| 4. April 2026 | 12 Min.

NIS-2 Beratung Hamburg: Was Geschäftsführer jetzt tun müssen

Jens Hagel in IT-Sicherheit

Inhalt in Kürze

Das NIS-2-Umsetzungsgesetz gilt seit 5. Dezember 2025 — ohne Übergangsfrist, rund 29.500 deutsche Unternehmen in 18 kritischen Sektoren sind betroffen
Geschäftsführer haften persönlich für die Umsetzung der NIS-2-Richtlinie, Bußgelder reichen bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Kernpflichten: Risikomanagement, Meldepflichten (24/72 Stunden), Supply-Chain-Security, BSI-Registrierung, Schulungen der Geschäftsleitung
Die meisten KMU haben 60-70 % der NIS-2-Anforderungen technisch umgesetzt — es fehlen Dokumentation, ISMS-Prozesse und klare Verantwortlichkeiten
Wer bereits ISO 27001 umsetzt, erfüllt viele Cybersicherheits-Anforderungen bereits

Das NIS-2-Umsetzungsgesetz ist seit dem 5. Dezember 2025 in Kraft. Keine Übergangsfrist, keine Schonfrist. Rund 29.500 Unternehmen in Deutschland müssen die Anforderungen der NIS-2-Richtlinie erfüllen und ihre Cybersicherheit auf ein neues Niveau bringen. Die NIS 2 (Network and Information Security Directive 2) löst die alte NIS-Richtlinie ab und die Geschäftsführung haftet persönlich.

Wir sehen das bei unseren Kunden in Hamburg gerade täglich: Verunsicherung, offene Fragen, Aktionismus. Dieser Artikel zeigt, was wirklich auf Sie zukommt — und was Sie als Erstes tun sollten.

NIS-2 Beratung: Wer ist überhaupt betroffen?

NIS-2 erweitert den Kreis betroffener Unternehmen massiv. Waren unter NIS-1 vor allem Energieversorger und Telekommunikationsanbieter reguliert, trifft die neue NIS-2-Richtlinie jetzt 18 kritische Sektoren:

29.500

betroffene Unternehmen in DE

10 Mio. €

maximales Bußgeld

24 Std.

Frist für Erstmeldung

Besonders wichtige Einrichtungen (strengere Pflichten): Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung. Diese Sektoren müssen organisatorische und technische Sicherheitsmaßnahmen nach Stand der Technik nachweisen.

Wichtige Einrichtungen (etwas weniger Aufsicht, gleiche Grundpflichten): Maschinenbau, Chemie, Lebensmittel, Logistik, Abfallwirtschaft, IT-Dienstleister, Forschung.

Die Schwelle: ab 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz. Aber Vorsicht: Auch kleinere Unternehmen können zu den betroffenen Unternehmen gehören — wenn sie als Zulieferer für kritische Einrichtungen in diesen Sektoren arbeiten. Die Supply-Chain-Pflichten ziehen den Kreis größer als viele denken. Die Anforderungen an die Cybersicherheit gelten dann auch für kleinere Zulieferer.

Zulieferer aufgepasst:

Auch wenn Ihr Unternehmen unter den Schwellenwerten liegt — Ihre Kunden aus regulierten Branchen werden NIS-2-Compliance von Ihnen fordern. Wer das ignoriert, riskiert Aufträge. Ein Hamburger Maschinenbau-Zulieferer mit 30 Mitarbeitern verlor kürzlich eine Ausschreibung, weil er keine dokumentierte Sicherheitsstrategie vorweisen konnte.

Der offizielle Name des Gesetzes ist sperrig: Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Kern ist die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern. Übersetzt: Sie müssen technische und organisatorische Maßnahmen nachweisen und prüfen, ob Ihre IT-Dienstleister, Cloud-Anbieter und Software-Lieferanten selbst NIS-2-konform arbeiten. Diese Prüfung deckt Sicherheitsrisiken auf, die Sie sonst nicht kontrollieren — etwa bei digitalen Diensten in bestimmten Sektoren. Unsere Expertise aus über 20 Jahren IT-Service in Hamburg unterstützt Sie bei der Umsetzung dieser Cybersicherheit in Unternehmen aller Größen.

Betroffenheitsanalyse: Fallen Sie unter NIS-2?

Bevor Sie Maßnahmen planen, muss Klarheit her: Ist Ihre Organisation von NIS-2 als wesentliche oder wichtige Einrichtung eingestuft? Eine strukturierte Betroffenheitsanalyse prüft drei Dimensionen:

Sektor-Zuordnung: Fällt Ihre Geschäftstätigkeit in einen der 18 Sektoren der NIS-2-Richtlinie? Dazu zählen Energie, Transport, Bankwesen, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung (besonders wichtige), sowie Maschinenbau, Chemie, Lebensmittel, Logistik, Abfallwirtschaft, IT-Dienstleister und Forschung (wichtige Einrichtungen).
Schwellenwerte: Überschreitet Ihr Unternehmen die Größenschwelle (ab 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz)?
Supply Chain: Sind Sie Zulieferer für Betreiber kritischer Anlagen? Dann gelten die Anforderungen indirekt auch für Sie.

Unsere kostenlose Betroffenheitsanalyse zeigt in 15 Minuten, ob Sie zu den rund 30.000 betroffenen Unternehmen in Deutschland gehören und wo konkreter Handlungsbedarf besteht. Die Analyse prüft auch Ihren aktuellen Reifegrad und deckt konkrete Sicherheitsrisiken auf. Am Ende wissen Sie: Ist die NIS 2-Umsetzung für Sie verpflichtend, und wenn ja — wo fängt der Handlungsbedarf an?

ISMS aufbauen: Der Kern der NIS-2-Umsetzung

Ein Informationssicherheits-Managementsystem (ISMS) ist das Rückgrat jeder NIS-2-Umsetzung. Ohne ISMS erfüllen Sie die spezifischen Anforderungen der NIS-2-Richtlinie nicht.

Ein ISMS umfasst Konzepte und Verfahren für:

Sicherheitsrichtlinien für alle IT-Systeme und Prozesse
Verantwortlichkeiten in Leitungsorganen und IT-Teams
Risikomanagement mit regelmäßigen Audits und Bewertung der Sicherheitsrisiken
Schwachstellenmanagement mit strukturierter Offenlegung von Schwachstellen
Management kritischer Anlagen und ihrer Schutzmaßnahmen
Schulungspflicht für Leitungsorgane und Mitarbeitende

Wer bereits ISO 27001 umsetzt, hat 70 % der NIS-2-Anforderungen automatisch erfüllt — die Norm definiert genau diese Prozesse. Ein Maßnahmenplan nach ISO 27001 bildet den idealen Startpunkt für die NIS-2-Umsetzung.

Praxis-Tipp:

Starten Sie mit einer Gap-Analyse nach ISO 27001. Die Informationssicherheit Ihrer IT-Systeme wird systematisch bewertet. Das Ergebnis: Ein klarer Maßnahmenplan mit priorisiertem Handlungsbedarf. Diese Struktur erfüllt gleichzeitig die Anforderungen an die Cybersicherheit nach NIS-2.

NIS-2 Anforderungen: Was betroffene Unternehmen konkret tun müssen

Das BSI hat die Pflichten klar definiert. Hier die Kurzfassung:

Informationssicherheits-Managementsystem (ISMS) einführen. Systematische Identifikation und Bewertung von Cyberrisiken. Nicht einmalig, sondern als laufender Prozess. Dokumentiert und nachweisbar — wer ISO 27001 umsetzt, hat hier bereits die Grundlage.
Technische Sicherheitsmaßnahmen umsetzen. Zugriffskontrollen, Verschlüsselung, Netzwerksegmentierung, Multi-Faktor-Authentifizierung, Endpoint Detection. Vieles davon haben gut aufgestellte KMU bereits.
Meldepflichten erfüllen. Erstmeldung ans BSI innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach 30 Tagen. Incident-Response-Plan und klare Verantwortlichkeiten sind Pflicht.
Supply-Chain-Security sicherstellen. Ihre IT-Dienstleister, Cloud-Anbieter und Zulieferer müssen ebenfalls Mindeststandards erfüllen. Verträge anpassen, Anforderungen dokumentieren.
Beim BSI registrieren. Wichtige und besonders wichtige Einrichtungen mussten sich bis 6. März 2026 registrieren. Falls noch nicht geschehen: sofort nachholen.
Schulungen für die Geschäftsleitung und Mitarbeitende. Die Geschäftsführung muss NIS-2-Schulungen zu Cybersicherheit nachweisen — nicht delegierbar. Auch Mitarbeitende brauchen regelmäßige Security-Awareness-Schulungen.

ISO 27001 als Beschleuniger:

Wer bereits ein ISMS nach ISO 27001 betreibt, erfüllt rund 70 % der NIS-2-Anforderungen automatisch. Die Norm deckt Risikomanagement, Sicherheitsmaßnahmen, Verantwortlichkeiten und Dokumentation ab — genau die Bausteine, die NIS-2 verlangt.

Geschäftsführerhaftung: Warum NIS-2 Sie persönlich betrifft

Das ist der Punkt, der viele unserer Kunden wachrüttelt. NIS-2 nimmt die Geschäftsleitung direkt in die Pflicht. Nicht die IT-Abteilung, nicht der Datenschutzbeauftragte — Sie als Geschäftsführer tragen die Verantwortlichkeiten für die Cybersicherheit.

Bei grober Fahrlässigkeit haften Sie persönlich. Die Bußgelder: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Bei besonders wichtigen Einrichtungen sogar bis zu 2 % des Umsatzes. Die Sicherheit in der Informationstechnik ist damit Chefsache geworden.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Konkret bedeutet das: Sie müssen die NIS-2-Umsetzung aktiv überwachen und die Sicherheitsmaßnahmen freigeben. Ein “darum kümmert sich die IT” reicht nicht. Die Geschäftsleitung muss Schulungen zu Cybersicherheit nachweisen und die Cybersicherheits-Strategie verantworten. Klare Verantwortlichkeiten und dokumentierte Prozesse sind Pflicht.

NIS-2 und ISO 27001: Was Sie wahrscheinlich schon haben

Die gute Nachricht: Die meisten KMU, die wir in Hamburg betreuen, haben 60-70 % der technischen NIS-2-Anforderungen bereits umgesetzt. Firewall, Backup, Antivirus, Zugriffsrechte — das Fundament der Sicherheit in der Informationstechnik steht oft.

Wer zusätzlich nach ISO 27001 zertifiziert ist oder die Norm als Leitplanke nutzt, hat einen enormen Vorsprung. Die ISO 27001 und NIS-2 teilen sich denselben Kern: systematisches Risikomanagement, dokumentierte Sicherheitsmaßnahmen, klare Verantwortlichkeiten und regelmäßige Überprüfung. Die Implementierung beider Frameworks parallel spart massiv Zeit.

Was bei der NIS-2-Umsetzung fast immer fehlt:

Dokumentiertes Risikomanagement. Sie haben eine Firewall — aber haben Sie dokumentiert, warum genau diese Konfiguration? Welche Risiken wurden bewertet? Wann war der letzte Review?
Incident-Response-Plan. Was passiert, wenn morgen Früh alle Bildschirme schwarz bleiben? Wer ruft wen an? Wie kommunizieren Sie ohne E-Mail?
24-Stunden-Meldekette. Ein Sicherheitsvorfall muss innerhalb von 24 Stunden ans BSI gemeldet werden. Haben Sie einen Prozess dafür? Weiß Ihr Team Bescheid?
Lieferanten-Bewertung. Welche Sicherheitsstandards haben Ihre IT-Dienstleister, Cloud-Anbieter und Zulieferer? Steht das in den Verträgen?
Schulungsnachweis der Geschäftsführung. Wann haben Sie zuletzt eine Cybersicherheitsschulung besucht? NIS2 verlangt das explizit.

Meldepflichten und Schulungen: Die unterschätzten NIS-2-Pflichten

Viele Unternehmen fokussieren sich bei NIS-2 nur auf Technik. Dabei sind zwei Pflichten genauso kritisch: Meldepflichten und Schulungen.

Die NIS-2 Meldepflichten sind eng getaktet:

Erstmeldung ans BSI innerhalb von 24 Stunden nach Erkennen eines Sicherheitsvorfalls
Folgemeldung mit Details nach 72 Stunden
Abschlussbericht nach 30 Tagen mit Ursachenanalyse und Gegenmaßnahmen

Für die Erfüllung dieser Meldepflichten brauchen Sie einen dokumentierten Incident-Response-Prozess und klare Verantwortlichkeiten: Wer meldet? Wer informiert die Geschäftsleitung? Wer kommuniziert mit Kunden und Partnern?

Schulungen sind Pflicht — für alle Ebenen. Die NIS-2-Richtlinie verlangt:

Schulung der Geschäftsleitung zu Cybersicherheit und NIS-2-Anforderungen (nachweisbar, nicht delegierbar)
Regelmäßige Security-Awareness-Schulungen für Mitarbeitende
Spezielle Schulungen für IT-Verantwortliche zu den NIS-2-Anforderungen

In der Praxis übernehmen wir bei hagel IT die Schulung der Geschäftsleitung und bauen ein wiederkehrendes Schulungsprogramm für alle Mitarbeitenden auf — oft kombiniert mit Phishing-Simulationen als Lernkontrolle. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet zusätzlich kostenlose Schulungsmaterialien für KMU.

Aus der Praxis: Warum NIS-2 kein Papiertiger ist

Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt...

Bernd K.Sanitärbetrieb · 20-25 Mitarbeiter

Drei Monate Totalausfall. Bei einem Handwerksbetrieb mit 20-25 Mitarbeitern. Keine E-Mails, keine Aufträge, keine Rechnungen. Der wirtschaftliche Schaden? Mehrere hunderttausend Euro. Dazu kam der Vertrauensverlust bei Kunden.

Genau solche Fälle will NIS2 verhindern. Die Richtlinie ist keine bürokratische Schikane. Sie ist die Reaktion auf eine Bedrohungslage, die sich massiv verschärft hat. Wie eine solche Risikoanalyse in der Praxis abläuft, zeigt unsere Fallstudie: Vom “Nie was passiert” zur echten Sicherheit.

Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Ransomware-Gruppen setzen längst auf Automatisierung. Die scannen nicht mehr gezielt Konzerne — sie scannen das Internet nach Schwachstellen. Wer eine ungepatchte Firewall oder ein offenes RDP-Port hat, wird angegriffen. Egal ob Hamburger Logistik-KMU oder DAX-Konzern.

Laut BSI-Lagebericht wurden im letzten Jahr täglich durchschnittlich 250.000 neue Schadprogramm-Varianten registriert. Die Angriffsfläche wächst schneller als die meisten Unternehmen ihre Abwehr anpassen. Genau deshalb braucht NIS2 kein Papierkonzept — sondern einen Partner, der die Maßnahmen auch im Alltag umsetzt und überwacht.

NIS-2 erfolgreich umsetzen: Der pragmatische 4-Wochen-Plan

So gehen wir bei hagel IT mit unseren Kunden vor. Kein Folienschlacht-Projekt über Monate, sondern handfeste Implementierung der NIS-2-Anforderungen:

Woche 1 — Gap-Analyse

Wir prüfen gemeinsam: Wo stehen Sie? Was haben Sie schon? Was fehlt? Das dauert typischerweise einen halben Tag mit Geschäftsführung und IT-Verantwortlichem. Am Ende steht eine priorisierte Maßnahmenliste.

Woche 2 — Sofortmaßnahmen

Die kritischsten Lücken werden geschlossen. MFA aktivieren, EDR-Lösung ausrollen, Netzwerksegmentierung umsetzen, Backup-Konzept prüfen. Das sind oft Maßnahmen, die sowieso überfällig waren.

Woche 3 — Dokumentation und Prozesse

Risikomanagement dokumentieren, Incident-Response-Plan erstellen, Meldeketten definieren, Lieferantenbewertung starten. Wir nutzen pragmatische Templates, die auf KMU-Größe zugeschnitten sind — kein 200-Seiten-Konzept.

Woche 4 — BSI-Registrierung und laufender Betrieb

Registrierung beim BSI durchführen, Schulungsnachweis für die Geschäftsführung erstellen, quartalsweise Reviews einplanen. Ab hier läuft NIS2 als Teil des regulären IT-Betriebs.

Tipp:

Kombinieren Sie NIS2 mit Ihrem bestehenden Managed-IT-Vertrag. Die meisten technischen Maßnahmen (Monitoring, Patch-Management, EDR, Backup) sind bei einem guten Managed Service bereits enthalten. Dann fehlt nur noch der Dokumentations- und Prozessrahmen.

Warum NIS2 Beratung lokal in Hamburg sinnvoll ist

Cybersecurity-Beratung gibt es überall. Warum ein lokaler Partner Vorteile hat:

Persönliche Gap-Analyse vor Ort. Manche Schwachstellen sehen Sie nur, wenn Sie vor Ort sind. Ein Server-Raum ohne Zutrittskontrolle, ein Switch-Schrank im Flur, ein Drucker am Gäste-WLAN — wir haben das alles schon bei Hamburger Kunden gesehen. Das findet keine Remote-Analyse. Und ja: Wir haben auch schon Server-Räume mit 38°C im Sommer vorgefunden. Da hilft kein Software-Patch.

Schnelle Reaktion im Ernstfall. NIS2 verlangt Incident-Reporting innerhalb von 24 Stunden. Wenn um 3 Uhr nachts die Ransomware zuschlägt, brauchen Sie einen Partner, der nicht erst Flüge bucht. hagel IT in Hamburg — 32 Mitarbeiter, vor Ort in unter einer Stunde.

Branchenkenntnis. Hamburger Logistiker haben andere Anforderungen als Münchner Maschinenbauer. Wir kennen die IT-Landschaft der Hamburger KMU seit über 20 Jahren — und wissen, was pragmatisch funktioniert.

Die IHK Stuttgart hat einen guten Überblick der Pflichten zusammengestellt. Aber ein Leitfaden ersetzt keine individuelle Beratung.

NIS-2 und Managed IT: Warum das zusammengehört

NIS-2 ist kein Einmal-Projekt. Die Richtlinie verlangt laufendes Risikomanagement, regelmäßige Überprüfungen und kontinuierliche Sicherheitsmaßnahmen — ein ISMS im Dauerbetrieb. Genau das liefert ein Managed-IT-Service:

24/7-Monitoring erkennt Anomalien und Angriffe in Echtzeit
Automatisches Patch-Management schließt Sicherheitslücken, bevor sie ausgenutzt werden
Endpoint Detection and Response (EDR) auf allen Geräten
Dokumentiertes Backup-Konzept mit regelmäßigen Restore-Tests
Quartalsweise Security-Reviews mit der Geschäftsführung

Bei hagel IT starten wir ab ca. 50 Euro pro Arbeitsplatz im Monat — Festpreis, alles inklusive. Kein Stundenzählen, keine Überraschungen. Die NIS2-Compliance ist Teil des Pakets, kein teures Add-on.

Das Wichtigste: NIS2 ist seit Dezember 2025 geltendes Recht. Es gibt keine Übergangsfrist. Die Geschäftsführung haftet persönlich. Aber: Die meisten KMU haben technisch schon viel umgesetzt. Was fehlt, ist der dokumentierte Prozessrahmen — und genau da setzen wir an.

Kostenlose Ressourcen: Sofort starten

NIS2-Schnellcheck:

In 2 Minuten wissen, ob Ihr Unternehmen betroffen ist: Zum kostenlosen NIS2-Check →

Cybersicherheits-Checkliste:

20 Punkte die jedes KMU sofort umsetzen kann — kostenlos als PDF: Jetzt herunterladen →

Ihr nächster Schritt

Sie sind unsicher, ob NIS2 Ihr Unternehmen betrifft? Oder Sie wissen es — und brauchen einen pragmatischen Plan für die Umsetzung?

Sprechen Sie mit uns. 15 Minuten, kostenlos, ohne Vertriebsdruck. Wir schauen gemeinsam auf Ihre Situation und geben Ihnen eine ehrliche Einschätzung, was zu tun ist.

NIS2 betrifft Sie? Lassen Sie uns reden.

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Erstgespräch buchen →

Jens Hagel

Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns

Inhalt

Alle Kundenstimmen

Bester IT-Dienstleister

2026 — brand eins / Statista

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

NIS2 betrifft Unternehmen in 18 kritischen Sektoren mit mindestens 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Dazu gehören IT-Dienstleister, Maschinenbau, Lebensmittelproduktion, Logistik, Gesundheitswesen und viele weitere Branchen. Auch kleinere Zulieferer können über die Supply-Chain-Pflichten indirekt betroffen sein.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die Geschäftsführung haftet persönlich. Seit Dezember 2025 gilt das Gesetz ohne Übergangsfrist — die Pflichten müssen sofort erfüllt werden.

Die Kosten hängen vom Reifegrad Ihrer IT-Sicherheit ab. Viele KMU haben bereits 60-70% der Anforderungen umgesetzt, ohne es zu wissen. Eine Ersteinschätzung bei hagel IT ist kostenlos und dauert 15 Minuten. Die Umsetzung als Managed Service kostet ab ca. 50 Euro pro Arbeitsplatz im Monat.

Für ein typisches KMU mit 20-100 Mitarbeitern rechnen wir mit 4-8 Wochen für die Kernmaßnahmen: Gap-Analyse, Risikomanagement, Incident-Response-Plan und BSI-Registrierung. Einige technische Maßnahmen wie EDR-Rollout oder Netzwerksegmentierung laufen parallel.

Ja. Unternehmen, die als wichtige oder besonders wichtige Einrichtung gelten, mussten sich bis zum 6. März 2026 beim BSI registrieren. Falls Sie das noch nicht getan haben, holen Sie das umgehend nach — die Registrierung selbst ist unkompliziert.

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). NIS 2 ist eine EU-Richtlinie mit verpflichtendem Charakter. Wer ISO 27001 umsetzt, erfüllt bereits rund 70 % der NIS-2-Anforderungen. Die Implementierung beider Frameworks parallel spart massiv Zeit und Aufwand.

ISO 27001 deckt den Großteil der technischen und organisatorischen Anforderungen der NIS-2-Richtlinie ab. Es ersetzt aber nicht die BSI-Registrierung und die spezifischen Meldepflichten. ISO 27001 ist ein starker Grundstein, aber für volle NIS-2 Compliance brauchen Sie zusätzlich dokumentierte Incident-Response-Prozesse und den Nachweis der Schulungspflicht für Leitungsorgane.

Ja. Die NIS-2-Richtlinie verlangt regelmäßige Schulungen für alle Mitarbeitenden, nicht nur für IT-Verantwortliche. Die Geschäftsleitung muss zusätzlich eigene Schulungen zu Cybersicherheit nachweisen — diese Schulungspflicht ist nicht delegierbar. Wir empfehlen jährliche Security-Awareness-Schulungen plus anlassbezogene Updates bei neuen Bedrohungen.

Die Geschäftsführung haftet persönlich bei grober Fahrlässigkeit. Das bedeutet: Wenn Sie die Umsetzung der NIS-2-Richtlinie nicht aktiv überwachen und technische wie organisatorische Sicherheitsmaßnahmen nicht freigeben, drohen empfindliche Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — plus persönliche Haftung der Leitungsorgane.