BEKOM MANAGEDNIS2-Compliance-Programmfür betroffene Unternehmen
NIS2-Readiness für KRITIS-Betreiber und neu betroffene Unternehmen: Risikomanagement, Vorfall-Meldung, Lieferketten-Sicherheit und Geschäftsleitungs-Pflichten strukturiert umsetzen.
NIS2 als verpflichtender Rahmen
Die EU-Richtlinie NIS2 (Network and Information Security Directive) erweitert die bisherige NIS-Richtlinie deutlich. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern eine Vielzahl neuer Sektoren: Hersteller kritischer Produkte, digitale Dienste, öffentliche Verwaltungen, Forschungseinrichtungen, Anbieter im Lebensmittel- und Gesundheitssektor sowie mittelgroße bis große Unternehmen in zahlreichen Wirtschaftsbereichen. Die nationale Umsetzung in Deutschland erfolgt über das NIS2-Umsetzungsgesetz, das BSI-Aufgaben, Aufsichts-Rechte und Sanktionsrahmen konkretisiert. Drei strategische Beobachtungen prägen die laufenden Umsetzungs-Programme.
NIS2-Compliance ist für betroffene Unternehmen geschäftskritisch, da Verstöße zu erheblichen Sanktionen und Betriebsunterbrechungen führen können. Die regulatorischen Meldepflichten und dokumentierten Risikomanagement-Prozesse sind direkte Betriebsvoraussetzung für die weitere Geschäftstätigkeit in den erfassten Sektoren. Weiterführend: BEKOM MANAGED Security.
Erstmalige Betroffenheit für viele Sektoren
NIS2 weitet den Anwendungsbereich der Vorgängerrichtlinie deutlich aus. Wer bisher kein KRITIS-Betreiber war, steht erstmals vor strukturierten Cybersecurity-Pflichten, dokumentierten Risikomanagement-Prozessen und gestaffelten Meldepflichten gegenüber der zuständigen Behörde.
Neu erfasst sind unter anderem:
Hersteller von Maschinen, Medizinprodukten und kritischen Vorprodukten
Anbieter digitaler Dienste, Managed-Service-Provider und Cloud-Anbieter
Öffentliche Verwaltungen und Forschungseinrichtungen ab definierter Größe
Lebensmittel-, Pharma- und Gesundheits-Lieferanten in der Kette
Was sich für betroffene Organisationen ändert:
- Verbindliches Risikomanagement mit dokumentierter Methodik
- Strukturierte Meldepflichten an das BSI mit gestaffelten Fristen
- Aufsichts-Rechte für die zuständige Behörde mit Vor-Ort-Prüfungen
- Sanktionsrahmen mit empfindlichen Bußgeldern bei Verstößen
Lieferketten-Sicherheit als verpflichtender Schwerpunkt
NIS2 verlangt erstmals explizit die Einbeziehung von Zulieferern und Dienstleistern in das Risikomanagement. Was bisher freiwilliger Bestandteil interner Sicherheits-Programme war, wird zu einer formalisierten Pflicht mit Auswirkungen auf Vertragswerk, Audit-Wege und laufende Bewertung.
Welche Beziehungen abgedeckt sind:
Direkte IT- und Software-Zulieferer mit Zugriff auf produktive Systeme
Managed-Service-Provider und Hosting-Partner für kritische Anwendungen
Cloud- und SaaS-Anbieter, auf denen geschäftskritische Workloads laufen
Sub-Auftragsverarbeiter im Datenschutz- und Verarbeitungs-Kontext
Was im Vertragswerk neu erscheint:
- Vertragliche Sicherheitsanforderungen mit konkreten Mindeststandards
- Audit-Rechte und dokumentierte Sub-Outsourcing-Wege
- Reaktions-Pfade und Meldepflichten bei Vorfällen in der Kette
- Regelmäßige Reviews mit dokumentiertem Bewertungs-Ergebnis
Geschäftsleitungs-Verantwortung mit persönlicher Haftung
NIS2 adressiert die Geschäftsleitung direkt. Risikomanagement-Maßnahmen sind durch die Leitungsebene zu genehmigen, die Umsetzung wird überwacht, und an Cybersecurity-Schulungen ist regelmäßig teilzunehmen. Bei nachgewiesener grober Fahrlässigkeit kann persönliche Haftung greifen — die rechtliche Bewertung dieser Haftungs-Frage bleibt bei spezialisierten Anwaltskanzleien.
Was die Geschäftsleitung übernimmt:
Genehmigung des Risikomanagement-Konzepts mit dokumentierter Entscheidung
Überwachung der Umsetzung über regelmäßige Reporting-Zyklen
Teilnahme an Cybersecurity-Schulungen mit dokumentiertem Nachweis
Freigabe der Vorfalls- und Eskalations-Pfade gegenüber dem BSI
Welche Konsequenzen NIS2 vorsieht:
- Persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit
- Bußgelder gegen das Unternehmen bei strukturellen Pflichtverletzungen
- Aufsichts-Maßnahmen wie Anordnungen und Vor-Ort-Prüfungen
- Veröffentlichungs-Pflichten bei festgestellten Verstößen
Pflichtbereiche aus NIS2 — Sicherheit, Risiko, Kontinuität
NIS2 strukturiert die technisch-organisatorischen Anforderungen in mehrere Pflichtbereiche, die im Zusammenspiel das Cybersecurity-Niveau eines Unternehmens absichern. Eine isolierte Bearbeitung führt häufig zu Lücken oder doppelten Strukturen — BEKOM bearbeitet die Bereiche im Methoden-Verbund. Die folgenden drei Bereiche bilden den Kern der präventiven Sicherheits-Architektur.
Risikomanagement und Sicherheitsmaßnahmen
NIS2 fordert ein dokumentiertes Risikomanagement, das Identifikation, Bewertung und Behandlung von Cybersecurity-Risiken systematisch abdeckt. Vorhandene Methodiken aus BSI-IT-Grundschutz, ISO 27001 oder branchenspezifischen Frameworks werden gemappt — ein erheblicher Teil der NIS2-Anforderungen ist häufig bereits implizit abgedeckt und muss strukturell ergänzt werden.
Was im Risikomanagement gefordert ist:
Strukturierte Identifikation von Cybersecurity-Risiken über alle Werte
Bewertung der Risiken nach dokumentierten Kriterien und Skalen
Behandlung mit definierten Maßnahmen und Restrisiko-Akzeptanz
Regelmäßige Überprüfung und Aktualisierung der Risiko-Inventur
Welche Maßnahmen NIS2 explizit nennt:
- Zugriffsverwaltung mit Berechtigungs-Reviews und Multi-Faktor-Authentifizierung
- Verschlüsselung in Übertragung und Speicherung kritischer Daten
- Backup-Strategien mit Tests und dokumentierter Wiederherstellbarkeit
- Netzwerksegmentierung zur Begrenzung von Vorfall-Auswirkungen
Identitäts- und Zugriffsmanagement
NIS2 fordert wirksame Mechanismen zur Authentifizierung und Autorisierung — Multi-Faktor-Authentifizierung gehört zum verpflichtenden Mindeststandard. Ergänzt wird das Bild durch saubere Berechtigungs-Reviews, getrennte Administrations-Pfade und nachvollziehbare Zugriffs-Protokollierung.
Welche Mechanismen NIS2 fordert:
Multi-Faktor-Authentifizierung für privilegierte und externe Zugriffe
Rollenbasiertes Berechtigungsmodell mit dokumentierten Genehmigungs-Wegen
Regelmäßige Berechtigungs-Reviews mit nachvollziehbarer Entscheidung
Getrennte Administrations-Konten und Just-in-Time-Privilegien
Was BEKOM operativ liefert:
- Anbindung an Identity-Provider (Active Directory, Keycloak, OpenID Connect)
- Konfiguration und Betrieb von Multi-Faktor-Mechanismen
- Automatisierte Berechtigungs-Reviews mit Eskalation an Fachverantwortliche
- Auditierbare Zugriffs-Protokollierung über die Logging- und SIEM-Plattform
Kontinuitäts- und Krisenmanagement
NIS2 fordert dokumentierte Pläne für Geschäftskontinuität, Wiederherstellung und Krisenkommunikation. Die Pläne sind regelmäßig zu testen und zu aktualisieren — die operativen Bausteine kommen aus dem laufenden Backup-, Disaster-Recovery- und Monitoring-Betrieb.
Was geplant und getestet werden muss:
Geschäftskontinuitäts-Pläne mit definierten Wiederanlauf-Reihenfolgen
Wiederherstellungs-Pläne mit dokumentierten Recovery-Time-Zielen
Krisenkommunikations-Konzept mit interner und externer Eskalation
Regelmäßige Tests mit dokumentiertem Ergebnis und Nachjustierung
Welche operativen Bausteine vorliegen:
- Backup- und Restore-Routinen mit verifizierter Wiederherstellbarkeit
- Disaster-Recovery-Setups mit zweitem Standort und Replikation
- Notfall-Runbooks mit klar zugewiesenen Verantwortlichkeiten
- Koordination der Test-Zyklen über Managed Backup & DR
Pflichtbereiche aus NIS2 — Meldung, Lieferkette, Geschäftsleitung
Neben der präventiven Sicherheits-Architektur kommen drei Bereiche hinzu, die Außenwirkung und Verantwortung adressieren: die behördliche Meldung von Vorfällen, die Sicherheit in der Lieferkette und die Pflichten der Leitungsebene. Diese drei Bereiche werden in der Praxis am häufigsten unterschätzt — sie erfordern oft neue Prozesse jenseits des bisherigen IT-Sicherheits-Programms.
Vorfall-Meldung und Reporting an das BSI
NIS2 schreibt strukturierte Meldepflichten an das BSI bzw. die zuständige nationale Stelle vor — mit gestaffelten Fristen für Frühwarnung, Vorfallsmeldung und Abschlussbericht. BEKOM richtet die Klassifikations-Logik, das Reporting-Template und die Eskalations-Pfade ein und betreibt die laufende Vorfallserkennung über SIEM- und SOC-Funktionen. Die behördliche Meldung selbst erfolgt durch die im Unternehmen benannte Funktion.
Welche Stufen NIS2 vorsieht:
Frühwarnung sehr zeitnah nach Kenntnis eines erheblichen Vorfalls
Vorfallsmeldung kurz danach mit detaillierter Vorfalls-Beschreibung
Zwischenbericht bei länger andauernder Bearbeitung mit Stand-Update
Abschlussbericht nach Abschluss der Bearbeitung mit Lessons Learned
Was BEKOM einrichtet und betreibt:
- Klassifikations-Logik zur Bewertung der Meldepflicht je Vorfall
- Reporting-Templates mit den regulatorisch geforderten Datenpunkten
- Eskalations-Pfade mit klar zugewiesenen Verantwortlichen und Stellvertretungen
- SIEM- und SOC-Funktionen zur frühzeitigen Vorfalls-Erkennung
Lieferketten- und Drittanbieter-Sicherheit
NIS2 verlangt die Einbeziehung von Zulieferern und Dienstleistern in das Risikomanagement: Risikobewertung, vertragliche Sicherheitsanforderungen, regelmäßige Reviews und Reaktionen auf Vorfälle in der Lieferkette. BEKOM unterstützt bei der Vertrags-Sichtung, hält selbst NIS2-konforme Service-Designs bereit und liefert ein konsolidiertes Lieferketten-Reporting für die Geschäftsleitung.
Welche Aspekte abgedeckt werden:
Risikobewertung jedes relevanten Zulieferers mit dokumentiertem Ergebnis
Vertragliche Sicherheitsanforderungen mit Mindeststandards und Audit-Rechten
Regelmäßige Reviews mit nachvollziehbarer Bewertung und Reaktion
Reaktions-Prozesse für Vorfälle, die aus der Lieferkette stammen
Was BEKOM unterstützt:
- Sichtung bestehender Verträge mit Hinweis auf NIS2-relevante Lücken
- Bereitstellung NIS2-konformer Service-Designs mit Audit-Rechten
- Transparente Sub-Auftragsverarbeiter-Liste mit dokumentierter Pflege
- Konsolidiertes Lieferketten-Reporting für Geschäftsleitung und Aufsicht
Geschäftsleitungs-Pflichten und Schulung
NIS2 adressiert die Geschäftsleitung direkt: Sie genehmigt Risikomanagement-Maßnahmen, überwacht die Umsetzung und nimmt an regelmäßigen Cybersecurity-Schulungen teil. BEKOM unterstützt mit strukturierten Geschäftsleitungs-Berichten und mit dokumentationsfähigen Schulungs-Konzepten — die rechtliche Verantwortung bleibt im Unternehmen.
Welche Pflichten direkt adressiert sind:
Genehmigung des Risikomanagement-Konzepts mit dokumentierter Entscheidung
Überwachung der Umsetzung über regelmäßige Reporting-Termine
Teilnahme an Cybersecurity-Schulungen mit dokumentiertem Nachweis
Freigabe der Eskalations-Pfade und der Vorfalls-Berichts-Wege
Was BEKOM strukturell liefert:
- Aufbereitete Geschäftsleitungs-Berichte mit Risiko-Übersicht und Trends
- Schulungs-Konzepte für unterschiedliche Verantwortungsebenen
- Vorlagen für Genehmigungs-Beschlüsse und Beschluss-Dokumentation
- Quartalsweise Zusammenfassung der Lieferketten- und Vorfalls-Lage
Umsetzungs-Phasen für betroffene Unternehmen
Die NIS2-Umsetzung erfolgt in drei Phasen mit klaren Ergebnissen. Die Reihenfolge ist nicht beliebig: Ohne Bestandsaufnahme keine belastbare Lücken-Analyse, ohne Lücken-Analyse keine zielgerichtete Umsetzung. Jede Phase ist ein eigener Auftrags-Block mit definiertem Umfang und eigener Freigabe — keine Phase wird ohne ausdrückliche Beauftragung gestartet.
Phase 1 — Betroffenheits-Klärung und Gap-Analyse
In Phase 1 wird zunächst geklärt, ob und in welcher Kategorie (wesentliche oder wichtige Einrichtung) das Unternehmen von NIS2 betroffen ist. Diese Klärung erfolgt gemeinsam mit IT-Rechtsanwälten oder spezialisierten Compliance-Beratern — BEKOM unterstützt mit der technischen Bestandsaufnahme. Anschließend wird der aktuelle Reifegrad gegen die NIS2-Pflichtbereiche erfasst und priorisiert.
Was in dieser Phase passiert:
Bestandsaufnahme der vorhandenen Cybersecurity-Methodiken und Frameworks
Mapping bestehender ISO-27001- oder BSI-IT-Grundschutz-Strukturen auf NIS2
Erfassung der relevanten Zulieferer und Dienstleister im Risiko-Kontext
Bewertung des Reifegrads je Pflichtbereich mit dokumentierter Begründung
Was am Ende vorliegt:
- Dokumentierte Bestandsaufnahme als Grundlage für die rechtliche Bewertung
- Gap-Analyse mit priorisierten Lücken je NIS2-Pflichtbereich
- Roadmap-Empfehlung mit Phasen-Reihenfolge und Aufwandsschätzung
- Entscheidungs-Vorlage für Geschäftsleitung und Compliance-Officer
Phase 2 — Strukturelle Umsetzung der Lücken
In Phase 2 werden die identifizierten Lücken strukturiert geschlossen. Risikomanagement-Rahmenwerk wird konsolidiert, Vorfall-Meldungs-Prozesse werden eingerichtet, Lieferketten-Verträge werden gesichtet und nach Bedarf nachverhandelt. Geschäftsleitungs-Schulungen werden konzipiert und durchgeführt. Notfall- und Wiederherstellungs-Pläne werden ausgearbeitet und getestet. Der laufende Betrieb wird parallel weitergeführt — NIS2-Umsetzung ist keine Projekt-Pause des Tagesgeschäfts.
Was strukturell geschlossen wird:
Risikomanagement-Rahmenwerk mit dokumentierter Methodik und Kriterien
Vorfall-Meldungs-Prozesse mit Klassifikations-Logik und Eskalations-Pfaden
Lieferketten-Verträge mit ergänzten Sicherheitsanforderungen und Audit-Rechten
Notfall- und Wiederherstellungs-Pläne mit Test-Zyklen und Nachjustierung
Wie BEKOM begleitet:
- Strukturierte Bearbeitung priorisiert nach Sanktions-Relevanz und Hebel
- Dokumentierte Arbeitsstände als Grundlage für etwaige BSI-Anfragen
- Koordination zwischen externen Beratern, internen Funktionen und Betrieb
- Übergabe in Phase 3 mit dokumentiertem Methoden-Set und Verantwortlichkeiten
Phase 3 — Übergang in den Regelbetrieb
In Phase 3 wechseln die NIS2-Funktionen vom Projektmodus in den laufenden Betrieb. Monitoring, Vorfall-Klassifikation, Lieferketten-Reviews, Geschäftsleitungs-Reporting und Test-Zyklen werden Teil der regulären Compliance-Funktion. BEKOM Managed Compliance übernimmt die operative Umsetzung im vereinbarten Service-Design und liefert quartalsweise Compliance-Berichte für Geschäftsleitung und Aufsichtsrat.
Was Teil des Regelbetriebs wird:
Kontinuierliches Monitoring mit Vorfalls-Klassifikation und Eskalation
Regelmäßige Lieferketten-Reviews mit dokumentiertem Bewertungs-Ergebnis
Geschäftsleitungs-Reporting mit Quartals- und Jahres-Übersichten
Test-Zyklen für Notfall- und Wiederherstellungs-Pläne mit Nachsteuerung
Wer welche Aufgaben behält:
- Geschäftsleitung: Genehmigungen, Schulungs-Teilnahme, BSI-Kommunikation
- Compliance-Officer: methodische Hoheit und finale Risiko-Bewertung
- Interne Fachfunktionen: Beitrag zu Risiko-Bewertung und Vertrags-Inhalten
- BEKOM: Monitoring, Vorfalls-Erkennung, Reviews, Reporting im Service-Design
Kostenstruktur der NIS2-Umsetzung
NIS2-Readiness wirkt auf drei Kostenebenen, die sich im Zeitverlauf verschieben. Pauschale Einsparungen versprechen wir nicht — ein strukturiertes Assessment ordnet die Aufwände gegen die Ausgangslage und gibt Planungssicherheit für die kommenden Geschäftsjahre. Die Vertragsstruktur ist modular: Gap-Analyse als abgegrenztes Paket, Umsetzungs-Phase als eigene Auftrags-Blöcke, laufender Compliance-Betrieb im standardisierten Service-Design.
Bestandsseite — heute schon wirkende Aufwände
Auch ohne formales NIS2-Programm fließen bereits heute Aufwände in Cybersecurity, interne Audits und externe Beratung. Diese Bestandsseite ist die Vergleichs-Basis: Sie zeigt, welcher Anteil bereits zur Compliance beiträgt und welcher Anteil parallel zu strukturellen Lücken läuft.
Welche Treiber heute wirken:
Bestehende Cybersecurity-Aufwände aus Lizenzen, Tools und Hardware
Gebundene Personalkapazität für interne Audits und Reviews
Lizenz-Kosten für GRC-, SIEM- und Compliance-Werkzeuge
Externe Beratung für IT-Sicherheits- und Datenschutz-Themen
Welche Aufwände oft unterschätzt werden:
- Fragmentierte Methodiken mit doppelter Pflege in mehreren Frameworks
- Aufwand für Ad-hoc-Reaktionen ohne dokumentierten Eskalations-Pfad
- Verträge mit Zulieferern ohne strukturiertes Review-Konzept
- Schulungs- und Awareness-Aufwand ohne dokumentierten Nachweis
Umsetzungsphase — einmalige Aufwände
Während der Umsetzung entstehen einmalige Aufwände für die Klärung der Betroffenheit, die methodische Konsolidierung und den Aufbau fehlender Strukturen. Diese Aufwände werden in abgegrenzten Paketen vergeben — jeder Block hat eigene Freigabe und eigenes Ergebnis.
Welche Pakete typisch sind:
Betroffenheits-Klärung mit IT-Rechtsanwälten und Compliance-Beratern
Gap-Analyse mit dokumentierter Reifegrad-Bewertung
Methodische Konsolidierung der Risikomanagement-Strukturen
Aufbau von Notfall-, Wiederherstellungs- und Schulungs-Konzepten
Wie der Aufwand abgegrenzt wird:
- Gap-Analyse als separates Paket vor Beauftragung der Umsetzung
- Umsetzungs-Phase mit definiertem Umfang und dokumentierter Roadmap
- Vertrags-Anpassungen mit Zulieferern als eigene Auftrags-Blöcke
- Schulungs-Konzepte als wiederverwendbare Inhalte mit Aktualisierung
Zielzustand — laufende Aufwände
Im Zielzustand verschiebt sich der Treiber von Projektkosten zu laufenden Service-Aufwänden. Monitoring, Reviews und Test-Zyklen werden Teil der regulären Compliance-Funktion und laufen über eine standardisierte Service-Pauschale.
Welche Aufwände wiederkehrend sind:
Monatliche Service-Pauschale für Managed Compliance im Regelbetrieb
Regelmäßige Lieferketten-Reviews je Vereinbarung im Service-Design
Test-Zyklen für Notfall- und Wiederherstellungs-Pläne
Quartals-Reporting an Geschäftsleitung und Aufsichts-Gremien
Was die Vertragsstruktur leistet:
- Klare Trennung zwischen einmaligen Aufbau- und laufenden Betriebs-Kosten
- Modulare Buchung einzelner Service-Bausteine je nach Reife der Organisation
- Verlängerungs- und Kündigungs-Optionen mit dokumentierten Übergaben
- Anpassung an veränderte Sektor- oder Aufsichts-Vorgaben mit Change-Prozess
Häufige Fragen zur NIS2-Readiness
Wir wissen nicht sicher, ob wir von NIS2 betroffen sind — wo fangen wir an?
Die Betroffenheits-Frage ist eine rechtliche und sektor-spezifische Klärung anhand des NIS2-Umsetzungsgesetzes. Sie hängt von Sektor, Größe und Funktion in der Lieferkette ab. BEKOM unterstützt mit der technischen Bestandsaufnahme; die rechtliche Einordnung erfolgt gemeinsam mit IT-Rechtsanwälten oder Compliance-Beratern. Bereits vor der finalen Klärung lohnt eine technische Reifegrad-Bewertung — sie reduziert das Cyber-Risiko strukturell, auch ohne formale NIS2-Pflicht.
Wir haben bereits BSI-IT-Grundschutz umgesetzt — brauchen wir NIS2 überhaupt?
Ja. NIS2 löst BSI-IT-Grundschutz nicht ab, sondern ergänzt ihn um zusätzliche Pflichten — insbesondere zu Lieferketten-Sicherheit, Geschäftsleitungs-Verantwortung und behördlichen Meldepflichten. Eine Gap-Analyse zeigt, welche bestehenden Methodiken übernommen werden können und wo strukturell ergänzt werden muss. Häuser mit BSI-IT-Grundschutz haben einen erheblichen Vorsprung, weil viele technische und organisatorische Maßnahmen bereits etabliert sind und nur NIS2-spezifisch ergänzt werden.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
NIS2 unterscheidet zwei Kategorien mit unterschiedlichen Sanktions- und Aufsichts-Regeln. Wesentliche Einrichtungen unterliegen einer strengeren Aufsicht mit Vor-Ort-Prüfungen, wichtige Einrichtungen werden anlassbezogen geprüft. Beide Kategorien haben dieselben technischen Pflichten, unterscheiden sich aber in Sanktionsrahmen und Aufsichts-Intensität. Die Einordnung erfolgt nach Sektor und Unternehmensgröße — die genaue Bestimmung bleibt eine Frage für IT-Rechtsanwälte oder Compliance-Berater.
Was bedeutet Lieferketten-Sicherheit konkret?
Jeder relevante Zulieferer und Dienstleister muss in das Risikomanagement einbezogen werden: Risikobewertung des Zulieferers, vertragliche Sicherheitsanforderungen, regelmäßige Reviews und dokumentierte Reaktionen auf Vorfälle in der Kette. Konkret bedeutet das: Vertragswerk sichten und ergänzen, Audit-Rechte vereinbaren, Sub-Outsourcing transparent machen, Reaktions-Prozesse für Lieferanten-Vorfälle etablieren. BEKOM stellt eigene Service-Designs NIS2-konform auf und unterstützt bei der Sichtung bestehender Verträge.
Wie schnell muss ein Vorfall an das BSI gemeldet werden?
NIS2 sieht ein gestaffeltes Meldeschema vor: eine Frühwarnung sehr zeitnah nach Kenntnis, eine Vorfallsmeldung kurz danach und einen Abschlussbericht nach Abschluss der Bearbeitung. Die genauen Fristen sind in der nationalen Umsetzung definiert. BEKOM richtet die Klassifikations-Logik und das Reporting-Template ein und stellt im Vorfall die regulatorisch erforderlichen Datenpunkte zusammen — die Meldung selbst erfolgt durch die im Unternehmen benannte Funktion.
Welche Pflichten hat die Geschäftsleitung konkret?
Die Geschäftsleitung genehmigt das Risikomanagement-Konzept, überwacht die Umsetzung der Sicherheitsmaßnahmen und nimmt regelmäßig an Cybersecurity-Schulungen teil. Bei nachgewiesener grober Fahrlässigkeit kann persönliche Haftung greifen. BEKOM liefert strukturierte Geschäftsleitungs-Berichte mit aufbereiteter Risiko-Übersicht und unterstützt bei der Konzeption von Schulungs-Inhalten — die rechtliche Beratung zur Haftungs-Frage bleibt bei spezialisierten Anwälten.
Wie verhält sich NIS2 zu Cloud-Anbietern und SaaS-Plattformen?
Cloud-Anbieter und SaaS-Plattformen sind in der Regel Zulieferer im Sinne von NIS2. Verträge müssen entsprechend ausgestaltet sein, was bei Hyperscalern oft nur eingeschränkt verhandelbar ist. BEKOM bietet als Alternative dedizierte Plattformen in deutschen Rechenzentren mit NIS2-konformen Service-Designs (Audit-Rechte, dokumentierte Sub-Outsourcing-Wege, Reaktions-Pfade bei Vorfällen). Welche Workloads bei welchem Anbieter laufen, ist eine bewusste strategische Entscheidung im Rahmen der NIS2-Umsetzung.
Was unterscheidet diesen Pfad von einer reinen Beratungs-Lösung?
Reine Cybersecurity-Beratung liefert Methodik und Roadmap, aber keine operative Umsetzung. Der BEKOM-Pfad kombiniert Methodik (Gap-Analyse, Lückenschließung) mit dem operativen Betrieb über Managed Compliance: kontinuierliches Monitoring, regelmäßige Lieferketten-Reviews, Koordination der Notfall-Tests und strukturiertes Reporting. NIS2 bleibt damit kein einmaliges Projekt mit Endpunkt, sondern wird Teil der laufenden Compliance-Funktion. Rechtliche Auslegung und Geschäftsleitungs-Beratung bleiben bei spezialisierten Kanzleien.
Welche Kosten entstehen für ein externes NIS2-Compliance-Programm im Vergleich zum Eigenbetrieb?
Der Eigenbetrieb eines NIS2-Compliance-Programms erfordert erhebliche Investitionen in spezialisierte Personalressourcen, Compliance-Software und kontinuierliche Weiterbildungen. BEKOM bietet eine strukturierte Alternative durch monatliche Pauschalen, die alle erforderlichen Assessment-, Dokumentations- und Monitoring-Leistungen abdecken. Diese Kostenstruktur vermeidet die typischen Personalengpässe und Projektüberschreitungen bei der eigenständigen Umsetzung regulatorischer Anforderungen und macht NIS2-Compliance zu einem planbaren Betriebskostenblock.
Können wir später wieder zum Eigenbetrieb der NIS2-Compliance zurückkehren?
BEKOM strukturiert das NIS2-Compliance-Programm über Standard-Frameworks und dokumentierte Prozesse, die eine vollständige Portabilität gewährleisten. Alle entwickelten Risikomanagement-Dokumentationen, Incident-Response-Verfahren und Compliance-Nachweise bleiben im Eigentum des Unternehmens. Bei einer Rückführung in den Eigenbetrieb übergibt BEKOM strukturierte Handover-Dokumentationen und unterstützt den Wissenstransfer an interne Teams. Die verwendeten Standard-Technologien und -Methoden ermöglichen eine nahtlose Übernahme ohne Vendor-Lock-in-Effekte.
NIS2-Assessment anfragen
Der Einstieg ist ein strukturiertes Assessment Ihrer aktuellen NIS2-Reife. Auf Basis der Bestandsaufnahme entwickelt BEKOM eine Gap-Analyse mit priorisierten Lücken und einer umsetzbaren Roadmap — als Grundlage für Geschäftsleitung und Compliance-Officer. Das Erstgespräch ist unverbindlich; ein schriftliches Angebot entsteht erst nach gemeinsamer Abgrenzung von Umfang und Erwartungs-Bild.
Das Assessment verschafft Ihnen vollständige Klarheit über Ihre NIS2-Betroffenheit und den konkreten Handlungsbedarf. BEKOM führt eine strukturierte Bestandsaufnahme Ihrer aktuellen Cybersecurity-Maßnahmen durch, identifiziert Compliance-Lücken und entwickelt eine konkrete Empfehlung für die schrittweise Umsetzung aller regulatorischen Anforderungen. Das Ergebnis ist ein detailliertes Service-Design für Ihr individuelles NIS2-Compliance-Programm mit definierten Meilensteinen, Verantwortlichkeiten und Reporting-Strukturen.
Bestandsaufnahme durchführen
In einem ersten Termin erfasst BEKOM Ihre aktuelle Cybersecurity-Landschaft: vorhandene Methodiken (BSI-IT-Grundschutz, ISO 27001, branchenspezifische Frameworks), aktive Zulieferer und Dienstleister, Vorfall-Erkennungs-Prozesse und vorhandene Notfall-Pläne. Sie erhalten eine strukturierte Aufnahme als Grundlage für die rechtliche Klärung und die Gap-Analyse.
Gap-Analyse und Roadmap erhalten
Auf Basis der Bestandsaufnahme erstellt BEKOM eine Gap-Analyse gegen die NIS2-Pflichtbereiche und entwickelt eine umsetzbare Roadmap mit priorisierten Lücken, geschätzten Aufwänden und einer Phasen-Reihenfolge. Die Roadmap ist Ihre Verhandlungs- und Planungsgrundlage — Sie entscheiden über Reihenfolge und Tempo der Umsetzung.
Umsetzung vereinbaren
Sofern die Roadmap freigegeben wird, startet die strukturelle Umsetzung der priorisierten Lücken in vereinbarten Phasen. Nach Abschluss erfolgt der geordnete Übergang in den Regelbetrieb über BEKOM Managed Compliance — mit kontinuierlichem Monitoring, regelmäßigen Lieferketten-Reviews und strukturierten Compliance-Berichten für Geschäftsleitung und Aufsichts-Gremien.