Services · Begleitendes Cluster · Compliance
Das deutsche NIS2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft. Etwa 29.500 deutsche Unternehmen fallen erstmals unter die Pflicht. Wir bringen Mittelstand und KRITIS-Unternehmen in einen tragfähigen Compliance-Rahmen — auf Microsoft Purview, Microsoft Entra ID und Microsoft Defender. Pragmatisch, nicht überzeichnet.
Für Geschäftsführer · Risiko-Reduktion in Euro
Wir übersetzen NIS2 in Euro: Bußgeldrisiko, Haftungsexposition der Geschäftsführung, Versicherungs-Wirkung, Kosten der Maßnahmen vs. Kosten des Nicht-Tuns. Festpreis-NIS2-Readiness mit dokumentierter Gap-Analyse und priorisiertem Maßnahmen-Plan — verteidigbar gegenüber Gesellschaftern, Aufsichtsrat und im BSI-Audit. Sie wissen, was Sie der Haftung entgegensetzen können — schriftlich.
Für Abteilungsleitung · NIS2-Audit-Defense
Wir liefern den dokumentierten Outcome-Bericht: NIS2-Gap-Analyse gegen Annex II der EU-Richtlinie 2022/2555, priorisierter Maßnahmen-Plan mit Aufwands- und Risiko-Bewertung, Audit-Defense-Mappe mit Nachweis-Strukturen für BSI-Anfragen. Discovery-Spike als typischer Erst-Auftrag mit Business-Case-Skelett für CFO und Einkauf — fertig für die nächste Lenkungskreis-Sitzung und den jährlichen Sicherheits-Bericht.
Für IT-Leitung · Defender XDR, Purview, Entra
Konkrete Konfiguration statt Theorie: Microsoft Defender XDR (Endpoint, E-Mail, Cloud, Identity) mit Incident-Reporting-Pipeline für die 24-h-Meldepflicht, Microsoft Purview (Datenklassifizierung, DLP, Insider Risk, Audit), Entra ID Conditional Access und Privileged Identity Management, Sentinel-SIEM-Anbindung. NIS2 Annex II-Mapping pro Maßnahme. Sie sprechen direkt mit dem Architekten, der den Stack auch implementiert.
NIS2 ist da
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Umsetzung der EU-Richtlinie 2022/2555. Es ist am 6. Dezember 2025 in Kraft getreten und vergrößert den Kreis der pflichtigen Unternehmen drastisch. Etwa 29.500 deutsche Unternehmen fallen erstmals unter NIS2 — viele von ihnen mittelständische Maschinenbauer, Lebensmittelhersteller, IT-Dienstleister, regionale Energieversorger.
Die zentrale Neuerung gegenüber der ersten NIS-Richtlinie: NIS2 erfasst nicht mehr nur die klassischen KRITIS-Branchen, sondern auch wesentliche und wichtige Sektoren in der Breite — von Lebensmittelproduktion über Hersteller bestimmter Maschinen bis zu Anbietern verwalteter IT-Dienste. Wer ein mittleres Unternehmen ab 50 Mitarbeitern und 10 Mio. € Umsatz in einem der 18 NIS2-Sektoren betreibt, ist mit hoher Wahrscheinlichkeit betroffen.
Drei Konsequenzen sind besonders wirksam: Erstens, eine Incident-Reporting-Pflicht binnen 24 Stunden gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Zweitens, ein dokumentiertes Risiko-Management-System mit klaren technischen und organisatorischen Maßnahmen. Drittens — und das wird oft übersehen — eine direkte persönliche Haftung der Geschäftsführung. Wer das Thema delegiert und dann dokumentiert nicht überwacht hat, hat nach NIS2 ein persönliches Problem.
Vier Compliance-Bausteine
Microsoft hat in den letzten drei Jahren einen kohärenten Compliance-Stack aufgebaut. Vier Werkzeuge bilden die Grundlage — sie greifen ineinander, sind aber jeweils eigene Lizenz- und Konfigurations-Gegenstände.
Assessment, Gap-Analyse, Roadmap. Wir prüfen Ihre aktuelle Lage gegen die NIS2-Anforderungen, identifizieren die größten Lücken und priorisieren die Maßnahmen nach Risiko und Aufwand. Ergebnis: ein klar formuliertes Implementierungs-Programm, das Geschäftsführung und IT gemeinsam tragen.
Datenklassifizierung, Data Loss Prevention (DLP), Insider-Risk-Management, Audit. Microsoft Purview adressiert die Frage: Was sind unsere kritischen Daten, wer sieht sie und wer darf was damit tun. Zentral für DSGVO und für NIS2 gleichermaßen.
Identity- und Access-Management. Multi-Faktor-Authentifizierung, Conditional Access, Privileged Identity Management, Identity Protection. Wer NIS2-konform werden will, muss zuerst Identitäten in den Griff bekommen — das ist der höchste Hebel mit dem niedrigsten Risiko.
Endpoint-Security, E-Mail-Security, Cloud-Security, Identitäts-Security. Microsoft Defender XDR vereint die einzelnen Defender-Produkte zu einer Telemetrie-Plattform. Die Incident-Reporting-Pflicht aus NIS2 wird damit operativ erfüllbar — vorausgesetzt, der Stack ist sauber konfiguriert und das Team weiß, wie es ihn nutzt.
Unser Vorgehen
NIS2 ist kein 4-Wochen-Projekt. Aber es ist auch kein 24-Monats-Programm. Wir arbeiten mit unseren Kunden in vier klar getrennten Phasen — jede Phase liefert ein eigenständiges Ergebnis, das auch dann Wert hat, wenn die nächste Phase verschoben wird.
Vier Wochen. Wir prüfen Ihre Betroffenheit (Sektor, Größe, KRITIS-Einstufung), inventarisieren die kritischen Assets und nehmen den Ist-Stand in Microsoft 365, Entra ID und Defender auf. Ergebnis: ein klares Bild der Ausgangslage, ohne Schönreden.
Drei bis vier Wochen. Pro NIS2-Anforderung und pro Microsoft-Werkzeug eine Lücken-Bewertung. Was ist heute erfüllt, was teilweise, was gar nicht. Pro Lücke eine Maßnahme, ein Aufwand, ein Risiko-Beitrag. Ergebnis: ein priorisierter Maßnahmen-Katalog.
4 bis 9 Monate. Implementation der priorisierten Maßnahmen — Quick Wins (MFA, Conditional Access, DLP-Basisregeln) zuerst, dann die strukturellen Themen (Insider-Risk, SIEM, Incident-Response). In Wellen, mit klaren Milestones.
Laufend. NIS2 ist kein Projekt-Endzustand, sondern eine laufende Disziplin. Quartalsweises Compliance-Review, jährliches Audit, kontinuierliche Tuning der Defender-Regeln. Wahlweise im Rahmen unserer Application-Care-Verträge.
Implementierungskosten — die ehrliche Zahl
Wir hören oft die Frage: „Was kostet uns NIS2?“ Eine ehrliche Antwort braucht zwei Seiten. Auf der Beratungs- und Implementierungs-Seite kalkulieren wir für mittlere Unternehmen mit 50 bis 500 Mitarbeitenden ein Programm, dessen Kosten wir gemeinsam im Erstgespräch eingrenzen. Diese Spanne deckt Assessment, Gap-Analyse, Roll-out der Quick Wins, Konfiguration von Microsoft Purview/Entra ID/Defender und das Aufsetzen der Incident-Response-Prozesse ab.
Auf der Lizenz-Seite kommen Microsoft-Lizenz-Upgrades hinzu — typischerweise von Microsoft 365 E3 auf E5 oder ergänzende Defender- und Purview-Pakete. Wir kalkulieren das transparent über unseren License Cost Calculator. Pro Mitarbeitenden ergibt sich daraus ein monatlicher Mehraufwand — die Spannweite hängt stark von der Ausgangslage ab.
Was die Kosten nicht enthalten: Hardware-Erneuerungen (etwa für Endpoint-Härtung), externe Audits durch zertifizierte Prüfer, juristische Begleitung bei der Konformitätserklärung. Diese Posten kalkulieren wir auf Wunsch in einem Gesamt-Budget mit ein, vermitteln aber typischerweise an spezialisierte Partner.
Ehrliche Abgrenzung
Wir machen NIS2-Compliance auf Microsoft-Stack. Drei Bereiche, in denen wir bewusst Partner einbinden:
OT-Sicherheit (Operational Technology). Maschinensteuerungen, SCADA-Systeme, industrielle Sensorik — das ist eine eigene Disziplin mit eigenen Werkzeugen (Claroty, Nozomi, Microsoft Defender for IoT als Brücke). Bei produzierenden Kunden binden wir spezialisierte OT-Partner ein.
Physische Sicherheit. Zutritts-Steuerung, USV, Brandschutz, redundante Standorte — NIS2 verlangt das, wir liefern es nicht. Hier verweisen wir auf Facility-Management-Partner.
Konformitäts-Audits. Den juristischen Stempel auf der Konformitätserklärung setzt eine zertifizierte Prüfgesellschaft, nicht wir. Wir bereiten das Audit vor, dokumentieren die Maßnahmen und begleiten Sie durch die Prüfung — der Stempel kommt von dritter Seite.
Häufige Fragen
NIS2 (EU-Richtlinie 2022/2555) ist die zweite Auflage der Network and Information Security Directive. In Deutschland wurde sie über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist. Etwa 29.500 deutsche Unternehmen fallen erstmals unter die Pflicht.
Drei Kriterien führen zur Pflicht: Branche (18 in NIS2 genannte Sektoren wie Energie, Verkehr, Banken, Gesundheit, IT-Dienste, Hersteller bestimmter Produkte), Größe (mittlere Unternehmen ab 50 Mitarbeitern und 10 Mio. € Umsatz) und Kritikalität (KRITIS-Einstufung). Wir prüfen die Betroffenheit in der ersten Stunde des Erstgesprächs.
NIS2 sieht für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen bis 7 Mio. € oder 1,4 % Umsatz. Hinzu kommt eine direkte Geschäftsführerhaftung — die Geschäftsleitung steht persönlich in der Pflicht, nicht nur die IT.
Für mittlere Unternehmen wird das Implementierungs-Budget individuell kalkuliert. Es umfasst Assessment, Gap-Analyse, Konfiguration der Microsoft-Werkzeuge (Purview, Entra ID, Defender), Schulung und Aufbau der Reporting-Pflichten. Laufende Kosten kommen über Lizenzen und kontinuierliche Überwachung dazu. Preise auf Anfrage.
Für die meisten Anforderungen ja. Microsoft Purview, Microsoft Entra ID, Microsoft Defender und Microsoft Sentinel decken den Großteil der NIS2-Anforderungen ab. Lücken bleiben bei OT-Sicherheit (Operational Technology, Maschinensteuerung), spezifischen Branchen-Anforderungen und beim physischen Schutz. Diese Lücken adressieren wir über Partner.
Realistisch 6 bis 12 Monate für mittlere Unternehmen — vom ersten Assessment bis zum produktiven Betrieb der Compliance-Werkzeuge. Quick Wins (Multi-Faktor-Authentifizierung, Conditional Access, grundlegende DLP-Regeln) sind in 4 bis 8 Wochen umsetzbar. Die vollständige Reife inkl. Incident-Response-Prozessen braucht länger.
DSGVO schützt personenbezogene Daten. NIS2 schützt die Verfügbarkeit und Integrität kritischer Dienste — also Cybersicherheit im weiteren Sinn, mit klaren Pflichten zu Risiko-Management, Incident-Reporting (24-Stunden-Frist!) und Geschäftsführer-Haftung. Beide Verordnungen greifen ineinander, decken aber unterschiedliche Schutzgüter ab.
Zum Mitnehmen · zwei Materialien
Zwei Tiefen für unterschiedliche Lese-Bedürfnisse. Das Factsheet ist Quick-Reference (3-5 Min) und sofort herunterladbar. Das Whitepaper ist Markt-Edukation mit Methodik und Vergleichs-Daten (15-30 Min) — Sie bekommen es per Mail nach kurzer Anfrage.
3-5 Min Lesezeit · Direkter Download · ohne Formular
Kompakte Übersicht: Leistungsumfang, Kennzahlen, Pricing-Modell, Ablauf — ideal zum Weiterleiten an CFO, Einkauf oder Fachbereich.
15-30 Min Lesezeit · per E-Mail nach Anfrage
Methodik, Vergleichs-Daten, Empfehlungs-Rahmen — Material zur internen Argumentation gegenüber Stakeholdern.
Verwandte Dienstleistungen
QM-Strukturen sind die Basis nachhaltiger Compliance — dokumentierte Prozesse, Audit-Spuren.
Ansehen →
Parallel-Compliance-Pflicht für AI-Systeme — gleicher Governance-Aufbau.
Ansehen →
Sichere Architektur als Voraussetzung — Tenant-Strategie, Conditional Access, DLP.
Ansehen →
Microsoft-Stack im Sinne der NIS2-Pflichten konfigurieren — Identity, M365, Defender.
Ansehen →
30 Min Erstgespräch oder 45 Min Architecture
Wir prüfen Betroffenheit, Reifegrad und größte Lücken in einem ersten Gespräch. Bei komplexen Setups mit mehreren Standorten, OT-Anteilen oder Konzern-Strukturen direkt in unserem 45-Min-Architecture-Call.
Zum Mitnehmen
Zwei-Seiten-Quick-Reference mit Pakets-Struktur, Liefer-Bereichen und drei Gründen für arades — sofort herunterladbar, ohne Formular. Ideal zum Weiterleiten an CFO, Einkauf oder IT-Lead.
3-5 Min Lesezeit · Direkter Download · ohne Formular
