NIS-2: Wie eine Gap-Analyse den Einstieg in die Umsetzung erleichtert
Autor: Max Beckmann | 2. Juni 2026
NIS-2 gilt seit dem 06.12.2025 und verschärft die Anforderungen an die Cybersicherheit in Unternehmen. An einem Kundenbeispiel aus der Bildungstechnologie zeigen wir, wie wir mit einer NIS-2 Gap-Analyse den Status quo erfassen, Anforderungen strukturieren und nächste Schritte ableiten.
Was ist NIS-2?
Die Richtlinie ersetzt die bisherige NIS-Richtlinie und verschärft die Anforderungen. Im Kern geht es um ein durchgängiges IT-Sicherheitsniveau mit klaren Richtlinien, Rollen, technischen Maßnahmen und Notfallplänen. Gleichzeitig rücken die schnelle Meldung von Sicherheitsvorfällen und erweiterte Befugnisse der Behörden stärker in den Fokus. Betroffen sind dabei nicht nur kritische oder relevante Unternehmen, sondern nun auch wichtige (IT-)Dienstleister in deren Lieferketten.
Schaffen Sie Klarheit, wo Sie in Sachen NIS‑2 wirklich stehen – und welche Maßnahmen den größten Effekt haben. Wir prüfen Ihre Organisation und Ihr IT-/OT-Setup entlang der NIS‑2-Anforderungen, priorisieren Risiken und liefern eine umsetzbare Roadmap – inklusive belastbarer Compliance-Dokumentation.
NIS-2 in der Praxis: Gap-Analyse für erste Übersicht
Wie ein solcher Einstieg in die Umsetzung aussehen kann, zeigt ein Kundenbeispiel zu unserer NIS-2 Gap-Analyse. Der Kunde im Beispiel stammt aus der Bildungstechnologie, beschäftigt rund 200 Mitarbeitende und bietet digitale Lösungen für das Bildungswesen an.
Direkt von NIS-2 betroffen war das Unternehmen nicht. Dennoch bestand Handlungsbedarf, weil Kunden und Lieferanten die Einhaltung entsprechender Anforderungen erwarteten. Hinzu kam, dass neben NIS-2 auch der EU AI Act berücksichtigt werden sollte. Eine gewisse Orientierung am BSI-Grundschutz war bereits vorhanden.
Genau in solchen Konstellationen schafft eine Gap-Analyse Struktur. Sie hilft dabei, den aktuellen Stand einzuordnen, vorhandene Maßnahmen sichtbar zu machen und den Weg in die weitere Umsetzung pragmatisch vorzubereiten.
NIS-2 strukturiert in Informationssicherheit eingebaut
Im Gespräch mit unserem Kunden ging es zunächst darum, ein gemeinsames Bild der Ausgangslage zu entwickeln. Welche Maßnahmen bestehen bereits? Welche organisatorischen und technischen Prozesse wirken heute schon auf Informationssicherheit ein? Und wo gibt es erste Anhaltspunkte, auf die sich aufbauen lässt?
NIS-2 ist seit 06.12.2025 in Kraft – und für viele Unternehmen heißt das: Jetzt zählen konkrete Schritte statt Abwarten. In unserem Webinar zeigen wir, wie Sie Compliance-Lücken systematisch identifizieren und NIS-2 pragmatisch umsetzen, ohne das Rad neu zu erfinden. Mit echten Kundenbeispielen (u. a. SAP) und einem klaren Vorgehen vom Check bis zur Umsetzung.
Darauf aufbauend haben wir vorhandene Unterlagen gesichtet und in die Bewertung einbezogen. Entscheidend war dabei nicht, jedes Detail isoliert zu prüfen, sondern ein belastbares Gesamtbild zu gewinnen. So lässt sich früh erkennen, wo bereits tragfähige Bausteine vorhanden sind und an welchen Stellen weiterer Handlungsbedarf besteht.
Im nächsten Schritt wurde der Umsetzungsstand gemeinsam vertieft. Dafür reicht reine Dokumentation in der Regel nicht aus. Entscheidend ist auch der Blick auf die gelebte Praxis im Unternehmen. Erst in der Verbindung aus vorhandenen Unterlagen und Gesprächen mit den beteiligten Personen entsteht ein realistischer Eindruck davon, wie weit ein Unternehmen bei sicherheitsrelevanten Maßnahmen tatsächlich ist.
Unser ganzheitliches Vorgehen
Das Kundenbeispiel zeigt vor allem eines: Wir betrachten regulatorische Anforderungen nicht isoliert. Statt NIS-2 getrennt von anderen Vorgaben zu behandeln, führen wir relevante Themen zusammen und schauen auf Schnittmengen.
Im konkreten Fall bedeutete das, NIS-2 gemeinsam mit Anforderungen aus dem EU AI Act und mit der bestehenden Orientierung am BSI-Grundschutz zu betrachten. Dahinter steht ein klarer Gedanke: Viele Unternehmen stehen nicht nur vor einer einzelnen Vorgabe, sondern vor mehreren Regelwerken gleichzeitig. Wer diese parallel, aber unverbunden angeht, erzeugt schnell Doppelarbeit. Wer sie gemeinsam strukturiert, schafft mehr Klarheit und mehr Effizienz.
Genau deshalb ordnen wir Maßnahmen nicht nur einer einzelnen Regulierung zu, sondern betrachten übergreifend, welche Themen ohnehin adressiert werden müssen. Dazu zählen etwa Risikomanagement, Dokumentation, Schulungen, Zugriffskontrolle, Notfallmanagement oder technische Schutzmaßnahmen.
Welchen Nutzen hatte die NIS-2 Gap-Analyse?
Im Kundenbeispiel lag der Nutzen nicht allein in einer Bestandsaufnahme. Die Analyse hat vor allem Orientierung geschaffen. Gemeinsam mit unserem Kunden konnten wir herausarbeiten, welche Maßnahmen bereits vorhanden sind, wo Lücken bestehen und wie sich die nächsten Schritte strukturiert angehen lassen.
Hinzu kommt ein zweiter wichtiger Punkt. Durch die ganzheitliche Betrachtung regulatorischer Anforderungen lassen sich Doppelarbeiten vermeiden. Statt NIS-2, EU AI Act und bestehende Sicherheitsanforderungen getrennt zu behandeln, entsteht eine zentralere Sicht auf Compliance und Informationssicherheit. Das spart Aufwand und erleichtert die Priorisierung.
Für den Kunden bedeutete das eine klarere Grundlage für die weitere Umsetzung. Statt mit Einzelanforderungen zu starten, entstand ein strukturierter Rahmen, in dem sich Anforderungen bündeln, bewerten und Schritt für Schritt bearbeiten lassen.
