🔐

NIS2 umsetzen.
Nicht nur dokumentieren.

ISMS-Aufbau, BSI-Registrierung, 10 Pflichtmaßnahmen. Seit Dezember 2025 in Kraft, keine Übergangsfrist. KRITIS-Erfahrung aus Klinik und Verwaltung.

Erstgespräch buchen →Referenzprojekte ansehen
NIS2KRITISISMSBSIIT-Sicherheit
12/2025
NIS2 in Kraft, keine Übergangsfrist
10
Pflichtmaßnahmen umzusetzen
30.000
betroffene Unternehmen in DE
KRITIS
Erfahrung aus Klinik und Verwaltung
Kompetenzfelder
NIS2 Compliance mit KRITIS-Erfahrung
Keine theoretische Beratung, sondern operative Umsetzung der 10 Pflichtmaßnahmen mit Praxiserfahrung aus regulierten Branchen.
🛡️

ISMS-Aufbau

Informationssicherheits-Managementsystem nach ISO 27001 und BSI IT-Grundschutz aufbauen. Policies, Prozesse und Dokumentation.

📋

BSI-Registrierung

Registrierung beim BSI als betroffenes Unternehmen. Meldepflichten, Kontaktstellen und Fristen einhalten.

🔐

10 Pflichtmaßnahmen

Risikomanagement, Incident Response, Business Continuity, Supply Chain Security, Verschlüsselung und mehr. Alle 10 Maßnahmen operativ umsetzen.

📊

Risikobewertung

Systematische Identifikation und Bewertung von IT-Risiken. Gap-Analyse zum NIS2-Soll-Zustand.

🎓

Awareness und Schulung

Cybersicherheits-Schulungen für Geschäftsführung und Mitarbeiter. NIS2 macht persönliche Haftung der Geschäftsführung möglich.

Incident Response

Aufbau von Meldeprozessen, Krisenplänen und Wiederanlaufprozeduren. 24h-Meldefrist bei Sicherheitsvorfällen einhalten.

Marktrelevanz
Warum NIS2 Compliance keine Option ist, sondern Pflicht

Die NIS2-Richtlinie ist seit Dezember 2025 in Deutschland in Kraft, ohne Übergangsfrist. Geschätzt 30.000 Unternehmen sind betroffen, viele davon zum ersten Mal von Cybersicherheits-Regulierung.

Die persönliche Haftung der Geschäftsführung bei Verstößen macht NIS2 zum Chefsache-Thema. Bußgelder bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes drohen bei Nichteinhaltung.

DARC Management bringt KRITIS-Erfahrung aus Klinikverbund und Stadtverwaltung mit. Beide Branchen unterliegen den strengsten Anforderungen. Diese Erfahrung überträgt sich direkt auf NIS2-Projekte in jeder Branche.

Einsatzszenarien
5 Situationen, in denen Nis2 Compliance den Unterschied macht
🏛️
1. NIS2 für eine Stadtverwaltung
Eine Stadtverwaltung muss NIS2/KRITIS-Compliance herstellen. IT-Sicherheitsrichtlinien fehlen, kein ISMS vorhanden, 5 Standorte uneinheitlich gesichert. Gleichzeitig laufen Schulen und Feuerwehr über die gleiche IT.
DARC Erfahrung: Frank Wichert baute IT-Sicherheitsrichtlinien und NIS2-Systeme für eine Stadtverwaltung mit 5 Standorten auf.
🏥
2. KRITIS-Compliance im Klinikverbund
Ein Klinikverbund mit 4 Rechenzentren muss KRITIS-konform werden. Medizin-IT, Patientendaten und 24/7-Betrieb erfordern höchste Sicherheitsstandards.
DARC Erfahrung: Frank Wichert implementierte KRITIS-konforme Sicherheitsrichtlinien für einen Klinikverbund mit 35 MA.
💊
3. IT-Security in der Pharmaindustrie
Ein Pharma-Unternehmen muss GxP-konforme IT-Sicherheit mit NIS2 verbinden. Validierte Systeme, Audit-Trails und Datenschutz müssen parallel erfüllt werden.
DARC Erfahrung: Frank Wichert hat IT-Security-Erfahrung aus der Pharmaindustrie (GxP) und KRITIS-Umgebungen.
🏭
4. Erstmalig von NIS2 betroffen: Mittelstand
Ein mittelständisches Fertigungsunternehmen erfährt zum ersten Mal, dass es unter NIS2 fällt. Keine IT-Sicherheitsabteilung, kein ISMS, keine Meldeprozesse. Alles muss von Null aufgebaut werden.
DARC Erfahrung: Frank Wichert unterstützt KMU beim Aufbau von IT-Sicherheitsstrukturen mit pragmatischem Ansatz.
5. Incident Response nach Cyberangriff
Ein Unternehmen wird angegriffen. Systeme sind verschlüsselt, Meldepflicht läuft. Ohne vorbereitete Prozesse drohen Bußgelder und Reputationsschaden.
DARC Erfahrung: Frank Wichert verbindet Harvard-Krisenmanagement mit IT-Sicherheitsexpertise für strukturierte Incident Response.
Methodik
NIS2-Umsetzung in 5 Phasen
1
Gap-Analyse
Woche 1-2: Betroffenheit prüfen, Ist-Zustand erfassen.
2
ISMS-Aufbau
Monat 1-3: Policies, Prozesse, Dokumentation.
3
Maßnahmen
Monat 3-6: 10 Pflichtmaßnahmen implementieren.
4
BSI-Registrierung
Monat 6: Registrierung, Meldewege, Kontaktstellen.
5
Betrieb
Laufend: Monitoring, Audits, kontinuierliche Verbesserung.
Referenzprojekte
Nachgewiesene Erfahrung
🏛️ Öffentlicher Sektor
7 Monate · 2025-2026
NIS2/KRITIS Stadtverwaltung
IT-Sicherheitsrichtlinien und NIS2-Systeme aufgebaut. Fortinet, NinjaONE, ITSM implementiert.
NIS2
Compliance
5
Standorte
15
Mitarbeiter
🏥 Gesundheit
8 Monate · 2024
KRITIS Klinikverbund
IT-Sicherheitsrichtlinien gemäß KRITIS aufgebaut. CrowdStrike, KIS-Sicherheit.
KRITIS
Konform
4
Rechenzentren
35
Mitarbeiter
🏦 Versicherung
9 Monate · 2023-2024
IT-Security als CIO
Datenschutzrichtlinien und Incident Management als CIO mit 120 MA verantwortet.
120
Mitarbeiter
2
Rechenzentren
CIO
Funktion
Alle Referenzprojekte ansehen →
Qualifikationen
Zertifiziert für IT-Sicherheit
KRITIS-Erfahrung trifft auf Krisenmanagement-Expertise.
Krisenmanagement (Harvard)MBA und Master (ENEB Barcelona)PRINCE2ITIL12 Jahre Bundeswehr mit EinsatzerfahrungKI-Systeme
FAQ
Häufige Fragen zu NIS2 Compliance
Antworten auf die häufigsten Fragen, die uns vor dem Erstgespräch erreichen.
Wer fällt unter NIS2?

Die EU-Richtlinie NIS2 erfasst über 18 Sektoren mehrere zehntausend Unternehmen in Deutschland, deutlich mehr als die Vorgängerrichtlinie. Grob gilt: wesentliche Einrichtungen ab etwa 250 Mitarbeitern oder einem entsprechenden Jahresumsatz und wichtige Einrichtungen schon ab kleinerer Größe in regulierten Sektoren. Eine sorgfältige Betroffenheitsanalyse ist der erste Schritt.

Was sind die NIS2-Pflichtmaßnahmen?

Das BSI-Gesetz definiert zehn Maßnahmenfelder: Risikomanagement, Behandlung von Sicherheitsvorfällen, Backup und Krisenmanagement, Lieferkettensicherheit, Sicherheit in Beschaffung und Wartung, Wirksamkeitsbewertung, Cyber-Hygiene und Schulungen, Kryptographie, Personalsicherheit und Zugriffskontrolle sowie Multifaktor-Authentifizierung. Konkret werden diese Felder in Form eines ISMS umgesetzt.

Was passiert bei NIS2-Verstößen?

Mögliche Folgen sind erhebliche Bußgelder, persönliche Haftung der Geschäftsführung bei grober Fahrlässigkeit und Veröffentlichung von Verstößen durch das BSI mit entsprechendem Reputationsschaden. Die genaue Höhe richtet sich nach Größe und Schwere, ist aber für jedes betroffene Unternehmen spürbar.

Wie lange dauert die NIS2-Umsetzung?

Eine Erstanalyse mit Gap-Assessment dauert typisch vier bis acht Wochen. Der Aufbau eines minimalen ISMS folgt in drei bis sechs Monaten. Die vollständige Implementierung aller zehn Maßnahmenfelder mit nachweisbarer Wirksamkeit braucht meist sechs bis zwölf Monate, danach läuft der Betrieb in einem jährlichen Überprüfungszyklus.

Wo fängt man bei NIS2 am besten an?

Mit einem klaren Betroffenheits-Check: bin ich erfasst, in welcher Kategorie, welche Pflichten gelten konkret für mich. Danach folgt eine Gap-Analyse, die den Ist-Zustand mit den Anforderungen abgleicht. Erst auf dieser Basis entsteht ein realistischer Umsetzungsplan, der priorisiert und budgetierbar ist.

Ein Gespräch. Kein Pitch.

30 Minuten, voller Fokus auf deine Situation. Ehrliche Einschätzung, konkrete Schritte, ein Partner der versteht.

Termin buchen →
Quellen und weiterführende Informationen

[1] BSI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. bsi.bund.de

[2] DIHK: Unternehmensresilienz und KRITIS-Dachgesetz 2026. dihk.de

[3] OpenKRITIS: NIS2 Betroffenheitsprüfung. openkritis.de