NIS2 · BSIG · ISMS · CISSP

NIS2-Compliance für Unternehmen in
Düsseldorf.

NIS2 ist keine Dokumentenübung. Es ist die Frage, ob ein Unternehmen seine kritischen Systeme im Ernstfall verteidigen kann — und ob die Geschäftsleitung nachweisen kann, dass sie das organisiert hat. Diese Seite beschreibt, wie ich Unternehmen in Düsseldorf und NRW durch die NIS2-Anforderungen führe: als Engineer mit CISSP-Hintergrund, nicht als Auditor mit Checkliste.

Düsseldorf · NRW · DACH remote CISSP · DAX-40 · OT & AppSec
CISSP-zertifiziert 6 Jahre DAX-40 Enterprise Security ISO 27001 in der Praxis OT- & Application Security
01 Wer unter NIS2 fällt

Betroffenheit ist breiter, als die meisten denken.

NIS2 erweitert den Kreis der betroffenen Einrichtungen erheblich. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 definierten Sektoren — Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, aber auch Fertigung, Chemie, Lebensmittel, Abfallwirtschaft und digitale Dienste. Wer bislang nie mit dem BSI zu tun hatte, fällt plötzlich unter Registrierungs-, Melde- und Nachweispflichten.

Im Wirtschaftsraum Düsseldorf trifft das eine dichte Landschaft: Chemie- und Pharmazulieferer im Umfeld der großen Konzerne, Logistik entlang des Rheins, Maschinen- und Anlagenbau in der weiteren Region, dazu zahlreiche digitale Dienstleister. Entscheidend ist die Betroffenheitsanalyse nach den Kriterien des NIS2-Umsetzungsgesetzes: Sie klärt, ob ein Unternehmen als „wichtige" oder „besonders wichtige" Einrichtung eingestuft wird — mit jeweils unterschiedlichen Pflichtenumfängen.

Und auch wer selbst nicht direkt betroffen ist, kann über die Lieferkette in die Pflicht genommen werden: Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer prüfen und vertraglich absichern. Ein Maschinenbauer, der einen NIS2-pflichtigen Konzern beliefert, wird die Anforderungen faktisch mit erfüllen müssen — auch ohne eigene unmittelbare Betroffenheit.

02 Was NIS2 konkret fordert

Art. 21 — technisch gelesen, nicht juristisch.

Der Kern von NIS2 sind die Mindestmaßnahmen zum Risikomanagement aus Artikel 21 der Richtlinie. Sie klingen abstrakt, lassen sich aber auf konkrete technische und organisatorische Anforderungen herunterbrechen: ein gelebtes Risikomanagement als Prozess, nicht als Excel-Datei. Incident Response mit funktionierenden Erkennungs- und Meldewegen. Maßnahmen zur Aufrechterhaltung des Betriebs — Backup, Notfallmanagement, Wiederanlauf. Sicherheit in der Lieferkette. Sicherheit bei Beschaffung, Entwicklung und Wartung. Konzepte für Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung.

Hinzu kommen die formalen Pflichten, die viele unterschätzen: die Registrierung beim BSI innerhalb von drei Monaten, ein gestuftes Meldeverfahren mit Erstmeldung innerhalb von 24 Stunden und Detailmeldung innerhalb von 72 Stunden, sowie die persönliche Haftung der Geschäftsleitung für die Billigung und Überwachung der Maßnahmen.

NIS2 verlangt nicht das maximale Sicherheitsniveau eines Konzerns. Es verlangt ein Niveau, das zur Größe und zum Risiko des Unternehmens passt — und das nachweisbar betrieben wird.

Eine ausführliche Einordnung der gesamten regulatorischen Landschaft — NIS2 im Zusammenspiel mit ISO 27001, dem Cyber Resilience Act, DORA und dem EU AI Act — finden Sie auf der Seite zur Cybersecurity- und Compliance-Beratung.

03 Was ich prüfe und aufbaue

Vom Readiness-Check zum betriebenen ISMS.

Je nach Reifegrad reicht das Mandat von einem fokussierten Readiness-Assessment bis zum vollständigen Aufbau eines Informationssicherheits-Managementsystems. Die folgenden vier Bausteine decken die meisten NIS2-Mandate ab.

  1. 01

    Betroffenheits- und Readiness-Assessment

    Einstufung nach NIS2-Umsetzungsgesetz, Abgleich des Ist-Zustands mit den zehn Mindestmaßnahmen aus Art. 21, Identifikation der konkreten Lücken. Ergebnis ist ein priorisierter Maßnahmenplan mit realistischen Aufwandsschätzungen — in zwei bis drei Wochen.

    Betroffenheitsanalyse Art. 21 Gap-Analyse
  2. 02

    ISMS-Aufbau und Risikomanagement

    Aufbau eines pragmatischen Informationssicherheits-Managementsystems, das die NIS2-Pflichten erfüllt, ohne zur Schattenverwaltung zu werden. Risikoanalyse, Maßnahmensteuerung, Dokumentation — so dimensioniert, dass es im operativen Alltag tatsächlich gelebt wird.

    ISMS ISO 27001:2022 Risikomanagement
  3. 03

    Meldeprozess und Incident Response

    Aufbau der Melde- und Reaktionskette für die 24- und 72-Stunden-Fristen, Rollen und Entscheidungswege, Tabletop-Übungen für den Ernstfall. Ein Meldeprozess, der erst im echten Vorfall getestet wird, ist kein Prozess.

    Meldepflichten Incident Response Tabletop
  4. 04

    Lieferketten- und Geschäftsleitungspflichten

    Vertragliche Sicherheitsanforderungen an Zulieferer, Bewertung der eigenen Position in fremden Lieferketten und die Dokumentation, die die Geschäftsleitung im Zweifel persönlich entlastet — inklusive der nachweisbaren Einbindung der Leitungsebene.

    Supply Chain §30 BSIG Governance
04 Ablauf und Zeitrahmen

Realistische Fristen statt Panikmodus.

NIS2-Readiness ist planbar, wenn man früh beginnt. Ein Unternehmen mit bestehendem ISMS braucht für die NIS2-spezifischen Ergänzungen wenige Wochen; ein Unternehmen ohne Sicherheitsmanagement plant realistisch mit sechs bis zwölf Monaten bis zur belastbaren Compliance.

  1. 01

    Betroffenheit & Gap-Analyse

    Einstufung, Bestandsaufnahme gegen die Mindestmaßnahmen, Priorisierung. Zwei bis drei Wochen — am Ende steht ein Maßnahmenplan, der sich budgetieren lässt.

  2. 02

    Quick Wins & Registrierung

    Sofort umsetzbare Maßnahmen — Multi-Faktor-Authentifizierung, Backup-Härtung, Zugriffskontrolle — parallel zur BSI-Registrierung innerhalb der Drei-Monats-Frist.

  3. 03

    ISMS-Aufbau & Prozesse

    Risikomanagement, Meldeprozess, Lieferkettensteuerung und Geschäftsleitungs-Dokumentation als laufende Prozesse — nicht als einmaliges Projekt.

  4. 04

    Übung, Nachweis, Betrieb

    Tabletop-Übungen, Management-Review und die Dokumentation, die im Prüffall trägt. Ab hier läuft das System — und wird regelmäßig nachgeschärft.

05 Warum CISSP-Hintergrund relevant ist

Sicherheit, die jemand schon einmal betrieben hat.

NIS2-Beratung gibt es inzwischen an jeder Ecke — oft von Anbietern, die ein Template-Paket verkaufen und nie selbst ein Sicherheitsprogramm betrieben haben. Mein Hintergrund ist ein anderer: sechs Jahre Enterprise Security bei einem DAX-40-Konzern — OT-Security in Produktionswerken, Application Security für Konzernanwendungen, klassische Enterprise-IT-Sicherheit inklusive Incident-Response-Einsätzen. Parallel CISSP-zertifiziert bei ISC².

Das verändert die Beratung. Wer Meldeprozesse im Ernstfall gefahren hat, weiß, woran sie scheitern. Wer Produktionsnetze segmentiert hat, kennt den Unterschied zwischen einer Richtlinie und einer Maßnahme, die im Schichtbetrieb funktioniert. Und weil ich heute als CTO selbst produktive Systeme baue, sind Secure SDLC und Cloud-Sicherheit bei mir keine abstrakten Kapitel. Die ganze Bandbreite finden Sie auf der Cybersecurity- und Compliance-Seite.

06 Häufige Fragen

Was Unternehmen zu NIS2 wissen wollen.

Ab wann gilt NIS2 in Deutschland?

Die NIS2-Richtlinie ist auf EU-Ebene seit dem 17. Oktober 2024 anwendbar; die deutsche Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Eintritt der Betroffenheit beim BSI registrieren. Unabhängig vom genauen nationalen Inkrafttreten gilt: Der Aufbau eines wirksamen Sicherheitsmanagements dauert Monate, nicht Wochen — früh beginnen lohnt sich.

Bin ich als mittelständisches Unternehmen von NIS2 betroffen?

Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 definierten Sektoren. Auch kleinere Zulieferer können indirekt betroffen sein, wenn ihre Auftraggeber unter NIS2 fallen und vertragliche Sicherheitsnachweise einfordern. Eine Betroffenheitsanalyse klärt das in der Regel innerhalb eines Erstgesprächs.

Reicht eine bestehende ISO-27001-Zertifizierung für NIS2?

ISO 27001 deckt etwa 70 bis 80 Prozent der NIS2-Anforderungen ab. Die verbleibenden Lücken betreffen die BSI-Registrierung, die spezifischen Meldepflichten und die dokumentierte persönliche Verantwortung der Geschäftsleitung. Ein NIS2-Gap-Assessment auf Basis des bestehenden ISMS dauert typischerweise zwei bis drei Wochen.

Was passiert bei Nichteinhaltung von NIS2?

Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Besonders gravierend: Die Geschäftsleitung haftet persönlich für die Billigung und Überwachung der Risikomanagementmaßnahmen.

07 Kontakt

Eine Betroffenheitsanalyse ist schnell gemacht.

Wenn Sie wissen wollen, ob Ihr Unternehmen unter NIS2 fällt und was konkret zu tun ist: schreiben Sie mir. Das erste Gespräch ist kostenlos und hat kein Verkaufsskript. Meist lässt sich in dreißig Minuten einschätzen, ob und in welchem Umfang Sie betroffen sind — und welcher erste Schritt sinnvoll ist.

enes@enkaconsulting.de
Düsseldorf, Deutschland · LinkedIn →