Das Cybersicherheitsrecht hat den Takt gewechselt.

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist seit Dezember 2025 in Kraft - ohne Übergangsfrist.

NIS2-pflichtige Einrichtungen müssen sich innerhalb von drei Monaten nach Identifizierung beim BSI registrieren.

Zum Stichtag 6. März 2026 hatten sich nach Angaben beim BSI rund 11.500 der geschätzten 29.500 betroffenen Einrichtungen registriert; damit blieben nach dieser Zählung etwa 18.000 Einrichtungen unregistriert.

Unsere IT-Recht-Beratung ordnet diese Pflichten in die gesamte Digital- und Vertrags-Compliance ein.

Wer jetzt nicht handelt, kumuliert drei Risiken gleichzeitig: ein Unternehmensbußgeld von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes, eine persönliche Innenhaftung der Geschäftsleitung und einen stillen D&O-Verlust, wenn der Versicherer im Schadensfall auf den Wissentlichkeits- oder Bußgeldausschluss zeigt.

Dieser Leitfaden beantwortet drei Fragen:

Wer ist nach dem neuen BSIG überhaupt “besonders wichtige Einrichtung” oder “wichtige Einrichtung” - und was bedeutet das konkret?
Welche Pflichten muss die Geschäftsleitung unter § 38 BSIG persönlich tragen, und wo endet die D&O-Versicherung wirklich?
Wie holen wir für Sie die verpasste Registrierung, das Risikomanagement und die Meldeprozesse strukturiert nach - ohne Panik, aber mit klarer Priorisierung?

Was das neue Cybersicherheitsrecht seit Dezember 2025 konkret verlangt

Das neue Recht verlangt von betroffenen Einrichtungen drei Dinge zugleich: Betroffenheitsprüfung mit Registrierung beim BSI, ein gefahrenübergreifend konzipiertes Risikomanagement nach dem Stand der Technik und einen funktionierenden Meldeprozess für erhebliche Sicherheitsvorfälle.

Die Geschäftsleitung haftet persönlich für die Umsetzung - das ist der zentrale Paradigmenwechsel gegenüber dem alten BSI-Gesetz.

Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung wurde am 2. Dezember 2025 im Bundesgesetzblatt verkündet (BGBl. 2025 I Nr. 301) und ist am 6. Dezember 2025 in Kraft getreten.

Die Richtlinie, die das Gesetz umsetzt, ist die

Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, veröffentlicht im Amtsblatt L 333 vom 27. Dezember 2022.

Ergänzt wird der Rechtsrahmen durch die

Durchführungsverordnung (EU) 2024/2690 vom 17. Oktober 2024, die die technischen und methodischen Anforderungen an das Risikomanagement von DNS-Anbietern, TLD-Registries, Cloud-Diensten, Rechenzentren, CDNs, Managed Service Providern, Managed Security Service Providern, Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken und Vertrauensdiensteanbietern präzisiert.

Für diese Einrichtungstypen hat die Durchführungsverordnung nach § 30 Absatz 3 BSIG Vorrang vor der nationalen Auslegung.

Konkret bedeutet das für die Praxis: Wer in einen der 18 in Anlage 1 oder Anlage 2 des BSIG aufgeführten Sektoren fällt, muss sich innerhalb von drei Monaten nach Einstufung beim BSI registrieren, ein dokumentiertes Risikomanagement aufsetzen, einen Meldeweg für Sicherheitsvorfälle etablieren und die Geschäftsleitung formell schulen.

Für Einrichtungen, die am 6. Dezember 2025 bereits betroffen waren, lief die Registrierungsfrist am 6. März 2026 aus.

Wer ist “besonders wichtige Einrichtung” und wer “wichtige Einrichtung”?

Das BSIG unterscheidet drei Kategorien: besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen.

Die Einordnung entscheidet über Bußgeldhöhe, Nachweiszyklus und Aufsichtsintensität.

Die Einstufung knüpft an Sektorzugehörigkeit, Mitarbeiterzahl und Umsatz- oder Bilanzschwellen an - und an per-se-Kategorien, die größenunabhängig erfasst sind.

Nach § 28 BSIG gelten besonders wichtige Einrichtungen ab mindestens 250 Mitarbeitern oder bei einem Jahresumsatz von über 50 Millionen Euro und einer Bilanzsumme von über 43 Millionen Euro, wichtige Einrichtungen ab mindestens 50 Mitarbeitern oder bei Umsatz und Bilanz von jeweils über 10 Millionen Euro, jeweils bezogen auf die in den Anlagen 1 und 2 genannten Sektoren.

Nach § 28 Abs. 2 Nr. 3 BSIG genügt bei Sektorzugehörigkeit entweder die Mitarbeiterzahl oder Umsatz und Bilanz gemeinsam.

Die Umsatzschwelle kippt mittelständische B2B-SaaS-Anbieter mit hoher Rentabilität und schlankem Team genauso in die Pflicht wie personalintensive Produktionsbetriebe.

Wer unter 50 Mitarbeiter hat, aber in einem per-se-Sektor operiert - etwa als qualifizierter Vertrauensdiensteanbieter, TLD-Registry oder DNS-Dienstanbieter - ist größenunabhängig besonders wichtige Einrichtung.

Die 18 Sektoren nach Anlagen 1 und 2

Anlage 1 (Sektoren hoher Kritikalität) umfasst Energie (inklusive Wasserstoff), Transport und Verkehr, Finanzwesen, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur mit Managed Service Providern und Managed Security Service Providern sowie Weltraum.

Anlage 2 (sonstige kritische Sektoren) fasst Post, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe inklusive Medizinprodukte und Maschinenbau, digitale Dienste wie Online-Marktplätze und Suchmaschinen sowie Forschung zusammen.

Sektor-Mix bedeutet kumulative Pflichten

Ein Energieversorger, der zugleich ein eigenes Kundenportal betreibt, kann gleichzeitig Betreiber kritischer Anlagen und wichtige Einrichtung in Anlage 2 (digitale Infrastruktur) sein. Mehrere Einrichtungsarten bedeuten kumulative Pflichten - Ihr Unternehmen sucht sich nicht die günstigste Rolle aus.

Wer ist per-se größenunabhängig betroffen?

Bestimmte Einrichtungen sind unabhängig von Mitarbeiterzahl oder Umsatz erfasst, weil sie systemkritische Dienste bereitstellen.

Dazu zählen qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registries, DNS-Dienstanbieter sowie öffentliche Telekommunikationsnetz- und -diensteanbieter.

Diese per-se-Kategorien sind in § 28 Absatz 1 Nummer 2 und Absatz 2 Nummer 1 BSIG direkt verankert - nicht in einer separaten Anlage.

Konzerne, Nicht-EU-Hauptsitze, Managed Service Provider

NIS2 knüpft grundsätzlich an die einzelne juristische Person an.

Ein Konzern prüft jede Gesellschaft einzeln.

NIS2-Pflichten nach deutschem BSIG und den Umsetzungsgesetzen anderer EU-Staaten bestehen für jede Rechtspersönlichkeit gesondert, die selbst die Voraussetzungen erfüllt; die Schweiz hat kein NIS2-Umsetzungsgesetz.

Nicht-EU-Muttergesellschaften unterliegen dem BSIG bei unmittelbarer Dienstleistungserbringung in der EU gemäß § 59 BSIG.

Fehlt eine EU-Niederlassung, entsteht eine Vertreterpflicht.

Besonders heikel ist der IT-Dienstleister als Doppelrolle.

Ein Managed Service Provider kann nach Anlage 1 Nummer 6.1.10 BSIG als wichtige oder besonders wichtige Einrichtung gelten, wenn er die Schwellenwerte nach § 28 BSIG erreicht und zudem Teil der Lieferkette seiner Kunden ist.

Beide Rollen erzeugen getrennte Pflichten - die eigene Registrierung entbindet nicht von der Kaskadierung der Kundenanforderungen in die eigenen Subunternehmer.

Unsicher, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung gilt? Wir übernehmen das Scoping in wenigen Arbeitstagen.

Kostenlose Anfrage

Kostenlos beraten
Kein Risiko, 100% vertraulich

Die fünf häufigsten Einwände - und warum sie nicht tragen

Wer im Alltag mit Geschäftsführern, CIOs und CISOs spricht, hört fast immer dieselben fünf Sätze. Alle wirken plausibel, alle tragen bei näherer Prüfung nicht. Wir ordnen die Einwände juristisch ein, statt sie pauschal abzutun - denn in der Gesprächsrunde mit Ihrem Vorstand müssen diese Argumente sauber ausgeräumt werden, nicht überrollt.

”Wir sind doch schon nach ISO 27001 zertifiziert”

ISO 27001 ist eine hervorragende Grundlage, deckt aber typischerweise nur rund 70 Prozent der NIS2-Anforderungen ab.

Die Mindestmaßnahmen nach § 30 Absatz 2 BSIG verlangen neben einem funktionierenden Informationssicherheits-Managementsystem ausdrücklich dokumentierte Konzepte zur Bewältigung von Sicherheitsvorfällen, Lieferkettensicherheit, Multi-Faktor-Authentifizierung, kryptographische Verfahren und grundlegende Schulungen.

Was ISO 27001 nicht leistet: die Meldefristen an das BSI, die persönliche Schulungspflicht der Geschäftsleitung, die BSI-Registrierung, die Bußgeldanknüpfung und die Detailtiefe beim Supply-Chain-Management nach dem BSIG. ISO 27001 ist das “Wie”, NIS2 das “Was”. Beide ergänzen sich, das Zertifikat ersetzt das Gesetz aber nicht.

”Wir sind Bank und haben BAIT, jetzt DORA - reicht das nicht?”

Für Finanzunternehmen ist DORA lex specialis.

Nach § 28 Absatz 6 Nummer 1 BSIG gelten die §§ 30, 31, 32, 35, 36, 38 und 39 des BSIG nicht für Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 (DORA).

Der Vorrang gilt aber nur, solange die DORA-Regelungen mindestens gleichwertig sind - und er befreit nicht vollständig: Die BSI-Registrierung nach § 33 BSIG bleibt bestehen, und für nicht IKT-bezogene Bereiche wie physische Sicherheit oder Lieferantenmanagement außerhalb des IKT-Scope kann NIS2 zusätzlich greifen. Bei einem erheblichen IKT-Vorfall müssen Sie dann parallel melden: an die BaFin nach DORA binnen vier Stunden für den initialen Schweregrad, und an das BSI nach NIS2 für sicherheitsrelevante Parallelaspekte.

”Unser Managed Service Provider macht das schon”

Der Auftraggeber bleibt verantwortlich.

Die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern gehört zu den Mindestmaßnahmen nach § 30 Absatz 2 Nummer 4 BSIG.

Der Managed Service Provider ist häufig selbst wichtige oder besonders wichtige Einrichtung - aber das ist zusätzlich, nicht stattdessen. Ihr Unternehmen haftet gegenüber dem BSI, nicht der Provider. In der Praxis heißt das: Sie müssen Audit-Rechte, Incident-Meldeketten, Remedies und Exit-Regelungen in die Verträge schreiben. Eine bloße Zusicherung im Vertriebsgespräch genügt nicht.

”Wir sind zu klein für NIS2”

Die Schwelle ist oft niedriger als gedacht. Fünfzig Mitarbeitende oder zehn Millionen Euro Jahresumsatz in einem der 18 Sektoren reichen bereits für die Einstufung als wichtige Einrichtung. Zusätzlich gibt es die per-se-Kategorien (Vertrauensdienste, DNS, TLD), die völlig größenunabhängig greifen. Noch kritischer: Unternehmen unterhalb der Schwelle werden häufig indirekt betroffen, weil ein NIS2-pflichtiger Kunde die Anforderungen vertraglich weiterreicht. Wer einem Energieversorger zuliefert, einem Krankenhaus oder einem Marktplatz-Betreiber, wird mit Lieferanten-Fragebögen konfrontiert, die faktisch eine NIS2-konforme Sicherheitsorganisation voraussetzen.

”Die D&O wird das schon abdecken”

Die D&O-Versicherung deckt Bußgelder gegen das Unternehmen in aller Regel nicht. Bei grober Fahrlässigkeit oder wissentlicher Pflichtverletzung greift der Wissentlichkeitsausschluss nach § 103 VVG.

Der Bundesgerichtshof hat mit Urteil vom 19. November 2025 (IV ZR 66/25) entschieden, dass sich der Wissentlichkeitsausschluss nach Ziff. 6 ULLA spiegelbildlich auf die konkret haftungsauslösende Pflichtverletzung beziehen muss: Der Versicherer trägt die Beweislast für positive Kenntnis der konkreten Pflicht und subjektives Bewusstsein der Pflichtwidrigkeit; bloß bedingter Vorsatz oder ein „bewusstes Sich-Verschließen” genügen nicht, und eine Indizwirkung einer Kardinalpflicht auf nachgelagerte Pflichtverstöße scheidet aus. Die Deckungslücken bei Bußgeldregressen nach § 65 BSIG und bei IT-Eigenschäden bleiben dennoch bestehen.

Für NIS2-Unternehmen bedeutet das: D&O bleibt wichtig für die Innenhaftung nach § 38 Absatz 2 BSIG, muss aber durch eine Cyber-Versicherung und gegebenenfalls eine Unternehmens-Strafrechtsschutz-Deckung ergänzt werden. Die pauschale Entwarnung “die D&O regelt das” ist aktuell die gefährlichste Fehleinschätzung am Markt.



Der gefährlichste Satz im Vorstand gerade

“Wir warten auf konkrete BSI-Leitlinien.” Die Pflichten gelten seit dem 6. Dezember 2025 ohne Übergangsfrist. Das BSI hat öffentlich erklärt, dass es nach einer kurzen technischen Übergangsphase beim Registrierungsportal in die aktive Aufsichtsphase übergeht. Wer wartet, riskiert sowohl Bußgeld als auch Haftung im Schadensfall.

Was auf dem Spiel steht: Bußgeld, persönliche Haftung, Lieferantenvertrauen

Die direkten Folgen eines Verstoßes sind im Gesetz präzise gestaffelt. Die indirekten Folgen werden im Vorstand meist unterschätzt - und sind in der Summe oft existenzbedrohender als das Bußgeld selbst.

Bußgeldrahmen bis 10 Millionen Euro oder zwei Prozent des Konzernumsatzes

Für besonders wichtige Einrichtungen sieht § 65 Absatz 5 BSIG Bußgelder bis 10 Millionen Euro vor; für wichtige Einrichtungen bis 7 Millionen Euro. Bei einem Gesamtumsatz über 500 Millionen Euro greift statt der festen Höchstbeträge eine umsatzbezogene Obergrenze von 2 Prozent beziehungsweise 1,4 Prozent des weltweiten Konzernumsatzes des Vorjahres.

Verstöße gegen die reine Registrierungspflicht werden nach § 65 Absatz 5 Nummer 5 BSIG separat mit bis zu 500.000 Euro geahndet.

Die Bußgeldstaffelung ist deshalb nicht binär, sondern granular: Jeder einzelne Pflichtverstoß kann isoliert sanktioniert werden, und das BSI prüft systematisch, nicht selektiv.

Nach § 65 Absatz 11 BSIG darf für einen Verstoß, der sich aus demselben Verhalten ergibt, keine zusätzliche Geldbuße nach dem BSIG verhängt werden, wenn bereits ein Bußgeld nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 (DSGVO) verhängt wurde.

Diese Regelung schützt vor einer Doppelsanktion durch BSI und Landesdatenschutzbehörde für denselben Sachverhalt.

Sie schützt aber nicht vor einer Kumulation mit DORA-Bußgeldern, wenn IKT-Finanzregulierung und Cybersicherheitsregulierung parallel greifen.

Für Banken ist das ein ungelöstes Risiko.

Die persönliche Haftung der Geschäftsleitung nach § 38 BSIG

Dies ist der Kern der Regulierung - und der dringlichste Punkt für jeden Geschäftsführer und Vorstand.

Nach § 38 Absatz 1 BSIG sind die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen verpflichtet, die nach § 30 BSIG zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen; nach § 38 Absatz 2 Satz 1 BSIG haften Geschäftsleitungen, die diese Pflicht verletzen, ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform anwendbaren Regeln des Gesellschaftsrechts. Satz 2 stellt klar, dass das BSIG nur eingreift, soweit diese gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung enthalten.

Das bedeutet: § 38 Absatz 2 BSIG ist eine Rechtsgrundverweisung mit Auffangfunktion.

Die materielle Anspruchsgrundlage bleibt für GmbH und AG das Gesellschaftsrecht - § 43 Absatz 2 GmbHG für den GmbH-Geschäftsführer, § 93 Absatz 2 AktG für den AG-Vorstand.

Konstitutive Bedeutung hat § 38 BSIG nur für Rechtsformen ohne eigene gesellschaftsrechtliche Haftungsnorm.

Der eigentliche Paradigmenwechsel liegt deshalb nicht in einer neuen Haftungsgrundlage, sondern darin, dass die Legalitätspflicht der Geschäftsleitung erstmals gesetzlich ausdrücklich auf Cybersicherheit konkretisiert wird - und damit die Verletzung unmittelbar über § 43 GmbHG bzw. § 93 AktG haftungsauslösend wirkt.

Nach § 38 Absatz 3 BSIG müssen die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementpraktiken im Bereich der Informationssicherheit zu erlangen.

Das BSI hat in seiner Handreichung vom 30.

September 2025 zur Geschäftsleitungsschulung klargestellt, dass die Schulung regelmäßig zu absolvieren ist und drei inhaltliche Kernbereiche abdecken muss: Risikobewertung, Risikomanagementpraktiken nach § 30 BSIG und die Folgenabschätzung für die erbrachten Dienste der Einrichtung.

Die BSI-Handreichung empfiehlt sektor- und einrichtungsspezifische Schulungsinhalte und rät dazu, Dauer und Intervalle der Schulungen individuell an das Risiko und die Fähigkeiten der Geschäftsleitung anzupassen.

Dokumentationspflichtig sind Teilnehmende, Zeitpunkt, Dauer und behandelte Inhalte - eine Zertifizierung ist nicht gefordert.

Die Pflicht ist höchstpersönlich - sie trifft das Leitungsorgan selbst, nicht delegierbare Dritte.

Die Delegationsgrenzen sind damit klar:

Delegierbar – Die operative Umsetzung der Maßnahmen nach § 30 BSIG an CISO, IT-Leitung oder externe Dienstleister.
Nicht delegierbar – Die Überwachungspflicht selbst, die persönliche Schulungspflicht und die Letztverantwortung im Schadensfall.

Diese Differenzierung deckt sich mit der gefestigten Rechtsprechung zu nicht übertragbaren Leitungsaufgaben.

Der BGH hat in seinem Urteil vom 21. April 1997 (II ZR 175/95 - ARAG/Garmenbeck) die Grundsätze zur Legalitätspflicht und Durchsetzungspflicht von Organhaftungsansprüchen entwickelt.

Für die Compliance-Organisation als solche hat zudem das

Landgericht München I in seinem Urteil vom 10. Dezember 2013 (5 HK O 1387/10 - Siemens/Neubürger) die Organisationspflicht des Vorstands ausgeformt.

§ 38 BSIG schreibt diese Linie in das Cybersicherheitsrecht fort.

Die operative zweite Welle: Lieferkette, D&O, Finanzierung

Neben Bußgeld und Haftung kommen die Folgeschäden, die sich in der Regel über sechs bis achtzehn Monate aufschichten:

Reputationsverlust bei Vorfall ohne rechtzeitige Meldung – Die öffentliche Berichterstattung ist mittelfristig oft schädlicher als das Bußgeld selbst, insbesondere bei B2B-Unternehmen mit NIS2-pflichtigen Kunden.
Supply-Chain-Ausschluss – Key-Account-Kunden verlangen im Ausschreibungsverfahren NIS2-Konformitätsnachweise. Wer keinen liefern kann, fliegt aus der Lieferantenliste.
D&O-Prämienerhöhung oder Kündigung – Versicherer fordern für 2026 und 2027 proaktiv NIS2-Compliance-Statements und Schulungsnachweise.
Finanzierungsprobleme – Banken und Private-Equity-Partner prüfen NIS2-Compliance in der Due Diligence, insbesondere bei Portfolio-Unternehmen in Anlage-1-Sektoren.
Konflikte mit Aufsichtsrat und Gesellschafterversammlung – Quartalsbericht zur NIS2-Compliance wird eingefordert und nicht geliefert - häufig der Trigger, der die Mandatierung innerhalb von Tagen beschleunigt.

Viele dieser Folgen werden im Vorstand zunächst als “Marketing-Thema” abgetan. In der Praxis kippt die Bewertung, sobald der erste konkrete Kunde den Supplier-Fragebogen schickt oder der D&O-Makler im Jahresgespräch den Schulungsnachweis aufruft.

Wir übernehmen für Ihre Geschäftsleitung die dokumentierte Schulung nach § 38 BSIG, inklusive revisionssicherem Nachweis.

Kostenlose Anfrage

Kostenlos beraten
Kein Risiko, 100% vertraulich

Unser 5-Schritt-Sofortprogramm, wenn Sie die Frist verpasst haben

Die Frage ist nicht mehr, ob Sie handeln, sondern in welcher Reihenfolge. Wer jetzt strukturiert vorgeht, schließt die Lücke innerhalb von sechs bis zwölf Wochen - nicht binnen Tagen, aber planbar. Das BSI hat öffentlich signalisiert, dass verspätete Registrierungen zunächst nicht unmittelbar mit Bußgeldbescheiden verfolgt werden, weil das zentrale BSI-Portal erst am 6. Januar 2026 live ging. Diese faktische Schonfrist ist keine rechtliche Garantie, aber sie ist der Zeitraum, in dem die Nachholung ohne Ermittlungsdruck möglich ist.

Schritt 1: Scoping und Betroffenheitsprüfung

Klären Sie in drei bis fünf Arbeitstagen eindeutig: wesentliche Einrichtung, wichtige Einrichtung, nicht betroffen oder Betreiber kritischer Anlagen. Wir arbeiten dafür mit Ihrem CFO, CIO und der Rechtsabteilung eine Betroffenheitsmatrix ab, die Mitarbeiterzahl, Umsatz, Bilanzsumme, Sektorzuordnung und per-se-Kategorien erfasst. Bei Konzernstrukturen prüfen wir jede juristische Person einzeln, weil NIS2 an den einzelnen Rechtsträger anknüpft. Ergebnis: ein dokumentiertes Scoping-Memo, das als Ausgangsdokument für alle weiteren Schritte dient und im BSI-Portal eingereicht werden kann.

Schritt 2: BSI-Registrierung nachholen

Die Registrierung erfolgt über das BSI-Portal, das seit dem 6. Januar 2026 produktiv läuft. Einzureichen sind Unternehmensstammdaten, Handelsregisternummer, Kontaktangaben, öffentliche IP-Adressbereiche, Sektorzuordnung nach Anlage 1 oder 2, die EU-Mitgliedstaaten, in denen Dienste erbracht werden, und die zuständigen Aufsichtsbehörden. Der häufig übersehene Stolperstein ist der Authentifizierungsweg: Für die Portal-Anmeldung wird ein ELSTER-Organisationszertifikat benötigt, dessen Beantragung typischerweise fünf bis zehn Werktage dauert. Wer dieses Zertifikat nicht rechtzeitig beantragt, verliert diese Zeit zusätzlich. Wir bereiten die Registrierungsdaten auf, prüfen sie gegen die Anforderungen des § 33 BSIG und reichen sie nach Ihrer Freigabe ein. Parallel dokumentieren wir die verspätete Registrierung intern mit einer Chronologie - das ist die Basis für jede spätere Stellungnahme gegenüber dem BSI, falls nachträglich angesetzt wird.

Schritt 3: Gap-Analyse zu Risikomanagement und technischen Maßnahmen

Die Gap-Analyse gleicht Ihre bestehenden technischen und organisatorischen Maßnahmen mit den zehn Mindestanforderungen nach § 30 Absatz 2 BSIG ab. Wer bereits nach ISO 27001 zertifiziert ist, erreicht meist 60 bis 70 Prozent Deckungsgrad - wir identifizieren die Lücken, die spezifisch durch NIS2 entstanden sind: Meldefristen an das BSI, Supply-Chain-Governance nach § 30 Absatz 2 Nummer 4 BSIG, kontinuierliche Authentifizierung nach § 30 Absatz 2 Nummer 10 BSIG, Krisenmanagement mit dokumentiertem Business Continuity Plan. Ergebnis ist ein priorisierter Maßnahmenplan mit realistischen Umsetzungsfenstern von sechs bis zwölf Monaten.

Schritt 4: Schulung der Geschäftsleitung und revisionssichere Dokumentation

Die Schulung der Geschäftsleitung nach § 38 Absatz 3 BSIG ist kein E-Learning-Häkchen. Das BSI verlangt ausdrücklich ausreichende Kenntnisse zur Risikobewertung, zu Risikomanagementpraktiken und zur Folgenabschätzung für die eigenen Dienste. Wir führen die Schulung juristisch durch, protokollieren Inhalt, Dauer und Anwesenheit und erstellen den Schulungsnachweis in revisionssicherer Form. Parallel dokumentieren wir die Billigung der Risikomanagementmaßnahmen durch die Geschäftsleitung als Beschlussprotokoll - das ist im Haftungsfall das entscheidende Beweisdokument dafür, dass § 38 Absatz 1 BSIG erfüllt wurde.

Schritt 5: Meldeprozess-Playbook und Incident-Response-Generalprobe

Ein 24-Stunden-Meldeprozess, der im Ernstfall zum ersten Mal benutzt wird, ist ein Brandbrief, kein Schutzschild. Wir erstellen Ihr Incident-Response-Playbook, schreiben die Zuständigkeiten fest, richten die technischen Zugänge zum BSI-Portal ein und simulieren einmal den gesamten Ablauf in einer Trockenübung: Kenntniserlangung, Bewertung, Frühwarnung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden, Abschlussmeldung binnen eines Monats. So wissen CIO, CISO und Geschäftsleitung im Ernstfall, wer was tut, welche Informationen das BSI zwingend sehen will und welche Aussagen strafrechtlich problematisch wären.

Tipp von Rechtsanwalt Dr. Sener Dincer:

“Der teuerste Fehler, den wir im Q1 2026 gesehen haben, war nicht die verpasste Registrierung - sondern der Versuch, den ersten Sicherheitsvorfall ohne dokumentiertes Playbook zu melden. Wer zur Meldung selbst zweimal nachbessern muss, weil Frühwarnung, Vorfallmeldung und Abschlussmeldung widersprüchliche Angaben enthalten, riskiert ein eigenständiges Bußgeld nach § 65 Absatz 5 Nummer 4 BSIG. Wir setzen das Playbook so auf, dass die drei Meldungen inhaltlich und rechtlich aufeinander aufbauen.”

Der Meldeprozess-Dreiklang: 24 Stunden, 72 Stunden, ein Monat

Der Meldeprozess ist das operative Herzstück des BSIG und der häufigste Haftungs-Auslöser im Ernstfall.

Die Fristen sind knapp, die inhaltlichen Anforderungen steigen von Stufe zu Stufe, und die Meldung erfolgt an eine gemeinsame Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

Nach § 32 Absatz 1 BSIG sind besonders wichtige Einrichtungen und wichtige Einrichtungen verpflichtet, einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Kenntniserlangung als frühe Erstmeldung, spätestens innerhalb von 72 Stunden als Vorfallmeldung mit erster Bewertung und spätestens einen Monat nach der 72-Stunden-Meldung als Abschlussmeldung der gemeinsamen Meldestelle von BSI und BBK zu melden.

Ein erheblicher Sicherheitsvorfall liegt nach der Legaldefinition in § 2 Absatz 1 Nummer 11 BSIG vor, wenn eine schwere Betriebsstörung oder finanzielle Verluste für die Einrichtung verursacht werden oder können, oder wenn beträchtliche materielle oder immaterielle Schäden für andere Personen entstehen oder entstehen können.

Die Formulierung “oder können” ist wesentlich: Bereits eine potenzielle Gefährdung genügt. Wer wartet, bis der Schaden manifest ist, verpasst die 24-Stunden-Frühwarnung.

Die Tabelle fasst zusammen, was in welcher Stufe gefordert ist - und warum die inhaltliche Abstimmung zwischen den Meldungen über den Bußgeldrahmen mitentscheidet.

 Wischen

Stufe	Frist	Was gehört rein	Taktische Konsequenz
Frühwarnung	24 Stunden	Erste Einschätzung zu Böswilligkeit und grenzüberschreitenden Auswirkungen	Geschwindigkeit vor Präzision, aber formal ordnungsgemäß
Vorfallmeldung	72 Stunden	Bewertung von Schweregrad und Auswirkungen, ggf. Kompromittierungsindikatoren	Forensisch belastbar - die kritische juristische Stufe
Abschlussmeldung	1 Monat nach Vorfallmeldung	Ausführliche Beschreibung, Ursache, Abhilfemaßnahmen, grenzüberschreitende Folgen	Wird in Bußgeld- und D&O-Verfahren wörtlich zitiert

Wenn der Vorfall zum Zeitpunkt der Abschlussmeldung noch andauert, tritt eine Fortschrittsmeldung an deren Stelle.

Das BSI kann zudem jederzeit Zwischenmeldungen anfordern.



Doppelmeldung DSGVO und NIS2

Bei einem Angriff, bei dem zugleich personenbezogene Daten abfließen, greifen zwei Meldepflichten parallel: NIS2 gegenüber dem BSI binnen 24 Stunden und die DSGVO gegenüber der zuständigen Datenschutzaufsicht binnen 72 Stunden. Die Fristen laufen unabhängig, die Ansprechpartner sind unterschiedlich. Wer nur eine der beiden Meldungen absetzt, riskiert ein zusätzliches Bußgeld aus der jeweils anderen Welt.

Was § 38 BSIG konkret von der Geschäftsleitung verlangt

Der Abschnitt zur Geschäftsleitungs-Haftung ist zentral genug, dass er eine eigene Vertiefung verdient. Die Norm ist kompakt formuliert - die Konsequenzen sind weitreichend.

Drei nicht delegierbare Pflichten

Die Geschäftsleitung schuldet nach § 38 BSIG drei getrennte Pflichten: die Umsetzung der Risikomanagementmaßnahmen (Absatz 1 Satz 1), die Überwachung der Umsetzung (Absatz 1 Satz 1 Alt.

2) und die persönliche Teilnahme an Schulungen (Absatz 3).

Alle drei sind als Leitungsaufgaben höchstpersönlich.

Die operative Umsetzung kann an den CISO, die IT-Leitung oder einen externen Dienstleister delegiert werden.

Die Überwachung selbst kann nicht delegiert werden - sie ist der Kern der gesellschaftsrechtlichen Leitungsverantwortung und deckungsgleich mit der Rechtsprechung zu nicht übertragbaren Leitungsaufgaben.

Die Schulungspflicht kann weder delegiert noch durch ein Zertifikat eines externen Beraters abgegolten werden: Die Geschäftsleitung muss sich selbst schulen lassen.

Der Haftungsdurchgriff über das Gesellschaftsrecht

§ 38 Absatz 2 BSIG verweist ausdrücklich auf das jeweils anwendbare Gesellschaftsrecht.

Für den GmbH-Geschäftsführer bedeutet das § 43 Absatz 2 GmbHG: Er haftet der Gesellschaft für Schäden, die er durch Verletzung seiner Pflichten verursacht.

Für den AG-Vorstand gilt § 93 Absatz 2 AktG mit dem zusätzlichen Maßstab der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters.

Die Business Judgement Rule aus § 93 Abs. 1 Satz 2 AktG gilt auch analog für den GmbH-Geschäftsführer und schützt nur, wenn die unternehmerische Entscheidung auf der Grundlage angemessener Information getroffen wurde, wie der BGH in seiner Entscheidung vom 26. November 2015 (3 StR 17/15, BGHSt 61, 48) bestätigt hat.

Zudem greift die Rule nicht bei Legalitätspflichten: Wer gegen § 38 BSIG verstößt, kann sich nicht auf unternehmerisches Ermessen berufen.

§ 38 Abs. 3 BSIG verlangt regelmäßige Schulungsteilnahme; die Geschäftsleitung trägt die Beweislast für deren Durchführung nach § 93 Abs. 2 Satz 2 AktG bzw. § 43 Abs. 2 GmbHG, weshalb Dokumentation für den Nachweis entscheidend ist.

Die Schulungspflicht wirkt damit als Beweisanker - nicht als lästiges Häkchen.

Nach § 9 OWiG können Bußgelder gegen handelnde Organe persönlich festgesetzt werden, wenn die Voraussetzungen der jeweiligen Ordnungswidrigkeit vorliegen; § 65 BSIG in Verbindung mit § 9 OWiG eröffnet damit die persönliche Bußgeldhaftung der Geschäftsleitung.

Die Kombination aus zivilrechtlicher Innenhaftung, persönlicher Bußgeldhaftung und aufsichtsrechtlicher Untersagungsbefugnis nach § 61 Absatz 9 BSIG - vorübergehende Untersagung der Tätigkeit - macht die Geschäftsleitung zum primären Adressaten des Cybersicherheitsrechts.

Warum die D&O-Versicherung nicht alles auffängt

Die D&O-Versicherung deckt typischerweise die zivilrechtliche Innenhaftung - aber nicht die Bußgelder gegen das Unternehmen selbst und oft nicht die persönlichen Bußgelder, wenn der Versicherer einen Sanktionscharakter bejaht.

Der BGH hat im November 2025 mit Urteil IV ZR 66/25 zur Versicherbarkeit und zum Wissentlichkeitsausschluss eine Grundsatzentscheidung getroffen, die versichertenfreundlich war, aber die Grauzone zwischen repressiver Sanktion und kompensatorischer Haftung nicht aufgelöst hat.

Praktisch folgenreicher ist ein anderer Schritt: D&O-Anbieter integrieren seit Anfang 2026 vertragliche Obliegenheiten, deren Verletzung nach § 28 VVG zur Leistungskürzung oder -freiheit führen kann.

Zu den wesentlichen Compliance-Anforderungen gehören die gesetzliche Registrierungspflicht nach § 33 BSIG sowie der Nachweis über die regelmäßige Teilnahme der Geschäftsleitung an Schulungen gemäß § 38 Absatz 3 BSIG. In der Praxis dienen zudem ein ISMS (häufig auf Basis der ISO 27001) sowie dokumentierte Nachweise über die Umsetzung und Billigung der Sicherheitsmaßnahmen durch die Geschäftsleitung als zentrale Belege gegenüber dem BSI.

Wer diese Belege im Schadensfall nicht vorlegen kann, gibt dem Versicherer eine zweite Verteidigungslinie - auch dann, wenn die BGH-Rechtsprechung zum Wissentlichkeitsausschluss greift.

Wir prüfen Ihre D&O-Police auf NIS2-Deckungslücken und entwerfen die Anpassungs-Korrespondenz mit Ihrem Versicherer.

Kostenlose Anfrage

Kostenlos beraten
Kein Risiko, 100% vertraulich

Supply-Chain-Kaskadierung: Wie Sie NIS2 in die Lieferkette durchreichen

Die Supply-Chain-Sicherheit ist nicht nur eine der zehn Mindestmaßnahmen - sie ist der Punkt, an dem NIS2-Compliance in der Praxis am häufigsten scheitert. Wer die eigene Organisation aufräumt, aber die Verträge mit Managed Service Providern, Cloud-Anbietern, Rechenzentren und Systemhäusern nicht nachzieht, schließt die Lücke nur zur Hälfte.

Für Finanzunternehmen regelt die DORA die IKT-Drittdienstleister-Verträge im Detail.

Für besonders wichtige und wichtige Einrichtungen ergibt sich die Pflicht zur Lieferkettensicherheit aus § 30 Absatz 2 Nummer 4 BSIG.

Große Industriekunden nutzen häufig Plattformen wie SAP Ariba oder eigene Supplier-Portale (in der Automobilbranche außerdem TISAX) zur Verteilung standardisierter Lieferanten-Registrierungs- und Qualifizierungsfragebögen.

In der Praxis fordern Auftraggeber zunehmend die Einhaltung der 24/72-Stunden-Meldefristen (inklusive Verdachtsmeldungen), den Nachweis eines ISMS (oft orientiert an ISO 27001) sowie die Umsetzung von Multi-Faktor-Authentifizierung für kritische Zugriffe. Auch regelmäßige Sicherheitsüberprüfungen wie Penetrationstests und spezifische Haftungsregelungen in Lieferantenverträgen werden zum Marktstandard, um die Anforderungen der NIS2-Richtlinie in der Lieferkette abzusichern.

In der Vertragsgestaltung auf Ihrer Seite muss das spiegelbildlich operationalisiert werden:

Audit-Rechte gegenüber dem Dienstleister – Abgestimmt auf das Sicherheitsniveau Ihrer Einrichtungskategorie.
Meldeketten bei Sicherheitsvorfällen des Dienstleisters – So strukturiert, dass Ihre eigenen 24/72-Stunden-Fristen gehalten werden können.
Vertragsstrafen bei Verstößen – Gegen die vereinbarten Sicherheitsmaßnahmen und Meldeketten.
Exit- und Migrationsplanung – Damit Sie einen unzuverlässigen Provider kurzfristig ersetzen können.
Flow-Down an Unterauftragnehmer – Weitergabe der NIS2-Anforderungen an Sub-Dienstleister des Providers.

Der Detailgrad dieser Klauseln ist Teil unseres Sniper-Pakets, wird aber nicht in einem Satz erledigt. Wenn Sie an einer reinen Vertragsgestaltung für IT-Outsourcing-Rahmenverträge arbeiten, ist unsere separate Seite zum IT-Outsourcing-Rahmenvertrag der passende Einstieg. Für konkrete SaaS-Verträge und KI-Einkaufsverträge haben wir ebenfalls spezialisierte Angebote, die NIS2-Anforderungen direkt in die Vertragstexte einarbeiten.

KRITIS, DSGVO, DORA, BAIT, CRA: Was gilt wann?

Einer der häufigsten Fehler im Vorstand ist das Gleichsetzen verschiedener Regelwerke. Wir ordnen die wichtigsten Abgrenzungen kurz ein, damit Sie im nächsten Board-Meeting klar argumentieren können.

Die alte KRITIS-Regulierung und das neue NIS2-Regime stehen nicht in Konkurrenz, sondern in einem Teilmengenverhältnis.

Wer Betreiber kritischer Anlagen ist, gilt nach § 28 Absatz 1 Nummer 1 BSIG automatisch als besonders wichtige Einrichtung mit entsprechenden Pflichten.

NIS2 umfasst 18 Sektoren in den Anhängen I und II der Richtlinie 2022/2555 sowie drei Kategorien von Einrichtungen nach § 28 BSIG.

Die DSGVO bleibt parallel anwendbar, hat aber ein anderes Schutzgut: personenbezogene Daten versus Systemintegrität.

Bei einem Cyberangriff mit Datenabfluss greifen beide Regime mit unterschiedlichen Fristen und unterschiedlichen Behörden.

§ 65 Absatz 11 BSIG schließt die Doppelbebußung für denselben Sachverhalt aus - nicht aber die Doppelmeldung.

Wie die Koordination in der Praxis aussieht und welche Risiken aus einer Datenschutz-Abmahnung parallel zur NIS2-Aufsicht entstehen, zeigen wir auf der jeweils spezialisierten Seite.

DORA ist lex specialis für Finanzunternehmen und verdrängt nach § 28 Absatz 6 Nummer 1 BSIG die materiellen Risikomanagement- und Meldepflichten aus dem BSIG, lässt aber die Registrierungspflicht bestehen.

BAIT, VAIT und KAIT werden schrittweise durch DORA ersetzt - für die reine Cybersicherheits-Compliance einer Bank ist DORA seit dem 17.

Januar 2025 der bestimmende Rechtsrahmen.

Der Cyber Resilience Act regelt Produktsicherheit, nicht Betreibersicherheit, und wird vollständig erst am 11.

Dezember 2027 anwendbar.

Für Hersteller digitaler Produkte kommt das CRA-Pflichtenpaket zusätzlich - nicht stattdessen.

Die Meldepflicht für aktiv ausgenutzte Schwachstellen nach Art. 14 Abs. 2 CRA gilt ab September 2026.

 Wischen

Regime	Schutzgut	Zuständige Behörde	Meldefrist	Bußgeldrahmen
NIS2 (BSIG)	Cybersicherheit, Systemintegrität	BSI (mit BBK)	24h / 72h / 1 Monat	bis 10 Mio. Euro oder 2 % Umsatz
DSGVO	personenbezogene Daten	Landes- und Bundesdatenschutz	72 Stunden	bis 20 Mio. Euro oder 4 % Umsatz
DORA	IKT-Risiken Finanzsektor	BaFin	4 Stunden nach Einstufung, 24 Stunden nach Kenntnis	bis 5.000.000 EUR nach § 56 Abs. 5e KWG
CRA	Produktsicherheit digitaler Produkte	ENISA, nationale CSIRT	24 Stunden für aktiv ausgenutzte Schwachstellen	bis 15 Mio. Euro oder 2,5 % Umsatz

Unser Beratungsablauf - transparent und priorisiert

Wir arbeiten in vier klar getrennten Phasen. Jede Phase endet mit einem definierten Arbeitsergebnis, das Ihr Vorstand dem Aufsichtsrat, dem D&O-Versicherer oder einem Kunden vorlegen kann.

So läuft Ihre NIS2-Beratung bei uns ab



Kostenlos

1. Ersteinschätzung

Termin von 45 bis 60 Minuten zur Kategorisierung, Pflichtenbestimmung und Identifikation der Quick Wins. Transparentes Angebot mit fixer Honorarstruktur pro Paket.


2. Scoping & Nachregistrierung

Scoping-Memo, BSI-Registrierung über das Portal, interne Chronologie der verspäteten Registrierung. Dauer regelmäßig zwei bis drei Wochen.


3. Risikomanagement & Governance

Gap-Analyse gegen § 30 BSIG, Billigungsbeschluss der Geschäftsleitung, Schulung nach § 38 Absatz 3 BSIG, Incident-Response-Playbook. Dauer sechs bis zwölf Wochen.
4. Laufende Compliance

Externe Rechtsabteilung für Cybersicherheit als Retainer-Mandat - BSI-Korrespondenz, Incident-Response, Audit-Vorbereitung, jährliche Aktualisierung.

In der Ersteinschätzung klären wir in einem Termin von 45 bis 60 Minuten, in welche Kategorie Ihr Unternehmen fällt, welche Pflichten akut sind, welche mittelfristig greifen und welche Quick Wins unmittelbar verfügbar sind. Auf dieser Basis unterbreiten wir Ihnen ein transparentes Angebot - mit fixer Honorarstruktur je Paket, damit die Kosten im Vorstand budgetierbar sind, bevor das Mandat erteilt wird.

In der laufenden Compliance-Phase betreuen wir Sie als externe Rechtsabteilung für Cybersicherheit - als klar abgegrenztes Retainer-Mandat, das BSI-Korrespondenz, Incident-Response im Ernstfall, Audit-Vorbereitung und jährliche Aktualisierung der Risikobewertungen abdeckt.

Nächste Schritte

Das neue Cybersicherheitsrecht ist in Kraft, die Registrierungsfrist ist verstrichen, und die Aufsicht arbeitet aktiv. Der Rückstand ist aufholbar, wenn die nächsten sechs Wochen strukturiert genutzt werden. Entscheidend ist, dass Ihre Geschäftsleitung nach innen belegen kann, dass sie nach Kenntnis der verpassten Frist konsequent gehandelt hat - nicht, dass alles perfekt ist.

Wir übernehmen für Sie das Scoping, die Nachregistrierung, die Gap-Analyse, die dokumentierte Geschäftsleitungsschulung und das Meldeprozess-Playbook. Die Ersteinschätzung ist kostenfrei. Auf Basis dieser Analyse unterbreiten wir Ihnen ein transparentes Angebot mit fixer Honorarstruktur je Paket, damit Ihr Vorstand die Kosten planbar budgetieren kann, bevor das Mandat erteilt wird. In der Regel nehmen wir innerhalb eines Arbeitstags Kontakt auf und sortieren die Priorität: akute Registrierungslücke zuerst, Risikomanagement-Aufbau parallel, Schulung und Playbook als nächster Schritt.

Wenn Sie noch nicht wissen, in welche Kategorie Ihr Unternehmen fällt, schicken Sie uns Sektor, Mitarbeiterzahl und Umsatzgröße - wir liefern Ihnen binnen 24 Stunden eine vorläufige Einstufung, mit der Sie intern weiterarbeiten können, ohne gleich zu mandatieren.

NIS2-Beratung - BSI-Registrierung nachholen, Risikomanagement strukturieren, Haftung begrenzen

Dr. Sener Dincer

So holen wir Ihre NIS2-Compliance strukturiert nach

Was das neue Cybersicherheitsrecht seit Dezember 2025 konkret verlangt

Wer ist “besonders wichtige Einrichtung” und wer “wichtige Einrichtung”?

Die 18 Sektoren nach Anlagen 1 und 2

Sektor-Mix bedeutet kumulative Pflichten

Wer ist per-se größenunabhängig betroffen?

Konzerne, Nicht-EU-Hauptsitze, Managed Service Provider

Unsicher, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung gilt? Wir übernehmen das Scoping in wenigen Arbeitstagen.

Die fünf häufigsten Einwände - und warum sie nicht tragen

”Wir sind doch schon nach ISO 27001 zertifiziert”

”Wir sind Bank und haben BAIT, jetzt DORA - reicht das nicht?”

”Unser Managed Service Provider macht das schon”

”Wir sind zu klein für NIS2”

”Die D&O wird das schon abdecken”

Der gefährlichste Satz im Vorstand gerade

Was auf dem Spiel steht: Bußgeld, persönliche Haftung, Lieferantenvertrauen

Bußgeldrahmen bis 10 Millionen Euro oder zwei Prozent des Konzernumsatzes

Die persönliche Haftung der Geschäftsleitung nach § 38 BSIG

Die operative zweite Welle: Lieferkette, D&O, Finanzierung

Wir übernehmen für Ihre Geschäftsleitung die dokumentierte Schulung nach § 38 BSIG, inklusive revisionssicherem Nachweis.

Unser 5-Schritt-Sofortprogramm, wenn Sie die Frist verpasst haben

Schritt 1: Scoping und Betroffenheitsprüfung

Schritt 2: BSI-Registrierung nachholen

Schritt 3: Gap-Analyse zu Risikomanagement und technischen Maßnahmen

Schritt 4: Schulung der Geschäftsleitung und revisionssichere Dokumentation

Schritt 5: Meldeprozess-Playbook und Incident-Response-Generalprobe

Tipp von Rechtsanwalt Dr. Sener Dincer:

Der Meldeprozess-Dreiklang: 24 Stunden, 72 Stunden, ein Monat

Doppelmeldung DSGVO und NIS2

Was § 38 BSIG konkret von der Geschäftsleitung verlangt

Drei nicht delegierbare Pflichten

Der Haftungsdurchgriff über das Gesellschaftsrecht

Warum die D&O-Versicherung nicht alles auffängt

Wir prüfen Ihre D&O-Police auf NIS2-Deckungslücken und entwerfen die Anpassungs-Korrespondenz mit Ihrem Versicherer.

Supply-Chain-Kaskadierung: Wie Sie NIS2 in die Lieferkette durchreichen

KRITIS, DSGVO, DORA, BAIT, CRA: Was gilt wann?

Unser Beratungsablauf - transparent und priorisiert

So läuft Ihre NIS2-Beratung bei uns ab

1. Ersteinschätzung

2. Scoping & Nachregistrierung

3. Risikomanagement & Governance

4. Laufende Compliance

Nächste Schritte

Häufige Fragen (FAQ)

Welche Unternehmen müssen NIS2 umsetzen?

Wann tritt NIS2 in Deutschland in Kraft und wann lief die Registrierungsfrist?

Bin ich als angestellter Geschäftsführer einer GmbH persönlich haftbar?

Schützt eine D&O-Versicherung vor NIS2-Haftung?

Reicht meine ISO-27001-Zertifizierung für NIS2?

Was passiert, wenn wir die Registrierungsfrist am 6. März 2026 verpasst haben?

Gilt NIS2 auch, wenn wir bereits nach DORA und BAIT reguliert sind?

Wie lange dauert der Aufbau einer NIS2-konformen Sicherheitsorganisation?

Holen Sie die verpasste NIS2-Registrierung strukturiert nach.

Dr. Sener Dincer

Kostenlos beraten

Häufige Fragen
(FAQ)