NIS2-Richtlinie: Was sie für Ihre IT-Infrastruktur bedeutet und wie Sie sich vorbereiten
How engineering teams turn AI from a coding shortcut into a structured delivery system –
and what phased, human-first modernization looks like in practice.
Die Cybersicherheitslandschaftin Europa hat sich grundlegend verändert. Mit der NIS2-Richtlinie (EU2022/2555), die inzwischen sowohl in Deutschland als auch in Österreich innationales Recht umgesetzt wurde, stehen Unternehmen vor einer neuen Äraregulatorischer Anforderungen – einer Ära, die nicht nur Sicherheitsteamsbetrifft, sondern die Grundlagen der gesamten IT-Infrastruktur. Ob Sieim Energiesektor, im Gesundheitswesen, in der Fertigung oder bei digitalenDiensten tätig sind: Die Frage lautet nicht mehr ob NIS2 für Sie gilt,sondern wie tiefgreifend sie verändert, wie Sie Ihre Systeme aufbauen,überwachen und betreiben.
Bei Altimi unterstützen wirUnternehmen in der DACH-Region, in Skandinavien und in Westeuropa dabei,ihre Technologie-Stacks zu modernisieren, die Cloud-Sicherheit zu stärken undEngineering-Disziplin in den Infrastrukturbetrieb zu bringen. Wir haben auserster Hand erlebt, wie regulatorischer Wandel zu einem Katalysator für echteVerbesserungen werden kann – wenn man ihn richtig angeht.
Dieser Artikel erklärt, wasNIS2 verlangt, warum sie speziell für die IT-Infrastruktur relevant ist und wieIhr Unternehmen von der bloßen Kenntnisnahme zur tatsächlichenUmsetzungsbereitschaft gelangt.
Was ist die NIS2-Richtlinie?
NIS2 ist der aktualisierteRahmen der Europäischen Union zur Erreichung eines hohen gemeinsamenCybersicherheitsniveaus in allen Mitgliedstaaten. Sie ersetzt dieursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert sowohl die Zahlder erfassten Sektoren als auch die Zahl der zur Einhaltung verpflichtetenUnternehmen drastisch.
Die Richtlinie wurde imDezember 2022 verabschiedet; die Mitgliedstaaten waren verpflichtet, sie biszum 17. Oktober 2024 in nationales Recht umzusetzen. Sowohl Deutschlandals auch Österreich haben diese Frist deutlich überschritten – inzwischenliegen jedoch in beiden Ländern verbindliche nationale Gesetze vor (mehr dazuim Abschnitt zur nationalen Umsetzung). Damit ist die Phase der Unsicherheitüber das „Ob“ einer konkreten Pflichtenlage gewichen.
Die Kernziele von NIS2 sindeindeutig: Unternehmen, die kritische Dienste betreiben, sollen robusteCybersicherheitspraktiken aufrechterhalten, Vorfälle unverzüglich meldenund Verantwortung für ihre Sicherheitslage übernehmen – ausdrücklicherauch auf Ebene der Geschäftsleitung.
Für wen gilt NIS2?
NIS2 erfasst insgesamt 18Sektoren, aufgeteilt in zwei Stufen. Unternehmen, die als „wesentlicheEinrichtungen“ eingestuft werden, sind in Sektoren mit hoher Kritikalitättätig – Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur,Trinkwasser, Abwasser, öffentliche Verwaltung, Raumfahrt und Verwaltung vonIKT-Diensten. „Wichtige Einrichtungen“ umfassen weitere kritischeSektoren wie Fertigung, Lebensmittelproduktion, Chemie, Postdienste,Abfallwirtschaft, digitale Anbieter und Forschung. (In Deutschland verwendetdas nationale Recht für die erste Kategorie den Begriff „besonders wichtigeEinrichtungen“ – inhaltlich entspricht dies den „wesentlichen Einrichtungen“der Richtlinie.)
Auch die Größenschwelle istbedeutsam: Erfasst sind in der Regel Unternehmen mit mindestens 50Beschäftigten oder einem Jahresumsatz von über 10 Mio. Euro. BestimmteEinrichtungen – DNS-Anbieter, Vertrauensdiensteanbieter, TLD-Registries –fallen unabhängig von ihrer Größe darunter. Ein wichtiger Praxishinweis: Auchwer selbst unterhalb der Schwellen liegt, kann als Teil der Lieferketteeines betroffenen Unternehmens in den Anwendungsbereich geraten.
Die Zahlen sprechen für sich.Die Europäische Kommission schätzt, dass NIS2 EU-weit rund 160.000Einrichtungen erfasst – eine Verzehnfachung gegenüCber den etwa 15.000unter der ursprünglichen Richtlinie. Allein in Deutschland sind nachSchätzungen rund 29.500 Unternehmen betroffen, in Österreich rund 4.000. Vieledieser Organisationen erkennen erst jetzt, dass sie unter die Regulierungfallen.
NIS2 in Deutschland und Österreich: Die nationaleUmsetzung
Da NIS2 eine Richtlinie ist,entfaltet sie ihre verbindliche Wirkung erst durch die Umsetzung in nationalesRecht. Für Unternehmen in der DACH-Region sind daher die jeweiligen nationalenGesetze maßgeblich – und beide unterscheiden sich in wichtigen Details.
Deutschland: NIS2-Umsetzungsgesetz (NIS2UmsuCG / BSIG-neu)
Deutschland hat die EU-Frist umrund ein Jahr verfehlt. Das NIS2-Umsetzungs- undCybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetzgrundlegend reformiert (BSIG-neu), ist seit dem 6. Dezember 2025 in Kraft.Entscheidend für die Praxis: Das Gesetz sieht keine Übergangsfristen fürdie Umsetzung der technischen und organisatorischen Maßnahmen vor. BetroffeneUnternehmen müssen die Compliance also unmittelbar nachweisen können.
Die zuständige Behörde ist das Bundesamtfür Sicherheit in der Informationstechnik (BSI). Über dessen Melde- undRegistrierungsportal müssen sich betroffene Einrichtungen registrieren; diezentrale Registrierungsfrist ist bereits im März 2026 abgelaufen. FürVerantwortliche besonders relevant sind die Paragraphen § 28(Betroffenheit), § 30 (Risikomanagement), § 32 (Meldepflichten), § 38(Pflichten der Geschäftsleitung) und § 65 (Bußgelder) des BSIG-neu. Diezehn Maßnahmenbereiche aus § 30 BSIG entsprechen weitgehend den Anforderungender ISO 27001 – ein wichtiger Anknüpfungspunkt für Unternehmen mit bestehendemISMS.
Österreich: Netz- und Informationssystemsicherheitsgesetz (NISG 2026)
Auch Österreich hat die Fristdeutlich überschritten; ein erster Anlauf scheiterte 2024 an der erforderlichenZweidrittelmehrheit. Das Netz- und Informationssystemsicherheitsgesetz 2026(NISG 2026) wurde am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht undtritt am 1. Oktober 2026 in Kraft – bis dahin bleibt das bisherige NISG2018 gültig. Anders als in Deutschland gilt in Österreich eine Übergangsfristvon neun Monaten zur Umsetzung der Risikomanagementmaßnahmen.
Das NISG 2026 errichtet einneues Bundesamt für Cybersicherheit als zentrale Behörde und führt einzweistufiges Aufsichts- und Prüfregime ein. Wesentliche und wichtigeEinrichtungen müssen innerhalb von zwölf Monaten nach Eintritt derRegistrierungspflicht eine Selbstdeklaration bei derCybersicherheitsbehörde einreichen, die unter anderem die genutzten Netz- undInformationssysteme sowie die Lieferkettensicherheit umfasst.
In beiden Ländern gilt: DieSanktionen sind erheblich, und die persönliche Haftung der Geschäftsleitungist ein zentrales Element – Cybersicherheit ist damit endgültig Chefsache.
Die fünf zentralen Anforderungen und ihreAuswirkungen auf die Infrastruktur
NIS2 schreibt zehngrundlegende Risikomanagementmaßnahmen (Artikel 21 der Richtlinie, inDeutschland § 30 BSIG) vor. Für IT-Teams und Infrastrukturverantwortlicheverdienen fünf Bereiche besondere Aufmerksamkeit.
1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
NIS2 verlangt von UnternehmenKonzepte für Risikoanalyse und die Sicherheit von Informationssystemen.Das ist keine Pro-forma-Übung – es bedeutet ein dokumentiertes, regelmäßigaktualisiertes Verständnis der Bedrohungslage Ihrer Infrastruktur. Wissen Sie,welche Systeme aus dem Internet erreichbar sind? Welche Dienste von welchenCloud-Komponenten abhängen? Wo Ihre Single Points of Failure liegen?
Für viele Unternehmen beginntdies mit einem Infrastruktur-Audit. Bei Altimi führen unsere DevOps- undCloud-Security-Teams regelmäßig umfassende Bewertungen der bestehendenInfrastruktur durch – mit Prüfung der Architektur auf Skalierbarkeit,Sicherheit und technische Schulden – als ersten Schritt zur Modernisierung.Ohne diese Grundlage bleibt Risikoanalyse Ratespiel.
2. Behandlung, Meldung und Reaktion auf Sicherheitsvorfälle
Einer der betrieblichanspruchsvollsten Aspekte von NIS2 ist die Meldefrist für Vorfälle.Unternehmen müssen innerhalb von 24 Stunden nach Kenntnisnahme eineserheblichen Vorfalls eine Frühwarnung abgeben, gefolgt von einer detailliertenMeldung innerhalb von 72 Stunden und einem Abschlussbericht mitUrsachenanalyse innerhalb eines Monats.
Diese Fristen einzuhaltenerfordert mehr als einen Krisenkommunikationsplan. Es braucht eine Observability-Infrastruktur,die Anomalien nahezu in Echtzeit erkennt, automatisierte Alarmierungs- undEskalationsverfahren sowie eingeübte Incident-Response-Playbooks. Unsere Incident-Response-und SRE-Services sind genau darauf ausgelegt: 24/7-Rufbereitschaft,definierte SLI-/SLO-/SLA-Metriken, Post-Mortem-Analysen und kontinuierlicheVerbesserungsprozesse, die aus Vorfällen Lernchancen statt wiederkehrender Ausfällemachen.
3. Business Continuity, Backup-Management und Notfallwiederherstellung
NIS2 verlangt ausdrücklichMaßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, einschließlichBackup-Management, Notfallwiederherstellung und Krisenmanagement. Das heißt:Ihre Infrastruktur muss nicht nur laufen, sondern sich auch schnell undvorhersehbar wiederherstellen lassen.
In der Praxis bedeutet das Infrastructure-as-Code-Praktiken(mit Werkzeugen wie Terraform, CloudFormation oder Pulumi), automatisierteBackup-Verifizierung, dokumentierte Rollback-Pläne und regelmäßige Tests derNotfallwiederherstellung. Unsere Infrastructure-Transformation-Servicesliefern genau dieses Resilienz-Engineering: Entwurf von Zielarchitekturen,Durchführung von Migrationen mit detaillierten Rollback-Strategien undHypercare-Unterstützung nach der Migration, um sicherzustellen, dass dieWiederherstellungsmechanismen auch unter Druck funktionieren.
4. Sicherheit der Lieferkette
NIS2 führt eine Anforderungein, die viele Unternehmen als herausfordernd empfinden: Sie sind nicht nurfür Ihre eigene Sicherheit verantwortlich, sondern müssen auch dieSicherheit Ihrer Lieferanten und Dienstleister bewerten und steuern. Dieserstreckt sich auf Softwareanbieter, Cloud-Provider, Managed-Service-Partnerund jede Drittabhängigkeit in Ihrem Technologie-Stack.
Für Unternehmen, die aufausgelagerte Entwicklung oder Managed Services setzen, bedeutet das, Partnerzu wählen, die ihre Compliance-Reife nachweisen können. Altimi ist nachISO 27001 zertifiziert und arbeitet aus der EU heraus (DSGVO-konform), mitetablierten Sicherheitspraktiken für Schwachstellen-Scanning,Secrets-Management (Vault, AWS Secrets Manager), Container-Sicherheit (AquaSecurity, Snyk) und Code-Qualitätsanalyse (SonarQube). Wenn dieAufsichtsbehörde nach Ihrer Lieferkette fragt, sollten Ihre Technologiepartnerdie Antwort leicht machen.
5. Konzepte und Verfahren zur Bewertung der Cybersicherheitsmaßnahmen
NIS2 verlangt von UnternehmenKonzepte und Verfahren, um die Wirksamkeit ihrer Risikomanagementmaßnahmenzu bewerten. Das bedeutet kontinuierliches Compliance-Monitoringstatt jährlicher Häkchen-Audits.
Unser Compliance- undAudit-Readiness-Programm adressiert dies direkt: durch Gap-Analysen gegenrelevante Standards (ISO 27001, SOC 2, PCI-DSS, DSGVO), automatisierteCompliance-Berichte und Nachweissammlung, Mock-Audits und Remediation-Planungsowie kontinuierliche Überwachung mit automatisierter Alarmierung. Das Ziel:Compliance soll ein Nebenprodukt guter Engineering-Praxis sein, keinseparater Arbeitsstrang.
Wo es bei den meisten Unternehmen hakt
Aus unserer Erfahrung miteuropäischen Unternehmen liegen die häufigsten Lücken nicht in denRichtliniendokumenten – sondern in der Infrastruktur.
Oft fehlt ein zentralisiertesLogging und Monitoring, das einen Vorfall überhaupt innerhalb des24-Stunden-Meldefensters erkennen könnte. Infrastruktur, die manuell stattüber Code bereitgestellt wird, macht die Notfallwiederherstellungunvorhersehbar und langsam. Zugriffskontrollen sind über Umgebungen hinweginkonsistent, Produktionszugangsdaten werden informell geteilt oder Secretsunsicher gespeichert. Es gibt keinen systematischen Ansatz für das Schwachstellenmanagement;Patchen wird als gelegentliches Projekt statt als kontinuierlicher Prozessbehandelt. Und Cloud-Umgebungen sind organisch ohne Sicherheits-Baselinesgewachsen, was zu falsch konfigurierten Speicher-Buckets, zu freizügigenIAM-Rollen und unverschlüsselten Datenübertragungen führt.
Das sind Engineering-Probleme –und sie erfordern Engineering-Lösungen.
Ein praktischer Fahrplan zur NIS2-Bereitschaft
Die Vorbereitung auf NIS2 istkein einmaliges Projekt – sie ist eine fortlaufende Verpflichtung zuInfrastruktur- und Betriebsreife. Auf Basis unserer Arbeit mit Kunden inregulierten Branchen empfehlen wir einen phasenweisen Ansatz.
Phase 1: Bewerten (Woche 1–4)
Beginnen Sie mit einer umfassendentechnischen und organisatorischen Bewertung. Erfassen Sie IhreInfrastruktur, identifizieren Sie kritische Assets und Abhängigkeiten, bewertenSie Ihre aktuelle Sicherheitslage anhand der NIS2-Anforderungen und bestimmenSie, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt. DieseBewertung sollte Architektur-Review, Schwachstellenbewertung, Aktualität desTechnologie-Stacks und Compliance-Gap-Analyse umfassen.
Phase 2: Konzipieren und beheben (Woche 5–16)
Auf Basis der Bewertungentwerfen Sie eine Zielarchitektur, die die identifizierten Lückenschließt. Typischerweise gehört dazu die Einführung oder Verbesserung von Monitoringund Observability (Prometheus, Grafana, Kibana), das Härten vonCI/CD-Pipelines mit Security-Scanning, die Bereitstellung von Infrastructure-as-Codemit sauberem State-Management, das Etablieren von Secrets-Management undZugriffskontroll-Richtlinien, das Einrichten automatisierterBackup-Verifizierung und Notfallwiederherstellungsverfahren sowie dasDokumentieren von Incident-Response-Prozessen mit klarenEskalationswegen.
Phase 3: Betreiben und verbessern (fortlaufend)
Compliance ist kein Ziel, dasman einmal erreicht. NIS2 verlangt kontinuierliche Bewertung undVerbesserung. Diese Phase umfasst laufende Managed Services mit definiertenSLAs, vierteljährliche Infrastruktur-Reviews und Optimierung, kontinuierlichesCompliance-Monitoring und automatisierte Berichte, regelmäßiges ChaosEngineering und Tests der Notfallwiederherstellung sowie regelmäßigeSicherheitsbewertungen und Penetrationstests.
Wie Altimi Sie auf Ihrem NIS2-Weg unterstützt
Mit über 20 Jahren Erfahrungin der Bereitstellung von DevOps, Produktentwicklung und Managed Services füreuropäische Kunden verbindet Altimi tiefe technische Expertise mit einempraxisnahen Verständnis der EU-Regulatorik.
Unser Leistungsportfolio istdirekt auf die NIS2-Compliance-Anforderungen abgestimmt:
DevOps und Cloud-Sicherheit – Infrastruktur-Modernisierung, Härtung von CI/CD-Pipelines,Container-Sicherheit und Infrastructure-as-Code-Umsetzung über AWS, Azure undGCP hinweg.
Site Reliability Engineering(SRE) – 24/7-Incident-Response, SLI-/SLO-Management, Chaos Engineering undautomatisierte Alarmierung – das betriebliche Rückgrat, das NIS2 verlangt.
Compliance- undAudit-Readiness-Programm – Gap-Analyse, Umsetzung vonSicherheitskontrollen, automatisierte Nachweissammlung und kontinuierlichesMonitoring für ISO 27001, SOC 2, PCI-DSS und DSGVO.
Application-Audit-Services– umfassende technische Audits, einschließlich Code-Qualität,Architektur-Review, Schwachstellenbewertung und OWASP-Top-10-Evaluierung.
KI-Compliance und Governance – für das Zusammenspiel von NIS2, DSGVO und EU AI Act bei Unternehmen, dieKI-Systeme einsetzen.
Team-Augmentation –erfahrene DevOps-Engineers, Cloud-Architekten, SRE-Spezialisten undSecurity-Engineers, die sich direkt in Ihre Teams integrieren.
Wir sind technologieneutral– wir arbeiten mit allen großen Cloud-Anbietern und unterstützen Hybrid- undMulti-Cloud-Strategien – denn NIS2-Compliance sollte von Ihren Anforderungengetrieben sein, nicht von einem Vendor-Lock-in.
NIS2 - Fazit
NIS2 ist nicht nur eine weitereCompliance-Anforderung. Sie steht für einen grundlegenden Wandel darin, wieeuropäische Unternehmen über Cybersicherheit und Infrastruktur-Resilienz denkensollen. Die Sanktionen bei Nichteinhaltung sind erheblich – bis zu 10Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentlicheEinrichtungen – doch die eigentlichen Kosten der Untätigkeit sind betrieblicherNatur: unentdeckte Sicherheitsverletzungen, langsame Wiederherstellung,erschüttertes Kundenvertrauen und die persönliche Haftung derGeschäftsleitung.
Die gute Nachricht: Jede vonNIS2 geforderte Maßnahme ist zugleich einfach gute Engineering-Praxis.Investitionen in robustes Monitoring, resiliente Architektur, automatisierteSicherheitskontrollen und disziplinierte Incident Response befriedigen nichtnur die Aufsichtsbehörden – sie machen Ihre Systeme besser, Ihre Teamsleistungsfähiger und Ihr Unternehmen widerstandsfähiger.
Wenn Sie unsicher sind, wo IhrUnternehmen steht: Der beste Zeitpunkt zu beginnen ist jetzt. Altimibietet ein kostenloses 30-minütiges Erstgespräch an, um IhreAnforderungen zu verstehen und den richtigen Weg nach vorn zu empfehlen.
FAQ - NIS2
Gilt NIS2 für mein Unternehmen, wenn wir nicht in der EU ansässig sind?
Yes, it can. NIS2 applies to organizations that provide services or carry out activities within the EU, regardless of where the company is headquartered. If your organization delivers essential or impoJa, das ist möglich. NIS2 giltfür Unternehmen, die Dienste innerhalb der EU erbringen oder Tätigkeitendort ausüben, unabhängig vom Sitz des Unternehmens. Wenn Ihre Organisationwesentliche oder wichtige Dienste für EU-Kunden erbringt – etwa alsCloud-Anbieter, Managed-Service-Provider oder digitale Plattform – können Siein den Anwendungsbereich fallen. Entscheidend ist nicht der Sitz, sondern woIhre Dienste Wirkung entfalten.rtant services to EU customers — for example, as a cloud provider, managed service provider, or digital platform — you may fall within scope. The key criterion is not where you are incorporated, but where your services have an impact.
Worin unterscheiden sich wesentliche und wichtige Einrichtungen?
Beide Kategorien müssen die gleichenzehn grundlegenden Sicherheitsmaßnahmen umsetzen und dieselben Meldefristeneinhalten. Der Unterschied liegt in Aufsicht und Sanktionen. WesentlicheEinrichtungen (Sektoren wie Energie, Gesundheit, Bankwesen, digitaleInfrastruktur) unterliegen einer proaktiven, laufenden Aufsicht durch dienationalen Behörden und Bußgeldern bis zu 10 Mio. Euro oder 2 % desweltweiten Jahresumsatzes. Wichtige Einrichtungen (Sektoren wie Fertigung,Lebensmittel, Chemie, Postdienste) unterliegen einer reaktiven Aufsicht – dieBehörden werden nach einem Vorfall oder einer Beschwerde tätig – und Bußgeldernbis zu 7 Mio. Euro oder 1,4 % des Umsatzes. (In Deutschland heißt dieerste Kategorie „besonders wichtige Einrichtungen“.)
Welche Meldefristen gelten unter NIS2?
Unternehmen müssen innerhalbvon 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls eineFrühwarnung abgeben. Eine detailliertere Meldung mit einer ersten Bewertungmuss innerhalb von 72 Stunden folgen. Schließlich ist ein umfassender Abschlussberichtinnerhalb eines Monats – einschließlich Ursachenanalyse undAbhilfemaßnahmen – fällig.
Kann die Geschäftsleitung persönlich für Verstöße haften?
Ja. NIS2 führt eine persönlicheVerantwortung der obersten Leitungsebene ein. Führungskräfte können fürVersäumnisse bei der Umsetzung angemessener Risikomanagementmaßnahmen haftbargemacht werden. In Deutschland regelt dies § 38 BSIG, in Österreich folgt esaus Artikel 20 der Richtlinie. Cybersicherheit ist damit keine reineIT-Aufgabe mehr, sondern Chefsache mit potenziellen rechtlichenKonsequenzen.
In welchem Verhältnis steht NIS2 zur DSGVO?
NIS2 und DSGVO sind komplementär,adressieren aber unterschiedliche Aspekte von Sicherheit und Datenschutz.Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten undDatenschutzrechte, während NIS2 die umfassendere Cybersicherheitslagekritischer Infrastrukturen und Dienste adressiert. In der Praxis überschneidensich viele technische Maßnahmen – Verschlüsselung, Zugriffskontrolle, IncidentResponse, Risikobewertung –, sodass Unternehmen mit ausgereifterDSGVO-Compliance einen Vorsprung haben. NIS2 führt jedoch zusätzlicheAnforderungen an Lieferkettensicherheit, Business Continuity und Meldefristenein, die über den Geltungsbereich der DSGVO hinausgehen.
Müssen wir unter NIS2 unsere Lieferkette absichern?
Ja, und das ist eine derwirkungsvollsten neuen Anforderungen. NIS2 verlangt von Unternehmen, dieCybersicherheitsrisiken ihrer Lieferanten und Dienstleister zu bewerten und zusteuern. Dazu zählen Softwareanbieter, Cloud-Infrastrukturanbieter,Managed-Service-Partner und jede Drittabhängigkeit in Ihrem Technologie-Stack.Sie müssen nachweisen können, dass Sie die Sicherheitspraktiken Ihrerkritischen Lieferanten bewertet haben und angemessene vertragliche undtechnische Schutzmaßnahmen bestehen.
Wie lange dauert es, NIS2-konform zu werden?
Das hängt von Ihrem aktuellenReifegrad ab. Unternehmen mit etablierten Sicherheitsframeworks (ISO 27001,SOC 2) und modernen Infrastrukturpraktiken benötigen möglicherweise nur wenigeMonate für Gap-Analyse und gezielte Behebung. Unternehmen mit geringeremReifegrad – mit manueller Infrastruktur, begrenztem Monitoring und ohne formaleIncident-Response-Prozesse – sollten eine umfassendere Transformationeinplanen, typischerweise über sechs bis zwölf Monate. Entscheidend ist,mit einer Bewertung zu beginnen und die Bereiche mit dem höchsten Risiko zuerstanzugehen. Beachten Sie zudem die nationalen Fristen – in Deutschland gibt eskeine Übergangsfrist, in Österreich eine von neun Monaten.
Was ist der erste Schritt, den wir gehen sollten?
Beginnen Sie mit einem Erstgespräch.Wir bieten eine kostenlose 30-minütige Beratung an, um Ihre Situation zuverstehen – in welchem Sektor Sie tätig sind, wie Ihre aktuelle Infrastrukturund Sicherheitslage aussieht und wo Sie die größten Risiken sehen. Auf dieserBasis empfehlen wir einen praktikablen Weg nach vorn – sei es eine umfassendeBewertung, ein gezieltes Behebungsprojekt oder eine laufendeManaged-Services-Zusammenarbeit.
