Wissen/NIS2 selbst machen vs. Berater: Was lohnt sich?

NIS2 selbst machen vs. Berater: Was lohnt sich?

NIS2 intern stemmen oder beratungsgestützt umsetzen? Kosten-Rahmen je nach Sektor und Größe, Hybrid-Pfad, Hinweise zu unzulässigen NIS2-Zertifikat-Angeboten.

ComplyCheck-Redaktion · Stand: 2026-06-25

NIS2KMUKostenQuick-Decision

NIS2 selbst machen vs. Berater: Was lohnt sich?

Die Frage „intern oder beraten" hat keine pauschale Antwort. Die Entscheidung hängt von Sektor, vorhandener interner IT-Sicherheits-Kompetenz, Komplexität der IT-Landschaft und vom regulatorischen Tiefgang ab. Dieser Beitrag ordnet die Kosten-Spannen ein und beschreibt einen verbreiteten Hybrid-Pfad — ohne Pauschal-Empfehlung.

Wichtig

Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen und am Markt beobachteter Kosten-Spannen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Die konkreten Kosten hängen von Sektor, Größe, IT-Architektur, vorhandener Vorarbeit und gewünschter Tiefe ab.
Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Welche regulatorischen Vorgaben sind einschlägig?

Art. 21 Abs. 1 NIS2 verlangt angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen. Die Verhältnismäßigkeit bemisst sich nach Risikoexposition, Größe der Einrichtung, Umsetzungskosten und Schweregrad potenzieller Vorfälle. Das ist die regulatorische Grundlage dafür, dass die Tiefe der Umsetzung nicht für alle Einrichtungen identisch ist — und dass die Kosten-Spannen entsprechend variieren.

Detail

Art. 20 NIS2 normiert die persönliche Verantwortung der Leitungsorgane für die Genehmigung und Überwachung der Maßnahmen — diese Verantwortung kann weder durch Auslagerung noch durch Berater-Mandate weitergegeben werden.

Für KRITIS-Betreiber gilt zusätzlich § 8a BSIG mit einer zweijährlichen Audit-Pflicht; die Audit-Kosten liegen sektorabhängig im niedrigen bis mittleren fünfstelligen Bereich und sind regulatorisch unverhandelbar.

Welche Konstellation passt zu deinem Unternehmen?

Die Eignung der drei Modelle hängt vom internen Profil ab:

  • Vollständig intern: Erfahrungsgemäß tragfähig, sofern intern mindestens eine Person mit IT-Sicherheit als Schwerpunkt-Aufgabe verfügbar ist (CISO, IT-Leitung mit Security-Fokus oder vergleichbare Funktion). Bei rein generalistischer IT-Funktion ist diese Variante regelmäßig nicht tragfähig.
  • Vollständig beratungsgestützt: Verbreitet in stark regulierten Sektoren (Energie, Finanzwesen, Gesundheit) oder bei fehlender interner IT-Sicherheits-Kompetenz. Die Beratung liefert Konzepte und Strukturen — die operative Umsetzung und die laufende Pflege bleiben unverändert bei der Einrichtung.

Detail

  • Hybrid: In der KMU-Praxis weit verbreitete Konstellation — externe Erstanalyse zur Kompetenz-Ergänzung, interne Umsetzung zur Kostenkontrolle, externes Re-Audit für die laufende Wirksamkeitsbewertung.

In jeder der drei Konstellationen gilt: Die Geschäftsleitung trägt die persönliche Verantwortung nach Art. 20 NIS2 — auch bei vollständig externer Beratung.

Welcher Aufbau-Rahmen ist verbreitet?

Der Hybrid-Pfad strukturiert sich in der KMU-Praxis in drei Phasen — die Tiefe und Kosten variieren nach Sektor:

Phase 1: Externe Erstanalyse (5-12 Tsd. €, abhängig von Sektor und Größe): Eine spezialisierte Beratung führt einen mehrtägigen Scoping- und Gap-Analyse-Workshop durch und liefert eine priorisierte Maßnahmenliste auf Basis von Art. 21 NIS2. Hier wird Expertise zu Sektor-Spezifika und Auslegungsfragen eingekauft. Die Erstanalyse ist auch bei vorhandener interner IT-Sicherheits-Kompetenz häufig sinnvoll, weil sie eine externe Perspektive auf die eigene Aufstellung bringt.

Detail

Phase 2: Interne Umsetzung (40-100 Stunden über 4-6 Monate): Die Maßnahmenliste wird intern abgearbeitet. Verantwortlichkeiten werden gesetzt, Tools eingeführt oder konfiguriert, Policies erstellt, Schulungen durchgeführt. Bei einem internen Mischsatz von 80-100 €/Stunde (Geschäftsleitung plus IT-Verantwortliche) ergibt sich ein interner Aufwand zwischen 3-10 Tsd. €.

Phase 3: Jährliches externes Re-Audit (3-8 Tsd. €, abhängig von Sektor): Ein externer Auditor prüft die Wirksamkeit der Maßnahmen, dokumentiert Lücken und liefert eine schriftliche Bestätigung. Diese Bestätigung ist Bestandteil der Nachweisführung gegenüber der zuständigen Aufsicht und kann in Lieferanten-Fragebögen verwertet werden. Eine gesetzliche Audit-Pflicht für „wichtige" Einrichtungen besteht nach NIS2 nicht — sie ist eine vertraglich oder freiwillig motivierte Strukturierung.

Die Gesamtkosten dieses Pfades bewegen sich für ein KMU mit 50-150 Mitarbeitenden ohne KRITIS-Status im Korridor von 8-20 Tsd. € im ersten Jahr und 3-8 Tsd. €/Jahr in den Folgejahren — variierend nach Sektor und Komplexität. In stark regulierten Sektoren liegt die Spanne deutlich höher.

Welche Konstellationen erfordern abweichendes Vorgehen?

Der hier beschriebene Hybrid-Pfad ist nicht ausreichend oder nicht das geeignete Modell, sofern eine der folgenden Konstellationen vorliegt:

  • KRITIS-Betreiber nach BSI-Kritisverordnung: Die zweijährliche Audit-Pflicht nach § 8a BSIG mit den BSI-vorgegebenen Prüfgrundlagen ist nicht durch ein freies Hybrid-Modell substituierbar.
  • Wesentliche Einrichtung in einem hochkritischen Sektor (Anhang I NIS2) mit komplexer IT-Architektur: Regelmäßig ist eine deutlich tiefere Beratungs- und Audit-Struktur einschlägig, einschließlich Penetrationstest-Programmen und ggf. SOC-Anbindung.

Detail

  • Finanzwesen unter DORA: DORA verlangt eigene Strukturen für ICT-Risikomanagement, Incident-Reporting und Drittparteien-Risikomanagement, die über das NIS2-Hybrid-Modell hinausgehen.
  • Konzern-Einbindung: Die Konzern-ISMS-Vorgaben sind regelmäßig vorrangig; ein eigenständiges Berater-Modell auf Tochter-Ebene ist häufig nicht zweckmäßig.
  • Marktangebote mit „NIS2-Zertifikat": Solche Zertifikate sind in Deutschland nicht gesetzlich vorgesehen und werden von der Aufsicht typischerweise nicht als Nachweis akzeptiert. Eine ISO-27001-Zertifizierung ist die marktanerkannte und regulatorisch belastbarere Alternative; entsprechende Marktangebote sollten kritisch geprüft werden (Risiko irreführender Werbung nach § 5 UWG).

Nächster Schritt

Eine erste Einordnung des voraussichtlichen NIS2-Status — und damit der angemessenen Beratungs-Tiefe — liefert der NIS2-Scope-Check.

Bei sektorspezifischen Konstellationen, KRITIS-Status oder unklarer Konzern-Einbindung ist eine Erstberatung durch eine spezialisierte IT-Sicherheits-Beratung oder eine auf IT-Recht spezialisierte Anwaltskanzlei regelmäßig sinnvoll. Bei Marktangeboten mit „NIS2-Zertifikat" ist eine vorgeschaltete rechtliche Prüfung empfehlenswert. Die hier dargestellten Kosten-Spannen sind redaktionell aufbereitete Markt-Beobachtungen und ersetzen keine Angebots-Einholung.

Detailliertere Kosten-Korridore und Budget-Logik im Hintergrund-Artikel: NIS2 Budget — was kostet Compliance realistisch?.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 25. Juni 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.