NIS-2 – Was auf Ihr Unternehmen zukommt
Neue Pflichten für die Geschäftsführung. Wir helfen Ihnen, sie zu erfüllen
Seit Dezember 2025 gilt die europäische Cybersicherheitsrichtlinie NIS-2 im deutschen Recht. Sie betrifft deutlich mehr Unternehmen als die Vorgängerregelung – und die Konsequenzen bei Nichteinhaltung sind erheblich: Bußgelder, Haftung der Geschäftsführung und im Ernstfall die persönliche Verantwortung für versäumte Schutzmaßnahmen.
Viele KMU wissen nicht, ob sie betroffen sind. sec73 klärt das – und begleitet Sie von der Betroffenheitsanalyse bis zur dokumentierten Umsetzung.
Was NIS-2 von Ihnen verlangt
Risikomanagement
Sie müssen die Risiken für Ihre IT-Systeme kennen, bewerten und dokumentieren. Welche Systeme sind kritisch? Was passiert, wenn sie ausfallen? Welche Maßnahmen haben Sie ergriffen, um das zu verhindern?
Technische Schutzmaßnahmen
Firewall, Zugriffskontrollen, Verschlüsselung, Sicherheitsmonitoring, Backup-Konzepte – NIS-2 verlangt nachweisbare technische Maßnahmen, die dem Stand der Technik entsprechen. Was genau angemessen ist, hängt von Ihrer Unternehmensgröße und Ihrem Risikoprofil ab.
Meldepflichten
Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine erste Meldung an die zuständige Behörde abgeben. Innerhalb von 72 Stunden folgt eine detaillierte Einschätzung. Das funktioniert nur, wenn Sie vorbereitet sind – mit einem Incident-Response-Plan und einem Sicherheitsmonitoring, das Vorfälle überhaupt erkennt.
Verantwortung der Geschäftsführung
NIS-2 macht die Geschäftsführung persönlich verantwortlich für die Umsetzung der Sicherheitsmaßnahmen. Das bedeutet: Sie können diese Aufgabe nicht vollständig delegieren. Sie müssen die Maßnahmen kennen, freigeben und deren Umsetzung nachweisen können.
Was wir für Sie tun
Betroffenheitsanalyse
Wir prüfen, ob und in welchem Umfang Ihr Unternehmen von NIS-2 betroffen ist – direkt oder über die Lieferkette. Das Ergebnis ist eine klare Aussage: betroffen, nicht betroffen oder teilweise betroffen – mit Begründung.
Gap-Analyse
Wo stehen Sie heute und wo müssen Sie hin? Wir vergleichen Ihren aktuellen Sicherheitsstand mit den Anforderungen aus NIS-2 und identifizieren die Lücken. Daraus entsteht ein konkreter Maßnahmenplan mit Prioritäten.
Umsetzung
Wir setzen die Maßnahmen auch um: Firewall, Sicherheitsmonitoring, Zugriffsmanagement, Backup-Konzepte, Incident-Response-Plan. Auf Open-Source-Basis, wirtschaftlich sinnvoll und ohne überdimensionierte Compliance-Pakete. Kein Konzeptpapier, mit dem Sie allein dastehen – sondern fertig implementierte Lösungen.
Dokumentation und Nachweis
Alles, was wir umsetzen, wird sauber dokumentiert – verständlich für Sie als Geschäftsführerin oder Geschäftsführer und belastbar für Aufsichtsbehörden, Cyberversicherungen und Auftraggeber in der Lieferkette.
Schulung der Geschäftsführung
NIS-2 verlangt, dass die Geschäftsführung über ausreichendes Wissen im Bereich Cybersicherheit verfügt. Wir bieten praxisnahe Schulungen, die Ihnen genau das vermitteln – ohne IT-Studium, in verständlicher Sprache und mit Fokus auf Ihren Pflichten und Verantwortlichkeiten.
Was passiert, wenn ich nichts tue?
NIS-2 sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Dazu kommt die persönliche Haftung der Geschäftsführung – nicht des Unternehmens, sondern der handelnden Personen.
Aber es geht nicht nur um Strafen. Auftraggeber werden zunehmend Nachweise verlangen. Cyberversicherungen prüfen vor der Regulierung, ob angemessene Schutzmaßnahmen vorhanden waren. Und im Fall eines Angriffs ist die Frage, ob Sie Ihre Sorgfaltspflichten erfüllt haben, der entscheidende Punkt.
Typische Szenarien
Zulieferer mit 60 Mitarbeitenden: Ein Produktionsbetrieb liefert an einen Konzern, der NIS-2-Nachweise verlangt. sec73 führt die Betroffenheitsanalyse durch, implementiert Firewall und Sicherheitsmonitoring, erstellt den Incident-Response-Plan und dokumentiert alles nachweisbar für den Auftraggeber.
Dienstleister mit 30 Mitarebitenden: Ein Dienstleister weiß nicht, ob NIS-2 für ihn gilt. Wir klären die Betroffenheit, identifizieren die Lücken und setzen die nötigen Maßnahmen schrittweise um – wirtschaftlich verhältnismäßig und ohne den laufenden Betrieb zu stören.
Kostenloses Erstgespräch
NIS-2 betrifft Sie möglicherweise schon heute. In einem kurzen Gespräch klären wir, wo Sie stehen und was die nächsten Schritte wären – kostenlos, unverbindlich und ohne Verkaufsdruck.
