NIS-2 Beratung in Hamburg — Cybersicherheit und Compliance

Inhalt in Kürze

• NIS2 ist seit Dezember 2025 in Kraft — ohne Übergangsfrist. Das BSI als Aufsichtsbehörde kann sofort prüfen und Sanktionen verhängen.
• Bußgelder bis 10 Millionen Euro oder 2 % des Jahresumsatzes für wesentliche Einrichtungen — persönliche Geschäftsführerhaftung inklusive.
• Rund 30.000 Unternehmen in Deutschland direkt betroffen, zehntausende weitere indirekt über die Lieferkette — Hamburger Unternehmen in Logistik, Handel und maritimer Wirtschaft besonders.
• frag.hugo begleitet Sie von der Betroffenheitsanalyse über die Gap-Analyse bis zur vollständigen NIS2-Compliance — mit persönlicher Beratung in Hamburg.

NIS2 ist Realität — seit Dezember 2025, ohne Übergangsfrist

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist das umfassendste Cybersicherheitsgesetz, das die Europäische Union je verabschiedet hat. Die Richtlinie trat auf EU-Ebene im Januar 2023 in Kraft und musste von der Bundesregierung in nationales Recht umgesetzt werden. Die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gilt seit Dezember 2025 – und zwar ohne Übergangsfrist. Betroffene Unternehmen jeder Unternehmensgröße müssen die Anforderungen bereits jetzt vollständig erfüllen.

Für Hamburger Unternehmen ist das Thema besonders drängend: Die Hansestadt ist ein Knotenpunkt für Logistik, maritime Wirtschaft, Handel und digitale Infrastruktur – alles Sektoren, die unter NIS2 fallen.

Rund 30.000 Unternehmen in Deutschland betroffen

NIS2 erweitert den Anwendungsbereich gegenüber der alten NIS-Richtlinie massiv. Betroffen sind Unternehmen in 18 Sektoren, die bestimmte Schwellenwerte bei Mitarbeiterzahl oder Umsatz überschreiten:

Wesentliche Einrichtungen (Essential Entities):

• Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
• Transport (Luft, Schiene, Wasser, Straße)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (Important Entities):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie
• Lebensmittel
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
• Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung

Hamburger Branchen im Fokus

Die Hamburger Wirtschaft ist von NIS2 besonders betroffen:

• Hafen und maritime Logistik: Der Hamburger Hafen ist kritische Infrastruktur. Transport- und Logistikunternehmen fallen direkt unter NIS2.
• Handel und E-Commerce: Große Handelsunternehmen mit Sitz in Hamburg erreichen schnell die Schwellenwerte.
• Medien und digitale Dienste: Digitale Dienstleister und Plattformbetreiber sind als wichtige Einrichtungen eingestuft.
• Lebensmittelwirtschaft: Hamburg als Handelsplatz für Lebensmittel – Verarbeitung und Distribution fallen unter NIS2.

Persönliche Haftung der Geschäftsführung

Art. 20 der NIS2-Richtlinie stellt unmissverständlich klar: Die Geschäftsführung haftet persönlich für die Einhaltung der Cybersicherheitsanforderungen. Diese Verantwortung ist nicht delegierbar – auch nicht an einen Chief Information Security Officer (CISO) oder externen Dienstleister.

Das bedeutet konkret:

• Die Geschäftsführung muss die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen
• Bei Verstößen haftet die Geschäftsführung persönlich – mit dem Privatvermögen
• Bußgelder: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
• Die Geschäftsführung muss an Cybersicherheits-Schulungen teilnehmen

Mehr zu diesem Thema erfahren Sie auf unserer Seite zur NIS2 Geschäftsführer-Haftung.

Die NIS2-Pflichten im Detail

1. Risikomanagement

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme und Netzwerke betreiben. Dazu gehören:

• Regelmäßige Risikoanalysen und -bewertungen
• Dokumentierte Sicherheitsrichtlinien und -konzepte
• Maßnahmen nach dem Stand der Technik unter Berücksichtigung der Verhältnismäßigkeit

2. Incident Response und Meldepflichten

NIS2 verschärft die Meldepflichten drastisch:

• Frühwarnung spätestens innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
• Detaillierter Bericht innerhalb von 72 Stunden mit erster Bewertung, Schweregrad und Auswirkungen
• Abschlussbericht innerhalb eines Monats mit Ursachenanalyse und ergriffenen Maßnahmen

Diese Fristen setzen funktionierende Prozesse voraus: Erkennung, Eskalation, Bewertung und Meldung müssen eingeübt sein.

3. Business Continuity

Unternehmen müssen sicherstellen, dass kritische Dienste auch bei Sicherheitsvorfällen aufrechterhalten werden können:

• Backup-Management und Disaster-Recovery-Pläne
• Krisenmanagement-Prozesse
• Regelmäßige Tests und Übungen

4. Lieferketten-Sicherheit

NIS2 verlangt, dass Unternehmen die Cybersicherheit ihrer gesamten Lieferkette berücksichtigen. Das bedeutet:

• Bewertung der Sicherheitsrisiken durch Zulieferer und Dienstleister
• Vertragliche Sicherheitsanforderungen an Zulieferer
• Regelmäßige Überprüfung der Zulieferer-Compliance

Für die Umsetzung bietet Hugo Shield eine skalierbare Lösung. Mehr dazu auf unserer Seite zur NIS2 Lieferketten-Compliance.

5. Schulungen

Die Geschäftsführung und alle Mitarbeitenden müssen regelmäßig in Cybersicherheit geschult werden. NIS2 betont ausdrücklich, dass die Geschäftsführung selbst an Schulungen teilnehmen muss – nicht nur diese anordnen.

Unsere NIS2-Beratung für Hamburger Unternehmen

Als Hamburger Unternehmen für Informationssicherheit kennen wir die lokalen Branchen und ihre spezifischen Herausforderungen. Unser NIS2-Beratungsansatz:

Phase 1: Betroffenheitsanalyse

Sind Sie überhaupt betroffen? Und wenn ja – als wesentliche oder wichtige Einrichtung? Wir klären das schnell und verbindlich. Einen ersten Überblick erhalten Sie auch über unseren NIS2-Betroffenheitscheck.

Phase 2: Gap-Analyse

Wo stehen Sie heute? Wir vergleichen Ihren aktuellen Sicherheitsstandard mit den NIS2-Anforderungen und identifizieren die Lücken – priorisiert nach Risiko und Dringlichkeit.

Phase 3: Maßnahmenplan

Auf Basis der Gap-Analyse erstellen wir einen konkreten, umsetzbaren Maßnahmenplan mit Zeitrahmen, Verantwortlichkeiten und Budgetschätzungen.

Phase 4: Umsetzungsbegleitung

Wir begleiten Sie bei der Umsetzung – von der Erstellung von Sicherheitsrichtlinien über die Implementierung von Meldeprozessen bis zur Schulung Ihrer Mitarbeitenden.

Sicherheitsmaßnahmen nach NIS2: Was konkret umgesetzt werden muss

NIS2 verlangt technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik. Dazu gehören Zugangskontrollen, Verschlüsselung, Netzwerksegmentierung, regelmäßige Backups und ein dokumentiertes Schwachstellenmanagement. Jede einzelne Sicherheitsmaßnahme muss auf ihre Wirksamkeit geprüft und regelmäßig getestet werden — durch interne Audits, Penetrationstests oder Red-Team-Übungen.

Seit das NIS2UmsuCG in Kraft getreten ist, sind Bußgelder bei Nichteinhaltung keine theoretische Möglichkeit mehr, sondern eine reale Bedrohung. Das BSI hat bereits erste Prüfungen angekündigt und kann Unternehmen auffordern, den Nachweis ihrer Compliance zu erbringen. Wer keine dokumentierten Sicherheitsmaßnahmen vorweisen kann, riskiert empfindliche Bußgelder und im schlimmsten Fall ein temporäres Berufsverbot für die Geschäftsleitung.

NIS2 Bußgelder: Was bei Verstößen droht

Die Geldbuße bei NIS2-Verstößen ist keine theoretische Möglichkeit — sie ist gefordert und wird durchgesetzt. Das NIS2UmsuCG sieht empfindliche Sanktionen vor, die jeden Geschäftsführer zum Handeln zwingen sollten. Für wesentliche Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro, für wichtige Einrichtungen bis zu 7 Millionen Euro. Das BSI hat als Aufsichtsbehörde weitreichende Befugnisse: Von der Anordnung konkreter Sicherheitsmaßnahmen über Zwangsgelder bis hin zum temporären Berufsverbot für die Geschäftsleitung.

Die persönliche Haftung der Geschäftsführung verschärft das Risiko zusätzlich. Wer die NIS-2-Umsetzung verzögert oder ignoriert, riskiert nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Konsequenzen. Die Implementierung der geforderten Sicherheitsmaßnahmen ist daher keine Option, sondern Pflicht.

NIS-2-Umsetzung: Konkrete Schritte für Hamburger Unternehmen

Die NIS-2-Umsetzung erfordert einen strukturierten Ansatz. Jede Sicherheitsmaßnahme muss dokumentiert, implementiert und regelmäßig überprüft werden. Wir begleiten Sie durch den gesamten Prozess der NIS-2-Umsetzung — von der Bestandsaufnahme über die Implementierung bis zur laufenden Überwachung. Dabei achten wir darauf, dass jede geforderte Sicherheitsmaßnahme verhältnismäßig und praxistauglich umgesetzt wird.

Die Zeit drängt – NIS2 kennt keine Schonfrist

Anders als bei der DSGVO, die eine zweijährige Übergangsfrist hatte, gilt NIS2 seit Inkrafttreten ohne Übergangszeitraum. Das BSI als zuständige Aufsichtsbehörde kann bereits jetzt prüfen und sanktionieren. Jeder Tag ohne Maßnahmen erhöht Ihr Risiko – nicht nur regulatorisch, sondern auch operativ. Transparenz über den eigenen Compliance-Status ist der erste Schritt. Prüfen Sie jetzt, ob die NIS-2-Richtlinie Ihr Unternehmen betrifft.

Kostenloses Erstgespräch buchen

Lassen Sie uns gemeinsam prüfen, wo Ihr Unternehmen steht und welche Schritte jetzt Priorität haben. Pragmatisch, auf den Punkt und mit konkretem Mehrwert.

Was ist die NIS-2 Richtlinie?

Die NIS-2 Richtlinie (Network and Information Security Directive 2) ist eine EU-Verordnung zur Stärkung der Cybersicherheit in der Europäischen Union. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich massiv: Von 7 auf 18 Sektoren, von wenigen hundert auf rund 30.000 betroffene Unternehmen allein in Deutschland.

Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zuständige Aufsichtsbehörde und kann bei Verstößen empfindliche Sanktionen verhängen.

NIS-2 Beratung: Betroffenheitsanalyse als erster Schritt

Die Frage „Bin ich von NIS-2 betroffen?” ist nicht immer einfach zu beantworten. Fällt die Geschäftstätigkeit in einen der 18 Sektoren? Werden die Schwellenwerte überschritten (50 Mitarbeiter oder 10 Mio. Euro Umsatz)? Ist Ihre Organisation von NIS2 als wesentliche oder wichtige Einrichtung eingestuft?

Wir klären die Betroffenheit in einem strukturierten Erstgespräch und geben Ihnen eine belastbare Einschätzung. Das spart Ihnen Monate eigener Recherche und gibt Ihnen Planungssicherheit für die nächsten Schritte.

NIS2 Bußgelder und Sanktionen: Was passiert bei Verstößen?

Die Sanktionen des NIS2UmsuCG gehören zu den höchsten im deutschen Cybersicherheitsrecht:

• Wesentliche Einrichtungen: Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Bußgelder bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes
• Persönliche Haftung: Die Geschäftsleitung haftet persönlich für die Einhaltung der Cybersicherheit (Details: NIS2 Geschäftsführer-Haftung)
• Temporäres Berufsverbot: Das BSI kann die Untersagung der Leitungstätigkeit anordnen

NIS2 und ISMS: Der Zusammenhang mit ISO 27001

Etwa 70 % der NIS2-Anforderungen überschneiden sich mit den Anforderungen der ISO 27001. Unternehmen, die bereits ein ISMS (Informationssicherheits-Managementsystem) betreiben, haben einen erheblichen Vorsprung bei der NIS-2 Umsetzung.

Neue Anforderungen, die NIS2 über ISO 27001 hinaus verlangt:

• Meldepflichten an das BSI (24h/72h/1 Monat) — mit konkreten Prozessen und Verantwortlichkeiten
• Lieferketten-Sicherheit — systematische Bewertung aller Zulieferer (siehe NIS2 Lieferketten-Compliance)
• Persönliche Schulungspflicht der Geschäftsleitung — Cybersicherheit als Chefsache
• Registrierungspflicht beim BSI für betroffene Einrichtungen

Wir unterstützen Sie bei der NIS-2 Umsetzung — ob als eigenständiges Projekt oder in Kombination mit dem Aufbau eines ISMS nach ISO 27001. Unsere IT-Sicherheitsberatung ergänzt die NIS2-Compliance um die technische Umsetzung der Sicherheitsmaßnahmen.

Sind Schulungen für Mitarbeitende im Rahmen von NIS-2 verpflichtend?

Ja. Die NIS-2 Richtlinie verpflichtet betroffene Unternehmen zu regelmäßigen Cybersicherheits-Schulungen — und zwar auf allen Ebenen. Die Leitungsorgane (Geschäftsführer, Vorstände) müssen persönlich an Schulungen teilnehmen. Das ist keine delegierbare Aufgabe, sondern eine individuelle Pflicht. Mitarbeitende, die IT-Systeme bedienen oder Zugang zu kritischen Infrastrukturen haben, müssen ebenfalls geschult werden.

Unsere Datenschutzschulungen decken beide Anforderungen ab — kombiniert mit den spezifischen Anforderungen der NIS-2-Richtlinie für Ihre Branche.

NIS-2 Beratung: Unsere Expertise für Hamburger Unternehmen

frag.hugo verbindet NIS-2 Expertise mit lokaler Marktkenntnis. Nils Oehmichen kennt die Hamburger Wirtschaft — von der maritimen Logistik bis zur digitalen Infrastruktur. Diese Branchenkenntnis macht den Unterschied: Wir implementieren keine generischen Compliance-Pakete, sondern maßgeschneiderte Lösungen für Ihre spezifischen Anforderungen.

Viele Unternehmen stehen vor der Frage: Ist mein Unternehmen von NIS-2 betroffen? Die Antwort hängt von Sektor, Mitarbeiterzahl und Umsatz ab. Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz in einem der 18 relevanten Sektoren fallen unter die NIS-2 Richtlinie. Betreiber kritischer Anlagen müssen zusätzliche Anforderungen an Cybersicherheit erfüllen. Die Umsetzung der NIS-2-Richtlinie erfordert die Umsetzung technischer und organisatorischer Maßnahmen — von der Netzwerksegmentierung bis zum Incident-Response-Prozess.

Unsere NIS-2 Beratung umfasst:

• Betroffenheitsanalyse: Verbindliche Klärung, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung eingestuft wird
• Gap-Analyse: Systematischer Abgleich mit den Anforderungen der NIS-2-Richtlinie — inklusive Priorisierung nach Risiko
• Umsetzungsbegleitung: Von der Erstellung von Sicherheitsrichtlinien über die Registrierungspflicht beim BSI bis zur Schulung der Leitungsorgane
• Interne und externe Audits: Vorbereitung auf Prüfungen durch das BSI und Nachweis der NIS-2 Compliance gegenüber Kunden und Partnern
• IT-Security Beratung: Technische Umsetzung der Sicherheitsmaßnahmen mit unserer IT-Sicherheitsberatung

NIS-2 verschärft die Anforderungen an die Cybersicherheit von Unternehmen in der EU erheblich. Die Richtlinie betrifft deutlich mehr Unternehmen als die Vorgängerregelung. Wer die neuen Anforderungen ignoriert, riskiert nicht nur Sanktionen, sondern auch den Verlust von Geschäftsbeziehungen. Die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern ist ein zentrales Element der NIS-2 Umsetzung.

NIS-2 und Information Security: Anforderungen an die Cybersicherheit implementieren

Die NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit von Unternehmen erheblich. Unsere NIS-2 Beratung verbindet Cyber- und IT-Security-Expertise mit Information Security Management, um die geforderten Sicherheitsmaßnahmen effizient zu implementieren. Das NIS2UmsuCG verpflichtet betroffene Unternehmen zur Umsetzung technischer und organisatorischer Maßnahmen: von der Netzwerksegmentierung über Verschlüsselung bis zum dokumentierten Schwachstellenmanagement. Ein ISMS nach ISO 27001 bildet die Grundlage — die neuen Anforderungen der NIS-2-Richtlinie gehen jedoch darüber hinaus. Die Sanktionen bei Verstößen sind empfindlich: Bußgelder, Berufsverbot und persönliche Haftung der Geschäftsleitung zwingen jeden Geschäftsführer zum Handeln. Wir helfen Ihnen, die NIS 2-Umsetzung pragmatisch und mit der nötigen Expertise zu implementieren — Gap-Analyse, Audits und Schulungen aus einer Hand.

Buchen Sie Ihr kostenloses Erstgespräch — Nils Oehmichen berät Sie persönlich vor Ort in Hamburg. Oder erreichen Sie uns über unser Kontaktformular.