Gesetz in Kraft

NIS2 Compliance Kit

72 Dokumente für die vollständige NIS2-Umsetzung. DACH-spezifisch. In DE + EN. Personalisiert, sofort einsetzbar, Einmalpreis.

Kit auswählen Inhalte ansehen
Automatisch personalisiert Einmalpreis, kein Abo Sofort-Download per E-Mail
72
Dokumente
DE+EN
Sprachen
50
Quiz-Fragen
Warum jetzt handeln?

Konkrete Risiken & Bußgeld-Praxis

Persönliche GF-Haftung

Geschäftsführer haften persönlich für Cybersecurity-Maßnahmen – Art. 20 NIS2.

Meldepflicht 24h/72h

24 Stunden Frühwarnung, 72 Stunden Vorfallmeldung – ohne Ausnahme.

Bußgelder bis 10 Mio. EUR

Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2% des Jahresumsatzes.

Was Sie bekommen

Alles, was Sie brauchen

Scope & BSI-Registrierung

Scope-Assessment, Sektorklassifikation (18 Sektoren), Konzernstruktur-Analyse, DORA/NIS2-Abgrenzung, BSI-Registrierungsformular-Vorlage.

Governance & § 38 BSIG Haftung

Geschäftsführungs-Beschluss, Haftungs-Briefing (§ 38 Abs. 2 BSIG: Innenhaftung über § 43 GmbHG / § 93 AktG; Verzicht/Vergleich unterliegt 3-Jahres-Sperrfrist nach Gesellschaftsrecht), Schulungsplan, RACI-Matrix, CISO-Quartalsbericht.

Risikomanagement & ISMS

Informationssicherheits-Policy, Risikomethodik, Risikoregister, Risikobehandlungsplan. Kompatibel mit ISO 27001 und BSI Grundschutz.

Incident Response (§ 32 BSIG)

Incident-Response-Policy + Playbook, 24h-Frühwarnung, 72h-Meldung, Zwischen- & Abschlussberichte, Klassifikation erheblicher Vorfälle (gemäß EU IR 2024/2690).

Business Continuity & Krise

BCP, Backup & Recovery, Disaster Recovery, Krisenmanagement & -kommunikation.

Lieferketten-Sicherheit

Lieferanten-Fragebogen, Scoring, Vertragsklauseln (Cybersecurity).

Secure Development & Vulnerability

Secure-Development-Policy, Vulnerability-Management, Vulnerability Disclosure (CVD).

Cyber-Hygiene & Schulung

Cyber-Hygiene-Policy, Mitarbeiter-Schulungsprogramm, Phishing-Awareness, Passwort- & MFA-Hygiene.

Kryptografie & Zugriff

Kryptografie-Policy, IAM, MFA-Policy, Asset-Inventar, sichere Kommunikation, Notfallkommunikation.

Audit & Nachweise

Audit-Checkliste, SoA, Nachweis-Inventar, Compliance-Dashboard, Audit-Simulation, Pentest-RFP, ISO 27001 Mapping, BSI-Grundschutz Mapping.

So bestellen Sie

3 Schritte zu Ihrem Kit

Transparent, ohne versteckte Schritte. Bestellung ist innerhalb von 2 Minuten abgeschlossen.

1

Bestellformular ausfüllen

Firmendaten, USt-ID (optional, für Reverse-Charge), gewünschter Tier. Sie erhalten eine sofortige Bestellbestätigung per E-Mail.

2

Rechnung & Überweisung

Innerhalb von 24 Stunden (Werktagen) erhalten Sie eine ordnungsgemäße Rechnung. Zahlungsfrist 14 Tage per Überweisung. Bei EU-B2B mit gültiger USt-ID: Reverse-Charge.

3

Download per E-Mail

Nach Zahlungseingang erhalten Sie einen signierten Download-Link zu allen personalisierten professionelle Vorlagen. Link 7 Tage gültig, einmal verlängerbar.

Preise

Wählen Sie Ihr Paket

Einmalzahlung. Sofort-Download. Kein Abo.

Kauf als Unternehmer im Sinne § 1 KSchG / § 14 BGB. Mit dem Klick auf „Bestellen" akzeptieren Sie unsere AGB und Datenschutzerklärung.

Basis
Compliance-Dokumentation
EUR 990
einmalig, kein Abo
  • 72 editierbare Vorlagen
  • Personalisiert mit Firmennamen
  • Einmal zahlen, immer aktuell
  • 60 Tage Geld-zurück-Garantie*
  • Lizenz für Käufer + Konzern (§ 15 AktG)
Basis wählen
Empfohlen
Plus
Dokumentation + Mitarbeiter-Schulung
EUR 1.290
einmalig, kein Abo
  • 72 editierbare Vorlagen
  • Personalisiert mit Firmennamen
  • Einmal zahlen, immer aktuell
  • 60 Tage Geld-zurück-Garantie*
  • Lizenz für Käufer + Konzern (§ 15 AktG)
  • E-Learning-Modul (Mitarbeiter-Schulung)
Plus wählen
Komplett
Dokumentation + Schulung + Trainer-Materialien
EUR 1.490
einmalig, kein Abo
  • 72 editierbare Vorlagen
  • Personalisiert mit Firmennamen
  • Einmal zahlen, immer aktuell
  • 60 Tage Geld-zurück-Garantie*
  • Lizenz für Käufer + Konzern (§ 15 AktG)
  • E-Learning-Modul (Mitarbeiter-Schulung)
  • Trainer-Pack (PowerPoint + Trainer-Unterlagen für eigene Schulungen)
Komplett wählen
Automatisch personalisiert

Alle Dokumente werden mit Ihrem Firmennamen und Lizenz-ID versehen. Download-Link per E-Mail.

✓ Sofort-Download

Multi-Lizenz für Unternehmensgruppen

Mehrere selbständige Schwesterfirmen ohne Konzern-Verbindung (§ 15 AktG)? +50% Aufschlag erweitert die Lizenz auf insgesamt 3 Unternehmen (Hauptbesteller + 2 Schwesterfirmen).

Beispiel: Plus 1.290 EUR × 1,50 = 1.935 EUR. Multi-Lizenz wählen Sie im Checkout. Details in den AGB § 6.

Hinweis: Die Vorlagen werden nach aktueller Rechtsprechung erstellt und vor Lieferung quellengeprüft. Eine Anpassung an Ihre spezifische Unternehmenssituation und finale anwaltliche Prüfung wird empfohlen. 60 Tage Geld-zurück-Garantie* nach Lieferung — siehe AGB § 8.

Vertrauen

Wofür wir stehen

60 Tage

Geld-zurück-Garantie

Bei nachweisbar fehlerhaftem Inhalt erstatten wir den vollen Kaufpreis. Details in AGB § 8.

Einmal kaufen

Immer aktuell

Updates innerhalb der Major-Version ohne Zeitlimit: neue Behörden-Leitlinien, EuGH-Urteile, bekannte Folge-Phasen einer Verordnung. AGB § 7.

DACH-Quellen

Quellenbasiert + dokumentiert

Jedes Dokument basiert auf EU-Verordnungstext, BfDI/DSK/BSI/EDSA-Leitlinien und höchstrichterlicher Rechtsprechung — das Stand-Datum ist in jedem Dokument vermerkt.

FAQ

Häufige Fragen zum NIS2 Kit

Nach § 28 BSIG: 'Wesentliche Einrichtungen' sind Großunternehmen (≥250 MA oder ≥50 Mio. EUR Umsatz) in 11 Hochkritikalitäts-Sektoren (Energie, Transport, Bank, Gesundheit, etc.). 'Wichtige Einrichtungen' sind mittlere Unternehmen (50-249 MA, ≤50 Mio. EUR Umsatz) in 18 Sektoren. Ausnahme: Kommunen, KRITIS sind unabhängig von der Größe wesentlich.

Größtenteils ja, aber Vorsicht: Sektor-Sonderregeln greifen unabhängig von Größe (z. B. öffentl. Verwaltung, einige TK-Anbieter, Vertrauensdiensteanbieter). Außerdem: Konzernzugehörigkeit (§28 Abs. 4) kann verbundene Unternehmen einbeziehen. Praxis-Tipp: vollständige Scope-Analyse statt Bauchgefühl.

Nicht automatisch, aber bei Konzern-Konsolidierung: Die Mitarbeiter- und Umsatzschwellen gelten konzernweit (§ 28 Abs. 4). Ergebnis: viele Tochter-GmbHs sind 'wichtige Einrichtungen', auch wenn sie isoliert <50 MA hätten. Eigene BSI-Registrierung pro betroffener Einheit erforderlich.

Sofort nachholen über das 'Mein Unternehmenskonto'-Portal. Stand 2026-05: nach BSI-Mitteilungen waren nur ca. 11.500 von rund 29.500 registrierungspflichtigen Einrichtungen formal angemeldet (~38 %) — 61,5 % sind säumig. Das BSI verfolgt aktuell vorrangig systematische Verstöße; verspätete Registrierung wird in der Regel nicht als eigenständiger Verstoß sanktioniert, fehlende Registrierung sehr wohl. Sanktionsrahmen: bis 7-10 Mio. EUR / 1,4-2 % Umsatz.

Größtenteils ja, mit Lücken. ISO 27001 deckt 70-80 % der § 30 BSIG-Anforderungen ab. Lücken: NIS2-Meldepflichten 24h/72h/30d (§ 32), Lieferketten-Sorgfalt (§ 30 Abs. 2 Nr. 5), § 38 BSIG-Geschäftsleitungsbillung. Mapping-Workbook + Ergänzungen im NIS2-Kit schließen die Lücken.

Ja, faktisch. § 30 Abs. 2 Nr. 10 BSIG verlangt 'Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung'. BSI-Empfehlung: alle Admin-Konten + alle externen Zugänge (VPN, Cloud) mit MFA. Bei reiner Mitarbeiter-Office-Nutzung (kein remote/elevated): risikobasiert begründbar.

Nach § 38 Abs. 1 BSIG: die Geschäftsleitung selbst — Umsetzungs- und Überwachungspflicht für die § 30-Risikomaßnahmen ist nicht delegierbar. § 38 Abs. 2 BSIG verweist für die Innenhaftung auf die Regeln des Gesellschaftsrechts (§ 43 GmbHG bzw. § 93 AktG); danach ist ein Verzicht/Vergleich u. a. erst nach Ablauf von 3 Jahren möglich. Externe Bußgelder treffen die Einrichtung; Innenausgleich gegen GF-Privatvermögen ist nach Gesellschaftsrecht möglich.

Das BSIG nennt keine Frequenz. BSI-Empfehlung (Handreichung Geschäftsleitung 2024): bei Antritt + jährliche Auffrischung. Praxis-Standard: Halbjährlich für GL wesentlicher Einrichtungen, jährlich für wichtige. Online-Schulung mit Wissenstest und Zertifikat erfüllt die Anforderung.

Eingangsbestätigung beim BSI über das 'Mein Unternehmenskonto'-Portal binnen 24h ab Kenntnis eines signifikanten Vorfalls. Inhalt: erste Bewertung, kein vollständiger Bericht. Die Definition 'signifikanter Vorfall' ist in der EU-DurchführungsVO 2024/2690 technisch definiert (Anzahl betroffener Nutzer, Schaden, etc.).

Ja. Der Auftraggeber bleibt vollumfänglich verantwortlich. Pflicht: Lieferketten-Sicherheit nach § 30 Abs. 2 Nr. 5 BSIG — Vertragsklauseln zu Cybersecurity, Vorfallsmeldung des Dienstleisters an Auftraggeber, Right-to-Audit. Cloud-Anbieter sind separat NIS2-pflichtig (eigene Registrierung).

Mindestens: Information bei Vorfällen (24h-Pflicht weitergegeben), Recht auf Audit/Pentest, Sicherheits-Mindeststandards, Right-to-Audit, Notfall-Schnittstelle. BSI hat Muster-Klauseln in der NIS2-Handreichung 'Cybersicherheit in der Lieferkette' veröffentlicht.

Drei verschiedene Welten: NIS2 ist gesetzliche Pflicht (BSIG); ISO 27001 ist freiwillige Zertifizierung (intern. Standard); TISAX ist Automotive-Spezialstandard. Überlappung: ISO 27001 und TISAX decken viele NIS2-Anforderungen ab. Mapping: NIS2-Kit liefert Crosswalk-Tabelle.

DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist lex specialis für Finanzentitäten. Wer unter DORA fällt, ist von NIS2 ausgenommen (Art. 4 NIS2-RL). Praxis: Banken, Versicherungen, Zahlungsdienstleister → DORA. Nicht-Finanz-Töchter eines Bank-Konzerns → ggf. NIS2.

Ja, möglich. Bußgeldbewehrt sind Pflichtverstöße — fehlende Risikomaßnahmen nach § 30 BSIG, fehlende Geschäftsleitungs-Billigung nach § 38, fehlende Registrierung. Auch ohne konkreten Schaden. BSI-Aufsicht prüft anlassunabhängig.

Bußgelder treffen die Einrichtung. ABER: § 38 Abs. 2 BSIG verweist für die persönliche Innenhaftung der Geschäftsleitung gegenüber der Einrichtung auf die Regeln des Gesellschaftsrechts (§ 43 GmbHG / § 93 AktG). Wenn das Unternehmen ein Bußgeld zahlt und die Pflichtverletzung der GF anzulasten ist, kann das Unternehmen den GF nach Gesellschaftsrecht persönlich in Regress nehmen. D&O-Versicherung greift bei grober Fahrlässigkeit nicht zwingend.

§ 30 BSIG verlangt 'Konzepte zur Beurteilung der Wirksamkeit'. Eine externe Audit-Zertifizierung ist nicht zwingend, aber praktisch hilfreich. ISO 27001-Zertifizierung deckt einen Großteil ab. Pentest-Anforderung explizit nicht im Gesetz, aber BSI-Empfehlung.

Das BSIG nennt keine konkrete Aufbewahrungsfrist. Branchen-Standard: mindestens 12 Monate, bei Vorfällen 36 Monate. DSGVO-Konflikt beachten: Logs mit personenbezogenen Daten unterliegen Art. 5 Abs. 1 lit. e (Speicherbegrenzung). Anonymisierung/Pseudonymisierung bei langfristiger Aufbewahrung empfohlen.

Die NIS2-Richtlinie (EU 2022/2555) ist das EU-Recht. NIS2UmsuCG ist das deutsche Umsetzungsgesetz, in Kraft seit 06.12.2025. Es novelliert das BSIG. Ab dem Inkrafttreten gelten in Deutschland §§ 28-60 BSIG-neu — auf diese paragrafen sollten Verträge, Policies und Schulungsmaterialien Bezug nehmen.

Ja. Nach dem Kauf erhalten Sie einen Download-Link mit allen personalisierten professionelle Vorlagen. Die Dateien gehören Ihnen vollständig — Sie können sie speichern, in Ihre Compliance-Infrastruktur integrieren, intern weiterbearbeiten, archivieren. Es gibt keine Cloud-Abhängigkeit, keine Lizenz-Aktivierung pro Gerät, keine Internet-Verbindung für die Nutzung erforderlich.

Sie erhalten alle Updates des Kits, solange das Kit in seiner aktuellen Major-Version geführt wird. Updates kommen bei Behörden-Auslegungsänderungen, neuer Rechtsprechung und bekannten Folge-Phasen einer Verordnung. Bei substantiell neuer Verordnung 50% Bestandskunden-Rabatt.

Bei rechtlich nachweisbar falschem Inhalt erstatten wir den Kaufpreis. Frist 60 Tage ab Lieferdatum. Beweis durch anwaltliches Schreiben oder Behörden-Stellungnahme. Details siehe AGB § 8.

Verwandte Kits

Häufig zusammen gekauft

DSGVO Kit

Datensicherheit × Cybersecurity

AI Act Kit

KI-Risiko × Cyber-Risiko

HinSchG Kit

Whistleblowing zu Cyber-Lücken

Jetzt NIS2 Compliance sicherstellen

Einmalpreis. Sofort-Download. Personalisiert.

Kit auswählen →