NIS2 COMPLIANCE in Berlin und DACH
Die neue NIS2-Richtlinie verschärft die gesetzlichen Anforderungen an die Cybersicherheit für Unternehmen in Berlin und der gesamten DACH-Region erheblich. Mit unserer spezialisierten NIS2-Anwendbarkeitsprüfung sowie einer detaillierten GAP-Analyse bewerten wir Ihre bestehenden IT- und Sicherheitsstrukturen fundiert, um etwaige Compliance-Lücken frühzeitig zu schließen.
Hieraus leiten wir für Sie konkrete, praxisnahe Schritte ab, damit Ihr Unternehmen alle regulatorischen Vorgaben der Informationssicherheit vollständig erfüllt und demnach dauerhaft NIS2-konform handelt.
Compliance & Sicherheit
NIS2-Pflichten im Überblick: Wer muss jetzt aktiv werden?
Die neue NIS2-Richtlinie weitet den Kreis der verpflichteten Unternehmen maßgeblich aus, da nunmehr deutlich mehr Akteur*innen strenge Sicherheitsmaßnahmen einhalten müssen. Folglich betrifft diese Verschärfung nicht mehr ausschließlich klassische kritische Infrastrukturen, sondern erfasst zunehmend auch digitale Dienstleister*innen sowie Plattformbetreibende. Deren etwaiger Ausfall hätte demnach spürbare Konsequenzen für Wirtschaft und Gesellschaft, weshalb diese nun ebenfalls in den regulatorischen Fokus rücken.
Unternehmen mit über 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro stehen demnach klar im Fokus. Außerdem schreibt NIS2 Artikel 21 explizit Business-Continuity-Maßnahmen vor – deshalb sind regelmäßige BCM Notfallübungen ein direktes Compliance-Instrument, nicht nur eine Empfehlung. Zusätzlich rückt NIS2 auch Firmen kleinerer Größe ins Blickfeld, sofern sie zentrale Funktionen für die Stabilität kritischer Systeme übernehmen.
Was das bedeutet
Prüfen Sie jetzt proaktiv Ihre Geschäftsbereiche sowie IT-Strukturen. Wir begleiten Sie dabei, die Vorgaben von NIS2 strukturiert umzusetzen, Risiken frühzeitig zu erkennen und Ihr Unternehmen schließlich nachhaltig abzusichern.
Compliance & Sicherheit
NIS2-Pflichten im Überblick: Wer muss jetzt aktiv werden?
Die neue NIS2-Richtlinie weitet den Kreis der verpflichteten Unternehmen maßgeblich aus, da nunmehr deutlich mehr Akteur*innen strenge Sicherheitsmaßnahmen einhalten müssen. Folglich betrifft diese Verschärfung nicht mehr ausschließlich klassische kritische Infrastrukturen, sondern erfasst zunehmend auch digitale Dienstleister*innen sowie Plattformbetreibende. Deren etwaiger Ausfall hätte demnach spürbare Konsequenzen für Wirtschaft und Gesellschaft, weshalb diese nun ebenfalls in den regulatorischen Fokus rücken.
Unternehmen mit über 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro stehen demnach klar im Fokus. Außerdem schreibt NIS2 Artikel 21 explizit Business-Continuity-Maßnahmen vor – deshalb sind regelmäßige BCM Notfallübungen ein direktes Compliance-Instrument, nicht nur eine Empfehlung. Zusätzlich rückt NIS2 auch Firmen kleinerer Größe ins Blickfeld, sofern sie zentrale Funktionen für die Stabilität kritischer Systeme übernehmen.
Prüfen Sie jetzt proaktiv Ihre Geschäftsbereiche sowie IT-Strukturen. Wir begleiten Sie dabei, die Vorgaben von NIS2 strukturiert umzusetzen, Risiken frühzeitig zu erkennen und Ihr Unternehmen schließlich nachhaltig abzusichern.
Unser Angebot
NIS2-Konformität schnell & sicher
Scope-Check: Wir klären gemeinsam, ob NIS2 für Ihr Unternehmen relevant ist – folglich schnell und zuverlässig.
GAP-Analyse: Wir zeigen Ihnen genau, wo Ihre Sicherheitsstruktur noch Lücken hat – demnach verständlich und klar.
Maßnahmenplanung & Konzeptentwicklung: Maßgeschneiderte Lösungen, die Ihre Branche, Unternehmensgröße sowie Ihr Risikoprofil berücksichtigen.
Weiterbildungen: Wir stärken Ihre Sicherheitskultur mit praxisorientierten Schulungen, damit Ihr Team bestens vorbereitet ist.
Vorfallmanagement & Meldeprozesse: Wir unterstützen beim Aufbau eines Systems zur Erkennung sowie Meldung von Sicherheitsvorfällen.
Kontinuierliche Begleitung & Optimierung: Wir bleiben an Ihrer Seite und unterstützen Sie schließlich bei Audits, Anpassungen und zukünftigen Anforderungen.
Unser Angebot
NIS2-Konformität schnell & sicher
Scope-Check: Wir klären gemeinsam, ob NIS2 für Ihr Unternehmen relevant ist – folglich schnell und zuverlässig.
GAP-Analyse: Wir zeigen Ihnen genau, wo Ihre Sicherheitsstruktur noch Lücken hat – demnach verständlich und klar.
Maßnahmenplanung & Konzeptentwicklung: Maßgeschneiderte Lösungen, die Ihre Branche, Unternehmensgröße sowie Ihr Risikoprofil berücksichtigen.
Weiterbildungen: Wir stärken Ihre Sicherheitskultur mit praxisorientierten Schulungen, damit Ihr Team bestens vorbereitet ist.
Vorfallmanagement & Meldeprozesse: Wir unterstützen beim Aufbau eines Systems zur Erkennung sowie Meldung von Sicherheitsvorfällen.
Kontinuierliche Begleitung & Optimierung: Wir bleiben an Ihrer Seite und unterstützen Sie schließlich bei Audits, Anpassungen und zukünftigen Anforderungen.
FAQ – NIS2-Compliance in Berlin & DACH-Region
Ihre Fragen zur NIS2-Richtlinie & Cybersicherheitspflichten in Deutschland
Alles Wichtige zu Geltungsbereich, Pflichten, Sanktionen, Umsetzungsschritten und der NIS2-Beratung durch procado in Berlin und der DACH-Region.
FAQ – NIS2-Compliance in Berlin & DACH-Region
Ihre Fragen zur NIS2-Richtlinie & Umsetzungspflichten in Deutschland
Alles Wichtige zu Geltungsbereich, Pflichten, Sanktionen, Umsetzungsschritten und der NIS2-Beratung durch procado in Berlin und der DACH-Region.
Was ist die NIS2-Richtlinie – und was ändert sich gegenüber NIS1?
NIS2 (Richtlinie EU 2022/2555) ist die umfassend verschärfte Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016 und wurde in Deutschland durch das NIS2UmsuCG in nationales Recht umgesetzt. Gegenüber NIS1 erweitert sie den Kreis der verpflichteten Unternehmen erheblich: Statt bisher einiger Dutzend KRITIS-Betreiber sind nun Unternehmen aus 18 Sektoren betroffen – darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel und viele weitere.
Darüber hinaus verschärft NIS2 die Anforderungen gegenüber der Vorgängerrichtlinie in mehreren Punkten: strengeres Risikomanagement, deutlich kürzere Meldepflichten bei Sicherheitsvorfällen sowie eine neue persönliche Haftung der Geschäftsführung. Außerdem erstreckt sich die Richtlinie über die direkt betroffenen Unternehmen hinaus auf deren Lieferketten – folglich können auch kleinere Zulieferer indirekt betroffen sein. Eine vollständige Übersicht der betroffenen Sektoren und Schwellenwerte stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit. Wie NIS2 mit anderen Regelwerken wie DORA oder ISO 27001 zusammenhängt, erklärt procado deshalb im kostenlosen Erstgespräch.
Ist mein Unternehmen von NIS2 betroffen?
Kritische Schwellenwerte
NIS2 gilt grundsätzlich für Unternehmen in einem der 18 betroffenen Sektoren mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Mio. €. Kleinere Unternehmen können dennoch betroffen sein, wenn sie kritische Funktionen übernehmen oder Zulieferer NIS2-pflichtiger Unternehmen sind.
NIS2 unterscheidet außerdem zwischen „wesentlichen Einrichtungen“ (z. B. Energie, Gesundheit, Wasser, Banken) und „wichtigen Einrichtungen“ (z. B. Post, Lebensmittel, Maschinenbau, Chemie). Wesentliche Einrichtungen unterliegen deshalb strengeren Anforderungen und proaktiver Aufsicht durch das BSI.
Darüber hinaus sind Unternehmen indirekt betroffen, wenn ihr Auftraggeber NIS2-pflichtig ist: In diesem Fall werden sie deshalb vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichtet – die sogenannte Lieferkettenpflicht. Viele Unternehmen in Berlin und DACH unterschätzen folglich ihre eigene Betroffenheit. procado führt deshalb im ersten Schritt einen kostenlosen Scope-Check durch, der klar und nachvollziehbar zeigt, ob und wie NIS2 für Sie gilt – einschließlich einer Einschätzung möglicher indirekter Pflichten aus der Lieferkette.
Was fordert NIS2 konkret – welche Maßnahmen sind Pflicht?
NIS2 Art. 21 definiert zehn konkrete Maßnahmenbereiche. Besonders relevant sind insbesondere: dokumentiertes Risikoanalyse- und Sicherheitsrichtlinien-System (hierfür bietet sich eine IT-Sicherheits-GAP-Analyse als Einstieg an), strukturiertes Vorfallmanagement inkl. 24-Stunden-Erstmeldung an das BSI sowie Business Continuity Management mit Notfallplänen, Backup-Konzept und Krisenmanagement.
Darüber hinaus fordert NIS2 ausdrücklich den Einsatz von Multi-Faktor-Authentifizierung (MFA), Verschlüsselung sowie die Absicherung der Lieferkette. Außerdem ist die Schulung von Mitarbeiter*innen und Führungskräften gesetzliche Pflicht – hierfür bietet procado Security Awareness Kampagnen an, die rechtsgültige Schulungszertifikate als NIS2-Nachweis ausstellen. Technische Orientierung für die Maßnahmenumsetzung gibt zudem der BSI IT-Grundschutz, an dem sich procado bei der Konzepterstellung orientiert.
Was bedeutet die persönliche Haftung der Geschäftsführung bei NIS2?
Das ist eine der bedeutendsten Neuerungen von NIS2: Geschäftsführer*innen und Vorstandsmitglieder müssen die Umsetzung der Cybersicherheitsmaßnahmen aktiv beaufsichtigen und billigen. Sie können bei Pflichtverletzung deshalb persönlich haftbar gemacht werden – unabhängig davon, ob das Unternehmen selbst als juristische Person haftet. Das unterscheidet NIS2 grundlegend von der DSGVO, bei der die Haftung primär die Organisation trifft.
Das bedeutet konkret: Die Geschäftsführung muss nachweislich in Cybersicherheitsthemen geschult sein, Sicherheitsmaßnahmen aktiv genehmigen und deren Einhaltung regelmäßig überprüfen. Außerdem können bei wesentlichen Einrichtungen im Wiederholungsfall sogar vorübergehende Führungsverbote ausgesprochen werden. Einen externen Informationssicherheitsbeauftragten (ISB) zu bestellen ist deshalb eine der effizientesten Maßnahmen: Der/die externe ISB übernimmt die Governance-Dokumentation, die diese Aufsichtspflicht nachweisbar macht – und entlastet damit die Geschäftsführung erheblich.
Was droht bei Verstößen gegen NIS2?
Die Sanktionen sind erheblich und nach Einrichtungstyp gestaffelt. Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden. Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Zuständige Aufsichtsbehörde in Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Darüber hinaus kann das BSI auch ohne unmittelbaren Sicherheitsvorfall Maßnahmen anordnen – etwa die Durchführung externer Audits auf Kosten des Unternehmens oder die Einstellung bestimmter Dienste. Außerdem gilt: Für Unternehmen, die gleichzeitig unter DORA (Finanzsektor) fallen, gilt diese Verordnung als Lex specialis und geht NIS2 vor – procado berücksichtigt deshalb stets das vollständige regulatorische Umfeld. Unternehmen, die frühzeitig mit einer GAP-Analyse starten, reduzieren folglich sowohl ihr Sanktionsrisiko als auch den späteren Umsetzungsaufwand erheblich.
Wie läuft die NIS2-Beratung bei procado in Berlin ab – und was kostet sie?
procado begleitet Unternehmen in Berlin, Brandenburg und dem gesamten DACH-Raum in einem klaren, strukturierten Ablauf. Zunächst führen wir einen Scope-Check durch: Gilt die Richtlinie für Sie – und wenn ja, als wesentliche oder wichtige Einrichtung? Anschließend folgt eine GAP-Analyse, die Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen vergleicht und offene Handlungsfelder priorisiert.
Darauf aufbauend entwickeln wir einen priorisierten Maßnahmenplan und begleiten die Umsetzung – von Richtlinien und Mitarbeiter*innenschulungen über den Aufbau von BSI-Meldeprozessen bis zur Bestellung eines externen Informationssicherheitsbeauftragten. Außerdem arbeitet procado eng mit dem Datenschutzteam zusammen, sodass NIS2 und DSGVO synergetisch umgesetzt werden – ohne Doppelaufwand. Für Unternehmen, die gleichzeitig eine ISO 27001 Zertifizierung oder VdS 10000 anstreben, lassen sich alle drei Vorhaben deshalb in einem gemeinsamen Beratungsrahmen umsetzen. Die Kosten hängen von Unternehmensgröße und Betroffenheitsgrad ab; procado bietet modulare Pakete vom kompakten Scope-Check bis zur vollständigen Begleitberatung. Kostenloses Erstgespräch: sales@procado.de oder +49 (0)30 293 98 300.
Was ist die NIS2-Richtlinie – und was ändert sich gegenüber NIS1?
NIS2 (Richtlinie EU 2022/2555) ist die umfassend verschärfte Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016 und wurde in Deutschland durch das NIS2UmsuCG in nationales Recht umgesetzt. Gegenüber NIS1 erweitert sie den Kreis der verpflichteten Unternehmen erheblich: Statt bisher einiger Dutzend KRITIS-Betreiber sind nun Unternehmen aus 18 Sektoren betroffen – darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel und viele weitere.
Darüber hinaus verschärft NIS2 die Anforderungen gegenüber der Vorgängerrichtlinie in mehreren Punkten: strengeres Risikomanagement, deutlich kürzere Meldepflichten bei Sicherheitsvorfällen sowie eine neue persönliche Haftung der Geschäftsführung. Außerdem erstreckt sich die Richtlinie über die direkt betroffenen Unternehmen hinaus auf deren Lieferketten – folglich können auch kleinere Zulieferer indirekt betroffen sein. Eine vollständige Übersicht der betroffenen Sektoren und Schwellenwerte stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit. Wie NIS2 mit anderen Regelwerken wie DORA oder ISO 27001 zusammenhängt, erklärt procado deshalb im kostenlosen Erstgespräch.
Ist mein Unternehmen von NIS2 betroffen?
Kritische Schwellenwerte
NIS2 gilt grundsätzlich für Unternehmen in einem der 18 betroffenen Sektoren mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Mio. €. Kleinere Unternehmen können dennoch betroffen sein, wenn sie kritische Funktionen übernehmen oder Zulieferer NIS2-pflichtiger Unternehmen sind.
NIS2 unterscheidet außerdem zwischen „wesentlichen Einrichtungen“ (z. B. Energie, Gesundheit, Wasser, Banken) und „wichtigen Einrichtungen“ (z. B. Post, Lebensmittel, Maschinenbau, Chemie). Wesentliche Einrichtungen unterliegen deshalb strengeren Anforderungen und proaktiver Aufsicht durch das BSI.
Darüber hinaus sind Unternehmen indirekt betroffen, wenn ihr Auftraggeber NIS2-pflichtig ist: In diesem Fall werden sie deshalb vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichtet – die sogenannte Lieferkettenpflicht. Viele Unternehmen in Berlin und DACH unterschätzen folglich ihre eigene Betroffenheit. procado führt deshalb im ersten Schritt einen kostenlosen Scope-Check durch, der klar und nachvollziehbar zeigt, ob und wie NIS2 für Sie gilt – einschließlich einer Einschätzung möglicher indirekter Pflichten aus der Lieferkette.
Was fordert NIS2 konkret – welche Maßnahmen sind Pflicht?
NIS2 Art. 21 definiert zehn konkrete Maßnahmenbereiche. Besonders relevant sind insbesondere: dokumentiertes Risikoanalyse- und Sicherheitsrichtlinien-System (hierfür bietet sich eine IT-Sicherheits-GAP-Analyse als Einstieg an), strukturiertes Vorfallmanagement inkl. 24-Stunden-Erstmeldung an das BSI sowie Business Continuity Management mit Notfallplänen, Backup-Konzept und Krisenmanagement.
Darüber hinaus fordert NIS2 ausdrücklich den Einsatz von Multi-Faktor-Authentifizierung (MFA), Verschlüsselung sowie die Absicherung der Lieferkette. Außerdem ist die Schulung von Mitarbeiter*innen und Führungskräften gesetzliche Pflicht – hierfür bietet procado Security Awareness Kampagnen an, die rechtsgültige Schulungszertifikate als NIS2-Nachweis ausstellen. Technische Orientierung für die Maßnahmenumsetzung gibt zudem der BSI IT-Grundschutz, an dem sich procado bei der Konzepterstellung orientiert.
Was bedeutet die persönliche Haftung der Geschäftsführung bei NIS2?
Das ist eine der bedeutendsten Neuerungen von NIS2: Geschäftsführer*innen und Vorstandsmitglieder müssen die Umsetzung der Cybersicherheitsmaßnahmen aktiv beaufsichtigen und billigen. Sie können bei Pflichtverletzung deshalb persönlich haftbar gemacht werden – unabhängig davon, ob das Unternehmen selbst als juristische Person haftet. Das unterscheidet NIS2 grundlegend von der DSGVO, bei der die Haftung primär die Organisation trifft.
Das bedeutet konkret: Die Geschäftsführung muss nachweislich in Cybersicherheitsthemen geschult sein, Sicherheitsmaßnahmen aktiv genehmigen und deren Einhaltung regelmäßig überprüfen. Außerdem können bei wesentlichen Einrichtungen im Wiederholungsfall sogar vorübergehende Führungsverbote ausgesprochen werden. Einen externen Informationssicherheitsbeauftragten (ISB) zu bestellen ist deshalb eine der effizientesten Maßnahmen: Der/die externe ISB übernimmt die Governance-Dokumentation, die diese Aufsichtspflicht nachweisbar macht – und entlastet damit die Geschäftsführung erheblich.
Was droht bei Verstößen gegen NIS2?
Die Sanktionen sind erheblich und nach Einrichtungstyp gestaffelt. Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden. Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Zuständige Aufsichtsbehörde in Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Darüber hinaus kann das BSI auch ohne unmittelbaren Sicherheitsvorfall Maßnahmen anordnen – etwa die Durchführung externer Audits auf Kosten des Unternehmens oder die Einstellung bestimmter Dienste. Außerdem gilt: Für Unternehmen, die gleichzeitig unter DORA (Finanzsektor) fallen, gilt diese Verordnung als Lex specialis und geht NIS2 vor – procado berücksichtigt deshalb stets das vollständige regulatorische Umfeld. Unternehmen, die frühzeitig mit einer GAP-Analyse starten, reduzieren folglich sowohl ihr Sanktionsrisiko als auch den späteren Umsetzungsaufwand erheblich.
Wie läuft die NIS2-Beratung bei procado in Berlin ab – und was kostet sie?
procado begleitet Unternehmen in Berlin, Brandenburg und dem gesamten DACH-Raum in einem klaren, strukturierten Ablauf. Zunächst führen wir einen Scope-Check durch: Gilt die Richtlinie für Sie – und wenn ja, als wesentliche oder wichtige Einrichtung? Anschließend folgt eine GAP-Analyse, die Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen vergleicht und offene Handlungsfelder priorisiert.
Darauf aufbauend entwickeln wir einen priorisierten Maßnahmenplan und begleiten die Umsetzung – von Richtlinien und Mitarbeiter*innenschulungen über den Aufbau von BSI-Meldeprozessen bis zur Bestellung eines externen Informationssicherheitsbeauftragten. Außerdem arbeitet procado eng mit dem Datenschutzteam zusammen, sodass NIS2 und DSGVO synergetisch umgesetzt werden – ohne Doppelaufwand. Für Unternehmen, die gleichzeitig eine ISO 27001 Zertifizierung oder VdS 10000 anstreben, lassen sich alle drei Vorhaben deshalb in einem gemeinsamen Beratungsrahmen umsetzen. Die Kosten hängen von Unternehmensgröße und Betroffenheitsgrad ab; procado bietet modulare Pakete vom kompakten Scope-Check bis zur vollständigen Begleitberatung. Kostenloses Erstgespräch: sales@procado.de oder +49 (0)30 293 98 300.
