Wir sind ein kleines Unternehmen. Lohnt sich IT-Sicherheit für uns?

Gerade für euch. 80 % der Ransomware-Angriffe in Deutschland treffen kleine und mittlere Unternehmen. Große Unternehmen haben eigene Security-Teams und Budgets. Ihr nicht. Dafür sind eure Strukturen überschaubarer: Mit einem CyberRisikoCheck für 500 € wisst ihr in einem Termin, wo ihr steht.

Was kostet IT-Sicherheit für den Mittelstand?

Ein CyberRisikoCheck nach DIN SPEC 27076 kostet 500 € netto (Festpreis). Ein Pentest liegt bei 2.000–10.000 €. Ein externer ISB beginnt bei 140 € monatlich. ISMS-Aufbau ab 4.000 €. Im Erstgespräch klären wir, was für euch sinnvoll ist — kostenlos und unverbindlich.

Wie läuft ein Erstgespräch ab?

15–30 Minuten, per Telefon oder Video — oder bei euch vor Ort in der Region Kassel. Wir stellen Fragen, ihr erzählt. Am Ende wisst ihr, ob wir die Richtigen seid. Kein Angebot vorab, kein Verkaufsgespräch.

Betrifft uns NIS2 — und was müssen wir tun?

NIS2 betrifft seit Oktober 2024 deutlich mehr Unternehmen — auch viele Mittelständler, die bisher nicht unter KRITIS fielen. Wir prüfen, ob ihr betroffen seid, und zeigen die konkreten Schritte — ohne Panik und ohne Juristendeutsch.

Brauchen wir wirklich eine ISO 27001-Zertifizierung?

Nicht unbedingt — und wir sagen euch ehrlich, wenn ihr sie nicht braucht. Für viele Mittelständler ist ein ISMS ohne Zertifizierung der sinnvollere erste Schritt — günstiger, schneller, trotzdem strukturiert.

Wir hatten schon einen Berater. Hat nichts gebracht.

Das hören wir oft. Meistens lag es daran, dass nach dem Bericht niemand bei der Umsetzung geholfen hat. Wir bleiben, bis die Maßnahmen stehen — nicht als Bericht, sondern als gelebte Praxis.

Können wir klein anfangen?

Ja — und das empfehlen wir sogar. Gute IT-Sicherheit für den Mittelstand muss nicht mit einem Großprojekt starten. Oft ist ein CyberRisikoCheck (500 €, ein Termin) der beste Einstieg.

Arbeitet ihr nur in der Region Kassel?

Unser Büro ist in Lohfelden bei Kassel. Viele Kunden sind in Nordhessen und Rhein-Main. Aber wir arbeiten auch bundesweit — vieles geht per Video und Remote.

NIS2-Beratung · KRITIS · DORA · TISAX · Kassel & bundesweit

NIS2, KRITIS, DORA, TISAX — wir klären, was euch betrifft. Und was nicht.

Regulierung ist kein Selbstzweck. Aber sie ist Realität — mit konkreten Fristen, persönlicher Haftung und echten Konsequenzen. Wir übersetzen NIS2, KRITIS, DORA und TISAX in konkrete Schritte, die zu eurem Unternehmen passen. Kein Juristendeutsch. Kein Goldplating. Für Unternehmen in Kassel, Nordhessen und ganz Deutschland.

Ø 2 Wo.

Bis ihr wisst, was euch wirklich betrifft — und was nicht.

Schriftlich

Nicht nur ein Gespräch, sondern ein dokumentierter Maßnahmenplan.

Keine Maßnahmen, die ihr nicht braucht — wir empfehlen nur, was für eure Situation gilt.

§8a BSIG KRITIS · ISO 27001 Lead Auditor · NIS-2 Directive Implementer · TISP · CISSP

Wichtig für Geschäftsführer: Bei NIS2 haftet ihr persönlich.

NIS2 ist die erste IT-Sicherheitsregulierung, die eine persönliche Haftung der Geschäftsführung explizit vorschreibt. Es reicht nicht, das Thema an die IT zu delegieren. Wenn ein Unternehmen die Anforderungen nicht umsetzt und es zu einem Vorfall kommt, haften Geschäftsführer persönlich — unabhängig davon, ob sie technisches Verständnis haben oder nicht.

Die gute Nachricht: Wer nachweisen kann, dass er angemessene Maßnahmen ergriffen hat, reduziert dieses Risiko erheblich. Ein dokumentierter Maßnahmenplan und die Umsetzung der wesentlichen Anforderungen sind der beste Schutz — nicht nur für euer Unternehmen, sondern auch für euch persönlich.

Was meistens schiefgeht — nicht an den Vorschriften, sondern im Umgang damit.

Der Anwalt sagt: Ihr seid betroffen. Der IT-Dienstleister sagt: Seid ihr nicht. Beide klingen überzeugend. Keiner sagt konkret, was zu tun ist.

Oder: Jemand kauft eine „NIS2-Lösung“ von der Stange. Haken dran, Thema erledigt. Bis zum Audit — dann fehlt die Hälfte.

Das Problem ist nicht fehlendes Engagement. Es ist fehlende Orientierung — und die Angst, entweder zu wenig oder zu viel zu tun.

Vier Regulierungen. Wer ist betroffen — und was fordert jede?

NIS2 — EU-Richtlinie zur Netzwerk- und Informationssicherheit

NIS2 gilt für Unternehmen in kritischen und wichtigen Sektoren ab 50 Mitarbeitern oder 10 Mio. € Umsatz: Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft, verarbeitendes Gewerbe. Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer kritischer Infrastrukturen gelten. NIS2 fordert: Risikomanagement, Incident Reporting, Lieferkettensicherheit — und persönliche Haftung der Geschäftsführung.

KRITIS — Kritische Infrastrukturen nach BSI-Gesetz

KRITIS betrifft Betreiber kritischer Infrastrukturen in Deutschland: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Transport, Finanz- und Versicherungswesen. Betreiber ab bestimmten Schwellenwerten müssen nach §8a BSIG Mindestsicherheitsstandards nachweisen und sich beim BSI registrieren. KRITIS-Anforderungen sind strenger als NIS2 — und haben kürzere Meldefristen bei Vorfällen.

DORA — Digital Operational Resilience Act

DORA gilt seit Januar 2025 für den Finanzsektor: Banken, Versicherungen, Zahlungsdienstleister und deren IT-Dienstleister. DORA fordert: Risikomanagement für IKT, Incident Reporting, Resilienztests und Anforderungen an die Lieferkette. Auch IT-Dienstleister, die Finanzinstitute betreuen, können direkt betroffen sein.

TISAX — Informationssicherheitsstandard der Automobilindustrie

TISAX ist kein Gesetz, sondern eine Anforderung aus der Automobilindustrie. Wer als Zulieferer für OEMs wie VW, BMW oder Mercedes arbeitet, muss TISAX-Compliance nachweisen — sonst droht der Verlust des Auftrags. TISAX basiert auf ISO 27001, hat aber spezifische Anforderungen für Prototypenschutz und vertrauliche Fahrzeugdaten.

Wie wir vorgehen — kein Juristendeutsch, sondern konkrete Schritte.

Ihr wisst noch nicht, ob Regulierung euer dringlichstes Thema ist? Unser CyberRisikoCheck (500 €, ein Termin) zeigt euch, wo ihr insgesamt steht.

Einordnen: Was betrifft euch wirklich?

Betrifft euch NIS2? Fallt ihr unter KRITIS? Braucht ihr TISAX, weil ein Kunde aus der Automobilbranche es verlangt? Oder DORA, weil ihr im Finanzsektor arbeitet? Wir klären das eindeutig — nicht mit „vielleicht“, sondern mit einer dokumentierten Betroffenheitsanalyse.

Ergebnis: Ihr wisst, welche Regulierungen euch betreffen — schwarz auf weiß.

NIS2 · KRITIS · DORA · TISAX · Betroffenheitsanalyse

Übersetzen: Was müsst ihr konkret tun?

Regulierung in Handlung. Keine Paragraphen, sondern konkrete Maßnahmen. Was müsst ihr umsetzen? Was habt ihr vielleicht schon? Wo ist die Lücke zwischen dem, was ihr habt, und dem, was gefordert wird? Wir erstellen einen priorisierten Maßnahmenplan — in Worten, die auch eure Geschäftsführung versteht.

Ergebnis: Ein klarer Fahrplan — was sofort passieren muss, was warten kann.

Gap-Analyse · Anforderungen · Maßnahmenplanung

Umsetzen: Wir bleiben, bis es steht.

Richtlinien, Prozesse, Nachweise — alles so, dass es im Audit standhält und in eurem Alltag funktioniert. Kein Papiertiger, der nur für den Prüfer existiert. Und wenn sich Anforderungen ändern, sagen wir euch rechtzeitig Bescheid.

Compliance · Audit-Vorbereitung · Nachweisführung

Die meisten NIS2- und KRITIS-Anforderungen werden am effizientesten über ein ISMS abgebildet. Falls der Aufbau nötig ist, begleiten wir euch auch dabei — als logischer nächster Schritt, nicht als separates Projekt.

Aus der Praxis · Rhein-Main-Gebiet

„NIS2 betrifft uns. Aber niemand konnte uns sagen, was wir konkret tun müssen."

Ein IT-Dienstleister mit 60 Mitarbeitern im Rhein-Main-Gebiet. Zwei Großkunden verlangten NIS2-Nachweise. Der Geschäftsführer hatte drei verschiedene Einschätzungen gehört — vom Anwalt, vom Branchenverband, vom bisherigen IT-Betreuer. Alle widersprachen sich. Klar war nur: Es muss etwas passieren. Und schnell.

Was wir gemacht haben.

Betroffenheitsanalyse, Gap-Analyse zwischen Ist-Zustand und NIS2-Anforderungen, priorisierter Maßnahmenplan mit klarer Reihenfolge. In drei Wochen war eindeutig, was sofort passieren muss und was warten kann — plus Einstieg in den ISMS-Aufbau als nächster Schritt.

BRANCHE

IT-Dienstleistung

GRÖSSE

60 Mitarbeiter

DAUER

3 Wochen bis Fahrplan

ERGEBNIS

Compliance-Fahrplan + ISMS-Aufbau gestartet

Was sich danach ändert.

01

Ihr wisst, welche Vorschriften euch betreffen — eindeutig, nicht vielleicht. Keine widersprüchlichen Aussagen mehr von verschiedenen Seiten.

02

Ihr habt einen Plan, der zeigt was zu tun ist — und in welcher Reihenfolge. Nicht alles auf einmal, sondern die richtige Priorität.

03

Ihr könnt dem Auditor, dem Kunden und der Versicherung zeigen: Wir haben das im Griff. Dokumentiert, nachweisbar, auditfest.

Und die Geschäftsführung ist abgesichert — durch dokumentierte Maßnahmen, die persönliche Haftungsrisiken reduzieren.

Was wir nicht versprechen.

Compliance ist kein Zustand, den man einmal erreicht und dann hat. Gesetze ändern sich. Anforderungen wachsen. Was heute reicht, kann morgen zu wenig sein. Wer euch Dauersicherheit verspricht, lügt.

Was wir versprechen.

Ihr seid vorbereitet — nicht überrumpelt. Ihr habt einen Plan, der heute gilt. Und ihr habt jemanden, der euch rechtzeitig informiert, wenn sich etwas ändert. Nicht als Nachricht im Newsletter, sondern als direktes Gespräch.

NÄCHSTER SCHRITT

Sicherheit aufbauen

NIS2, KRITIS und DORA verlangen ein Managementsystem. Ein ISMS bildet den Großteil der Anforderungen ab — einmal aufgebaut, mehrfach genutzt.

HÄUFIG KOMBINIERT

Euer Sicherheitsmensch

Compliance lebt nur, wenn jemand sie pflegt und aktuell hält. Als externer ISB übernehmen wir das dauerhaft — ab 140 €/Monat. Wir bieten auch CISO as a Service an.

Bei Bedarf

Schwachstellen finden

Viele Regulierungen verlangen den Nachweis, dass eure Systeme regelmäßig geprüft werden. Ein Pentest liefert euch diesen Nachweis.

Fragen zur NIS2- und Compliance-Beratung — ehrlich beantwortet.

Was ist NIS2 — und wen betrifft die Richtlinie?

NIS2 ist die EU-weite Richtlinie zur Netz- und Informationssicherheit. Sie gilt für Unternehmen in kritischen und wichtigen Sektoren ab 50 Mitarbeitern oder 10 Mio. € Umsatz: Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft und verarbeitendes Gewerbe. Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer kritischer Infrastrukturen gelten. Wir prüfen eure Betroffenheit in einem kurzen Gespräch — kostenlos und unverbindlich.

Was ist der Unterschied zwischen NIS2, KRITIS, DORA und TISAX?

Alle vier sind Regulierungen zur IT-Sicherheit, aber für unterschiedliche Zielgruppen. NIS2 ist die EU-weite Richtlinie für eine breite Palette von Branchen. KRITIS betrifft speziell Betreiber kritischer Infrastrukturen in Deutschland. DORA richtet sich an den Finanzsektor und deren IT-Dienstleister. TISAX ist der Informationssicherheitsstandard der Automobilindustrie. Die Anforderungen überlappen sich stark — wer ein ISMS nach ISO 27001 aufbaut, erfüllt einen Großteil aller vier Regulierungen gleichzeitig.

Haftet die Geschäftsführung bei NIS2 persönlich?

Ja. NIS2 sieht eine persönliche Haftung der Geschäftsführung vor — das ist neu und betrifft nicht nur IT-Leiter, sondern explizit die Unternehmensführung. Wer nachweisen kann, dass angemessene Maßnahmen ergriffen wurden, reduziert dieses Risiko erheblich. Ein dokumentierter Maßnahmenplan und die Umsetzung der wesentlichen Anforderungen sind der beste Schutz — für das Unternehmen und für die Geschäftsführung persönlich.

Wir haben schon einen Anwalt dafür. Brauchen wir euch trotzdem?

Wahrscheinlich ja — und das ist kein Entweder-oder. Der Anwalt klärt die rechtliche Seite: Betrifft euch NIS2? Welche Pflichten habt ihr? Welche Sanktionen drohen? Wir klären die technische und organisatorische Seite: Was müsst ihr konkret tun? Welche Maßnahmen müsst ihr umsetzen? Wie baut ihr ein System auf, das im Audit standhält? Wir ergänzen euren Anwalt — wir ersetzen ihn nicht.

Wie lange dauert es, compliant zu werden?

Die Betroffenheitsanalyse und den ersten Maßnahmenplan haben wir in der Regel innerhalb von zwei Wochen. Die Umsetzung dauert je nach Umfang 3–12 Monate. Wenn ihr schon ein ISMS habt oder Teile davon, geht es schneller. Wichtig: Fangt nicht erst an, wenn der Auditor vor der Tür steht — je früher, desto entspannter.

Was kostet eine NIS2-Beratung?

Die Betroffenheitsanalyse und der erste Maßnahmenplan beginnen bei wenigen Tausend Euro — abhängig von eurer Unternehmensgröße und Komplexität. Falls daraus ein ISMS-Aufbau folgt, startet dieser ab 4.000 € netto. Im Erstgespräch schätzen wir den Aufwand ehrlich ein. Alle Orientierungswerte findet ihr auf unserer Seite So arbeiten wir.

Macht ihr Compliance-Beratung auch außerhalb von Kassel?

Ja. Unser Büro ist in Lohfelden bei Kassel, viele Kunden kommen aus Nordhessen und dem Rhein-Main-Gebiet. NIS2- und Compliance-Beratung machen wir aber auch bundesweit — vieles läuft per Video, für Workshops und Vor-Ort-Termine kommen wir zu euch.

Echte Menschen. Kein Chatbot. Kein Callcenter.

Wenn ihr bis hierher gelesen habt, beschäftigt euch das Thema. Meldet euch — für ein ehrliches Gespräch darüber, ob und was ihr tun müsst.

Lieber direkt anrufen?

0561 9402 6666

Mo–Fr · 08:00–16:30 · Timm, Philipp oder Jan gehen ran.

Lieber selbst einen Termin wählen?

15–30 Min · kostenlos · unverbindlich Ihr bekommt kein Angebot, das ihr nicht wollt.