NIS-2 konkret?

Das Kernstück des NIS2UmsuCG ist §30 BSIG, der zehn technische und organisatorische Mindestmaßnahmen vorschreibt. Diese müssen in einem ISMS (Informationssicherheits-Managementsystem) verankert werden, einem strukturierten Regelwerk aus Prozessen, Richtlinien und Kontrollen, das Informationssicherheit im Unternehmen dauerhaft sicherstellt.

Haben Sie bereits ein ISMS nach ISO 27001 oder BSI-Grundschutz? Dann können Sie einen erheblichen Teil der NIS-2-Anforderungen direkt darauf aufbauen. Das spart Zeit und Aufwand. Yekta IT prüft, welche bestehenden Strukturen anrechenbar sind, und ergänzt gezielt, was fehlt.

Die 10 Mindestanforderungen nach §30 BSIG

  1. Risikoanalyse und Informationssicherheit: Regelmäßige Analyse von Bedrohungen und Schwachstellen, darauf aufbauendes Sicherheitskonzept als Grundlage des ISMS.
  2. Incident Response: Konzepte zur Erkennung und Bewältigung von Sicherheitsvorfällen, dokumentierte Notfallpläne.
  3. Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement und Wiederanlaufplanung.
  4. Supply-Chain-Sicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister, Bewertung externer Risiken, Sicherheitsklauseln in Verträgen.
  5. Sicherheit bei Entwicklung und Betrieb: Schwachstellenmanagement über den gesamten IT-Lebenszyklus, Security-by-Design, Coordinated Vulnerability Disclosure.
  6. Wirksamkeitsprüfung: Regelmäßige Überprüfung der Maßnahmen, interne Audits, Messung der Sicherheitslage.
  7. Schulungen: Cybersicherheits-Trainings für alle Mitarbeitenden, verpflichtende Fortbildung der Geschäftsführung (mindestens alle 3 Jahre).
  8. Kryptografie und Verschlüsselung: Einsatz angemessener kryptografischer Verfahren für Daten in Ruhe und bei der Übertragung.
  9. Zugangskontrolle und Identitätsmanagement: Multi-Faktor-Authentifizierung (MFA), Least Privilege, sichere Authentifizierungsverfahren.
  10. Sicherheit der Kommunikation: Schutz von Sprach-, Video- und Textkommunikation, gesicherte Notfallkommunikationskanäle.

Ergänzend fordert die Praxis zwei weitere Bereiche, die im Gesetz zwar nicht explizit als eigene Punkte aufgeführt, aber in §30 implizit enthalten sind: physische Sicherheit (Zugangskontrolle zu Serverräumen und OT-Anlagen) und Netzwerksicherheit (Segmentierung, Monitoring, Anomalieerkennung).

Meldepflichten: strikte Fristen

Bei einem erheblichen Sicherheitsvorfall gelten folgende Fristen gegenüber dem BSI:

  • 24 Stunden: Frühwarnung nach Kenntnisnahme: Art des Vorfalls, mögliche grenzüberschreitende Auswirkungen.
  • 72 Stunden: Zwischenmeldung: erste Bewertung, Schwere, Indicators of Compromise (IoC).
  • 1 Monat: Abschlussbericht: vollständige Analyse, Ursachen, getroffene Maßnahmen.

Diese Fristen setzen voraus, dass Meldeprozesse bereits vor einem Vorfall definiert, dokumentiert und eingeübt sind. Ein funktionierender Incident-Response-Plan ist deshalb keine Kür, sondern Pflicht.

Geschäftsführerhaftung nach §38 BSIG

§38 BSIG verpflichtet die Leitungsebene persönlich: Risikomanagementmaßnahmen müssen aktiv gebilligt und deren Umsetzung kontinuierlich überwacht werden. Bei schuldhafter Pflichtverletzung besteht persönliche Haftung gegenüber dem Unternehmen. Cybersicherheit kann damit nicht mehr vollständig an die IT-Abteilung delegiert werden.

Ausführliche Informationen zu den rechtlichen Anforderungen finden Sie in unserem NIS-2 Leitfaden für Unternehmen.

Wie Yekta IT vorgeht

NIS-2-Compliance ist kein einmaliges Projekt, sondern ein strukturierter Prozess. Yekta IT begleitet Sie in drei Phasen – vom ersten Überblick bis zur laufenden Sicherung der Compliance.

Phase 1: Analyse (Wochen 1 - 4)

Betroffenheitsprüfung und rechtssichere Dokumentation. Gap-Analyse: systematischer Abgleich Ihres Ist-Stands mit den zehn §30-BSIG-Anforderungen. Prüfung bestehender ISMS-Strukturen (ISO 27001, BSI-Grundschutz) auf Anrechenbarkeit. Ergebnis: priorisierter Maßnahmenplan mit Aufwandsschätzung.

Phase 2: Umsetzung (Monate 2 - 6)

Technische und organisatorische Implementierung: Risikoanalyse, ISMS-Aufbau oder -Erweiterung, Zugangskontrolle, Verschlüsselung, Schwachstellenmanagement, Supply-Chain-Bewertung. In OT-Umgebungen: Netzwerksegmentierung nach Purdue-Modell, OT-spezifisches Monitoring. Schulungen für Mitarbeitende und Geschäftsführung. BSI-Registrierung über das MUK-Portal.

Phase 3: laufende Compliance

Regelmäßige Wirksamkeitsprüfungen, Aktualisierung des ISMS, Vorbereitung auf Audits und behördliche Überprüfungen. Auf Wunsch übernimmt Yekta IT die Rolle des virtuellen CISO (vCISO) für die dauerhafte Überwachung.

Unsere Leistungen im Detail

NIS-2 Gap-Analyse und Betroffenheitsprüfung

Systematischer Abgleich Ihres Ist-Stands mit den Anforderungen des NIS2UmsuCG. Wir prüfen, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist, und dokumentieren das Ergebnis rechtssicher. Falls Sie bereits ISO 27001 oder BSI-Grundschutz implementiert haben, identifizieren wir, welche Controls direkt anrechenbar sind.

ISMS-Aufbau und -Erweiterung

NIS-2 fordert ein funktionierendes Informationssicherheits-Managementsystem (ISMS). Wir bauen es neu auf – oder erweitern ein bestehendes ISO-27001-ISMS um die spezifischen NIS-2-Anforderungen, die über ISO 27001 hinausgehen (insbesondere Meldepflichten, Business Continuity und Supply-Chain-Sicherheit).

Risikoanalyse und Sicherheitskonzept

Strukturierte Risikoanalyse nach BSI-Grundschutz und ISO 27005. Entwicklung eines Sicherheitskonzepts, das §30 Abs. 1 BSIG entspricht und als Nachweis gegenüber Behörden verwendet werden kann.

Technische Umsetzungsbegleitung

Implementierung der geforderten Maßnahmen: Zugangskontrolle (MFA, PAM), Verschlüsselung, Schwachstellenmanagement, Netzwerksegmentierung, Monitoring – sowohl in IT- als auch in OT/ICS-Umgebungen.

NIS-2 in OT-Umgebungen

NIS-2 schließt erstmals ausdrücklich industrielle Steuerungssysteme ein. Yekta IT ist einer der wenigen deutschen Anbieter, der OT-Sicherheit aus eigenem, operativem Know-how heraus berät: Wir betreiben eigene OT-Testlabore (YekTrain für Bahnsysteme, YekCar für Automotive, YekCity für urbane Infrastruktur) und führen OT-Penetrationstests für Protokolle wie Modbus, IEC 104, IEC 61850 und CAN-Bus durch. Mehr dazu: OT-Penetrationstest.

Incident-Response-Plan und Meldeprozesse

Entwicklung und Test Ihrer Meldeprozesse für den Ernstfall: 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht ans BSI – dokumentiert, rollenbezogen zugewiesen und mit Ihrem Team eingeübt.

BSI-Registrierung

Vorbereitung und Begleitung der Pflichtregistrierung beim BSI über das MUK-Portal (Mein Unternehmenskonto). Die Registrierung muss unverzüglich nach Feststellung der Betroffenheit erfolgen, spätestens bis 6. März 2026. Wir stellen sicher, dass alle erforderlichen Angaben vollständig und korrekt übermittelt werden.

Schulungen für Mitarbeitende und Geschäftsführung

Security-Awareness-Trainings zur Erfüllung der NIS-2-Schulungspflicht, Management-Briefings für die Leitungsebene (Fortbildungspflicht nach §38 Abs. 3 BSIG), Live-Hacking-Demonstrationen und – falls gewünscht – OT-Security-Schulungen an unseren physischen Demonstratoren.

vCISO: laufende Compliance

Yekta IT übernimmt die Rolle des virtuellen CISO (vCISO): laufende Überwachung der Sicherheitslage, ISMS-Pflege, Vorbereitung auf Audits und Weiterentwicklung der Maßnahmen. Besonders geeignet für Unternehmen, die keine Vollzeit-CISO-Stelle besetzen können oder wollen. Mehr zum vCISO-Service.

Referenzen und Qualifikationen

Yekta IT GmbH hat für mehrere internationale Großkonzerne ein Security Operations Center für KRITIS-Umgebungen entwickelt, inklusive Threat Intelligence, Use Cases und Playbooks und hat Erfahrungen in sehr vielen Branchen. Yekta IT ist auch Mitglied der Allianz für Cyber-Sicherheit des BSI, von eurobits e.V.

Häufige Fragen zu NIS-2

Gilt NIS-2 auch für OT-Systeme und industrielle Steuerungsanlagen?

Ja. das ist eine der wesentlichen Neuerungen gegenüber NIS-1. Das NIS2UmsuCG schließt ausdrücklich Operational Technology (OT), industrielle Steuerungssysteme (ICS) und SCADA-Anlagen ein. KRITIS-Betreiber in Energie, Wasser und Transport müssen ihre OT-Umgebungen absichern und nachweisen. Yekta IT GmbH ist einer der wenigen deutschen Anbieter, der OT-Penetrationstests und NIS-2-Beratung für IT- und OT-Systeme aus einer Hand anbietet.

Wir haben bereits ISO 27001. Müssen wir trotzdem etwas tun?

Ja, aber deutlich weniger. Ein bestehendes ISMS nach ISO 27001 deckt viele NIS-2-Anforderungen bereits ab. Die Lücken liegen typischerweise bei: den spezifischen Meldepflichten (24h/72h ans BSI), der Supply-Chain-Sicherheit nach NIS-2-Definition und der Fortbildungspflicht der Geschäftsführung. Yekta IT prüft, welche Controls anrechenbar sind, und ergänzt gezielt die fehlenden Elemente.

Was ist ein ISMS und warum fordert NIS-2 eines?

Ein ISMS (Informationssicherheits-Managementsystem) ist ein strukturiertes Regelwerk aus Prozessen, Richtlinien und Kontrollen, das Informationssicherheit im Unternehmen dauerhaft sicherstellt und messbar macht. NIS-2 fordert kein ISMS explizit beim Namen, verlangt aber de facto alle typischen ISMS-Bestandteile: Risikoanalyse, Sicherheitskonzept, Incident-Response, Schulungen, Wirksamkeitsprüfung. In der Praxis ist ein ISMS der effizienteste Weg zur NIS-2-Compliance.

Bis wann müssen wir uns beim BSI registrieren?

Die BSI-Registrierung ist verpflichtend und muss unverzüglich nach Feststellung der Betroffenheit erfolgen. Die Frist endet am 6. März 2026. Die Registrierung erfolgt digital über das MUK-Portal (Mein Unternehmenskonto). Yekta IT bereitet alle notwendigen Angaben vor und begleitet Sie durch den Prozess.

Was passiert, wenn NIS-2 nicht umgesetzt wird?

Bei wesentlichen Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 %. Zusätzlich haftet die Geschäftsführung persönlich bei schuldhafter Pflichtverletzung (§38 BSIG). Das BSI kann zudem Nachweise einfordern und bei Verstößen aktiv einschreiten.

Was ist der Unterschied zwischen NIS-2-Beratung bei Yekta IT und einem klassischen IT-Berater?

Klassische IT-Berater decken NIS-2-Anforderungen für IT-Systeme ab, aber nicht für OT-Umgebungen. Yekta IT GmbH verfügt über nachgewiesene OT-Pentest-Kompetenz und eigene physische OT-Testlabore (YekTrain, YekCar, YekCity). Wir kombinieren Gap-Analyse, ISMS-Aufbau, Penetrationstests und Compliance-Begleitung für IT- und OT-Systeme, aus einer Hand, mit einem festen Ansprechpartner.

Was kostet NIS-2-Beratung?

Die Kosten hängen vom Umfang ab: bestehender Sicherheitsstand, vorhandenes ISMS, Anteil OT-Systeme sowie gewünschte Tiefe (Gap-Analyse bis zur vollständigen Umsetzungsbegleitung). Das erste Gespräch ist kostenlos und unverbindlich – wir geben Ihnen dabei eine erste Einschätzung zu Betroffenheit und Aufwand.

NIS-2 Compliance angehen

Im kostenlosen Erstgespräch klären wir gemeinsam, ob Ihr Unternehmen betroffen ist, welche Maßnahmen prioritär sind und wie ein realistischer Zeitplan aussieht. Fester Ansprechpartner, kein Call-Center.