NIS2 für den Mittelstand · von Buzzard AI

Bin ich von NIS2 betroffen? Selbsttest für KMU.

Schwellen (ab rund 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz), die 18 Sektoren und die Fristen — im Klartext. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall. Für den technischen Teil liefert TULPAR dokumentierte Evidenz.

Erste Orientierung · keine Rechtsberatung Technische Evidenz on-premise · keine Cloud Klartext-Report: Schulnote & Ampel
Der Selbsttest

Drei Fragen, die klären, ob NIS2 Sie betrifft.

Eine erste Orientierung entlang von Sektor, Größe und Frist — keine verbindliche Feststellung. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall.

Selbsttest zur ersten Einordnung · nur ein Anhaltspunkt

🏭
Sektor
1 von 18 regulierten Sektoren?
Energie · Wasser · Gesundheit · IT · u. a.
✅ NIS2 erfasst 18 Sektoren. Ob Ihr Betrieb darunterfällt, hängt an Ihrer konkreten Tätigkeit — nicht nur am Sektornamen. Im Zweifel rechtlich prüfen lassen.
👥
Größe
ab rund 50 MA oder über 10 Mio. EUR Umsatz
Schwelle erreicht?
✅ Grundsätzlich ab ca. 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz. Besonders wichtige Einrichtungen ab rund 250 Mitarbeitenden oder über 50 Mio. EUR.
📅
Frist
Gesetz rund Dez. 2025 · ohne Übergangsfrist
Registrierung beim BSI
✅ Die Registrierungsfrist beim BSI lief ca. Anfang März 2026 ab. Zusätzlich gilt eine Meldepflicht mit Erstmeldung binnen 24 Stunden.
⚖️
Wahrscheinlich betroffen
Einzelfall · rechtlich prüfen lassen
Nächster Schritt
✅ Treffen alle drei Punkte zu, ist eine NIS2-Betroffenheit wahrscheinlich. Den technischen Teil — Schwachstellen dokumentieren — deckt TULPAR ab. Die rechtliche Einordnung bleibt ein Einzelfall.
Sektor, Größe und Frist geben den ersten Hinweis — die Betroffenheit ist ein Einzelfall. TULPAR übernimmt davon nur den technischen Nachweis.
Worum es geht

NIS2 ist da — ohne Übergangsfrist.

📜

Das Gesetz ist in Kraft

Das NIS2-Umsetzungsgesetz ist in Deutschland rund Dezember 2025 in Kraft getreten — ohne Übergangsfrist. Nach Größenordnung sind rund 29.500 Unternehmen betroffen.

⚖️

Pflichten & Haftung

10 Risikomanagement-Bereiche, Registrierung beim BSI, Meldepflicht (24 h), Schulungspflicht und persönliche Haftung der Geschäftsführung. Bußgelder bis 10 Mio. EUR oder 2 % Jahresumsatz.

🔍

Betroffenheit = Einzelfall

Schwellen und Sektorenlisten sind nur ein Anhaltspunkt. Das ersetzt keine Rechtsberatung; ob und wie Sie betroffen sind, klären Sie individuell.

Was TULPAR übernimmt

Den technischen Teil — belegbar dokumentiert.

NIS2 hat eine rechtlich-organisatorische und eine technische Seite. TULPAR deckt den technischen Teil ab: Eine Software, die in Ihrem Netzwerk läuft und automatisch prüft, wo Sie angreifbar sind — und liefert dafür dokumentierte technische Evidenz.

  • Dokumentierte Evidenz. Schwachstellen technisch identifiziert und nachvollziehbar belegt — fürs NIS2-Risikomanagement nutzbar.
  • Macht nicht konform. TULPAR ist keine Zertifizierung und keine Rechtsberatung — es erleichtert den technischen Nachweis, nicht mehr.
  • Bleibt im Haus. On-premise, keine Cloud — nur ansehen als Standard, aktiver Test nur mit Ihrer Freigabe.
So einfach geht's

In drei Schritten zur Evidenz.

1

Installieren

TULPAR im eigenen Netzwerk einrichten — startklar in Minuten.

2

Prüfen lassen

🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.

3

Belegen

Klartext-Bericht mit Schulnote, Ampel und dokumentierter technischer Evidenz.

4Ausreichend
Technischer Status — NIS2-relevant
Beispiel-Auswertung · Netzwerk „Musterfirma GmbH"
Server mit bekannter, ungepatchter Lückekritisch
Konto mit schwachem Passwortkritisch
Updates teils veraltetmittel
Berechtigungen nicht klar geregeltmittel
Firewall & Virenschutz aktivok
Technische Evidenz fürs Risikomanagement: dokumentierte Schwachstellen mit Priorität — als Beleg nutzbar, kein Konformitätsnachweis. Illustratives Beispiel.
Warum so

Nachweise, die man vorlegen kann.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel und die Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Die technische Seite von NIS2, belegbar dokumentiert.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.

⚖️

Technische Evidenz

Belege fürs NIS2-Risikomanagement & BSI-Einstiegschecks — keine Garantie, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Anlässe

Wann ein technischer Nachweis jetzt sinnvoll ist.

Preis

Erst sehen, wo Sie technisch stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Klartext-Bericht mit Schulnote, Ampel und dokumentierter technischer Evidenz
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Technischen Check anfragen →
Häufige Fragen

Häufige Fragen zu NIS2 & Betroffenheit.

Als grobe Orientierung gilt: NIS2 erfasst Unternehmen in einem der 18 regulierten Sektoren grundsätzlich ab rund 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz. Besonders wichtige Einrichtungen beginnen bei rund 250 Mitarbeitenden oder über 50 Mio. EUR. In Deutschland sind nach Größenordnung rund 29.500 Unternehmen betroffen. Wichtig: Diese Schwellen sind nur ein erster Anhaltspunkt. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall und hängt von Sektor, Tätigkeit und Größe ab.

NIS2 nennt 18 regulierte Sektoren — von Energie, Wasser, Gesundheit, Transport und Finanzen bis zu IT, digitalen Diensten, Lebensmitteln, Abfall und verarbeitendem Gewerbe. Ob Ihr Betrieb darunterfällt, hängt nicht nur am Namen des Sektors, sondern an Ihrer konkreten Tätigkeit und Ihrer Rolle in der Lieferkette. Diese Seite gibt eine erste Orientierung und ersetzt keine Rechtsberatung; die Einordnung im Einzelfall klären Sie mit fachkundiger Beratung.

Das deutsche NIS2-Umsetzungsgesetz ist rund Dezember 2025 in Kraft getreten — und zwar ohne Übergangsfrist. Die Registrierungspflicht beim BSI griff früh: Die Registrierungsfrist lief ca. Anfang März 2026 ab. Zusätzlich gilt eine Meldepflicht mit einer Erstmeldung binnen 24 Stunden nach einem erheblichen Sicherheitsvorfall. Konkrete Fristen für Ihren Fall klären Sie mit fachkundiger Beratung — diese Seite ersetzt keine Rechtsberatung.

NIS2 verlangt zehn verbindliche Risikomanagement-Maßnahmenbereiche, eine Registrierung beim BSI, die Meldepflicht (Erstmeldung binnen 24 Stunden), eine Schulungspflicht für die Geschäftsführung und sieht eine persönliche Haftung der Geschäftsführung vor. Bußgelder können bis 10 Mio. EUR oder 2 % des Jahresumsatzes reichen. TULPAR deckt davon den technischen Teil ab — das Identifizieren und nachvollziehbare Dokumentieren von Schwachstellen — und ersetzt weder die organisatorischen Maßnahmen noch Rechtsberatung.

Nein. TULPAR macht niemanden konform und ist keine Zertifizierung und keine Rechtsberatung. TULPAR deckt den technischen Teil ab: Es prüft Ihr eigenes Netzwerk auf Schwachstellen und liefert dokumentierte technische Evidenz, die in Ihr NIS2-Risikomanagement einfließen kann. NIS2-Konformität umfasst aber auch organisatorische Pflichten wie Registrierung, Meldewege, Schulung und Governance. Diese Seite und TULPAR erleichtern den technischen Nachweis, ersetzen jedoch keine rechtliche Einordnung Ihrer Betroffenheit.

Der CyberRisikoCheck nach DIN SPEC 27076 ist ein BSI-gestützter Einstiegs-Standard für Betriebe unter 50 Mitarbeitenden: 27 Anforderungen in 6 Themenbereichen, in der Regel ein 1- bis 2-stündiges Interview, am Ende eine Standortbestimmung mit priorisierten Empfehlungen. Wichtig: Das Ergebnis ist kein Siegel und keine Zertifizierung. TULPAR ist davon unabhängig und ebenfalls nicht der offizielle BSI-Check — es liefert eigene, technisch dokumentierte Evidenz aus Ihrem Netzwerk, die eine solche Standortbestimmung sinnvoll ergänzen kann.

Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk. Es gibt keinen Cloud-Zwang, die Ergebnisse bleiben in Ihrem Haus. Standardmäßig wird nur angesehen (read-only); ein aktiver Test erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Das ist gerade dann wichtig, wenn ohnehin sensible Daten verarbeitet werden, und unterstützt die Anforderungen der DSGVO an Datenhoheit.

Ja. Unabhängig von der NIS2-Frage trifft laut BSI-Lagebericht 2025 rund 80 % der angezeigten Cyberangriffe kleine und mittlere Unternehmen, und nur etwa 18 % der kleinen Unternehmen haben einen Notfallplan. Ein durchschnittlicher Schaden im Mittelstand liegt bei ca. 200.000 bis 500.000 EUR. Ein erster technischer Check zeigt Ihnen im Klartext, wo Sie angreifbar sind — und liefert Evidenz, die später in NIS2-Risikomanagement, einen BSI-Einstiegscheck oder einen Cyberversicherungsantrag einfließen kann. Die rechtliche Betroffenheit bleibt davon getrennt und ist ein Einzelfall.

Diese Seite ist eine erste Orientierung zur NIS2-Betroffenheit und ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall. Schwellen, Sektoren und Fristen sind als „rund/ca." gerundet und dienen nur dem Überblick. TULPAR wird von Buzzard AI angeboten und ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk; aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert dokumentierte technische Evidenz und deckt den technischen Teil ab, ist aber keine Zertifizierung, keine Rechtsberatung, nicht der offizielle BSI-Check und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Der CyberRisikoCheck nach DIN SPEC 27076 ist kein Siegel. Genannte Marken und Standards gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Sie wollen wissen, wo Ihr Netzwerk technisch steht?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der technische Check bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht mit dokumentierter Evidenz. Die rechtliche Betroffenheit bleibt ein Einzelfall.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp