---

---

Typische Herausforderungen bei der NIS-2-Umsetzung

In der Praxis zeigen sich immer wieder ähnliche Problembilder:

• Die Betroffenheit nach NIS-2 ist unklar, etwa bei Mischgeschäften, Konzernstrukturen oder mehreren Tätigkeitsbereichen.

• Einzelne Konzepte, Maßnahmen oder Dokumente existieren bereits, jedoch fehlt ein konsistentes Gesamtbild zur Priorisierung und Entscheidungsfindung.

• Business Continuity Management (BCM), IT Service Continuity Management (ITSCM) und Krisenmanagement sind nicht ausreichend verzahnt, nicht geübt oder nicht wirksam nachweisbar.

• Incident- und Meldeprozesse sind technisch beschrieben, organisatorisch und entscheidungsseitig jedoch nicht belastbar verankert.

• Managementformate und Schulungen bestehen, erfüllen aber die NIS-2-Anforderungen an Regelmäßigkeit, Inhalte und Dokumentation nur teilweise.

• Regelmäßige Schulung und Sensibilisierung: Mitarbeitende und Führungskräfte müssen kontinuierlich in Bezug auf IT-Risiken und Cyberbedrohungen geschult werden, um den Schutz des Unternehmens zu erhöhen.

• Maßnahmen werden projektbezogen umgesetzt, jedoch nicht nachhaltig in den Regelbetrieb überführt.

Unsere Lösung: Das Controllit NIS-2 Readiness Paket

Unser NIS-2-Readiness-Paket begleitet Sie strukturiert vom Betroffenheitscheck über ein Reifegrad-Assessment bis hin zu einer priorisierten und realistisch umsetzbaren Roadmap. Der Fokus liegt bewusst auf den Handlungsfeldern, die Resilienz im operativen Alltag wirksam stärken – nicht auf formaler Vollständigkeit oder unnötigem Audit-Overhead.

Schritt 1: NIS-2 Betroffenheitscheck

Wir führen einen strukturierten und nachvollziehbaren Betroffenheitscheck durch und dokumentieren das Ergebnis prüffähig.

Ergebnis:

• Klare und dokumentierte Einordnung der NIS-2-Betroffenheit

• Identifikation relevanter Handlungsfelder

• Konkrete Empfehlung zur Priorisierung der nächsten Schritte

Schritt 2: NIS-2 Readiness Assessment (Reifegradanalyse)

Wir bewerten den aktuellen Reifegrad Ihrer Organisation und leiten daraus eine pragmatische, umsetzungsorientierte Handlungslogik ab.

Bewertete Handlungsfelder:

• Governance und Steuerung von Resilienzthemen - Rollen, Verantwortlichkeiten, Entscheidungs- und Eskalationswege im Normalbetrieb und im kritischen (IT-)Vorfall

• Business Continuity Management (BCM) - Zeitkritische Geschäftsprozesse, Wiederanlaufplanung, Übungen, Tests und organisatorische Verankerung

• IT Service Continuity Management (ITSCM) - Kritische ICT-Services, Wiederanlauffähigkeit, Abhängigkeiten sowie Schnittstellen zu BCM, Incident- und Krisenmanagement

• Krisenmanagement - Krisenorganisation, Eskalations- und Meldeketten, Lagebild, Krisenkommunikation und Stabsarbeit

• Lieferketten- und Dienstleisterabhängigkeiten - Kritikalität externer Leistungen, Notfall- und Wiederanlaufabhängigkeiten und deren Integration in BCM und ITSCM

• Übungen, Tests und Wirksamkeitsnachweise - Formate für BCM, ITSCM und Krisenmanagement, Management-Einbindung und strukturierte Ableitung von Verbesserungen

• Nachweisfähigkeit und Regelbetrieb - Dokumentation, Wirksamkeit, kontinuierliche Verbesserung und Audit-Festigkeit

• Resilience Management - Zusammenspiel operativer und organisationaler Resilienz

• Übergang in den Regelbetrieb - Integration in bestehende Risiko-, Steuerungs- und Managementprozesse

Standards und Frameworks als Grundlage
Unsere NIS-2-Readiness-Leistungen orientieren sich an bewährten Standards, Frameworks und Best Practices – nicht an einer einzelnen Norm.

Unser Prinzip: So viel Norm wie nötig – so viel Pragmatismus wie möglich.

• BCM: ISO 22301, BSI 200-4, Good Practice Guidelines

• Krisenmanagement: ISO 22361, BSI 200-4

• ITSCM / IRBC: ISO 27031, ITIL

• Resilience Management: ISO 22316

• Information Security Incident Management: ISO 27001 & ISO 27002

• Cyber Incident Response: NIST SP 800-61, NIST CSF 2.0

Schritt 3: Schulung und Befähigung der Geschäftsführung

Die NIS-2-Richtlinie verlangt, dass Leitungsorgane regelmäßig zu Cyber- und Resilienzerisiken geschult werden – nachweisbar und wirksam.

Im Rahmen des Assessments analysieren wir den aktuellen Stand und entwickeln eine passgenaue Empfehlung:

• Welche bestehenden Management- und Governance-Formate können genutzt werden?

• Welche Inhalte lassen sich NIS-2-konform integrieren?

• Welche Ergänzungen sind erforderlich?

• Welcher Schulungsturnus ist sinnvoll und wie wird Wirksamkeit dokumentiert?

Ergebnis:
Ein praxisnahes Input-Paket zur internen Umsetzung, bestehend aus...

• Agenda- und Formatvorschlag inkl. Turnus

• Kernbotschaften und Lernziele für Leitungsorgane

• Folienstruktur und Textbausteine für Einladung und Kommunikation

• Empfehlungen zur Dokumentation und Nachweisführung

Unsere Leistungen auf einen Blick

• Management Summary mit Kernaussagen, Risiken und Prioritäten

• Reifegradübersicht je Handlungsfeld (Ampelmatrix)

• Priorisierte Maßnahmen-Roadmap mit Quick Wins, Aufbaupfad und Zielbild

• Einschätzung zum operativen und organisationalen Resilience Management

• Empfehlungen zu Geschäftsführungs- und Managementformaten

• Schulungs- und Nachweispaket (Agenda, Kernbotschaften, Templates)

Ihr Mehrwert

• Schnelle Klarheit zu NIS-2-Betroffenheit, Prioritäten und nächsten Schritten

• Pragmatische Umsetzung statt Audit-Überfrachtung

• Ganzheitlicher, resilienzorientierter Blick auf BCM, ITSCM und Krisenmanagement

• Management-taugliche Ergebnisse für fundierte Entscheidungen

• Hohe Anschlussfähigkeit für weiterführende Unterstützung, z. B. Maßnahmenumsetzung, Übungen und Tests

Call to Action

Sie möchten Klarheit über Ihre NIS-2-Betroffenheit und eine Roadmap, die in Ihrer Organisation wirklich funktioniert?
Sprechen Sie uns an – wir begleiten Sie strukturiert und pragmatisch auf dem Weg zur NIS-2-Readiness.