NIS2-Check startenStart NIS2 checkIniciar diagnóstico NIS2Démarrer le diagnostic NIS2
Bodenova BranchenIndustriesSectoresSecteurs NIS2
Seit 6. Dezember 2025 in KraftIn force since 6 December 2025En vigor desde el 6 de diciembre de 2025En vigueur depuis le 6 décembre 2025

NIS2 ist Pflicht — auch für Sie?
Wir klären es in 5 Minuten.NIS2 is mandatory — does it apply to you?
We'll find out in 5 minutes.NIS2 es obligatorio — ¿le afecta a usted?
Lo aclaramos en 5 minutos.NIS2 est obligatoire — êtes-vous concerné ?
Nous le déterminons en 5 minutes.

Das NIS2UmsuCG gilt seit 6. Dezember 2025 in Deutschland ohne Übergangsfrist. Rund 30.000 Unternehmen sind betroffen — viele wissen es noch nicht. Bußgelder bis 10 Mio. € drohen.The NIS2UmsuCG has been in force in Germany since 6 December 2025 with no transition period. Approximately 30,000 businesses are affected — many do not yet know it. Fines of up to €10 million are possible.La NIS2UmsuCG está en vigor en Alemania desde el 6 de diciembre de 2025 sin período transitorio. Unas 30.000 empresas están afectadas — muchas aún no lo saben. Las multas pueden alcanzar los 10 millones de €.La NIS2UmsuCG est en vigueur en Allemagne depuis le 6 décembre 2025 sans période de transition. Environ 30 000 entreprises sont concernées — beaucoup ne le savent pas encore. Des amendes pouvant atteindre 10 millions d'euros sont encourues.

Kostenlosen NIS2-Check startenStart free NIS2 checkIniciar diagnóstico NIS2 gratuitoDémarrer le diagnostic NIS2 gratuit Pflichten im ÜberblickOverview of obligationsResumen de obligacionesVue d'ensemble des obligations
~30.000 Unternehmen in DE direkt betroffenbusinesses in Germany directly affectedempresas en Alemania directamente afectadasentreprises en Allemagne directement concernées
10 Mio. € Maximalbußgeld bei VerstößenMaximum fine for violationsMulta máxima por infraccionesAmende maximale en cas d'infraction
24h Frühwarnung bei SicherheitsvorfällenEarly warning for security incidentsAlerta temprana para incidentes de seguridadAlerte précoce pour les incidents de sécurité
18 Sektoren vom Gesetz erfasstsectors covered by the lawsectores cubiertos por la leysecteurs couverts par la loi
Bin ich betroffen?Am I affected?¿Me afecta?Suis-je concerné ?

Zwei einfache Kriterien — eins reicht.Two simple criteria — one is enough.Dos criterios sencillos — con uno basta.Deux critères simples — un seul suffit.

Das NIS2UmsuCG unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Bereits eines der folgenden Kriterien kann Sie erfassen.The NIS2UmsuCG distinguishes between "essential" and "important" entities. Even one of the following criteria can bring you within scope.La NIS2UmsuCG distingue entre entidades «esenciales» e «importantes». Incluso uno de los siguientes criterios puede incluirle en el ámbito de aplicación.La NIS2UmsuCG distingue entre entités « essentielles » et « importantes ». Même un seul des critères suivants peut vous inclure dans le champ d'application.

Kriterium 1: GrößeCriterion 1: SizeCriterio 1: TamañoCritère 1 : Taille

  • Ab 50 Mitarbeitenden oderFrom 50 employees orA partir de 50 empleados oÀ partir de 50 salariés ou
  • Ab 10 Mio. € Jahresumsatz oderFrom €10 million annual turnover orA partir de 10 millones € de facturación anual oÀ partir de 10 millions d'€ de chiffre d'affaires annuel ou
  • Ab 10 Mio. € BilanzsummeFrom €10 million balance sheet totalA partir de 10 millones € de balance totalÀ partir de 10 millions d'€ de total de bilan

Kriterium 2: SektorCriterion 2: SectorCriterio 2: SectorCritère 2 : Secteur

  • Wesentlich: Energie, Verkehr, Banken, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Weltraum, Öffentliche Verwaltung, IKT-DienstleisterEssential: Energy, transport, banking, financial markets, healthcare, drinking water, wastewater, digital infrastructure, space, public administration, ICT service providersEsenciales: Energía, transporte, banca, mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, espacio, administración pública, proveedores de TICEssentiels : Énergie, transports, banques, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, espace, administration publique, fournisseurs TIC
  • Wichtig: Post/Kurier, Abfall, Chemie, Lebensmittel, produzierendes Gewerbe, Digitale Anbieter (Online-Marktplätze, Suchmaschinen, Social Networks), ForschungImportant: Post/courier, waste, chemicals, food, manufacturing, digital providers (online marketplaces, search engines, social networks), researchImportantes: Correos/mensajería, residuos, química, alimentación, industria manufacturera, proveedores digitales (mercados en línea, buscadores, redes sociales), investigaciónImportants : Poste/messagerie, déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), recherche

Kritische DeadlinesCritical deadlinesPlazos críticosDélais critiques

6. Dezember 2025
NIS2UmsuCG in Kraft getreten — sofort geltendNIS2UmsuCG entered into force — immediately applicableNIS2UmsuCG en vigor — aplicable de inmediatoNIS2UmsuCG entré en vigueur — applicable immédiatement
6. März 2026
BSI-Registrierungsfrist bereits abgelaufen — unverzüglich nachholenBSI registration deadline already passed — complete without delayPlazo de registro en el BSI ya vencido — completar sin demoraDélai d'enregistrement auprès du BSI déjà expiré — à effectuer sans délai
LaufendOngoingContinuoEn continu
24h-Frühwarnung + 72h-Meldung bei Sicherheitsvorfällen24h early warning + 72h report for security incidentsAlerta temprana de 24 h + notificación de 72 h para incidentes de seguridadAlerte précoce 24 h + notification 72 h pour les incidents de sécurité
StändigContinuouslyPermanenteEn permanence
Risikomanagement, MFA, Backup, Incident Response dokumentiertRisk management, MFA, backup, incident response documentedGestión de riesgos, MFA, copias de seguridad, respuesta a incidentes documentadasGestion des risques, MFA, sauvegarde, réponse aux incidents documentés

Wichtig:Important:Importante:Important : Die Geschäftsleitung haftet persönlich für NIS2-Verstöße (§ 38 BSIG-neu).Management is personally liable for NIS2 violations (§ 38 BSIG new).La dirección responde personalmente por las infracciones NIS2 (§ 38 BSIG nuevo).La direction est personnellement responsable des infractions NIS2 (§ 38 BSIG nouveau).

BußgeldrisikoFine riskRiesgo de sanciónRisque d'amende

Bis zuUp toHastaJusqu'à

10 Mio. €

oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Für wesentliche Einrichtungen. Bei wichtigen Einrichtungen bis 7 Mio. € oder 1,4 %. Zusätzlich persönliche Haftung der Geschäftsleitung.or 2 % of global annual turnover — whichever is higher. For essential entities. For important entities up to €7 million or 1.4 %. Plus personal liability of management.o el 2 % de la facturación anual mundial — lo que sea mayor. Para entidades esenciales. Para entidades importantes hasta 7 millones de € o el 1,4 %. Más la responsabilidad personal de la dirección.ou 2 % du chiffre d'affaires annuel mondial — selon le montant le plus élevé. Pour les entités essentielles. Pour les entités importantes jusqu'à 7 millions d'€ ou 1,4 %. En plus de la responsabilité personnelle de la direction.

Unser VorgehenOur approachNuestro procesoNotre démarche

Von der Bestandsaufnahme zum
NIS2-Readiness-Zertifikat.From assessment to
NIS2 readiness certification.Del diagnóstico al
certificado de preparación NIS2.De l'audit au
certificat de maturité NIS2.

Wir machen aus einem 18-Kapitel-Gesetz eine klare Roadmap mit vier Schritten.We turn an 18-chapter law into a clear four-step roadmap.Convertimos una ley de 18 capítulos en una hoja de ruta clara de cuatro pasos.Nous transformons une loi de 18 chapitres en une feuille de route claire en quatre étapes.

01

NIS2-AssessmentNIS2 assessmentEvaluación NIS2Évaluation NIS2

Ein Workshop-Tag vor Ort oder remote. Wir prüfen Betroffenheit, bestehende Security-Maßnahmen und Lücken — mit klarer Ampel-Bewertung zu allen 10 NIS2-Pflichten.One workshop day on-site or remote. We assess scope, existing security measures and gaps — with a clear traffic-light rating across all 10 NIS2 obligations.Una jornada de taller presencial o en remoto. Evaluamos el alcance, las medidas de seguridad existentes y las lagunas — con una valoración semafórica clara de las 10 obligaciones NIS2.Une journée de workshop sur site ou à distance. Nous évaluons le périmètre, les mesures de sécurité existantes et les lacunes — avec une notation en feux de signalisation claire pour les 10 obligations NIS2.

02

Maßnahmen-PlanAction planPlan de medidasPlan d'action

Priorisierte Roadmap: Was muss sofort passieren, was in 3 Monaten, was in 12 Monaten. Inkl. BSI-Registrierung, Policies, technischen Maßnahmen und Schulungen.Prioritised roadmap: what must happen immediately, what in 3 months, what in 12 months. Including BSI registration, policies, technical measures and training.Hoja de ruta priorizada: qué debe hacerse de inmediato, qué en 3 meses, qué en 12 meses. Incluye registro en el BSI, políticas, medidas técnicas y formación.Feuille de route priorisée : ce qui doit être fait immédiatement, dans 3 mois, dans 12 mois. Incluant l'enregistrement BSI, les politiques, les mesures techniques et les formations.

03

Security-DashboardSecurity dashboardPanel de seguridadTableau de bord sécurité

Wir bauen Ihnen ein zentrales NIS2-Dashboard: Incident-Logging, automatische 24h-Frühwarnung, Meldeprozesse ans BSI, Audit-Trails und Reports für Geschäftsleitung.We build a central NIS2 dashboard for you: incident logging, automatic 24h early warning, reporting processes to BSI, audit trails and management reports.Construimos un panel NIS2 central: registro de incidentes, alerta temprana automática de 24 h, procesos de notificación al BSI, pistas de auditoría e informes para la dirección.Nous vous construisons un tableau de bord NIS2 central : journalisation des incidents, alerte précoce automatique à 24 h, processus de notification au BSI, pistes d'audit et rapports pour la direction.

04

Laufender BetriebOngoing operationsOperación continuadaExploitation continue

Monatlicher Compliance-Check, jährliches Audit, SLA für Incident-Response. Auf Wunsch als Managed Service mit 24/7-Monitoring durch unser Partner-SOC.Monthly compliance check, annual audit, SLA for incident response. Available as a managed service with 24/7 monitoring by our partner SOC.Verificación mensual de cumplimiento, auditoría anual, SLA para respuesta a incidentes. Disponible como servicio gestionado con monitorización 24/7 por nuestro SOC asociado.Vérification mensuelle de conformité, audit annuel, SLA pour la réponse aux incidents. Disponible en service géré avec surveillance 24/7 par notre SOC partenaire.

Häufige FragenFrequently asked questionsPreguntas frecuentesQuestions fréquentes

NIS2 praxisnah erklärt.explained practically.explicado con ejemplos reales.expliqué concrètement.

Wir sind ein Mittelständler mit 80 Mitarbeitern — betrifft uns NIS2?We are a mid-sized company with 80 employees — does NIS2 apply to us?Somos una empresa mediana con 80 empleados — ¿nos afecta NIS2?Nous sommes une PME avec 80 salariés — NIS2 nous concerne-t-elle ?
Sehr wahrscheinlich ja. Sobald Sie in einem der 18 Sektoren tätig sind und die Größenschwelle (50 MA oder 10 Mio. €) überschreiten, gelten Sie als wichtige Einrichtung. Beispiele: Lebensmittelproduktion, Maschinenbau, Logistik, Großhandel, B2B-Software. Bei Energie, Gesundheit oder Finanzsektor gelten strengere Schwellen als "wesentliche Einrichtung".Very likely yes. Once you operate in one of the 18 sectors and exceed the size threshold (50 employees or €10 million), you qualify as an important entity. Examples: food production, mechanical engineering, logistics, wholesale, B2B software. In energy, healthcare or finance, stricter thresholds apply as an "essential entity".Muy probablemente sí. En cuanto opere en uno de los 18 sectores y supere el umbral de tamaño (50 empleados o 10 millones de €), se le considerará una entidad importante. Ejemplos: producción alimentaria, ingeniería mecánica, logística, comercio mayorista, software B2B. En energía, sanidad o finanzas se aplican umbrales más estrictos como «entidad esencial».Très probablement oui. Dès que vous exercez dans l'un des 18 secteurs et dépassez le seuil de taille (50 salariés ou 10 millions d'€), vous êtes qualifié d'entité importante. Exemples : production alimentaire, construction mécanique, logistique, commerce de gros, logiciels B2B. Dans l'énergie, la santé ou la finance, des seuils plus stricts s'appliquent en tant qu'« entité essentielle ».
Was passiert, wenn wir die BSI-Registrierung verpasst haben?What happens if we missed the BSI registration deadline?¿Qué ocurre si nos hemos perdido el plazo de registro en el BSI?Que se passe-t-il si nous avons manqué le délai d'enregistrement auprès du BSI ?
Die Frist (6. März 2026) ist abgelaufen, aber das bedeutet nicht, dass Sie die Registrierung weglassen dürfen. Holen Sie sie unverzüglich nach. Das BSI hat bisher moderat gehandhabt — aber eine offene Nicht-Registrierung ist ein Compliance-Verstoß, der bei Audits negativ auffällt. Wir unterstützen bei der Registrierung und der Nachdokumentation.The deadline (6 March 2026) has passed, but this does not mean you can skip registration. Complete it without delay. The BSI has handled this moderately so far — but an open non-registration is a compliance violation that shows up negatively in audits. We assist with registration and catch-up documentation.El plazo (6 de marzo de 2026) ha vencido, pero eso no significa que pueda omitir el registro. Compléelo sin demora. El BSI ha sido moderado hasta ahora — pero la falta de registro es una infracción de cumplimiento que se refleja negativamente en las auditorías. Le ayudamos con el registro y la documentación retroactiva.Le délai (6 mars 2026) est dépassé, mais cela ne signifie pas que vous pouvez vous dispenser de l'enregistrement. Effectuez-le sans délai. Le BSI a été modéré jusqu'à présent — mais un défaut d'enregistrement constitue une infraction de conformité qui ressort négativement lors des audits. Nous vous assistons pour l'enregistrement et la documentation de rattrapage.
Müssen wir ISO 27001 zertifiziert sein?Do we need to be ISO 27001 certified?¿Necesitamos estar certificados en ISO 27001?Devons-nous être certifiés ISO 27001 ?
Nein — ISO 27001 ist nicht Pflicht. Die NIS2 verlangt angemessene technische und organisatorische Maßnahmen nach § 30 BSIG-neu: Risikomanagement, MFA, Backups, Incident-Response, Supply-Chain-Security, Schulungen. Wer ISO 27001 hat, erfüllt NIS2 in weiten Teilen automatisch — notwendig ist es aber nicht. Eine pragmatische Umsetzung mit dokumentierten Prozessen reicht.No — ISO 27001 is not mandatory. NIS2 requires appropriate technical and organisational measures under § 30 BSIG new: risk management, MFA, backups, incident response, supply-chain security, training. Having ISO 27001 largely satisfies NIS2 automatically — but it is not required. A pragmatic implementation with documented processes is sufficient.No — la ISO 27001 no es obligatoria. La NIS2 exige medidas técnicas y organizativas adecuadas según el § 30 BSIG nuevo: gestión de riesgos, MFA, copias de seguridad, respuesta a incidentes, seguridad de la cadena de suministro, formación. Disponer de ISO 27001 satisface la NIS2 en gran parte automáticamente — pero no es obligatorio. Una implementación pragmática con procesos documentados es suficiente.Non — l'ISO 27001 n'est pas obligatoire. La NIS2 exige des mesures techniques et organisationnelles appropriées au titre du § 30 BSIG nouveau : gestion des risques, MFA, sauvegardes, réponse aux incidents, sécurité de la chaîne d'approvisionnement, formations. Détenir l'ISO 27001 satisfait largement NIS2 automatiquement — mais ce n'est pas une obligation. Une mise en œuvre pragmatique avec des processus documentés suffit.
Haftet die Geschäftsleitung wirklich persönlich?Is management really personally liable?¿La dirección realmente responde personalmente?La direction est-elle vraiment personnellement responsable ?
Ja. Nach § 38 BSIG-neu muss die Geschäftsleitung die Risikomanagementmaßnahmen persönlich billigen und deren Umsetzung überwachen. Bei Verstößen haften Geschäftsführer und Vorstände auch persönlich — die Gesellschaft kann sie in Regress nehmen. D&O-Versicherungen decken NIS2-Verstöße oft nur eingeschränkt. Deshalb wird das Thema meist auf C-Level gespiegelt.Yes. Under § 38 BSIG new, management must personally approve risk management measures and monitor their implementation. In the event of violations, managing directors and board members are also personally liable — the company may seek recourse against them. D&O insurance often covers NIS2 violations only to a limited extent. This is why the topic is usually escalated to C-level.Sí. Según el § 38 BSIG nuevo, la dirección debe aprobar personalmente las medidas de gestión de riesgos y supervisar su ejecución. En caso de infracción, los directores y consejeros también responden personalmente — la empresa puede ejercer una acción de regreso contra ellos. Los seguros D&O suelen cubrir las infracciones NIS2 solo de forma limitada. Por eso el tema suele trasladarse al nivel C.Oui. En vertu du § 38 BSIG nouveau, la direction doit approuver personnellement les mesures de gestion des risques et en superviser la mise en œuvre. En cas d'infraction, les gérants et membres du conseil d'administration sont également personnellement responsables — la société peut exercer un recours contre eux. Les assurances D&O couvrent souvent les infractions NIS2 de façon limitée. C'est pourquoi le sujet est généralement remonté au niveau C.
Was kostet ein NIS2-Assessment bei Bodenova?What does a NIS2 assessment cost at Bodenova?¿Cuánto cuesta una evaluación NIS2 con Bodenova?Combien coûte une évaluation NIS2 chez Bodenova ?
Der erste Discovery Call ist kostenlos (30 Min). Ein vollständiges NIS2-Assessment dauert je nach Unternehmensgröße 3–10 Werktage — wir erstellen ein Festpreis-Angebot nach dem Erstgespräch. Der Aufwand skaliert mit Sektor, Größe und bestehenden Security-Strukturen.The first discovery call is free (30 min). A full NIS2 assessment takes 3–10 working days depending on company size — we provide a fixed-price quote after the first call. The effort scales with sector, size and existing security structures.La primera llamada de descubrimiento es gratuita (30 min). Una evaluación NIS2 completa dura 3–10 días hábiles según el tamaño de la empresa — elaboramos un presupuesto de precio fijo tras la primera llamada. El esfuerzo escala según el sector, el tamaño y las estructuras de seguridad existentes.Le premier entretien découverte est gratuit (30 min). Une évaluation NIS2 complète dure 3–10 jours ouvrés selon la taille de l'entreprise — nous établissons un devis à prix fixe après le premier entretien. L'effort s'adapte au secteur, à la taille et aux structures de sécurité existantes.
Können Sie auch unsere IT-Dienstleister prüfen?Can you also audit our IT service providers?¿Pueden auditar también a nuestros proveedores de TI?Pouvez-vous également auditer nos prestataires informatiques ?
Ja — das ist sogar Pflicht. NIS2 verlangt Supply-Chain-Security (§ 30 Abs. 2 Nr. 4 BSIG-neu). Sie müssen Ihre kritischen IT-Dienstleister (Cloud-Anbieter, Software-Hersteller, Managed Service Provider) systematisch bewerten. Wir liefern Ihnen ein Lieferanten-Assessment-Template und unterstützen bei der Durchführung.Yes — it is even mandatory. NIS2 requires supply-chain security (§ 30(2) no. 4 BSIG new). You must systematically assess your critical IT service providers (cloud providers, software vendors, managed service providers). We provide a supplier assessment template and support execution.Sí — es incluso obligatorio. NIS2 exige seguridad de la cadena de suministro (§ 30 ap. 2 n.º 4 BSIG nuevo). Debe evaluar sistemáticamente a sus proveedores de TI críticos (proveedores de nube, fabricantes de software, proveedores de servicios gestionados). Le proporcionamos una plantilla de evaluación de proveedores y apoyamos la ejecución.Oui — c'est même obligatoire. La NIS2 exige la sécurité de la chaîne d'approvisionnement (§ 30 al. 2 n° 4 BSIG nouveau). Vous devez évaluer systématiquement vos prestataires informatiques critiques (fournisseurs cloud, éditeurs de logiciels, prestataires de services managés). Nous vous fournissons un modèle d'évaluation des fournisseurs et vous accompagnons dans sa mise en œuvre.

30 Minuten, die Sie 10 Mio. € sparen könnten.30 minutes that could save you €10 million.30 minutos que podrían ahorrarle 10 millones de €.30 minutes qui pourraient vous faire économiser 10 millions d'euros.

Kostenloses Erstgespräch. Wir klären gemeinsam Ihre NIS2-Betroffenheit, bestehende Lücken und nächste Schritte. Ohne Verpflichtung, ohne Sales-Geschwätz.Free discovery call. Together we clarify your NIS2 scope, existing gaps and next steps. No commitment, no sales pitch.Consulta gratuita. Aclaramos juntos su alcance NIS2, las lagunas existentes y los próximos pasos. Sin compromisos, sin presión comercial.Entretien gratuit. Nous clarifions ensemble votre périmètre NIS2, les lacunes existantes et les prochaines étapes. Sans engagement, sans discours commercial.

E-Mail: boderaffa1@gmail.com +49 178 7570539

Mo–Fr 9–18 Uhr · Antwort innerhalb 72 Stunden · Discovery Call 30 Minuten kostenlosMon–Fri 9 am–6 pm · Reply within 72 hours · Discovery call 30 minutes freeLun–Vie 9–18 h · Respuesta en 72 horas · Llamada de descubrimiento 30 minutos gratuitaLun–Ven 9h–18h · Réponse sous 72 heures · Entretien découverte 30 minutes gratuit