Skip to content
Menü schließen
Suche

IT-Service für den Mittelstand

Überblick über unsere IT-Services, Managed Services und Betreuungsmodelle für kleine und mittelständische Unternehmen.

IT ServiceFlat

Ihr Rundum-Servicevertrag zum monatlichen Festpreis – mit persönlicher Betreuung, Service Desk und proaktiver Wartung.

Unsere Arbeitsweise im Mittelstand

Klare Prozesse für Onboarding, Betrieb und Zusammenarbeit.

IT Security

Wir betreiben Ihre IT-Sicherheitsinfrastruktur.

Microsoft 365 Betreuung

Ihre Microsoft Cloud - abgesichert, optimal lizenziert und laufend administriert.

Microsoft Azure Cloud Betrieb

Service Desk / HelpDesk

IT-Beratung

Strategische IT-Beratung für den Mittelstand – herstellerneutral, praxisnah und mit klarem Fokus auf Ihre Ziele.

Cloud Beratung

Strategische Beratung für Cloud-Architekturen, Microsoft Azure und hybride IT-Umgebungen.

Microsoft Azure Migration

Sichere Migration Ihrer IT-Systeme in die Azure Cloud – strukturiert geplant und professionell umgesetzt.

Microsoft 365 Einführung

Maßgeschneiderte Microsoft 365-Strategien – von der Beratung über die Migration bis zum sicheren Betrieb Ihrer Cloud-Umgebung.

IT-Checks / System- und Sicherheitsprüfungen

IT-Prüfungen für höchste Sicherheit, Leistung und Business Continuity

IT Security Beratung

Umfassende Beratung zum Schutz von Daten und Anwendungen.

NIS2- Readiness Assessment

Gezielte Analyse Ihrer Sicherheitsprozesse und klare Handlungsempfehlungen zur Erfüllung der NIS2-Vorgaben.

IT-Sicherheits-Reifegradmodell

In drei Stufen zu mehr Sicherheit, Transparenz und schnellerer Reaktion auf Cyberrisiken.

solutionsmichael-wessel.de Logo-weiß

Unser Produktportfolio finden Sie auf dieser Webseite.

→ Zu den Produkten

flinked-logo-neu-schwarz

Unsere Managed-IT-Security-Leistungen sind nun in flinked konsolidiert: ein sofort startfähiges, klar standardisiertes Service-Modell.

Zu flinked

KI & Sprachmodelle

KI-Beratung
Individuelle Strategien und Projekte für den erfolgreichen Einsatz von Künstlicher Intelligenz in Ihrem Unternehmen.

KI-Implementierung
Von der Strategie bis zur Umsetzung - wir begleiten Sie auf dem Weg zu erfolgreichen KI-Projekten.

KI in Datacenter und IT Security
Effizienz steigern, Kosten senken und IT-Prozesse intelligent automatisieren – mit KI-Lösungen im Rechenzentrum.

KI-Compliance
KI rechtssicher einsetzen -  Chancen gewinnbringend nutzen

KI im Gesundheitswesen
Wie ChatGPT & Co. die Kommunikation, Prozesse und Verantwortung verändern

Copilot

Microsoft Copilot richtig einführen
Technisch sauber, sicher und steuerbar

Kommunikation & Produktivität

STARFACE
Software-basierte VoIP und Cloud-Telefonie

Microsoft Teams
Nahtlose Zusammenarbeit und Meetings in einer Plattform.

Microsoft Teams & Office 365 Schulungen
Von der Einführung bis zur optimalen Nutzung – alles aus einer Hand.

Wir bei michael wessel 
Karriere bei michael wessel
Karriere_Stellenangebote
Jobs & Karriere
Aktuelle Stellenangebote
Deine Ausbildung bei michael wessel
Lerne von Profis und starte deine Karriere. Bewirb dich jetzt für deine Ausbildung bei uns!
Jetzt informieren und bewerben

News | Events | Downloads | Blog

04.20268 Minuten lesezeit

Von 0 auf NIS2-Compliant: 90-Tage-Roadmap für mittelständische Unternehmen

Von 0 auf NIS2-Compliant: 90-Tage-Roadmap für mittelständische Unternehmen
14:23

"Wir haben gerade festgestellt, dass wir unter NIS2 fallen. Und jetzt?"

Diese Frage hören wir derzeit täglich. Die meisten Unternehmen sind überrascht, dass sie betroffen sind. Und noch überraschter, dass das Gesetz bereits gilt – ohne Übergangsfrist.

Die gute Nachricht: Sie müssen nicht in Panik verfallen. NIS2-Compliance ist kein Sprint, sondern ein Marathon. Das BSI gibt Ihnen bis zu 3 Jahre Zeit für die vollständige Umsetzung. Aber: Sie müssen JETZT anfangen.

Die schlechte Nachricht: Wenn Sie planlos starten, verschwenden Sie Zeit und Geld. Die meisten Unternehmen machen die gleichen Fehler: Sie fangen mit den falschen Themen an, kaufen teure Tools die sie nicht brauchen, und verlieren sich in Details statt die Basics zu sichern.

Dieser Artikel gibt Ihnen einen klaren, praxiserprobten 90-Tage-Plan:

  • Was Sie in welcher Reihenfolge angehen müssen
  • Wie viel Zeit und Budget Sie einplanen sollten
  • Welche Quick Wins Sie sofort umsetzen können
  • Welche Fehler Sie unbedingt vermeiden sollten

 

Bevor Sie starten: Die 3 Grundprinzipien erfolgreicher NIS2-Umsetzung  

Prinzip 1: Basics vor Perfektion

Der größte Fehler: Unternehmen wollen sofort die perfekte Lösung. Sie kaufen teure Security-Tools, engagieren Berater für Monate, wollen ISO 27001 von Tag 1.
Stattdessen: Sichern Sie erst die Grundlagen ab (Backups, Patches, MFA), bevor Sie in High-End-Lösungen investieren.

Prinzip 2: Dokumentation ist der Schlüssel

NIS2 fordert nicht Perfektion, sondern Nachweisbarkeit. Sie müssen zeigen können, dass Sie sich Gedanken gemacht, Risiken bewertet und Maßnahmen umgesetzt haben.
Merksatz: 'Was nicht dokumentiert ist, existiert nicht' – auch wenn Sie es faktisch tun.

Prinzip 3: Pragmatismus schlägt Purismus

Sie brauchen nicht sofort ein vollwertiges ISMS nach ISO 27001. Starten Sie mit einer Excel-basierten Risikoliste. Sie brauchen nicht gleich ein SIEM. Starten Sie mit strukturiertem Logging. 
Das Ziel: In 90 Tagen ein funktionierendes Basis-System, das Sie dann iterativ ausbauen.


Die 90-Tage-Roadmap: Phase für Phase zum Ziel

Diese Roadmap ist für mittelständische Unternehmen (50-250 Mitarbeiter) optimiert, die noch kein strukturiertes IT-Sicherheitsmanagement haben. Sie ist bewusst pragmatisch gehalten und fokussiert sich auf Quick Wins.  

 

Phase 1 (Tag 1-30): Fundament legen  

Ziel dieser Phase: Klarheit schaffen, Team aufstellen, Basics sichern

Woche 1: Kick-off & Bestandsaufnahme

Tag 1-2: Management-Entscheidung & Team-Aufstellung

  • Geschäftsführung billigt NIS2-Projekt offiziell

  • Projektleiter benennen (intern oder extern)

  • Core-Team definieren: IT-Leiter, CISO (falls vorhanden), Datenschutzbeauftragter

Erstes Budget freigeben (siehe Kostenplanung unten)
Zeitaufwand: 4-8 Stunden (Geschäftsführung)

Tag 3-5: Betroffenheit final klären

  • BSI NIS2-Checker durchführen

  • Sektoren-Zuordnung prüfen

  • Größenkriterien validieren (>50 MA oder >10 Mio. €)

  • Besonders wichtige vs. wichtige Einrichtung klassifizieren

  • Registrierung beim BSI vorbereiten (ab Q1 2026 verpflichtend)

Zeitaufwand: 8-16 Stunden (Projektleiter)


Woche 2: Quick Wins & kritische Lücken schließen

Quick Win 1: Multi-Faktor-Authentifizierung (MFA) einführen

  • Für alle Admin-Zugänge: SOFORT verpflichtend

  • Für normale User: Schrittweise ausrollen

Tool-Empfehlung: Microsoft Authenticator (bei M365), Google Authenticator, Duo
Zeitaufwand: 16-24 Stunden (IT-Team) | Kosten: 0-500 € (bei M365 inklusive)

Quick Win 2: Backup-Strategie überprüfen & härten

  • 3-2-1-Regel prüfen: 3 Kopien, 2 Medien, 1 offline
  • Offline-Backup einrichten (Schutz vor Ransomware)
  • Restore-Test durchführen (KRITISCH!)

Zeitaufwand: 24-40 Stunden (IT-Team) | Kosten: 1.000-5.000 € (Hardware/Cloud-Speicher)

Quick Win 3: Patch-Management systematisieren

  • Patch-Richtlinie definieren: Kritische Patches binnen 14 Tagen

  • Automatisches Patching wo möglich aktivieren

  • Monitoring aufsetzen: Welche Systeme sind nicht aktuell?

Zeitaufwand: 16-24 Stunden (IT-Team)


Woche 3-4: Dokumentation starten & Risikoanalyse

Aufgabe 1: IT-Asset-Inventar erstellen

  • Alle Server, Clients, Netzwerkgeräte erfassen

  • Software-Lizenzen dokumentieren

  • Cloud-Services auflisten

  • Kritische Systeme markieren

Tool-Tipp: Starten Sie mit Excel. Später: Asset-Management-Tools wie Snipe-IT, GLPI

Zeitaufwand: 24-40 Stunden (IT-Team)

Aufgabe 2: Erste Risikoanalyse (vereinfacht)

  • Top 10 IT-Risiken identifizieren (z.B. Ransomware, Datenverlust, Ausfall kritischer Systeme)

  • Eintrittswahrscheinlichkeit bewerten (hoch/mittel/niedrig)

  • Schadenshöhe schätzen

  • Bestehende Schutzmaßnahmen dokumentieren

  • Handlungsbedarf priorisieren

Zeitaufwand: 16-24 Stunden (Geschäftsführung + IT-Team gemeinsam)

✅ MEILENSTEIN PHASE 1

Nach 30 Tagen haben Sie:
• MFA für Admin-Accounts aktiviert
• Funktionierende, getestete Backups
• Systematisches Patch-Management
• Vollständiges IT-Asset-Inventar
• Erste Risikoanalyse dokumentiert

Ihr Security-Level ist bereits deutlich besser als zuvor!

 

Phase 2 (Tag 31-60): Prozesse etablieren

Ziel dieser Phase: Systematische Prozesse aufbauen, Dokumentation vertiefen

Woche 5-6: Incident Response & Meldewesen

Aufgabe 1: Incident Response Plan erstellen

  • Rollen definieren: Wer ist bei einem Vorfall verantwortlich?

  • Eskalationswege festlegen: Wer informiert wen wann?

  • Kontaktlisten pflegen: IT-Forensik, Anwalt, Versicherung, BSI

  • Playbooks für häufige Szenarien: Ransomware, Datenleck, DDoS

Zeitaufwand: 24-32 Stunden (IT-Leiter + Geschäftsführung) 

Aufgabe 2: Meldeprozess an BSI einrichten

  • Fristen verstehen: 24h Frühwarnung, 72h Detailmeldung
  • Meldekriterien definieren: Was ist meldepflichtig?
  • Zugang zum BSI-Portal einrichten (ab 2026)
  • Internen Meldeprozess dokumentieren

Zeitaufwand: 8-16 Stunden

Woche 7-8: Lieferantenmanagement & Verträge

Aufgabe 1: Kritische Dienstleister identifizieren

  • Liste aller IT-Dienstleister erstellen
  • Kritikalität bewerten: Wer hat Systemzugang? Wer verarbeitet sensible Daten?
  • Top 10 kritische Dienstleister auswählen

Aufgabe 2: Dienstleister-Fragebogen versenden

  • Standard-Fragebogen entwickeln (siehe Template unten)
  • An Top 10 Dienstleister versenden
  • Antworten bewerten
  • Nachbesserung oder Wechsel prüfen

Aufgabe 3: Vertragsklauseln vorbereiten

  • NIS2-konforme Musterklauseln entwickeln
  • Bei Neuverträgen: Sofort verwenden
  • Bei Bestandsverträgen: Nachverhandlung planen

Zeitaufwand: 32-48 Stunden (Einkauf + IT + Legal)

✅ MEILENSTEIN PHASE 2

Nach 60 Tagen haben Sie:
• Funktionierenden Incident Response Plan
• Prozess für BSI-Meldungen etabliert
• Kritische Dienstleister bewertet
• NIS2-konforme Vertragsklauseln

Sie können jetzt im Ernstfall strukturiert reagieren!

 

Phase 3 (Tag 61-90): Mitarbeiter & Monitoring

Ziel dieser Phase: Awareness schaffen, technisches Monitoring aufsetzen

Woche 9-10: Security Awareness

Aufgabe 1: Security Awareness Kampagne starten

  • Pflicht-Schulung für alle Mitarbeiter: Phishing, Passwortsicherheit, Social Engineering

  • Tool-Tipp: KnowBe4, SoSafe, oder intern entwickelte Schulungen

  • Regelmäßige Phishing-Simulationen einführen

  • Security-Newsletter etablieren (monatlich)PFLICHT: Geschäftsführung muss NIS2-Schulung absolvieren

Zeitaufwand: 16-24 Stunden (Vorbereitung) + 1h pro Mitarbeiter (Schulung) | Kosten: 2.000-10.000 € (je nach Größe & Anbieter)

Aufgabe 2: Geschäftsführer-Schulung

  • PFLICHT: Geschäftsführung muss NIS2-Schulung absolvieren

  • Inhalte: Rechtliche Pflichten, Haftungsrisiken, Cyberbedrohungen
  • Nachweis: Zertifikat aufbewahren!

Kosten: 200-2.000 € (je nach Anbieter)

Woche 11-12: Monitoring & Logging

Aufgabe 1: Centralized Logging einrichten

  • Logs von kritischen Systemen zentral sammeln

  • Mindest-Retention: 6 Monate (besser: 12 Monate)

  • Tool-Empfehlung: Graylog (Open Source), Splunk, ELK-Stack

Zeitaufwand: 40-60 Stunden (IT-Team) | Kosten: 2.000-8.000 € (Setup + Lizenzen)

Aufgabe 2: Basis-Monitoring für kritische Systeme

  • Verfügbarkeits-Monitoring: Sind kritische Dienste erreichbar?
  • Performance-Monitoring: CPU, RAM, Disk
  • Security-Events: Failed Logins, ungewöhnlicher Traffic
  • Alerting: Wer wird wie informiert?

Tool-Empfehlung: Nagios, Zabbix, PRTG, Datadog

✅ MEILENSTEIN PHASE 3

Nach 90 Tagen haben Sie:
• Alle Mitarbeiter geschult (inkl. Geschäftsführung)
• Centralized Logging aktiviert
• Monitoring für kritische Systeme
• Basis-Awareness in der Belegschaft

Sie haben ein funktionierendes Basis-ISMS!

 

Realistische Kostenplanung: Was Sie budgetieren sollten  

Eine der häufigsten Fragen: 'Was kostet NIS2-Compliance?' Die ehrliche Antwort: Es kommt darauf an. Aber hier sind realistische Zahlen für die ersten 90 Tage:

Kostenschätzung für 90-Tage-Umsetzung (Mittelstand 50-250 MA)

  • MFA-Einführung: 0-500 € (oft in M365 enthalten)
  • Backup-Optimierung: 1.000-5.000 €
  • Security Awareness Training: 2.000-10.000 €
  • Logging & Monitoring Tools: 2.000-8.000 €
  • Geschäftsführer-Schulung: 200-2.000 €
  • Gap-Analyse (extern): 3.000-8.000 € (optional aber empfohlen)
  • Interne Arbeitszeit: ca. 300-500 Stunden

Gesamt-Budget (ohne interne Arbeitszeit): 8.000-34.000 €

WICHTIG: Diese Kosten sind nicht 'wegen NIS2' – sie sind Investitionen in Grundlagen, die Sie ohnehin brauchen. NIS2 ist nur der Auslöser.

 

Was nach den 90 Tagen kommt: Der weitere Fahrplan 

Nach 90 Tagen haben Sie ein funktionierendes Basis-System. Aber NIS2-Compliance ist ein kontinuierlicher Prozess. Hier ist, was in den nächsten 12-24 Monaten folgen sollte:

Monate 4-6: Vertiefung & Automatisierung

  • Vulnerability Scans automatisieren
  • Penetrationstests durchführen (extern)
  • Business Continuity Plan entwickeln
  • Disaster Recovery Tests durchführen

Monate 7-12: Zertifizierung vorbereiten (optional)

  • ISO 27001 Zertifizierung anstreben
  • Internes Audit durchführen
  • Management-Reviews etablieren

Monate 13-36: Kontinuierliche Verbesserung

  • Jährliche Risikoanalyse-Updates
  • Regelmäßige Awareness-Schulungen
  • ISMS-Erweiterung nach Bedarf
  • Vorbereitung auf BSI-Audits

 

Die 7 häufigsten Fehler bei der NIS2-Umsetzung (und wie Sie sie vermeiden)

Fehler 1: Mit den falschen Themen starten

Häufig: Unternehmen kaufen teure SIEM-Systeme, bevor sie Backups geregelt haben.

Besser: Erst Basics (MFA, Backups, Patches), dann Advanced Security.

Fehler 2: Alles selbst machen wollen

Häufig: IT-Leiter versuchen, alles intern zu stemmen – und scheitern an Überlastung.

Besser: Holen Sie externe Expertise für Gap-Analyse und kritische Bereiche. Sparen Sie dort, wo es möglich ist (Dokumentation), aber nicht bei kritischen Themen.

Fehler 3: Dokumentation vernachlässigen

Häufig: 'Wir machen das schon, aber dokumentiert haben wir es nicht.'

Besser: Alles dokumentieren. Im BSI-Audit zählt nur, was nachweisbar ist.

Fehler 4: Die Geschäftsführung nicht einbinden

Häufig: IT macht NIS2 als Projekt, Geschäftsführung ist nur oberflächlich involviert.

Besser: Geschäftsführung MUSS aktiv sein (Billigung, Überwachung, Schulung). Das ist nicht delegierbar.

Fehler 5: Unrealistische Zeitpläne

Häufig: 'Wir machen das mal nebenbei in 4 Wochen.'

Besser: Realistisch planen: 90 Tage für Basics, 12-24 Monate für Vollausbau.

Fehler 6: Lieferkette ignorieren

Häufig: Fokus nur auf eigene IT, Dienstleister werden vergessen.

Besser: Dienstleister MÜSSEN von Anfang an einbezogen werden. Sie sind Teil Ihrer Sicherheitskette.

Fehler 7: Keine Prioritäten setzen

Häufig: Alles gleichzeitig angehen wollen – und nichts wird fertig.

Besser: Klare Priorisierung: Quick Wins zuerst, dann strukturierte Umsetzung.

 

Praxisfall: Wie ein Mittelständler in 85 Tagen NIS2-ready wurde

Ausgangssituation:

  • Maschinenbau-Unternehmen, 180 Mitarbeiter, 45 Mio. € Umsatz
  • Keine strukturierte IT-Security
  • Backups vorhanden, aber nicht getestet
  • Kein ISMS

Was sie taten:

  • Tag 1: Gap-Analyse beauftragt (extern, 5.000 €)
  • Woche 2: MFA für alle Admin-Accounts + VPN aktiviert
  • Woche 3-4: Backup-Strategie überarbeitet, Offline-Backups eingerichtet, Restore getestet
  • Woche 5-6: IT-Asset-Inventar erstellt, Risikoanalyse durchgeführt
  • Woche 7-8: Incident Response Plan entwickelt
  • Woche 9-10: Security Awareness Schulung für alle MA
  • Woche 11-12: Logging aufgesetzt, Monitoring aktiviert

Ergebnis nach 85 Tagen: 

  • Funktionierendes Basis-ISMS etabliert
  • Alle Quick Wins umgesetzt
  • Dokumentation auf gutem Niveau
  • Security-Level deutlich verbessert
  • Geschäftsführung geschult und involviert

Gesamtkosten: 22.000 € (extern) + ca. 400h interne Zeit

Das Zitat des Geschäftsführers: 'Wir dachten, das wird ein Albtraum. Aber mit klarem Plan war es machbar – und ehrlich gesagt hätten wir das auch ohne NIS2 tun sollen.'

 

Fazit: NIS2 ist kein Sprint, aber der Start entscheidet

Die Kernbotschaften:

  • Sie haben Zeit (bis zu 3 Jahre), aber Sie müssen JETZT anfangen
  • 90 Tage reichen für ein solides Fundament
  • Basics vor Perfektion: MFA, Backups, Patches sind wichtiger als SIEM
  • Dokumentation ist nicht optional – sie ist der Nachweis Ihrer Compliance
  • Externe Hilfe bei Gap-Analyse spart Zeit und Geld

Ihre nächsten Schritte: 

  • Woche 1 planen: Kick-off, Team aufstellen, Budget freigeben
  • Quick Wins identifizieren: Was können Sie SOFORT umsetzen?
  • Gap-Analyse beauftragen (wenn nötig)
  • 90-Tage-Plan anpassen auf Ihre Situation
  • Los gehts!
avatar
Christian Blaue
Leitung Account Management
Mit dem Fokus auf vertrauensvoller IT-Beratung setzt mein Team Ihre Anforderungen und Wünsche in die Tat um.
KOMMENTARE

VERWANDTE ARTIKEL