Keine theoretische Beratung, sondern operative Umsetzung der 10 Pflichtmaßnahmen mit Praxiserfahrung aus regulierten Branchen.
🛡️
ISMS-Aufbau
Informationssicherheits-Managementsystem nach ISO 27001 und BSI IT-Grundschutz aufbauen. Policies, Prozesse und Dokumentation.
📋
BSI-Registrierung
Registrierung beim BSI als betroffenes Unternehmen. Meldepflichten, Kontaktstellen und Fristen einhalten.
🔐
10 Pflichtmaßnahmen
Risikomanagement, Incident Response, Business Continuity, Supply Chain Security, Verschlüsselung und mehr. Alle 10 Maßnahmen operativ umsetzen.
📊
Risikobewertung
Systematische Identifikation und Bewertung von IT-Risiken. Gap-Analyse zum NIS2-Soll-Zustand.
🎓
Awareness und Schulung
Cybersicherheits-Schulungen für Geschäftsführung und Mitarbeiter. NIS2 macht persönliche Haftung der Geschäftsführung möglich.
⚡
Incident Response
Aufbau von Meldeprozessen, Krisenplänen und Wiederanlaufprozeduren. 24h-Meldefrist bei Sicherheitsvorfällen einhalten.
Marktrelevanz
Warum NIS2 Compliance keine Option ist, sondern Pflicht
Die NIS2-Richtlinie ist seit Dezember 2025 in Deutschland in Kraft, ohne Übergangsfrist. Geschätzt 30.000 Unternehmen sind betroffen, viele davon zum ersten Mal von Cybersicherheits-Regulierung.
Die persönliche Haftung der Geschäftsführung bei Verstößen macht NIS2 zum Chefsache-Thema. Bußgelder bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes drohen bei Nichteinhaltung.
DARC Management bringt KRITIS-Erfahrung aus Klinikverbund und Stadtverwaltung mit. Beide Branchen unterliegen den strengsten Anforderungen. Diese Erfahrung überträgt sich direkt auf NIS2-Projekte in jeder Branche.
Einsatzszenarien
5 Situationen, in denen Nis2 Compliance den Unterschied macht
🏛️
1. NIS2 für eine Stadtverwaltung
Eine Stadtverwaltung muss NIS2/KRITIS-Compliance herstellen. IT-Sicherheitsrichtlinien fehlen, kein ISMS vorhanden, 5 Standorte uneinheitlich gesichert. Gleichzeitig laufen Schulen und Feuerwehr über die gleiche IT.
DARC Erfahrung: Frank Wichert baute IT-Sicherheitsrichtlinien und NIS2-Systeme für eine Stadtverwaltung mit 5 Standorten auf.
🏥
2. KRITIS-Compliance im Klinikverbund
Ein Klinikverbund mit 4 Rechenzentren muss KRITIS-konform werden. Medizin-IT, Patientendaten und 24/7-Betrieb erfordern höchste Sicherheitsstandards.
DARC Erfahrung: Frank Wichert implementierte KRITIS-konforme Sicherheitsrichtlinien für einen Klinikverbund mit 35 MA.
💊
3. IT-Security in der Pharmaindustrie
Ein Pharma-Unternehmen muss GxP-konforme IT-Sicherheit mit NIS2 verbinden. Validierte Systeme, Audit-Trails und Datenschutz müssen parallel erfüllt werden.
DARC Erfahrung: Frank Wichert hat IT-Security-Erfahrung aus der Pharmaindustrie (GxP) und KRITIS-Umgebungen.
🏭
4. Erstmalig von NIS2 betroffen: Mittelstand
Ein mittelständisches Fertigungsunternehmen erfährt zum ersten Mal, dass es unter NIS2 fällt. Keine IT-Sicherheitsabteilung, kein ISMS, keine Meldeprozesse. Alles muss von Null aufgebaut werden.
DARC Erfahrung: Frank Wichert unterstützt KMU beim Aufbau von IT-Sicherheitsstrukturen mit pragmatischem Ansatz.
⚡
5. Incident Response nach Cyberangriff
Ein Unternehmen wird angegriffen. Systeme sind verschlüsselt, Meldepflicht läuft. Ohne vorbereitete Prozesse drohen Bußgelder und Reputationsschaden.
DARC Erfahrung: Frank Wichert verbindet Harvard-Krisenmanagement mit IT-Sicherheitsexpertise für strukturierte Incident Response.
KRITIS-Erfahrung trifft auf Krisenmanagement-Expertise.
Krisenmanagement (Harvard)MBA und Master (ENEB Barcelona)PRINCE2ITIL12 Jahre Bundeswehr mit EinsatzerfahrungKI-Systeme
FAQ
Häufige Fragen zu NIS2 Compliance
Antworten auf die häufigsten Fragen, die uns vor dem Erstgespräch erreichen.
Wer fällt unter NIS2?
Die EU-Richtlinie NIS2 erfasst über 18 Sektoren mehrere zehntausend Unternehmen in Deutschland, deutlich mehr als die Vorgängerrichtlinie. Grob gilt: wesentliche Einrichtungen ab etwa 250 Mitarbeitern oder einem entsprechenden Jahresumsatz und wichtige Einrichtungen schon ab kleinerer Größe in regulierten Sektoren. Eine sorgfältige Betroffenheitsanalyse ist der erste Schritt.
Was sind die NIS2-Pflichtmaßnahmen?
Das BSI-Gesetz definiert zehn Maßnahmenfelder: Risikomanagement, Behandlung von Sicherheitsvorfällen, Backup und Krisenmanagement, Lieferkettensicherheit, Sicherheit in Beschaffung und Wartung, Wirksamkeitsbewertung, Cyber-Hygiene und Schulungen, Kryptographie, Personalsicherheit und Zugriffskontrolle sowie Multifaktor-Authentifizierung. Konkret werden diese Felder in Form eines ISMS umgesetzt.
Was passiert bei NIS2-Verstößen?
Mögliche Folgen sind erhebliche Bußgelder, persönliche Haftung der Geschäftsführung bei grober Fahrlässigkeit und Veröffentlichung von Verstößen durch das BSI mit entsprechendem Reputationsschaden. Die genaue Höhe richtet sich nach Größe und Schwere, ist aber für jedes betroffene Unternehmen spürbar.
Wie lange dauert die NIS2-Umsetzung?
Eine Erstanalyse mit Gap-Assessment dauert typisch vier bis acht Wochen. Der Aufbau eines minimalen ISMS folgt in drei bis sechs Monaten. Die vollständige Implementierung aller zehn Maßnahmenfelder mit nachweisbarer Wirksamkeit braucht meist sechs bis zwölf Monate, danach läuft der Betrieb in einem jährlichen Überprüfungszyklus.
Wo fängt man bei NIS2 am besten an?
Mit einem klaren Betroffenheits-Check: bin ich erfasst, in welcher Kategorie, welche Pflichten gelten konkret für mich. Danach folgt eine Gap-Analyse, die den Ist-Zustand mit den Anforderungen abgleicht. Erst auf dieser Basis entsteht ein realistischer Umsetzungsplan, der priorisiert und budgetierbar ist.
Ein Gespräch. Kein Pitch.
30 Minuten, voller Fokus auf deine Situation. Ehrliche Einschätzung, konkrete Schritte, ein Partner der versteht.