Cybersecurity rückt mit der NIS-2-Richtlinie stärker denn je in den Fokus von Geschäftsführung und Management. Im Gespräch gibt Andreas Grau Einblicke, welche Herausforderungen und Chancen sich daraus für Unternehmen ergeben und wie eine strukturierte Umsetzung gelingen kann.
Cyberangriffe betreffen heute ganze Geschäftsmodelle und die Risiken sind nicht mehr rein technisch, sie gefährden zum Beispiel auch Lieferketten. Gleichzeitig verlangen EU-Richtlinien wie NIS-2 oder die deutsche Gesetzgebung mit dem IT-Sicherheitsgesetz 2.0 klare Verantwortlichkeiten auf Managementebene. IT-Sicherheit ist damit kein IT-Projekt mehr, sondern Teil der Unternehmenssteuerung. Wer Cybersecurity heute noch als rein technisches Thema behandelt, übersieht ihren strategischen Kern.
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Geltungsbereich und die Anforderungen deutlich. Viele mittelständische Unternehmen, die bislang nicht betroffen waren, fallen nun unter die neuen Regeln. Ziel ist es, die Cyberresilienz in Europa zu stärken, damit Organisationen Angriffe abwehren und Vorfälle bewältigen können. Neu ist auch der Fokus auf Managementverantwortung, Meldepflichten sowie die Bewertung von Risiken entlang der Lieferkette. Die Meldepflichten sind kein bürokratisches Vehikel, sondern die Grundvoraussetzung für eine staatenübergreifende Abwehr im Falle von beispielsweise großflächigen, politisch motivierten Angriffen auf die Infrastruktur mehrerer EU-Mitgliedstaaten.
Die größte Hürde ist oft Orientierung. Viele wissen nicht genau, ob sie betroffen sind oder wie tiefgreifend die Anforderungen tatsächlich sind. Unternehmen müssen ihre Betroffenheit selbst prüfen. Hierzu empfehlen wir, sich Unterstützung zu holen, insbesondere wenn es um die genaue Einordnung der Kritikalität der Einrichtung geht. Dazu kommt: In vielen Unternehmen ist IT-Sicherheit historisch gewachsen – also fragmentiert, mit parallelen Systemen und unklaren Zuständigkeiten. NIS-2 zwingt dazu, das Thema strukturell zu verankern und abteilungsübergreifend zu denken. Das ist kein einfacher, aber ein notwendiger Schritt.
Wenn man NIS-2 nur als Regulierung sieht, wirkt sie lästig. Wer sie jedoch als Rahmen für die Sicherheit sowohl des eigenen Unternehmens als auch der Gesellschaft versteht, kann echten Mehrwert schaffen. Unternehmen, die ihre Sicherheitsprozesse systematisch aufbauen, werden resilienter und schneller handlungsfähig – auch jenseits von Cyberthemen. Viele nutzen die Umsetzung als Anlass, ihre IT-Landschaft zu modernisieren, Zuständigkeiten zu klären und Risiken erstmals ganzheitlich zu bewerten. Das schafft Transparenz und Vertrauen – intern wie extern.
Zuerst gilt es zu klären, ob und in welchem Umfang man von NIS-2 betroffen ist. Danach sollte eine Bestandsaufnahme erfolgen: Welche Systeme, Prozesse und Lieferanten sind kritisch? Auf dieser Grundlage kann priorisiert werden. Wichtig ist, klein anzufangen, aber konsequent zu bleiben: lieber bei allen Maßnahmen das Nötigste sauber umsetzen als nur einen Teil der Maßnahmen anzugehen. Ganz wichtig ist es, frühzeitig Verantwortung festzulegen, sonst bleibt das Thema in der Luft hängen. Um einen schnellen Einstieg zu ermöglichen, haben wir einen pragmatischen 2-Tages-Workshop entwickelt, der das notwendige Wissen aus Recht und IT an alle Beteiligten vermittelt und gleichzeitig eine Standortbestimmung mit Handlungsoptionen liefert.
Der häufigste Fehler ist, NIS-2 als reines IT-Projekt zu behandeln. Das führt zwangsläufig zu blinden Flecken. Ein anderer ist das Verständnis, man müsse in allen Punkten direkt Perfektion erreichen, um compliant zu sein. Sicherheit ist keine einmalige Maßnahme, sondern ein kontinuierlicher Verbesserungsprozess. Wer mit realistischen Zielen startet und regelmäßig überprüft, kommt langfristig weiter. Und schließlich: Kommunikation. Viele Projekte scheitern nicht an Technik, sondern daran, dass niemand außerhalb der IT versteht, warum das Ganze wichtig ist.
Die Vernetzung nimmt weiter zu und mit ihr die Angriffsfläche. KI wird vieles verändern, sowohl auf Seiten der Angreifer als auch der Verteidiger. Aber der wichtigste Trend ist vielleicht ein kultureller: Sicherheit wird zunehmend Teil der Unternehmens-DNA. Früher war sie etwas, an das man „mitgedacht“ hat. Heute wird sie zum Qualitätsmerkmal, zum Ausdruck von Professionalität und Verantwortungsbewusstsein.
Mich reizt die Schnittstelle zwischen Technik, Organisation und Mensch. NIS-2 zwingt Unternehmen dazu, diese Bereiche miteinander zu verbinden. Es ging mir bei meiner Arbeit immer schon darum, Sicherheit greifbar und handhabbar zu machen. Wenn man sieht, wie ein Unternehmen durch eine Bewusstseinsveränderung und klare Prozesse sicherer wird, merkt man, dass sich der Aufwand lohnt. Am Ende geht es nicht um Paragrafen, sondern um Vertrauen – in Systeme, in Menschen, in die eigene Handlungsfähigkeit.
Die neue EU-Richtlinie NIS-2 stellt viele Unternehmen vor große Herausforderungen. Komplexe Anforderungen, begrenzte Ressourcen und hoher Umsetzungsdruck sorgen dafür, dass das Thema schnell als bürokratische Belastung wahrgenommen wird. Dabei geht es im Kern um etwas anderes: die Stärkung der organisatorischen und technischen Resilienz gegenüber Cyberrisiken.
Ein Interview in der Ausgabe 3/2026 der Mitgliederzeitschrift des Instituts für Wirtschaftsprüfer (IDW Life ¹) zeigt, wie Unternehmen einen pragmatischen Einstieg in die NIS-2-Umsetzung finden können. Andreas Grau, Head of Cybersecurity bei Consileon, und Bernhard Schmid, Consultant bei 4IoT, erläutern, warum eine risikobasierte Herangehensweise entscheidend ist. Statt umfangreicher Dokumentation empfehlen sie, zunächst Transparenz über kritische Geschäftsprozesse und Informationswerte zu schaffen und Maßnahmen auf die größten Risiken zu konzentrieren.
Im Interview wird außerdem deutlich, dass NIS-2 nicht als reines IT-Thema verstanden werden sollte. Die Unternehmensleitung spielt eine zentrale Rolle: Sie priorisiert Risiken, definiert Zielniveaus und trifft strategische Entscheidungen zur Cyberresilienz. Damit wird Informationssicherheit zu einem Bestandteil der Unternehmenssteuerung, nicht zu einem isolierten Compliance-Projekt.
Krankenhäuser stehen heute vor steigenden Anforderungen an Informationssicherheit, Datenschutz und stabile IT‑Versorgung. Mehrere Regelwerke greifen dabei ineinander. Wichtig ist vor allem zu verstehen, dass sie sich ergänzen und nicht gegenseitig ersetzen.
Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bildet meist die Grundlage. Es sorgt dafür, dass Krankenhäuser systematisch mit Risiken für ihre IT und Daten umgehen, klare Verantwortlichkeiten definieren und Sicherheitsmaßnahmen dauerhaft steuern. Dadurch wird Informationssicherheit planbar und nachvollziehbar, ähnlich wie Qualitätsmanagement in der medizinischen Versorgung.
Die europäische NIS2‑Richtlinie verpflichtet viele Gesundheitseinrichtungen zusätzlich zu konkreten Cybersicherheitsmaßnahmen, Risikoanalysen und Meldepflichten bei Sicherheitsvorfällen. Ziel ist es, die Funktionsfähigkeit wichtiger gesellschaftlicher Einrichtungen, darunter Krankenhäuser, besser zu schützen.
In Deutschland betrifft das insbesondere Krankenhäuser, die als Kritische Infrastruktur (KRITIS) gelten. Diese müssen gegenüber dem Staat nachweisen, dass ihre IT‑Systeme angemessen abgesichert sind, damit die Patientenversorgung auch bei Störungen möglichst stabil bleibt.
Hier kommt der sogenannte B3S‑Standard ins Spiel. Der „Branchenspezifische Sicherheitsstandard“ für Krankenhäuser beschreibt konkret, welche Sicherheitsmaßnahmen im Klinikbetrieb als angemessen gelten. Er übersetzt allgemeine Sicherheitsanforderungen in die Praxis von medizinischen Einrichtungen, etwa im Umgang mit Medizintechnik, klinischen IT‑Systemen oder Notfallprozessen.
Kurz gesagt: Ein ISMS schafft die organisatorische Grundlage für Informationssicherheit. NIS2 und KRITIS definieren gesetzliche Anforderungen. Der B3S konkretisiert diese speziell für Krankenhäuser.
Zusammen helfen diese Regelwerke, Patientendaten zu schützen, Ausfälle zu vermeiden und die digitale Zukunft des Gesundheitswesens sicher zu gestalten.
Wir unterstützen Krankenhäuser dabei, Informationssicherheits‑ und Governance‑Strukturen praxisnah aufzubauen – von der Einführung eines ISMS über die Vorbereitung auf B3S‑ und regulatorische Anforderungen bis hin zur strategischen Einbindung neuer Technologien wie Künstlicher Intelligenz. Unser Fokus liegt auf umsetzbaren Lösungen, Management‑Orientierung und nachhaltiger organisatorischer Verankerung.
Wenn Sie Ihre Einrichtung sicher und zukunftsfähig aufstellen möchten, sprechen Sie uns gerne an.
Mit der NIS2-Richtlinie rücken IT-Sicherheit und Cyberresilienz endgültig in den Fokus des Gesundheitswesens. Krankenhäuser stehen vor der Herausforderung, umfassende Anforderungen umzusetzen: dauerhaft, sanktionsbewehrt und unter hoher Verantwortung der Geschäftsführung. Dr. Michael Ullmann erläutert im Interview, warum NIS2 keinen Aufschub mehr duldet, wie Künstliche Intelligenz die Umsetzung unterstützen kann und was jetzt zu tun ist.
Kurz gesagt: fast alles. Die Zeiten selektiver Regulierung sind vorbei. Mit NIS2 sind nahezu alle Krankenhäuser in Deutschland betroffen, unabhängig von Bettenzahl oder KRITIS-Einstufung. Entscheidend ist künftig die Unternehmensgröße, also insbesondere die Anzahl der Mitarbeiter. Das bedeutet: Cybersicherheit wird zur verpflichtenden Daueraufgabe. Die Geschäftsleitung trägt die Verantwortung persönlich und kann sie nicht delegieren.
Es geht nicht nur um technische Schutzmaßnahmen, sondern um ein umfassendes Sicherheits- und Governance-Framework. Dazu zählen unter anderem Risikobewertungen, Business-Continuity-Konzepte, Meldepflichten bei Vorfällen, Absicherung der Lieferketten, kontinuierliche Schulungen und vor allem: eine lückenlose Dokumentation. Krankenhäuser müssen jederzeit nachweisen können, dass sie compliant sind, auch ohne konkreten Vorfall.
Weil der Aufwand enorm ist. Die initialen Kosten nur für die Umsetzung der B3S-Richtlinien liegen laut Studien im ersten Jahr der Umsetzung schon bei bis zu zwei Millionen Euro pro Krankenhaus. Die NIS-2-Umsetzung wird geschätzt noch teurer werden. Hinzu kommen laufende Aufwände, personelle Engpässe und fehlende Erfahrung mit regulatorischen Anforderungen auf diesem Niveau. Klassische, meist manuelle Ansätze stoßen da schnell an Grenzen: Sie sind nicht skalierbar, nicht wirtschaftlich und liefern der Führungsebene kaum verwertbare Steuerungsgrundlagen.
KI-gestützte Systeme ermöglichen erstmals eine strukturierte, konsistente und reproduzierbare Auswertung regulatorischer Anforderungen. Konkret heißt das: Wir können große Mengen an Richtlinien, SOPs, Risikoanalysen oder Vertragsdokumenten automatisch analysieren, mit den Anforderungen aus NIS2 abgleichen und aufzeigen, wo Lücken bestehen. Damit schaffen wir Transparenz, reduzieren den manuellen Aufwand und liefern eine belastbare Grundlage für Entscheidungen.
Ja – unser „Regulatorik-Radar“ ist genau dafür entwickelt worden. Es handelt sich um eine KI-gestützte Lösung, die auf Basis eines mehrstufigen Agentenansatzes regulatorische Anforderungen mit vorliegenden Krankenhausdokumenten abgleicht. Die Ergebnisse sind nachvollziehbar begründet, referenzieren direkt auf relevante Stellen in den Dokumenten und unterstützen bei Reporting, Audit-Vorbereitung und Priorisierung. Der Mensch bleibt im Loop, aber er wird entlastet und besser informiert.
Ganz konkret: weniger Abhängigkeit von externen Beratungsleistungen, geringerer interner Aufwand, mehr Sicherheit bei Auditvorbereitungen und die Möglichkeit, Compliance als steuerbaren Prozess zu etablieren. Vorstände und Geschäftsführungen erhalten endlich einen Überblick über Umsetzungsstand und Risiken und können gezielt handeln, statt nur zu reagieren. In Zeiten knapper Ressourcen und wachsender Anforderungen ist das ein echter Hebel.
Bloß nicht warten. Jetzt ist der Zeitpunkt, strukturiert zu starten. Viele Häuser unterschätzen, wie schnell die Meldepflichten greifen und welche persönlichen Haftungsrisiken bestehen. Mit gezielter Beratung und der richtigen technologischen Unterstützung lässt sich der Weg zur Compliance deutlich effizienter und sicherer gestalten. Unsere Empfehlung: Betroffenheit klären, Umsetzungsstand analysieren, Lücken identifizieren und mit Augenmaß handeln.
Consileon unterstützt Krankenhäuser bei der Umsetzung von NIS2 mit regulatorischer Fachkompetenz, fundierter Erfahrung im Krankenhaussektor und modernster KI-Technologie. Das Regulatorik-Radar bietet eine skalierbare Lösung zur Analyse, Dokumentation und Steuerung aller relevanten Anforderungen.
Im Rahmen der Consileon Academy bieten wir praxisorientierte Trainings und Workshops rund um Informationssicherheit und regulatorische Anforderungen an. Die Formate richten sich an Fach- und Führungskräfte, die Informationssicherheit strukturiert, wirksam und managementorientiert im Unternehmen verankern möchten.
Das Training ISO 27001 Foundation vermittelt in drei aufeinander aufbauenden Trainingstagen eine fundierte Einführung in die Anforderungen, Begriffe und Prinzipien von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC 27001. Der Fokus liegt auf dem Management der Informationssicherheit und richtet sich an alle, die ein strukturiertes Verständnis für den Aufbau, die Umsetzung und die kontinuierliche Verbesserung eines ISMS erlangen sowie sich gegebenenfalls zertifizieren lassen möchten oder müssen.
Termine 2026:
Das Training TISAX Basics richtet sich an Personen und Organisationen, die vor der Einführung oder Umsetzung von TISAX stehen. Innerhalb eines Trainingstages erhalten Sie einen praxisnahen Überblick über Anforderungen, Begriffe und Prinzipien des TISAX-Standards inklusive der notwendigen Schritte innerhalb der ENX-Plattform.
Termine 2026:
Der zweitägige NIS-2 Management Workshop bietet Ihnen einen praxisnahen Überblick über die europäische NIS-2-Richtlinie und deren Umsetzung im deutschen Recht. Gemeinsam mit einem erfahrenen Security-Experten und einem spezialisierten Rechtsanwalt analysieren Sie, welche regulatorischen Anforderungen auf Ihr Unternehmen zukommen und wo Ihre Organisation aktuell steht.
Interesse an einem Training oder Fragen zu den Inhalten?
Kontaktieren Sie uns gerne. Wir beraten Sie individuell zu Teilnahme, Formaten und Inhouse-Optionen.
Die fortschreitende Digitalisierung im Gesundheitswesen erhöht nicht nur Effizienz und Versorgungsqualität, sondern auch die Abhängigkeit von stabilen und sicheren IT-Systemen. Gleichzeitig geraten Krankenhäuser zunehmend ins Visier professioneller Cyberkriminalität. Angriffe auf kritische Infrastrukturen treffen auf eine minimale Ausfalltoleranz im laufenden Betrieb und haben im Ernstfall unmittelbare Auswirkungen auf die Patientensicherheit.
Mit der NIS2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung und verschärft die regulatorischen Anforderungen deutlich. Der bisherige selektive KRITIS-Ansatz entfällt. Künftig ist nicht mehr die Zahl der Behandlungsfälle entscheidend, sondern die Unternehmensgröße. Damit fallen nahezu alle Krankenhäuser in den Anwendungsbereich der NIS2-Regulierung – verbunden mit dauerhaften Pflichten, hohen Anforderungen an Dokumentation und Meldefähigkeit sowie einer persönlichen Haftung der Geschäftsführung.
Diese Entwicklung hat weitreichende Folgen: Organisation, Governance und Kostenstrukturen geraten unter Druck. Klassische, überwiegend manuelle Compliance-Ansätze stoßen angesichts begrenzter personeller Ressourcen, wachsender Dokumentationspflichten und steigender Audit-Anforderungen an ihre Grenzen.
Gleichzeitig eröffnen sich neue Möglichkeiten durch den Einsatz von Künstlicher Intelligenz. KI-gestützte Analyse- und Auditverfahren ermöglichen erstmals eine systematische, konsistente und nachvollziehbare Bewertung regulatorischer Anforderungen sowie vorhandener Dokumentation und schaffen damit Transparenz und Steuerbarkeit.
Unser Whitepaper „IT-Sicherheit im Krankenhausbetrieb – NIS2-Vorgaben und KI als Lösung“ zeigt,
Im Fokus stehen dabei nicht abstrakte Regulierungsdetails, sondern konkrete strategische Handlungsfelder für Geschäftsführung, IT, Informationssicherheit und Compliance im Krankenhausumfeld.
Laden Sie sich unser Whitepaper herunter und erfahren Sie, wie Krankenhäuser NIS2 als Anlass nutzen können, IT-Sicherheit strukturiert, steuerbar und patientensicher aufzustellen.
Mit dem 6. Dezember 2025 ist das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft getreten. Damit gelten die europaweit einheitlichen und deutlich verschärften Anforderungen an die Cyber- und Informationssicherheit nun verbindlich auch für Unternehmen in Deutschland. Für viele Gesellschaften entsteht dadurch akuter Handlungsbedarf. Insbesondere die Registrierungspflichten beim BSI, die sofort geltende Meldepflicht für Sicherheitsvorfälle sowie der Aufbau eines nachhaltigen NIS-2-konformen Sicherheitsmanagements stehen jetzt im Fokus.
Die Registrierung für betroffenen Unternehmen muss bis spätestens 06. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eigegangen sein.
Das BSI-Meldeportal steht ab dem 6. Januar 2026 zur Verfügung.
Die Meldepflicht bei Sicherheitsvorfällen gilt bereits jetzt: Unabhängig vom Stand der Registrierung gilt seit dem 6. Dezember 2025 die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Unternehmen dürfen nicht abwarten, bis das BSI-Portal verfügbar oder die Registrierung abgeschlossen ist.
Für den Übergangszeitraum bis zum 5. Januar 2026 gelten folgende Regelungen:
Unternehmen sollten daher bereits jetzt ihre Prozesse zur Erkennung, Bewertung und Eskalation von Sicherheitsvorfällen überprüfen und interne Meldewege klar regeln. Welche Schritte dazu notwendig sind, beschreibt die folgende Anleitung.
Ob ein Unternehmen betroffen ist, hängt insbesondere von Branche, Unternehmensgröße und Art der erbrachten Dienstleistungen ab. Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, IT-Dienstleistungen, produzierende Industrie sowie zahlreiche digitale Dienste. Die Betroffenheit muss aktiv vom Unternehmen geprüft werden; sie wird nicht automatisch durch das BSI festgestellt oder mitgeteilt.
Der erste und wichtigste Schritt ist daher eine strukturierte Betroffenheitsprüfung. Unternehmen müssen klären, ob sie unter NIS-2 fallen und – falls ja – in welche Kategorie sie einzuordnen sind. Diese Einordnung ist entscheidend, da sich daraus Umfang und Tiefe der Anforderungen ableiten.
Eine saubere Betroffenheitsanalyse schafft nicht nur rechtliche Klarheit, sondern ist auch die Grundlage für alle weiteren Maßnahmen. Sie sollte nachvollziehbar dokumentiert werden, da sie im Zweifel gegenüber Aufsichtsbehörden begründet werden muss. Unternehmen, die hier unsicher sind, sollten frühzeitig fachliche Unterstützung einholen, um Fehlentscheidungen und spätere Korrekturen zu vermeiden.
>>> Jetzt Betroffenheitsprüfung anfragen
Unternehmen, die unter NIS-2 fallen, sind verpflichtet, sich innerhalb von drei Monaten nach Inkrafttreten, also spätestens bis zum 6. März 2026, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Diese Registrierung ist kein formaler Selbstzweck, sondern Voraussetzung für die Kommunikation mit dem BSI, insbesondere für die Meldung von Sicherheitsvorfällen.
Die Registrierung erfolgt technisch über das BSI-Meldeportal, das allerdings erst ab dem 6. Januar 2026 zur Verfügung steht. Voraussetzung für den Zugang zum Portal ist ein zuvor eingerichtetes Unternehmenskonto („Mein Unternehmenskonto“) auf ELSTER-Basis.
In der Praxis bedeutet das: Auch wenn das BSI-Portal erst im Januar freigeschaltet wird, müssen Unternehmen bereits jetzt mit den vorbereitenden Schritten beginnen, da insbesondere die Erstellung und Freischaltung der ELSTER-Zertifikate mehrere Tage in Anspruch nimmt.
Für betroffene Unternehmen ist die Registrierung beim BSI verpflichtend. Um Verzögerungen zu vermeiden, sollte das Anmeldeverfahren frühzeitig und strukturiert gestartet werden. In der Praxis hat sich folgendes Vorgehen bewährt:
1. Zentrales NIS-2-Team festlegen
Zunächst sollte ein internes Kernteam benannt werden, das künftig alle Themen rund um NIS-2 verantwortet. Dazu zählen insbesondere Registrierung, Kommunikation mit dem BSI, Meldeprozesse sowie die Koordination von Compliance-Maßnahmen. Typischerweise sind hier IT-Sicherheit, Compliance und Risikomanagement eingebunden. Diese organisatorische Klärung sollte möglichst sofort erfolgen.
2. Unternehmenskonto („Mein Unternehmenskonto“) einrichten
Im nächsten Schritt wird über die Plattform Mein Unternehmenskonto eine ELSTER-basierte Unternehmens-ID beantragt. Die Identifizierung erfolgt aktuell über eine Kombination aus E-Mail und Aktivierungsbrief per Post. Die Zustellung des Briefs dauert in der Regel fünf bis zehn Werktage, bei hoher Auslastung gegebenenfalls länger. Alternative, rein digitale Identifikationsfahren, die den Prozess beschleunigen können, sind aktuell nicht umgesetzt.
3. Unternehmenskonto freischalten
Erst nach Eingabe des per Post erhaltenen Aktivierungscodes ist das Unternehmenskonto vollständig nutzbar. Ab diesem Zeitpunkt können weitere Nutzer angelegt und Berechtigungen vergeben werden.
4. Personengebundene Zertifikate für Teammitglieder erstellen
Für zusätzliche Personen, die später mit dem BSI-Meldeportal arbeiten soll, müssen weitere personenbezogenes ELSTER-Zertifikate beantragt werden. Wichtig: Diese Zertifikate sind ausschließlich für die Nutzung im Rahmen von „Mein Unternehmenskonto“ und dem BSI-Portal vorgesehen. Bestehende private ELSTER-Zertifikate, etwa aus der Steuererklärung, können hierfür nicht verwendet werden.
5. Registrierung im BSI-Meldeportal abschließen
Sobald das BSI-Meldeportal am 6. Januar 2026 freigeschaltet wird, erfolgt die eigentliche Registrierung beim BSI mithilfe der Unternehmens-ID und der zuvor erstellten Zertifikate. Idealerweise haben Sie zu diesem Zeitpunkt bereits alle organisatorischen und technischen Voraussetzungen erfüllt, um die Frist zum 6. März 2026 nicht zu gefährden.
Die fristgerechte Anmeldung beim BSI ist lediglich der formale Einstieg in die NIS-2-Compliance. Darüber hinaus verlangt die Richtlinie ein wirksames Risikomanagement, klar definierte Verantwortlichkeiten auf Management-Ebene sowie geeignete technische und organisatorische Sicherheitsmaßnahmen.
Ein strukturierter Einstieg gelingt beispielsweise über einen NIS-2-Management-Workshop, der das notwendige Wissen für den Start, sowie Transparenz über den aktuellen Reifegrad schafft. Die integrierte Red-Flag-Analyse identifiziert kritische Handlungsfelder, die anschließend in einen priorisiereten und in realistischen Umsetzungsfahrplan überführt werden können – als Grundlage für nachhaltige Compliance und erhöhte Cyber-Resilienz.
>>> Jetzt NIS-2-Beratung anfragen
NIS-2 ist in Kraft – und damit keine Zukunftsvision mehr, sondern gelebte Pflicht. Unternehmen sollten jetzt ihre Betroffenheit prüfen, die Registrierung vorbereiten und interne Strukturen schaffen, um Melde- und Sicherheitsanforderungen zuverlässig zu erfüllen. Wer frühzeitig startet, vermeidet unnötigen Zeitdruck, reduziert Compliance-Risiken und nutzt NIS-2 als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.
Digitale Sicherheit ist nicht nur eine technische Aufgabe, sondern auch ein zentraler Erfolgsfaktor für Unternehmen aller Branchen. Das Cybersecurity-Trainingsportfolio von Consileon unterstützt Teams, Fach- und Führungskräfte sowie Manager dabei, Risiken fundiert zu bewerten, regulatorische Anforderungen zu erfüllen und wirksame Sicherheitsstrategien zu entwickeln. Darüber hinaus kombiniert jedes Training aktuelles Expertenwissen mit praxisnahen Methoden, die direkt im Unternehmensalltag angewendet werden können. Auf diese Weise wird eine nachhaltige Grundlage geschaffen, um Sicherheitskompetenzen langfristig zu stärken und Organisationen resilienter zu machen.
In diesem zweitägigen Workshop erhalten Teilnehmer einen praxisnahen Überblick über die Anforderungen der europäischen NIS-2-Richtlinie. Gemeinsam mit einem Security-Experten und einem spezialisierten Anwalt analysieren Sie die Auswirkungen auf Ihr Unternehmen, identifizieren zentrale Handlungsfelder und leiten priorisierte Maßnahmen auf Basis einer integrierten Red-Flag-Analyse ab. Sie gewinnen ein Verständnis für rechtliche Pflichten, Sicherheitsmaßnahmen sowie das Vorgehen bei Berichtspflichten. Abschließend erhalten Sie einen kompakten Ergebnisbericht mit klaren Handlungsempfehlungen für Ihr Management.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet eine kompakte und verständliche Einführung in den Aufbau sowie die zentralen Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001. Ideal für Einsteiger und Verantwortliche, die ein strukturiertes Verständnis der Informationssicherheit erlangen möchten. Dabei werden nicht nur theoretische Grundlagen vermittelt, sondern auch praxisnahe Beispiele herangezogen, um zu zeigen, wie ein ISMS Schritt für Schritt aufgebaut werden kann. Die Teilnehmer lernen zudem, Risiken zu bewerten und geeignete Maßnahmen abzuleiten.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet einen kompakten und verständlichen Einstieg in das Informationssicherheitsmanagementsystem der Automobilbranche. Innerhalb eines Tages erhalten Sie einen Überblick über Anforderungen, den Prüfprozess sowie praktische Vorbereitungsschritte für ein TISAX-Assessment. Ferner lernen Teilnehmer, wie ein sinnvoller Scope definiert wird, welche Prüflevel es gibt und welche Rollen im Unternehmen beteiligt sind. Das Training richtet sich insbesondere an Unternehmen, die ein Verständnis für die Bedeutung von TISAX sowie einen effizienten Einstieg in das Thema suchen.
>>> Jetzt buchen bei der Consileon Academy
Die Consileon Academy steht für praxisnahe Weiterbildung, moderne Lernmethoden und fundiertes Fachwissen aus realen Beratungsprojekten. Durch kleine Gruppen, interaktive Formate und erfahrene Trainer entstehen nachhaltige Lernerfolge, die gezielt auf den Wissensstand der Teilnehmer abgestimmt sind. Es werden sowohl freie Trainings als auch Inhouse-Trainings für Unternehmen angeboten. Wir freuen uns auf Ihre Anfrage!
In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ dreht sich alles um ein Thema, das derzeit tausende Unternehmen vor große Herausforderungen stellt: NIS-2. Die EU-Richtlinie zur Erhöhung der Cybersicherheit löst nicht nur die bisherige NIS-1-Regulierung ab, sondern verschärft die Anforderungen in nahezu allen Bereichen. Genau das nehmen Marius Dreixler und Tino Müller von syracom gemeinsam mit ihrem Gast Andreas Grau von Consileon kritisch unter die Lupe.
Unter dem Titel „NIS-2: Pflicht, Panik, Paragraphen – Was die EU-Richtlinie wirklich bedeutet“ bietet die Folge einen praxisnahen Überblick: Was ändert sich konkret? Wen betrifft die neue Regulierung? Und welche organisatorischen, technischen und rechtlichen Schritte müssen Unternehmen jetzt einleiten, um rechtzeitig compliant zu sein?
Während NIS-1 vor allem klassische KRITIS-Betreiber adressierte, erweitert NIS-2 den Anwendungsbereich erheblich. Neu im Fokus stehen sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen – darunter Unternehmen, die keine kritischen Anlagen betreiben, aber dennoch essenziell für Wirtschaft und Gesellschaft sind. In Deutschland betrifft dies bis zu 30.000 Organisationen, die sich erstmals systematisch mit Cybersicherheits- und Compliance-Auflagen auseinandersetzen müssen.
Für Compliance-Verantwortliche, Risk Manager und CISOs steigt damit der Druck: Risikomanagement, Governance, Dokumentationspflichten und Meldewege müssen neu bewertet und teilweise komplett neu aufgebaut werden. Zudem werden die Geschäftsleitungen stärker in die Verantwortung genommen, und die Sanktionen bei Verstößen fallen deutlich härter aus als bisher.
• Was regelt NIS-2 konkret und worin unterscheidet sich die Richtlinie von NIS-1?
• Welche Unternehmen fallen unter den neuen Anwendungsbereich?
• Welche Pflichten resultieren daraus für Geschäftsleitung, IT, Risk Management und Compliance?
• Was sind die wichtigsten ersten Schritte auf dem Weg zur Umsetzung?
• Welche Chancen ergeben sich aus den strengeren Standards für Cyberresilienz, Geschäftskontinuität und Sicherheitskultur?
Die Podcastfolge eignet sich sowohl für Einsteiger als auch für Fachverantwortliche, die tiefer in Governance, Risk und Compliance eintauchen wollen.
Die Integration der NIS-2-Vorgaben in gewachsene IT- und Prozesslandschaften ist komplex. Alte Systeme, fehlende Dokumentation und organisatorische Silos erschweren die Umsetzung erheblich. NIS-2 verlangt zudem deutlich mehr als nur technische Maßnahmen. Prozesse müssen nachvollziehbar beschrieben, Kontrollen sauber dokumentiert und regelmäßige Aktualisierungen sichergestellt werden – eine Herausforderung, die nur mit enger Zusammenarbeit zwischen IT, Compliance, Risiko und Fachbereichen zu bewältigen ist.
Genau an dieser Stelle setzt Consileon an: Mit strukturierten Roadmaps, KI-gestützter Dokumentenanalyse und Best Practices aus zahlreichen Projekten unterstützen wir Unternehmen dabei, NIS-2 nicht nur formal, sondern strategisch sinnvoll umzusetzen.
Wir unterstützen Sie dabei, Ihre Betroffenheit korrekt einzuordnen, notwendige Maßnahmen zu priorisieren und eine effiziente, nachhaltige Sicherheitsstrategie aufzubauen. Sprechen Sie uns gerne an und klären Sie mit unseren Expertinnen und Experten, welche konkreten Schritte für Ihre Organisation jetzt relevant sind.
Seit 2022 ist Consileon offizieller Integrationspartner von CONTECHNET, einem führenden deutschen Softwarehersteller für Managementsysteme im Bereich Informationssicherheit, Datenschutz und Notfallmanagement. Als Silver Business Partner haben wir unsere Kunden bisher bei der Einführung und Integration von Informationssicherheitsmanagementsystemen (ISMS) begleitet und damit den Grundstein für eine strukturierte und nachhaltige Informationssicherheit gelegt.
Nun erweitern wir unsere Partnerschaft: Consileon ist ab sofort auch zertifizierter Partner für die CONTECHNET-Module Datenschutzmanagement (DSM) und Notfallmanagement inklusive Business Continuity Management (BCM). Damit bieten wir unseren Kunden künftig ein noch breiteres Portfolio an integrierten Lösungen, die alle Aspekte moderner Cyber-Resilienz abdecken.
Während früher häufig von Cyber-Sicherheit gesprochen wurde, rückt heute zunehmend der Begriff Cyber-Resilienz in den Mittelpunkt. Der Unterschied liegt im Ansatz: Cyber-Sicherheit konzentriert sich auf den Schutz vor Angriffen, während Cyber-Resilienz zusätzlich die Fähigkeit umfasst, auf Sicherheitsvorfälle vorbereitet zu sein, angemessen zu reagieren und sich schnell davon zu erholen.
Das Thema Notfallmanagement ist damit ein wesentlicher Bestandteil moderner Resilienzstrategien. Durch die Integration von ISMS, DSM und BCM unterstützt die CONTECHNET Software Suite Unternehmen dabei, Risiken frühzeitig zu erkennen, Abhängigkeiten zu verstehen und im Ernstfall handlungsfähig zu bleiben – technisch, organisatorisch und strategisch.
Mit der CONTECHNET Software Suite profitieren Unternehmen von einem ganzheitlichen Ansatz, der verschiedene Managementsysteme miteinander verbindet. Informationssicherheit (ISMS), Datenschutz (DSM) und Notfallmanagement (BCM) lassen sich so zentral und effizient steuern.
Ein besonderer Vorteil liegt in der gemeinsamen Nutzung von Stammdaten und Assets über alle Module hinweg. Das bedeutet: Prozesse müssen nicht mehrfach gepflegt werden, Schnittstellenprobleme werden reduziert, und Zusammenhänge zwischen Sicherheits-, Datenschutz- und Notfallmaßnahmen bleiben jederzeit transparent.
Darüber hinaus unterstützt die Plattform auch weitere Standards und Regulatoriken – etwa ISO 9001 (Qualitätsmanagement), TISAX oder die Umsetzung der NIS-2-Richtlinie. So entsteht ein integriertes System, das Unternehmen hilft, ihre Compliance-Anforderungen zu erfüllen und ihre Cyber-Resilienz nachhaltig zu stärken.
Mit der erweiterten Partnerschaft zu CONTECHNET baut Consileon sein Leistungsportfolio im Bereich Cybersecurity konsequent aus. Unsere Kunden profitieren von praxisnaher Beratung, technischer Expertise und Lösungen, die sich flexibel an individuelle Anforderungen anpassen lassen.
Ob Informationssicherheit, Datenschutz oder Business Continuity – wir unterstützen Unternehmen dabei, ihre Sicherheits- und Compliance-Strukturen zukunftssicher zu gestalten. Gemeinsam mit CONTECHNET schaffen wir so die Basis für nachhaltige Cyber-Resilienz – für Organisationen, die nicht nur widerstandsfähig, sondern anpassungsfähig bleiben.