Zum Inhalt springen
REF · NIS2 · BSIG 2025

Cybersicherheit ist jetzt Gesetz. Wir machen Sie bereit.

Die NIS2-Richtlinie, umgesetzt im BSIG (NIS2UmsuCG), gilt seit dem 06.12.2025 ohne Übergangsfrist. Rund 29.500 Einrichtungen sind neu betroffen. awedit prüft Betroffenheit und Klasse und scannt Ihre §30-Risikomanagementmaßnahmen gegen einen echten Kontrollkatalog. Expertinnen und Experten prüfen jeden Befund. Es gibt kein NIS2-Zertifikat, deshalb rüsten wir Sie für die Selbsterklärung und die Aufsicht des BSI.

Orientierung, kein Nachweis. Keine Rechtsberatung.

ZEITACHSE

Die Uhr läuft bereits.

Seit 06.12.2025

NIS2UmsuCG in Kraft, ohne Übergangsfrist. Die §30-Maßnahmen gelten sofort.

Seit 06.03.2026

BSI-Registrierungsfrist abgelaufen. Viele Einrichtungen sind noch nicht registriert und bei dieser Pflicht bereits säumig.

Ab ~Dez 2028

Für besonders wichtige Einrichtungen kann das BSI einen §39-Nachweis anordnen: Audit, Prüfung oder Zertifizierung der Maßnahmen.

METHODIK

KI erkennt. Expert:innen entscheiden. Sie erklären auf sicherem Grund.

Es gibt kein NIS2-Zertifikat. Unsere Aufgabe ist Belastbarkeit: eine dokumentierte §30-Akte, die Ihre persönlich haftende Leitung freigeben kann und die eine BSI-Aufsichtsprüfung übersteht.

  1. SCHRITT · 01
    Betroffenheit

    Sektor plus Größe entscheiden über Betroffenheit und Klasse. Manche Einrichtungen sind unabhängig von der Größe betroffen.

  2. SCHRITT · 02
    Scan

    Ihre §30-Maßnahmen werden gegen einen echten Kontrollkatalog bewertet, mit Querverweisen auf C5:2026 und ISO 27001. Expert:innen prüfen jeden Befund.

  3. SCHRITT · 03
    Rüsten

    Sie erhalten einen priorisierten Lückenbericht und ein §38-Freigabepaket für die Leitung, bereit für die Selbsterklärung und später für ein §39-Audit oder den ISO-Weg.

KI erkennt. Expert:innen entscheiden. Prüfer testieren. Kein Werkzeug allein schafft Compliance, und ein NIS2-Zertifikat existiert nicht.

DER KURZE LEITFADEN

Was NIS2 konkret verlangt.

Eine verständliche Lesart der Punkte, die die meisten Teams beim ersten Durchgang übersehen.

Betroffenheit: automatisch nach Sektor und Größe

NIS2 erfasst 18 Sektoren. Ohne Sonderregel greift die Pflicht ab mittlerer Unternehmensgröße: mindestens 50 Beschäftigte, oder über 10 Mio. € Umsatz und Bilanzsumme. Bestimmte Einrichtungen wie Vertrauensdienste und DNS-Anbieter sind größenunabhängig betroffen.

Zwei Klassen

Besonders wichtige Einrichtungen unterliegen der proaktiven BSI-Aufsicht und einer §39-Nachweispflicht. Wichtige Einrichtungen unterliegen der reaktiven Aufsicht. Beide setzen dieselben zehn §30-Maßnahmen um.

Die zehn §30-Maßnahmen

Risikoanalyse, Umgang mit Vorfällen, Business Continuity und Backup, Sicherheit der Lieferkette, sichere Entwicklung und Schwachstellenmanagement, Wirksamkeitsprüfung, Cyberhygiene und Schulung, Kryptographie, Zugangskontrolle und Asset Management, Multifaktor-Authentifizierung und gesicherte Kommunikation.

Meldung: 24h, 72h, ein Monat

Ein erheblicher Vorfall löst eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und einen Abschlussbericht binnen einem Monat aus.

Haftung der Leitung

Nach §38 muss die Leitung die Maßnahmen freigeben, überwachen und geschult werden. Die Haftung ist persönlich und lässt sich nicht vollständig delegieren.

Kein Zertifikat, Vorsicht bei Aussagen

Es gibt kein NIS2-Zertifikat. Niemand kann Ihnen 'NIS2-zertifiziert' verkaufen. Ein Self-Check ist Orientierung, kein Nachweis.

BEREIT?

Zwei Minuten bis zur Standortbestimmung.

Prüfen Sie Betroffenheit und Klasse, dann den §30-Readiness-Durchlauf. Kein Konto, kein Verkaufsgespräch.

Ein Self-Check-Ergebnis ist Orientierung, kein Nachweis, und belegt für sich genommen keine NIS2-Compliance.