NIS-2 Beratung für betroffene Unternehmen — Hamburg & bundesweit

NIS-2 Beratung — Inhalt in Kürze

• NIS2 ist seit Dezember 2025 in Kraft — das NIS2UmsuCG gilt ohne Übergangsfrist, die BSI-Registrierungsfrist endete am 6. März 2026.
• Rund 29.500 Unternehmen in Deutschland sind direkt betroffen, weitere zehntausende indirekt über die Lieferkette — bundesweit, in 18 Sektoren.
• Bußgelder bis 10 Millionen Euro oder 2 % des Jahresumsatzes für wesentliche Einrichtungen, persönliche Haftung der Leitungsorgane, mögliches Berufsverbot.
• frag.hugo begleitet Sie bundesweit — von der Betroffenheitsanalyse über Gap-Analyse, BSI-Registrierung, Schulungen und Audits bis zur vollständigen Umsetzung.

NIS-2 Beratung mit Expertise — die NIS-2 Richtlinie ist Realität

Die NIS-2 Richtlinie (Network and Information Security Directive 2) trat auf EU-Ebene im Januar 2023 in Kraft und ist die umfassendste Cybersicherheits-Vorgabe, die die Europäische Union jemals verabschiedet hat. Sie betrifft deutlich mehr Unternehmen als die Vorgängerregelung NIS-1: Statt 7 Sektoren stehen heute 18 im Fokus, statt einigen tausend sind rund 29.500 betroffene Unternehmen allein in Deutschland erfasst — von kritischen Infrastrukturen über Industrie bis zu digitalen Dienstleistern.

Das deutsche Umsetzungsgesetz — die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — ist am 6. Dezember 2025 in Kraft getreten. Anders als bei der DSGVO gibt es keine Übergangsfrist. Die Anforderungen an Cybersicherheit gelten sofort, das BSI als zuständige Aufsichtsbehörde kann jederzeit interne und externe Audits anordnen. Besonders wichtige und wichtige Einrichtungen müssen die volle Klaviatur an Sicherheitsmaßnahmen liefern, Betreiber kritischer Anlagen müssen zusätzlich die Sondervorgaben für KRITIS einhalten.

Unsere NIS-2 Beratung verbindet IT-Security-Expertise mit Cyber- und Information Security Management. Wir helfen betroffenen Unternehmen bundesweit dabei, die geforderten Sicherheitsmaßnahmen pragmatisch zu implementieren — Gap-Analyse, Audits und Schulungen aus einer Hand.

Anwendungsbereich der NIS-2-Richtlinie — welche Unternehmen sind von NIS-2 betroffen?

Der Anwendungsbereich von NIS-2 ist deutlich weiter gefasst als bei der Vorgängerregelung. NIS-2 verpflichtet Unternehmen in 18 kritischen, bestimmten Sektoren zur Einhaltung strenger Cyberrisiken-Anforderungen. Wer einen relevanten Sektor bedient und die Schwellenwerte überschreitet, fällt automatisch in den Anwendungsbereich der Richtlinie — entweder als besonders wichtige (Essential) oder als wichtige (Important) Einrichtung.

Besonders wichtige Einrichtungen (Essential Entities)

• Energie: Strom, Gas, Öl, Wasserstoff, Fernwärme
• Transport: Luft, Schiene, Wasser, Straße — inklusive See- und Binnenhäfen
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen: Krankenhäuser, Labore, Hersteller von Arzneimitteln
• Trinkwasser und Abwasser
• Digitale Infrastruktur: DNS, TLD-Registries, Cloud-Services, Rechenzentren, Content-Delivery-Networks
• Öffentliche Verwaltung auf Bundes- und Landesebene
• Weltraum (Bodeninfrastruktur)

Wichtige Einrichtungen (Important Entities)

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie: Herstellung und Vertrieb chemischer Stoffe
• Lebensmittel: Großhandel und industrielle Verarbeitung
• Verarbeitendes Gewerbe: Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte
• Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke
• Forschung

Schwellenwerte für die Betroffenheit

Grundsätzlich gilt: Mindestens 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz in einem der relevanten Sektoren. Für kritische Anlagen und einige Sondersektoren (Trust-Services, DNS, TLD) gelten die Anforderungen unabhängig von der Größe. Eine Betroffenheitsanalyse durch unsere Berater klärt verbindlich, ob und als welche Kategorie Ihr Unternehmen einzustufen ist — die rein größenbasierte Selbsteinschätzung führt häufig zu Fehleinschätzungen.

Viele Unternehmen unterschätzen den Anwendungsbereich: Auch wer nur indirekt über die Lieferkette an besonders wichtige und wichtige Einrichtungen liefert, wird vom Großkunden faktisch zur Einhaltung von NIS-2-konformen Standards gefordert. Unsere Expertise zeigt: Wer früh handelt, vermeidet Sanktion und Bußgelder, gewinnt Aufträge und stärkt das Vertrauen seiner Kunden und Partnern. Das BSI als zuständige Sicherheit in der Informationstechnik-Behörde hat angekündigt, ab 2026 verstärkt Audits durchzuführen — die Bedrohung für nicht-compliant Unternehmen ist real.

NIS-2 Pflichten im Detail — Risikomanagement, Meldepflichten, Schulung

NIS-2 verpflichtet betroffene Einrichtungen zur Umsetzung technischer und organisatorischer Maßnahmen nach dem Stand der Technik. Die Richtlinie nennt zehn Mindestanforderungen, die jede betroffene Organisation erfüllen muss:

1. Risikomanagement und Sicherheitsrichtlinien

Ein systematisches Risikomanagement für Informationssicherheit und IT-Sicherheit ist Pflicht. Dazu gehören regelmäßige Risikoanalysen, dokumentierte Sicherheitsrichtlinien und ein Risikoregister, das die identifizierten Bedrohungen, Maßnahmen und Restrisiken transparent macht.

2. Incident-Response und Meldepflichten beim BSI

Die Meldepflichten der NIS-2-Richtlinie sind eng getaktet:

• 24 Stunden: Frühwarnung spätestens innerhalb von 24 Stunden beim BSI nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls
• 72 Stunden: Detaillierte Bewertung mit Schweregrad und ersten Auswirkungen
• innerhalb von 72 Stunden muss das BSI über mögliche grenzüberschreitende Auswirkungen informiert sein
• 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Diese Fristen setzen eingespielte Prozesse voraus — Erkennung, Eskalation, Bewertung und Meldung müssen geübt sein. Unsere Vorlagen und Playbooks reduzieren die Reaktionszeit auf wenige Stunden.

3. Business Continuity und Krisenmanagement

Wesentliche Dienste müssen auch bei Sicherheitsvorfällen aufrechterhalten werden — Backup-Management, Disaster-Recovery-Pläne, dokumentierte Krisenmanagement-Prozesse und regelmäßige Übungen sind Pflicht.

4. Sicherheit der Lieferkette

NIS-2 verlangt, dass Unternehmen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern berücksichtigen — und das für die gesamte Lieferkette. Bewertung der Risiken, vertragliche Sicherheitsanforderungen, regelmäßige Überprüfung der Compliance — eine Aufgabe, die für viele Unternehmen die größte Hürde darstellt. Mit Hugo Shield liefern wir hierfür eine skalierbare digitale Lösung.

5. Schulung der Leitungsorgane

Die Geschäftsleitung muss persönlich an Cybersicherheits-Schulungen teilnehmen. Diese Pflicht ist nicht delegierbar. Auch Mitarbeitende, die kritische digitale Infrastruktur bedienen, müssen regelmäßig geschult werden.

6. Weitere Pflichten

• Zugriffskontrolle und Multi-Faktor-Authentifizierung
• Verschlüsselung im Ruhezustand und bei der Übertragung
• Netzwerksegmentierung und Schwachstellenmanagement
• Sicherer Software-Lebenszyklus und Patch-Management
• Regelmäßige interne und externe Audits

NIS-2 Bußgeld und Sanktion — was bei Verstößen gegen die NIS-2-Richtlinie droht

Die Sanktion bei NIS-2-Verstößen gehört zu den schärfsten Instrumenten im deutschen Cybersicherheitsrecht. Das NIS2UmsuCG sieht empfindliche Bußgelder vor, die jeden Geschäftsführer zum Handeln zwingen sollten:

• Wesentliche Einrichtungen: Bußgeld bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — der höhere Betrag zählt
• Wichtige Einrichtungen: Bußgeld bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes
• Persönliche Haftung der Leitungsorgane — die Geschäftsleitung haftet mit dem Privatvermögen
• Temporäres Berufsverbot — das BSI kann die Untersagung der Leitungstätigkeit anordnen

Die Sanktionen sind real und werden bereits durchgesetzt. Das BSI hat erste Prüfungen angekündigt und kann jederzeit interne und externe Audits anordnen. Wer keine dokumentierten Sicherheitsmaßnahmen vorweisen kann, riskiert ein empfindliches Bußgeld — und im schlimmsten Fall die persönliche Haftung. Wer die NIS 2-Umsetzung verzögert oder ignoriert, zockt mit der eigenen Existenz.

Persönliche Haftung der Geschäftsleitung — Cybersicherheit ist Chefsache

Art. 20 der NIS-2-Richtlinie und § 38 BSIG stellen unmissverständlich klar: Die Geschäftsleitung ist persönlich für die Einhaltung der Cybersicherheits-Anforderungen verantwortlich. Diese Pflicht ist nicht delegierbar — auch nicht an einen CISO oder externen Dienstleister.

Konkret bedeutet das:

• Die Leitungsorgane müssen die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen
• Bei Verstößen haften die Leitungsorgane persönlich, mit dem Privatvermögen
• Die Geschäftsleitung muss an Cybersicherheits-Schulungen teilnehmen — wir liefern das passende Format

Mehr dazu auf unserer Seite zur NIS2 Geschäftsführer-Haftung.

NIS-2 und ISMS nach ISO 27001 — die effiziente Kombi

Etwa 70 % der NIS-2-Anforderungen überschneiden sich mit den Vorgaben der ISO 27001. Unternehmen, die bereits ein ISMS (Information Security Management System) betreiben, haben einen erheblichen Vorsprung bei der NIS-2 Umsetzung. Wer beides parallel aufbaut, spart Aufwand und gewinnt eine international anerkannte Zertifizierung obendrauf.

Was NIS-2 zusätzlich zu ISO 27001 verlangt:

• Meldepflichten beim BSI mit konkreten Fristen (24h/72h/1 Monat)
• Sicherheit der Lieferkette — systematische Bewertung aller Anbieter und Diensteanbieter (siehe NIS2 Lieferketten-Compliance)
• Persönliche Schulungspflicht der Leitungsorgane
• Registrierungspflicht beim BSI für alle betroffenen Einrichtungen

Wir kombinieren beides in einem Projekt — die ISO 27001 Beratung ist die ideale Basis für eine nachhaltige NIS-2-Compliance.

NIS-2 Registrierungspflicht beim BSI — was Unternehmen jetzt tun müssen

Seit dem 6. Januar 2026 ist das BSI-Registrierungsportal freigeschaltet. Die ursprüngliche Frist endete am 6. März 2026. Wer sie verpasst hat, sollte die Registrierungspflicht schnellstmöglich nachholen — eine verspätete Registrierung kann ein Bußgeld auslösen, ist aber besser als gar keine.

Im Portal hinterlegen Sie:

• Stammdaten Ihrer Einrichtung
• Sektor und Einstufung (besonders wichtige oder wichtige Einrichtung)
• Ansprechpartner für Cybersicherheit und Meldewege
• Beschreibung Ihrer kritischen Dienste

Wir begleiten die Registrierung in einer Sitzung und übernehmen die korrekte Einstufung — so vermeiden Sie Falschangaben, die später zu Rückfragen oder Sanktionen führen.

NIS 2-Umsetzung in der Praxis — Gap-Analyse, BSI-Audit, Schulung in 4 Phasen

Unsere NIS-2 Beratung folgt einem erprobten Vorgehen, das wir bundesweit einsetzen — remote oder vor Ort. Jede Sicherheitsmaßnahme wird dokumentiert, implementiert und regelmäßig überprüft.

Phase 1: Betroffenheitsanalyse (1 Tag)

Sind Sie als wesentliche oder wichtige Einrichtung von NIS-2 betroffen? Wir prüfen Sektor, Schwellenwerte und Sonderfälle (kritische Anlagen, Trust-Services, DNS) verbindlich. Ergebnis: schriftliche Einschätzung plus Empfehlungen für Sofortmaßnahmen. Einen ersten Überblick liefert unser NIS2-Betroffenheitscheck.

Phase 2: Gap-Analyse (2-4 Wochen)

Systematischer Abgleich mit den Anforderungen an die Cybersicherheit nach NIS-2. Wo fehlen Sicherheitsrichtlinien, Prozesse, technische Schutzmaßnahmen? Ergebnis: priorisierter Maßnahmenplan mit Zeit- und Kostenschätzung — geordnet nach Risiko und regulatorischer Dringlichkeit.

Phase 3: Umsetzung (3-9 Monate)

Wir begleiten die Implementierung — von Sicherheitsrichtlinien über die Einrichtung der Meldewege beim BSI bis zur Schulung der Leitungsorgane. Bei Bedarf koordinieren wir externe Dienstleister (Pentest, SOC, IT-Forensik) und sorgen für saubere Dokumentation.

Phase 4: Audits und kontinuierliche Verbesserung

Nach der Implementierung folgen interne und externe Audits. Wir bereiten Sie auf BSI-Prüfungen vor, führen Penetrationstests durch (siehe Penetrationstest) und passen das Sicherheitskonzept an neue Bedrohungen an. Cybersicherheit ist kein Projekt mit Enddatum — sondern ein laufender Prozess.

NIS-2 und Informationssicherheit — relevante Anforderungen für betroffene Unternehmen

Die NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit von Unternehmen erheblich. Unsere NIS-2 Beratung verbindet Cyber- und IT-Security-Expertise mit Information Security Management, um die geforderten Sicherheitsmaßnahmen effizient zu implementieren. Das NIS2UmsuCG verpflichtet betroffene Unternehmen zur Umsetzung technischer und organisatorischer Maßnahmen — von der Netzwerksegmentierung über Verschlüsselung bis zum dokumentierten Schwachstellenmanagement. Jede einzelne Sicherheitsmaßnahme muss verhältnismäßig, dokumentiert und regelmäßig getestet sein.

Ein ISMS nach ISO 27001 bildet die Grundlage. Die neuen Anforderungen der NIS-2-Richtlinie gehen jedoch darüber hinaus: Meldepflichten beim BSI, Lieferketten-Sicherheit, Schulung der Leitungsorgane und die Registrierungspflicht. Branchenspezifisch unterscheiden sich die spezifischen Anforderungen — Energie hat andere Pflichten als Gesundheitswesen oder verarbeitendes Gewerbe. Wir helfen Ihnen, die NIS 2-Umsetzung pragmatisch und mit der nötigen Expertise zu implementieren — Gap-Analyse, Audits und Schulungen aus einer Hand. Information Security ist nicht nur Pflicht, sondern auch Wettbewerbsvorteil: Wer Compliance nachweisen kann, gewinnt Aufträge in der Lieferkette und stärkt das Vertrauen seiner Kunden und Partnern in der Lieferkette.

NIS2-Compliance mit frag.hugo — Expertise aus Hamburg, bundesweit für betroffene Unternehmen

frag.hugo verbindet langjährige NIS-2-Expertise mit pragmatischem Mittelstands-Verständnis. Unser Hauptsitz in Hamburg ist der Ausgangspunkt — von Hamburg aus betreuen wir Mandanten in ganz Deutschland, von Flensburg bis München. Hamburger Industriekunden, Hafen-Logistiker und IT-Dienstleister gehören zum Stammpublikum unserer NIS-2 Beratung Hamburg, gleichzeitig sind wir als bundesweite NIS-2-Beratung in allen Bundesländern aktiv. Vor-Ort-Termine fahren oder fliegen wir bundesweit.

• TÜV-zertifizierte Berater — nachgewiesene Fachkunde im Bereich Informationssicherheit und Datenschutz
• 0 Bußgelder bei unseren Mandanten — bisher haben wir alle Audits und Behördenprüfungen sauber begleitet
• Persönlicher Ansprechpartner — kein anonymes Callcenter, sondern feste Berater
• Branchenerfahrung — Maschinenbau, Logistik, Energie, Gesundheitswesen, Finanzdienstleister, IT-Dienstleister
• Digitale Tools: ISMS-Plattform, Audit-Trails, Lieferketten-Modul (Hugo Shield), KI-gestützte Schulungen
• Pragmatischer Ansatz: Wir bauen keine Compliance-Theaterkulissen, sondern wirksame Sicherheit

Brauchen Sie Hamburger Spezialwissen? Dann lohnt der Blick auf unsere NIS2-Beratung Hamburg mit lokalem Branchenfokus.

Jetzt handeln — NIS-2 Beratung ohne Schonfrist starten

Die NIS-2-Richtlinie ist seit Dezember 2025 verbindlich. Die Registrierungspflicht beim BSI lief am 6. März 2026 ab. Jeder Tag ohne Maßnahmen erhöht Ihr Risiko — regulatorisch und operativ. Großkunden verlangen NIS-2-Nachweise von ihren Zulieferern. Wer nicht liefern kann, verliert Aufträge.

Kostenloses Erstgespräch buchen →

In 30 Minuten klären wir, ob und wie NIS-2 Ihr Unternehmen betrifft. Pragmatisch, auf den Punkt, mit konkretem Mehrwert. Oder schreiben Sie uns über unser Kontaktformular — wir melden uns innerhalb eines Werktags zurück.

NIS-2 Beratung in Hamburg, Berlin, München und allen anderen Städten

Unsere NIS-2 Beratung erreicht betroffene Unternehmen bundesweit: NIS-2 Beratung Hamburg, Berlin, München, Köln, Frankfurt, Stuttgart, Düsseldorf — überall dort, wo besonders wichtige und wichtige Einrichtungen Klarheit zur Umsetzung der NIS-2-Richtlinie brauchen. Vor-Ort-Workshops in jeder größeren deutschen Stadt, Remote-Begleitung über sichere Videokonferenz und ISMS-Plattform. Egal ob Sie als Mittelstand in Norddeutschland, Süddeutschland oder im Ruhrgebiet sitzen — die Anforderungen an die Cybersicherheit sind dieselben, und unsere Expertise reist mit.