NIS2-Beratung · KRITIS · DORA · TISAX · für den Mittelstand
NIS2, KRITIS, DORA, TISAX — ihr müsst etwas erfüllen. Wir klären, was.
Regulierung ist kein Selbstzweck. Aber sie ist Realität. Wir klären mit euch, was euch betrifft, was ihr wirklich tun müsst — und was nicht.
Ø 2 Wo.
Bis ihr wisst, was euch wirklich betrifft
Schriftlich
Nicht nur ein Gespräch — sondern schwarz auf weiß
0
Maßnahmen, die ihr nicht braucht
§8A BSIG KRITIS · ISO 27001 LEAD AUDITOR · NIS-2 DIRECTIVE IMPLEMENTER · TISP · CISSP · SZA
Was meistens schiefgeht.
Nicht an den Vorschriften. Sondern daran, wie Unternehmen damit umgehen.
Der Anwalt sagt: Ihr seid betroffen. Der IT-Dienstleister sagt: Seid ihr nicht. Beide klingen überzeugend. Keiner sagt konkret, was zu tun ist.
Oder: Jemand kauft eine „NIS-2-Lösung“ von der Stange. Haken dran, Thema erledigt. Bis zum Audit — dann fehlt die Hälfte.
Wie wir das angehen.
Kein Juristendeutsch. Kein Goldplating. Sondern genau das, was ihr braucht — und nicht mehr.
Ihr wisst noch nicht, ob Regulierung überhaupt euer dringendstes Thema ist? Unser CyberRisikoCheck (500 €) zeigt euch in einem Termin, wo ihr insgesamt steht.
01
Einordnen.
Betrifft euch NIS-2? Fallt ihr unter KRITIS? Braucht ihr TISAX, weil ein Kunde in der Automobilbranche es verlangt? Oder DORA, weil ihr im Finanzsektor arbeitet? Wir klären, was für euch gilt — und was nicht.
NIS2 · KRITIS · DORA · TISAX · Betroffenheitsanalyse
02
Übersetzen.
Regulierung in Handlung. Keine Paragraphen, sondern konkrete Maßnahmen. Was müsst ihr umsetzen? Was habt ihr vielleicht schon? Wo ist die Lücke zwischen dem, was ihr habt, und dem, was gefordert wird?
Gap-Analyse · Anforderungen · Maßnahmenplanung
03
Umsetzen.
Wir begleiten euch bei der Umsetzung. Richtlinien, Prozesse, Nachweise — alles so, dass es im Audit standhält und in eurem Alltag funktioniert. Kein Papiertiger, der nur für den Prüfer existiert.
Compliance · Audit-Vorbereitung · Nachweisführung
Übrigens: Die meisten NIS2- und KRITIS-Anforderungen werden am effizientesten über ein ISMS abgebildet. Falls der Aufbau nötig ist, begleiten wir euch auch dabei.
Was sich danach ändert.
01
Ihr wisst, welche Vorschriften euch betreffen. Eindeutig, nicht vielleicht.
02
Ihr habt einen Plan, der zeigt, was zu tun ist — und in welcher Reihenfolge.
03
Ihr könnt dem Auditor, dem Kunden und der Versicherung zeigen: Wir haben das im Griff.
Was wir nicht versprechen.
Compliance ist kein Zustand, den man einmal erreicht und dann hat. Gesetze ändern sich. Anforderungen wachsen. Was heute reicht, kann morgen zu wenig sein.
Was wir versprechen.
Ihr seid vorbereitet. Nicht überrumpelt. Und ihr habt jemanden, der euch rechtzeitig sagt, wenn sich etwas ändert.
NÄCHSTER SCHRITT
Sicherheit aufbauen
NIS2, KRITIS und DORA verlangen ein Managementsystem. Wir bauen es mit euch auf — ab 4.000 €.
HÄUFIG KOMBINIERT
Euer Sicherheitsmensch
Compliance lebt nur, wenn jemand sie pflegt. Als externer ISB halten wir euer System aktuell — ab 140 €/Monat.
Bei Bedarf
Schwachstellen finden
Regulierung verlangt oft den Nachweis, dass eure Systeme geprüft sind. Ein Pentest liefert diesen Nachweis.
AUS DER PRAXIS
NIS2 betrifft uns seit Oktober — aber niemand konnte uns sagen, was genau wir tun müssen.
Ein IT-Dienstleister mit 60 Mitarbeitern im Rhein-Main-Gebiet. Zwei Großkunden verlangten Nachweise zur NIS2-Compliance. Der Geschäftsführer hatte drei verschiedene Meinungen gehört — vom Anwalt, vom Branchenverband und vom bisherigen IT-Betreuer. Wir haben die Betroffenheit geprüft, die Anforderungen übersetzt und einen Maßnahmenplan erstellt. In 3 Wochen war klar, was zu tun ist.
Branche: IT
Was wir gemacht haben.
Betroffenheitsanalyse, Gap-Analyse zwischen Ist-Zustand und NIS2-Anforderungen, konkreter Maßnahmenplan mit Priorisierung. Ergebnis: Ein klarer Fahrplan, der zeigt, was sofort passieren muss und was warten kann — plus Einstieg in den ISMS-Aufbau.
BRANCHE
IT-Dienstleistung
GRÖSSE
60 Mitarbeiter
DAUER
3 Wochen
ERGEBNIS
Compliance-Fahrplan + ISMS-Aufbau gestartet
Fragen, die ihr euch wahrscheinlich gerade stellt.
01
Betrifft uns NIS2 überhaupt?
Das hängt von eurer Branche und Unternehmensgröße ab. NIS2 betrifft seit Oktober 2024 deutlich mehr Unternehmen als die bisherige Regulierung — auch viele Mittelständler, die bisher nicht unter KRITIS fielen. Betroffen sind unter anderem Unternehmen in den Bereichen Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft und verarbeitendes Gewerbe ab 50 Mitarbeitern oder 10 Mio. € Umsatz. Aber auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer kritischer Infrastrukturen gelten. Wir prüfen das in einem kurzen Gespräch — kostenlos und unverbindlich.
02
Was ist der Unterschied zwischen NIS2, KRITIS, DORA und TISAX?
Alle vier sind Regulierungen zur IT-Sicherheit, aber für unterschiedliche Zielgruppen. NIS2 ist die EU-weite Richtlinie, die seit Oktober 2024 für eine breite Palette von Branchen gilt. KRITIS betrifft speziell Betreiber kritischer Infrastrukturen in Deutschland (Energie, Wasser, Gesundheit etc.). DORA richtet sich an den Finanzsektor — Banken, Versicherungen und deren IT-Dienstleister. TISAX ist der Standard der Automobilbranche für Informationssicherheit, den Zulieferer nachweisen müssen. Die Anforderungen überlappen sich stark — wer ein ISMS nach ISO 27001 aufbaut, erfüllt einen Großteil aller vier Regulierungen gleichzeitig.
03
Haftet die Geschäftsführung persönlich?
Bei NIS2: ja. Die Richtlinie sieht eine persönliche Haftung der Geschäftsführung vor, wenn Unternehmen die Anforderungen nicht umsetzen. Das ist neu und betrifft nicht nur den IT-Leiter, sondern explizit die Geschäftsführung. Die gute Nachricht: Wenn ihr nachweisen könnt, dass ihr angemessene Maßnahmen ergriffen habt, reduziert ihr das Risiko erheblich. Ein dokumentierter Maßnahmenplan und die Umsetzung der wesentlichen Anforderungen sind der beste Schutz — nicht nur für eure IT, sondern auch für euch persönlich.
04
Wir haben schon einen Anwalt dafür. Brauchen wir euch trotzdem?
Wahrscheinlich ja — und das ist kein Entweder-oder. Der Anwalt klärt die rechtliche Seite: Betrifft euch NIS2? Welche Pflichten habt ihr? Welche Sanktionen drohen? Wir klären die technische und organisatorische Seite: Was müsst ihr konkret tun? Welche Maßnahmen müsst ihr umsetzen? Wie baut ihr ein System auf, das im Audit standhält? Die meisten unserer Kunden haben beides — einen Anwalt für die juristische Einordnung und uns für die Umsetzung. Wir ergänzen euren Anwalt, wir ersetzen ihn nicht.
05
Wie lange dauert es, compliant zu werden?
Das hängt davon ab, wo ihr steht und was gefordert wird. Die Betroffenheitsanalyse und den Maßnahmenplan haben wir in der Regel innerhalb von 2 Wochen. Die Umsetzung der Maßnahmen dauert je nach Umfang 3–12 Monate. Wenn ihr schon ein ISMS habt oder Teile davon, geht es schneller. Wenn ihr bei null startet, planen wir realistisch — Schritt für Schritt, neben eurem Tagesgeschäft. Wichtig: Fangt nicht erst an, wenn der Auditor vor der Tür steht. Je früher, desto entspannter.
06
Was kostet eine NIS2-Beratung?
Die Betroffenheitsanalyse und der erste Maßnahmenplan beginnen bei wenigen Tausend Euro — der genaue Aufwand hängt von eurer Unternehmensgröße und Komplexität ab. Falls daraus ein ISMS-Aufbau folgt, startet dieser ab 4.000 € netto. Im Erstgespräch schätzen wir den Aufwand ehrlich ein und geben euch eine klare Orientierung, bevor ihr euch entscheidet.
ECHTE MENSCHEN. KEIN CHATBOT. KEIN CALLCENTER.
Wenn ihr bis hierher gelesen habt, dann beschäftigt euch das Thema IT-Sicherheit.
Kein Verkaufsgespräch. Nur ein ehrliches Gespräch.
ANRUFEN
0561 9402 6666
Mo–Fr 08:00–16:30