NIS2-Beratung für KMU im Raum München

Strukturierte Unterstützung bei neuen Anforderungen an die Informationssicherheit

Ich unterstütze Unternehmen bei der Einordnung und Umsetzung der Anforderungen aus der NIS2-Richtlinie.

Ziel ist eine praxisnahe, angemessene und nachvollziehbare Vorbereitung – angepasst an Größe, Branche und Risikoprofil Ihres Unternehmens.

Unverbindliche Erstberatung

Warum NIS2 relevant ist

Mit NIS2 steigen die Anforderungen an Organisation, IT-Sicherheit und Risikomanagement vieler Unternehmen.

Betroffen sind deutlich mehr Unternehmen als bisher – auch kleine und mittlere Betriebe.

Ich unterstütze Sie dabei:

  • zu klären, ob Ihr Unternehmen betroffen ist
  • Pflichten richtig einzuordnen
  • Risiken realistisch zu bewerten
  • geeignete Maßnahmen schrittweise umzusetzen

Die Leistungen im Überblick

Einordnung & Strategie

  • Prüfung der Betroffenheit nach NIS2
  • Abstimmung der Informationssicherheitsziele mit der Unternehmensleitung
  • Aufbau einer strukturierten Vorgehensweise

Organisation & Prozesse

  • Planung und Koordination der Informationssicherheit
  • Erstellung und Pflege von Richtlinien und Regelungen
  • Unterstützung beim Aufbau geeigneter Abläufe

Risikomanagement

  • Unterstützung bei der Bewertung von Risiken
  • Ableitung sinnvoller Schutzmaßnahmen
  • Priorisierung nach Aufwand und Nutzen

Dokumentation & Nachweis

  • Strukturierte Dokumentation der Maßnahmen
  • Unterstützung bei der Nachweisführung
  • Vorbereitung auf mögliche Prüfungen

Schulung & Sensibilisierung

  • Schulung der Geschäftsführung und Mitarbeitenden
  • Sensibilisierung für Informationssicherheit
  • Praxisnahe Awareness-Maßnahmen

Sicherheitsvorfälle

  • Unterstützung bei der Planung von Reaktionsprozessen
  • Vorbereitung auf den Umgang mit Sicherheitsvorfällen

Warum eine Zusammenarbeit mit mir?

Persönliche Beratung vor Ort
Pauschale Betreuung mit klarer Struktur
Zertifizierte Kompetenz durch Auditorenwissen (ISO 27001)
Praxisnahe Lösungen statt theoretischer Konzepte
Erfahrung an der Schnittstelle von Technik, Organisation und Recht

Lassen Sie sich unverbindlich beraten.

Gerne kläre ich Ihre Anforderungen in einem Ersttermin.

Fragen und Antworten zum NIS2

Die NIS2-Richtlinie der Europäischen Union richtet sich an die Mitgliedsstaaten der EU mit der Aufgabe über nationale Gesetzgebungsverfahren die Cybersicherheit in der EU zu verbessern, die Mechanismen für eine wirksame Zusammenarbeit der Behörden zu etablieren und bestehende zu verbessern, den Geltungsbereich und die Zielgruppen der Sektoren und Einrichtungen EU-weit zu vereinheitlichen und über wirksame Maßnahmen diese Vorgaben auch durchzusetzen.
In der Bundesrepublik Deutschland ist das wichtigste für die Informationssicherheit gültige Gesetz das BSI-Gesetz und wurde am 05. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es ist seit dem 06. Dezember 2025 gültig.

Ob Ihr Unternehmen von dem BSI-Gesetz betroffen ist regelt das Gesetz in § 28 BSIG. Der Scope aus § 28 BSIG richtet sich nach dem Sektor in dem ihr Unternehmen tätig ist und der Unternehmensgröße, gemessen an der Anzahl der Mitarbeitenden und des Umsatzes bzw. der Bilanzsumme. § 28 BSIG ist jedoch etwas schwierig zu lesen, es gibt viel Text und die eine oder andere Abgrenzungsschwierigkeit. Auch wenn eine Betroffenheitsprüfung online keine Rechtsverbindlichkeit darstellt, gibt sie doch einen Anhaltspunkt. Hier geht es zu der Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Einen Entscheidungsbaum gibt es hier. Unter Umständen ist bei der Betroffenheitsprüfung juristische Unterstützung notwendig. Hier arbeite ich gerne mit den Kanzlei HK2 Rechtsanwälte zusammen.

Das BSI-Gesetz gibt für Sie als Geschäftsführer eines KMU oder eines Kleinstunternehmen Anforderungen für die Sicherstellung der Cyberresilienz vor. Neben Schulung der Geschäftführung, Meldepflichten, Sanktionen und Fristen für Informationssicherheitsvorfälle sind es im Wesentlichen die 10 Gebote aus § 30 BSIG, die zwar highlevel formuliert sind, Ihnen aber dadurch als Geschäftsführer Handlungsspielraum und Kreativität bei der Umsetzung der Maßnahmen bieten.

Weil die Erfüllung der Vorgaben aus § 30 BSIG für eine erhebliche Steigerung der Informationssicherheit in Ihrem Unternehmen sorgt. Sie steigern die Resilienz Ihres Unternehmens gegen Angriffe die gezielt gegen Ihr Unternehmen gerichtet sind und Ihre geschäftskritischen Daten auch dann abgesichert sind, wenn eine flächendeckende Krise Netzwerke oder andere Infrastrukturen behindert oder ganz lahmlegt.
Sie als Geschäftsführer oder Unternehmer sind verantwortlich für die Absicherung geschäftskritischer Daten, Prozesse und Unternehmenswerten.

Als Berater für Informationssicherheit und Datenschutz gestalte ich gemeinsam mit Ihnen den horizontalen Rahmen für die organisatorischen Maßnahmen und die vertikale Fachlichkeit der technischen Maßnahmen. Ich begleite Sie im Großraum München und den südbayerischen Landkreisen Stück für Stück bei der Umsetzung, vom Konzept über Richtlinien bis zur geeigneten Form der Nachweise für Behörden und Kunden.

Wenn Sie als betroffenes Unternehmen in den Geltungsbereich des BSI-Gesetzes fallen, dann sind die Anforderungen aus § 30 BSIG alle umzusetzen. Natürlich unterstütze ich Sie als Berater für Informationssicherheit und Datenschutz bei der Risikoanalyse, der Auswahl der Reihenfolge der Umsetzung und Gestaltung der Maßnahmen bzw. der möglichen Erbringung der Nachweise. Ich begleite Sie im Großraum München und den südbayerischen Landkreisen Stück für Stück bei der Erfüllung der Anforderungen aus dem BSI-Gesetz (NIS2).

Weil die Haftungsrisiken nach § 38 BSIG für Sie als Unternehmer oder Geschäftsführer eines kleinen oder mittelständischen Unternehmens erheblich sind und Sie sich dieser Risiken bewusst sein müssen. Als Entscheidungsträger treffen Sie Entscheidungen mit Hintergrundwissen. Dieses Hintergrundwissen vermittle ich Ihnen.

Der Scope der Managementzertifizierungen nach ISO 27001, BSI-Grundschutz, CISIS12, VDS o.ä. sind in der Regel nicht in Gänze auf Ihr Unternehmen ausgerichtet. Das BSI-Gesetz nimmt jedoch das ganze Unternehmen in die Pflicht, incl. Buchhaltung, Netzanbindungen und Cloudservices, etc..
Wenn der Scope Ihrer bestehenden ISMS-Zertifizierung sämtliche Abteilungen und Services jedoch abdeckt, ist das bereits die halbe Miete – aber eben nur die halbe.
Das BSI-Gesetz (NIS2) sieht weitere Maßnahmen vor wie Schulung der Geschäftsführung, die Registrierungspflicht, Meldepflicht mit Fristen bei Informationssicherheitsvorfällen. Auch ist das Anforderungsniveau des BSIG bei der Adressierung der Lieferkette, Betriebsfortführung, Notfall- und Wiederanlaufprozesse (BCM) deutlich höher als z. B. eine ISO 27001. Die Governance kann mit einer alleinstehenden ISO 27001-Zertifizierung nicht erreicht werden. Als Ihr Berater für Informationssicherheit ist es meine Aufgabe Sie bei der Erfüllung der Governance zu unterstützen.

Steffen Lotze ist ein kompetenter und vertrauenswürdiger Ansprechpartner rund um das Thema Datenschutz. Er ist äußerst zuverlässig, arbeitet sehr genau und bringt viel Fachwissen mit. Besonders angenehm ist, dass er Datenschutz nicht dogmatisch versteht, sondern immer nach praktikablen Lösungen sucht, die zu unserem Arbeitsalltag passen. Dabei ist er flexibel, lösungsorientiert und denkt sich gut in unsere betrieblichen Abläufe hinein. Wir arbeiten sehr gerne mit ihm zusammen.
Andreas KopfmillerGeschäftsführer
Kompetent, zuverlässig und angenehm unaufgeregt: Steffen Lotze überzeugt PROJEKTIL als externer Datenschutzbeauftragter durch seine fachliche Expertise. Er übersetzt die DSGVO präzise in umsetzbare Lösungen für unseren Alltag. Ein echter Pluspunkt ist die Nähe zum Raum München – das macht den persönlichen Austausch und Schulungen vor Ort unkompliziert und effektiv.
Jörg WernerGeschäftsführer
Vom ersten Kontakt an hatten wir das Gefühl, mit Herrn Lotze genau den richtigen Datenschutzbeauftragten an unserer Seite zu haben – sympathisch, herzlich und dabei absolut zuverlässig. Wir schätzen seine gute Vorbereitung und die proaktive Arbeitsweise, mit der er in freundlicher Konsequenz an Themen dranbleibt und damit sicherstellt, dass diese weiterbearbeitet werden und nicht im Tagesgeschäft untergehen. Seine Rückmeldungen kommen schnell, Fragen werden unkompliziert geklärt. Auch komplexe oder vermeintlich trockene Inhalte vermittelt Herr Lotze auch bei Schulungen gekonnt verständlich und praxisnah.
 
Dr. Stefan Korta und Katrin KortaKanzlei für Kirchenrecht