Inhalt in Kürze
- Das BSI nimmt seine NIS2-Prüfungen für mittelgroße Einrichtungen seit Mai 2026 aktiv auf — Hamburger Unternehmen müssen jetzt liefern.
- 29.500 Unternehmen in Deutschland sind betroffen, davon mehrere Tausend in der Metropolregion Hamburg.
- Bußgelder bis 10 Mio. Euro, persönliche Haftung der Geschäftsführung — keine Übergangsfrist mehr.
- Praxis-Fahrplan: ISMS-Grundgerüst, Incident-Response-Plan, BSI-Registrierung, Lieferketten-Check, Auditor-Termin.
Die meisten Hamburger Geschäftsführer, mit denen wir gerade sprechen, haben technisch 60-70 Prozent umgesetzt. Firewall, Backup, Monitoring — das läuft. Was fehlt, ist die Dokumentation und das ISMS-Grundgerüst. Genau hier hakt das Audit.
NIS2-Audit Hamburg: Was das BSI seit Mai 2026 wirklich prüft
Seit dem 1. Mai 2026 nimmt das Bundesamt für Sicherheit in der Informationstechnik seine NIS2-Prüfungen für mittelgroße Einrichtungen aktiv auf. Das ist nicht mehr Theorie und keine Ankündigung — Auditoren stehen bei den ersten Hamburger Unternehmen bereits am Empfang.
Geprüft wird nicht nur die Technik. Geprüft werden vor allem drei Bereiche, die im Mittelstand fast nie sauber dokumentiert sind:
- Risikomanagement — gibt es ein ISMS, das auf BSI-Grundschutz oder ISO 27001 fußt? Wird es gelebt oder steht es im Ordner?
- Incident-Response — was passiert in den ersten 24 Stunden nach einem Vorfall? Wer meldet, wer kommuniziert, wer entscheidet über Lösegeld?
- Lieferkettensicherheit — welche Dienstleister haben Zugriff auf welche Systeme, und wie ist deren IT-Sicherheit nachgewiesen?
Der CyberRisikoCheck des BSI reicht laut BSI ausdrücklich nicht. Er ist eine Ersteinschätzung — keine Konformitätsbestätigung. Wer das beim Audit als Nachweis vorlegt, fällt durch.
Wer ist in Hamburg betroffen — und wer übersieht das?
Rund 29.500 Unternehmen in Deutschland fallen unter NIS2. Schätzungen aus IHK-Kreisen sehen mehrere Tausend davon im Großraum Hamburg. Betroffen sind 18 Sektoren, ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz — die Größenklasse, die in Hamburg überdurchschnittlich vertreten ist.
Konkret aus unserer Beratungspraxis: Hafenlogistik, Speditionen, Energieversorger, Großhandel, Hersteller in Wilhelmsburg und Bergedorf, Krankenhäuser und Pflegeeinrichtungen, Wasserwirtschaft, IT-Dienstleister selbst, sowie Anbieter digitaler Dienste. Gerade Logistik und Industrie unterschätzen das oft — viele Geschäftsführer halten sich für „nicht kritisch genug".
Der Praxis-Fahrplan: 12 Wochen bis zur Audit-Bereitschaft
Wir haben den Fahrplan in den letzten Monaten bei mehreren Hamburger Mandanten aus Logistik und Industrie durchgespielt. Er ist nicht hübsch, aber er funktioniert.
- Woche 1-2: Betroffenheits-Check & Scope. Klären, ob das Unternehmen wesentliche oder wichtige Einrichtung ist, welche Standorte und Tochtergesellschaften unter den Geltungsbereich fallen. Unser NIS2-Betroffenheits-Check liefert das in zwei Minuten.
- Woche 3-4: Gap-Analyse gegen BSI-Grundschutz. Was läuft schon, was fehlt, was ist nur dokumentiert aber nicht gelebt. Hier kommen die unangenehmen Wahrheiten ans Licht — meist beim Thema Backup-Test, Notfallübungen und Lieferanten-Audits.
- Woche 5-7: ISMS-Grundgerüst aufbauen. Risikomanagement-Prozess, Asset-Inventar, Berechtigungskonzept, Patch-Management-Richtlinie, Incident-Response-Plan. Nicht 800 Seiten — schlank, aber durchgängig.
- Woche 8-9: Technik nachziehen. Wo die Gap-Analyse Lücken aufgedeckt hat: MFA flächendeckend, EDR statt klassischem Antivirus, Logging zentralisiert, Backup-Tests dokumentiert.
- Woche 10: Lieferkette absichern. Welche Dienstleister haben welche Zugriffe? Verträge mit Sicherheitsanforderungen aktualisieren. Subunternehmer-Listen pflegen.
- Woche 11: BSI-Registrierung. Eintrag im NIS2-Portal, Kontaktstelle für Meldungen benennen, 24h-/72h-Meldepflichten testweise durchspielen.
- Woche 12: Pre-Audit & Schulungen. Geschäftsführung in NIS2-Pflichten schulen (gesetzlich verlangt), Awareness-Schulung für alle Mitarbeitenden, Probe-Audit mit externer Sicht.
In der Praxis dauert das selten exakt 12 Wochen. Bei sauber aufgestellten Mandanten geht es in 8 Wochen, bei Unternehmen ohne ISMS-Grundgerüst eher 16. Wichtig ist die Reihenfolge — wer mit der Technik anfängt, ohne vorher den Scope geklärt zu haben, kauft am Ende doppelt ein.
Aus der Praxis: Was wir bei Hamburger Mandanten sehen
NIS-2 ist seit Dezember 2025 in Kraft — und die meisten Geschäftsführer, die ich spreche, wissen nicht, dass sie persönlich haften. Was mich überrascht: technisch sind viele weiter, als sie denken. Die Dokumentation ist das Problem, nicht die Firewall.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Bei einem Hamburger Logistikdienstleister mit 80 Mitarbeitenden hatten wir kürzlich genau diese Situation: 24/7-Monitoring, EDR, segmentiertes Netz, monatlich getestete Backups — alles vorhanden. Aber kein dokumentierter Incident-Response-Plan, keine Risikobewertung gegen BSI-Grundschutz, keine BSI-Registrierung. Das Audit hätte er in dieser Form nicht bestanden — obwohl die Technik solide war.
Wir dachten, wir wären gut aufgestellt. Dann saß der Auditor da und wollte den Incident-Response-Plan sehen. Den hatten wir im Kopf — aber nicht auf Papier. Genau das hat uns gerettet, dass wir das vorher noch zusammen gebaut haben.
Die teuersten Fehler beim NIS2-Audit
In den letzten 12 Monaten haben wir bei Mandanten und in Branchengesprächen die immer gleichen Stolperfallen gesehen:
- Reine Tool-Liste statt ISMS. Eine Sammlung von Microsoft-Defender, Veeam und Sophos ist kein Sicherheitsmanagement. Auditoren wollen Prozesse sehen, nicht Lizenzen.
- Backup-Tests nur auf dem Papier. „Wir testen quartalsweise" reicht nicht — gefragt ist das Protokoll des letzten Tests mit Datum, Ergebnis und Verantwortlichem.
- Lieferanten-Sicherheit ignoriert. Der externe Buchhalter, das Cloud-CRM, die Lohnsoftware — überall fließen Daten hin. NIS2 verlangt nachweisbare Sicherheitsanforderungen an diese Dritten.
- Geschäftsführung nicht geschult. NIS2 verpflichtet ausdrücklich die Leitungsebene zu Sicherheitsschulungen. „Macht meine IT" funktioniert hier nicht.
- BSI-Registrierung verschoben. Ohne Registrierung kein Meldekanal — und damit kein Audit-Bestehen.
- Notfallübung nie durchgeführt. Tabletop-Übungen sind nicht „nice to have" — sie sind Pflicht und werden im Audit abgefragt.
Sonderfall Lieferkette: Warum Hamburger Zulieferer doppelt aufpassen müssen
Auch wer selbst nicht direkt unter NIS2 fällt, ist über die Lieferkette betroffen. Hamburger Hafenzulieferer, Logistik-Subunternehmen, IT-Dienstleister von Krankenhäusern, Hersteller, die Werften beliefern — alle bekommen gerade Sicherheitsfragebögen ihrer großen Kunden.
Ein typisches Beispiel: Ein Hamburger Maschinenbauer mit 35 Mitarbeitenden, der eigentlich unter den Schwellenwerten liegt. Sein größter Kunde — ein NIS2-pflichtiger Konzern — verlangt jetzt nachweisbar, dass die Lieferantensicherheit BSI-Grundschutz-konform ist. Ohne Nachweis kein neuer Auftrag. So eskaliert NIS2 in den Mittelstand hinein.
Wer hier seine Hausaufgaben macht, gewinnt einen Vertriebsvorteil. Wer wartet, verliert Kunden — leise und ohne Erklärung.
Verwandte Themen: Wie NIS2 in der maritimen Wirtschaft konkret durchschlägt, beschreiben wir am Beispiel der Werft-Zulieferer in unserem Beitrag zur NIS2-Lieferkette für Werft-Zulieferer in Kiel. Für Medizintechnik-Zulieferer rund um Lübeck haben wir den Pfad in NIS2 für Medizintechnik-Zulieferer in Lübeck aufgeschrieben.
Was bei einem Vorfall passiert: 24 Stunden, 72 Stunden, 1 Monat
NIS2 schreibt klare Meldepflichten vor. Wer das im Vorfeld nicht geübt hat, verliert beim ersten echten Vorfall wertvolle Stunden — und Bußgeld-Reserven.
| Frist | Pflicht | Wer macht das? |
|---|---|---|
| 24 Stunden | Frühwarnung an BSI: Vorfall, mögliche Auswirkungen, vermuteter Ursprung | Krisenstab + IT-Leitung |
| 72 Stunden | Vorfallbericht: bestätigte Bewertung, vorläufige Indikatoren | IT + externer Forensiker |
| 1 Monat | Abschlussbericht: Ursache, Schäden, ergriffene Maßnahmen | IT-Leitung + Geschäftsführung |
Wer im Ernstfall erst mal das BSI-Portal sucht, hat bereits verloren. Genau deshalb gehört der Incident-Response-Plan in jeden NIS2-Vorbereitungsfahrplan — nicht ans Ende, sondern in den ersten Drittel. Wer den Hamburger Spezialfall einer akuten Cyberattacke abdecken will, findet praktische 24h-Reaktionsmuster auch in unserem Praxisbeitrag Beyond the Breach — IT-Notfallhilfe Hamburg.
So begleiten wir Hamburger Unternehmen durchs Audit
Wir machen NIS2 seit 2024 — also seit das deutsche Umsetzungsgesetz greifbar wurde. In dieser Zeit haben wir gelernt, dass kein Audit dem anderen gleicht, aber die Stolperfallen sich wiederholen.
Konkret begleiten wir Mandanten am Standort Hamburg und im Großraum mit drei Managed-IT-Modellen:
- Audit-Begleitung als Einmalprojekt — wir bauen das ISMS-Grundgerüst auf, dokumentieren, schulen, registrieren beim BSI.
- Co-Managed IT für Unternehmen mit eigener IT — wir liefern den Compliance-Teil, die interne IT macht den Rest.
- Managed IT mit NIS2-Modul — wir übernehmen IT-Betrieb plus laufende NIS2-Pflicht-Pflege ab 50 Euro pro Arbeitsplatz und Monat.
Mehr zum Compliance-Thema und zur Audit-Begleitung steht auf unserer Übersichtsseite NIS2 & Compliance Hamburg. Wer eher den Cybersecurity-Schutzschirm sucht, findet bei hagel one protect den passenden Festpreis-Stack.
Sie wollen wissen, wo Sie beim NIS2-Audit stehen?
30 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir gehen mit Ihnen die wichtigsten Audit-Punkte durch und zeigen ehrlich, wo Sie nachziehen müssen.
Erstgespräch buchen →Quellen für diesen Artikel — alle aus dem Mai 2026: BSI-Übersicht NIS-2-regulierte Unternehmen, BSI Hinweise zur Lieferkette, EU-Kommission Cyber Resilience Act und NIS2.
