Cybersicherheit ist jetzt Gesetz. Wir machen Sie bereit.
Die NIS2-Richtlinie, umgesetzt im BSIG (NIS2UmsuCG), gilt seit dem 06.12.2025 ohne Übergangsfrist. Rund 29.500 Einrichtungen sind neu betroffen. awedit prüft Betroffenheit und Klasse und scannt Ihre §30-Risikomanagementmaßnahmen gegen einen echten Kontrollkatalog. Expertinnen und Experten prüfen jeden Befund. Es gibt kein NIS2-Zertifikat, deshalb rüsten wir Sie für die Selbsterklärung und die Aufsicht des BSI.
Orientierung, kein Nachweis. Keine Rechtsberatung.
Die Uhr läuft bereits.
NIS2UmsuCG in Kraft, ohne Übergangsfrist. Die §30-Maßnahmen gelten sofort.
BSI-Registrierungsfrist abgelaufen. Viele Einrichtungen sind noch nicht registriert und bei dieser Pflicht bereits säumig.
Für besonders wichtige Einrichtungen kann das BSI einen §39-Nachweis anordnen: Audit, Prüfung oder Zertifizierung der Maßnahmen.
KI erkennt. Expert:innen entscheiden. Sie erklären auf sicherem Grund.
Es gibt kein NIS2-Zertifikat. Unsere Aufgabe ist Belastbarkeit: eine dokumentierte §30-Akte, die Ihre persönlich haftende Leitung freigeben kann und die eine BSI-Aufsichtsprüfung übersteht.
- SCHRITT · 01Betroffenheit
Sektor plus Größe entscheiden über Betroffenheit und Klasse. Manche Einrichtungen sind unabhängig von der Größe betroffen.
- SCHRITT · 02Scan
Ihre §30-Maßnahmen werden gegen einen echten Kontrollkatalog bewertet, mit Querverweisen auf C5:2026 und ISO 27001. Expert:innen prüfen jeden Befund.
- SCHRITT · 03Rüsten
Sie erhalten einen priorisierten Lückenbericht und ein §38-Freigabepaket für die Leitung, bereit für die Selbsterklärung und später für ein §39-Audit oder den ISO-Weg.
KI erkennt. Expert:innen entscheiden. Prüfer testieren. Kein Werkzeug allein schafft Compliance, und ein NIS2-Zertifikat existiert nicht.
Was NIS2 konkret verlangt.
Eine verständliche Lesart der Punkte, die die meisten Teams beim ersten Durchgang übersehen.
Betroffenheit: automatisch nach Sektor und Größe
NIS2 erfasst 18 Sektoren. Ohne Sonderregel greift die Pflicht ab mittlerer Unternehmensgröße: mindestens 50 Beschäftigte, oder über 10 Mio. € Umsatz und Bilanzsumme. Bestimmte Einrichtungen wie Vertrauensdienste und DNS-Anbieter sind größenunabhängig betroffen.
Zwei Klassen
Besonders wichtige Einrichtungen unterliegen der proaktiven BSI-Aufsicht und einer §39-Nachweispflicht. Wichtige Einrichtungen unterliegen der reaktiven Aufsicht. Beide setzen dieselben zehn §30-Maßnahmen um.
Die zehn §30-Maßnahmen
Risikoanalyse, Umgang mit Vorfällen, Business Continuity und Backup, Sicherheit der Lieferkette, sichere Entwicklung und Schwachstellenmanagement, Wirksamkeitsprüfung, Cyberhygiene und Schulung, Kryptographie, Zugangskontrolle und Asset Management, Multifaktor-Authentifizierung und gesicherte Kommunikation.
Meldung: 24h, 72h, ein Monat
Ein erheblicher Vorfall löst eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und einen Abschlussbericht binnen einem Monat aus.
Haftung der Leitung
Nach §38 muss die Leitung die Maßnahmen freigeben, überwachen und geschult werden. Die Haftung ist persönlich und lässt sich nicht vollständig delegieren.
Kein Zertifikat, Vorsicht bei Aussagen
Es gibt kein NIS2-Zertifikat. Niemand kann Ihnen 'NIS2-zertifiziert' verkaufen. Ein Self-Check ist Orientierung, kein Nachweis.
Zwei Minuten bis zur Standortbestimmung.
Prüfen Sie Betroffenheit und Klasse, dann den §30-Readiness-Durchlauf. Kein Konto, kein Verkaufsgespräch.
Ein Self-Check-Ergebnis ist Orientierung, kein Nachweis, und belegt für sich genommen keine NIS2-Compliance.