NIS2-Beratung: Pflichten umsetzen, Haftung absichern

Zuletzt aktualisiert: 23.06.2026

Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 geltendes Recht – ohne allgemeine Übergangsfrist. Unsere NIS2-Beratung bringt Ihr Unternehmen aus dem Graubereich heraus: Wir klären Ihre Betroffenheit, schließen die Lücken zwischen Soll und Ist und sichern die persönliche Haftung Ihrer Geschäftsleitung ab – pragmatisch, risikobasiert und sofort einsatzbereit. Keine Gutachten, sondern eine umsetzbare NIS2-Umsetzung im Alltag Ihres Unternehmens.

Kostenloses Erstgespräch vereinbaren → tabea@vsquadrat.de · +49 151 40701461

Warum NIS2 jetzt zur Chefsache wird

Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) hat sich der Kreis der betroffenen Einrichtungen in Deutschland von rund 4.500 auf etwa 29.500 Einrichtungen in 18 Sektoren vervielfacht. Betroffen sind viele Unternehmen, die sich bisher nicht als „kritische Infrastruktur" verstanden haben – vom Maschinenbauer über den IT-Dienstleister bis zum Logistiker.

Das Tückische an NIS2: Es gibt keinen behördlichen Bescheid, der Ihnen Ihre Betroffenheit mitteilt. Sie unterliegen einer Selbstprüfungspflicht – Sie müssen also selbst feststellen, ob und in welcher Kategorie Sie betroffen sind, und entsprechend handeln. Wer das versäumt, steht nicht am Anfang eines Countdowns, sondern bereits im Verzug.

Drei Punkte machen NIS2 zur Aufgabe für die Unternehmensleitung – nicht nur für die IT:

• Persönliche Geschäftsleiter-Haftung: Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen – und haftet persönlich für Versäumnisse. Hinzu kommt eine Schulungspflicht für die Leitungsorgane.
• Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Betrag.
• Frist verpasst: Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Laut BDO waren bis dahin erst rund 11.500 der etwa 29.500 betroffenen Einrichtungen registriert. Wer noch nicht registriert ist, braucht jetzt keine Beruhigung, sondern eine saubere Nachregistrierung.

Die Botschaft 2026 lautet nicht „bald wird es ernst", sondern: Die Frist ist abgelaufen. Jetzt zählt, dass Sie nachweisbar handeln.

Eine fundierte NIS2-Betroffenheitsanalyse und ein strukturierter Umsetzungsplan schaffen genau diesen Nachweis – und nehmen Ihrer Geschäftsleitung das persönliche Haftungsrisiko.

Unsere Leistungen: NIS2-Umsetzung in Bausteinen

NIS2-Beratung ist bei uns kein starres Paket, sondern ein Baukasten. Sie kombinieren genau die Bausteine, die Ihr Reifegrad erfordert – von der ersten Einordnung bis zum laufenden Betrieb. Unsere NIS2-Beratung ist Teil unseres Produkts CaaS – Compliance as a Service und verbindet juristische Tiefe mit operativer Umsetzung.

1. Betroffenheits- und Scope-Bestimmung Wir prüfen anhand von Sektor, Größe und Tätigkeit, ob Sie als „wesentliche" oder „wichtige" Einrichtung gelten. Maßgeblich ist die Schwelle ab 50 Mitarbeitenden oder 10 Mio. € Umsatz in den betroffenen Sektoren. Ergebnis: eine belastbare, dokumentierte Einordnung.

2. Gap-Analyse und Risikobewertung Wir vergleichen Ihre bestehenden technischen und organisatorischen Maßnahmen mit den NIS2-Anforderungen an das Risikomanagement (Art. 21) und legen Lücken offen – risikobasiert priorisiert, nicht als formalistische Mängelliste.

3. Aufbau der Risikomanagementmaßnahmen Wir begleiten Sie beim Aufbau bzw. der Weiterentwicklung der geforderten Maßnahmen: Risikomanagement, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung, Schulung und mehr. Wo es trägt, nutzen wir ein ISMS nach ISO/IEC 27001:2022 als anerkanntes Gerüst für Ihre Nachweise.

4. Meldeprozesse und Vorfallmanagement Wir richten die Prozesse für die gesetzlichen Meldepflichten an das BSI ein – damit im Ernstfall jeder weiß, was zu tun ist, statt im Vorfall erst zu improvisieren.

5. Geschäftsleitung absichern: Governance, Billigung, Schulung Wir bereiten die Billigung der Maßnahmen durch die Geschäftsleitung vor, dokumentieren die Überwachung und erfüllen die gesetzliche Schulungspflicht der Leitungsorgane – die direkte Antwort auf die persönliche Haftung.

6. Registrierung und Dokumentation Wir unterstützen bei der (Nach-)Registrierung beim BSI und sorgen für eine prüffeste Dokumentation, die Ihre NIS2-Konformität belegbar macht.

NIS2 steht selten allein. Wo Cybersicherheit, Lieferkette und KI ineinandergreifen, denken wir mit – etwa über unsere ISO-27001-Beratung, die DORA-Beratung für Finanzkundenketten oder die Cyber-Resilience-Act-Beratung für vernetzte Produkte.

So läuft Ihre NIS2-Beratung – in 4 Schritten

Maximale Flexibilität vom ersten Gespräch bis zum Start – nach dem Baukastenprinzip:

1. Kostenloses Erstgespräch / Bedarfsanalyse: Unverbindlich klären wir Ihren Ausgangspunkt: Betroffenheit, Reifegrad, Dringlichkeit.
2. Zusammenstellung der benötigten Bausteine: Gemeinsam mit unseren Berater:innen wählen Sie genau die Leistungen, die Sie wirklich brauchen.
3. Individuelles Angebot: Passgenau auf Ihren Bedarf zugeschnitten – ohne erzwungene Langfristbindung.
4. Umgehender Beginn Ihrer NIS2-Umsetzung: Wir starten ohne langen Vorlauf, priorisiert nach Risiko.

Sie sind sich nicht sicher, ob Sie überhaupt betroffen sind? Genau das klären wir mit Ihnen – ein erster Anhaltspunkt ist unser NIS2-Betroffenheitscheck.

Warum vsquadrat compliance advisory?

NIS2-Hilfe gibt es viele – wir verbinden, was sonst getrennt eingekauft wird: juristische Expertise, Compliance-Praxis und operative Umsetzung an der Schnittstelle Recht und Business.

• Recht und Compliance aus einer Hand: Wir liefern keine Gutachten, sondern Lösungen. NIS2 ist für uns kein IT-Projekt allein, sondern eine Frage von Haftung, Governance und Nachweisbarkeit.
• TÜV-zertifizierte Fachleute: Unser Team umfasst zertifizierte Datenschutzbeauftragte und Compliance Officer (TÜV) – mit Wirtschaftsjura-Hintergrund (LL.M.).
• Risikobasiert statt formalistisch: Wir priorisieren nach realem Risiko und schützen Ihr Wachstum, bevor Risiken entstehen.
• Branchenerfahrung in regulierten Umfeldern: Unter anderem Schienenlogistik, Telekommunikation, Luft- und Raumfahrt, Energie, Chemie, Versicherungen und Finanzdienstleistungen – genau die Sektoren, in denen NIS2 greift.
• Praxisnah und partnerschaftlich: Persönliche, umsetzungsorientierte Begleitung Ihrer Führungskräfte – kein Standard-Audit von der Stange.

Tiefer in das Thema einsteigen? Unsere Pillar-Seite NIS2 erklärt Betroffenheit, Fristen und Pflichten ausführlich und immer auf aktuellem Stand.

Lead-Magnet: NIS2-Betroffenheitscheck

Bevor Sie in die Umsetzung gehen, brauchen Sie Klarheit. Mit unserem NIS2-Betroffenheitscheck erhalten Sie in wenigen Minuten eine erste Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich fällt – und ob Sie als wesentliche oder wichtige Einrichtung gelten.

• Schnelle Ersteinschätzung anhand von Sektor, Größe und Tätigkeit
• Hinweis auf die einschlägigen Pflichten und nächsten Schritte
• Grundlage für ein fundiertes Erstgespräch

→ Zum NIS2-Betroffenheitscheck

Häufige Fragen zur NIS2-Beratung

Ist mein Unternehmen von NIS2 betroffen? Maßgeblich sind Sektor, Größe und Tätigkeit. In den 18 betroffenen Sektoren gilt grundsätzlich eine Schwelle ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Da es keinen behördlichen Bescheid gibt, unterliegen Sie einer Selbstprüfungspflicht – Sie müssen Ihre Betroffenheit selbst feststellen. Eine erste Orientierung gibt unser NIS2-Betroffenheitscheck; die belastbare Einordnung treffen wir gemeinsam.

Seit wann gilt NIS2 in Deutschland und gibt es eine Übergangsfrist? Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Eine allgemeine Übergangsfrist gibt es nicht. Die BSI-Registrierungsfrist lief bereits am 6. März 2026 ab. Wer noch nicht registriert ist, sollte die Nachregistrierung und die Umsetzung der Pflichten jetzt angehen.

Welche Strafen drohen bei Verstößen gegen NIS2? Die Bußgelder reichen je nach Einrichtungskategorie bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsleitung persönlich für Versäumnisse bei den Risikomanagementmaßnahmen, die sie billigen und überwachen muss.

Was, wenn wir die Registrierungsfrist verpasst haben? Kein Grund zur Panik, aber Anlass zum Handeln: Die Frist vom 6. März 2026 ist abgelaufen, dennoch besteht die Pflicht fort. Wir unterstützen Sie bei der Nachregistrierung und bringen die geforderten Maßnahmen und die Dokumentation nachweisbar auf Stand – damit Sie das Haftungsrisiko begrenzen.

Reicht ein ISMS nach ISO 27001 für NIS2 aus? Ein ISMS nach ISO/IEC 27001:2022 ist kein automatischer NIS2-Nachweis, aber ein anerkanntes und sehr hilfreiches Gerüst: Es deckt viele der geforderten Risikomanagementmaßnahmen ab und erleichtert den Nachweis erheblich. Wir prüfen, welche NIS2-spezifischen Lücken zusätzlich zu schließen sind – siehe auch unsere ISO-27001-Beratung.

Wie schnell können wir mit der NIS2-Umsetzung starten? Nach dem kostenlosen Erstgespräch und der Zusammenstellung Ihrer Bausteine erhalten Sie ein passgenaues Angebot und können umgehend beginnen. Dank Baukastenprinzip gibt es keine erzwungene Langfristbindung – Sie starten dort, wo Ihr Risiko am höchsten ist.

Bringen Sie Ihre NIS2-Pflichten jetzt auf sicheren Stand

Die Frist ist abgelaufen, die Haftung ist persönlich – und genau deshalb ist der richtige Zeitpunkt jetzt. In einem kostenlosen Erstgespräch klären wir Ihre Betroffenheit, zeigen die nächsten Schritte und stellen die passenden Bausteine zusammen. Pragmatisch, risikobasiert, nachweisbar.

Kostenloses Erstgespräch vereinbaren

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Diese Seite ersetzt keine individuelle Rechtsberatung.