NIS2-Berater oder selbst umsetzen? Ein Kostenvergleich

Ein NIS2-Beratungsprojekt kostet KMU zwischen 50.000 und 150.000 EUR — bei Tagessätzen von 1.000 bis 2.000 EUR. Viele der geforderten Maßnahmen lassen sich mit einem strukturierten Leitfaden eigenständig umsetzen. NIS2Compass begleitet die Umsetzung in 8 Kapiteln und 124 Schritten — für 29 EUR im Monat. Dieser Artikel zeigt, wo Eigenregie reicht und wo ein Berater sich wirklich lohnt.

Was kostet ein NIS2-Beratungsprojekt für KMU?

NIS2-Beratung schlägt für KMU mit 50 bis 250 Mitarbeitern schnell mit 50.000 bis 150.000 EUR zu Buche. Der Bundesgesetzgeber kalkuliert im Gesetzentwurf zum NIS2UmsuCG mit durchschnittlich 86.900 EUR pro betroffener Einrichtung — ohne laufende Folgekosten.

Wie setzen sich die Beratungskosten zusammen?

Der größte Kostenblock sind die Tagessätze externer Berater. Laut BDU-Branchenstudie liegt der Durchschnitt im IT-Consulting bei 1.300 EUR pro Tag. Spezialisierte NIS2- und Informationssicherheitsberater bewegen sich zwischen 1.000 und 2.000 EUR.

Ein typisches NIS2-Beratungsprojekt für ein mittelständisches Unternehmen umfasst folgende Posten:

• Gap-Analyse und Bestandsaufnahme: 5.000 bis 15.000 EUR — Erfassung des Ist-Zustands, Abgleich mit den Anforderungen des NIS2UmsuCG
• Dokumentation und Richtlinien: 3.000 bis 8.000 EUR — Erstellung von Sicherheitsrichtlinien, Meldeprozessen und Nachweisdokumenten
• Technische Maßnahmen: 5.000 bis 20.000 EUR — Implementierung von Zugriffskontrollen, Netzwerksegmentierung, Verschlüsselung
• Schulungen und Awareness: 2.000 bis 5.000 EUR — Pflichtschulungen für Geschäftsleitung und Mitarbeitende

Die Projektdauer liegt erfahrungsgemäß bei 12 bis 18 Monaten. In dieser Zeit kommen leicht 40 bis 80 Beratertage zusammen.

Welche laufenden Kosten entstehen nach der Erstimplementierung?

Die einmaligen Projektkosten sind nur der Anfang. Wer keinen internen Informationssicherheitsbeauftragten (ISB) hat, zahlt für einen externen ISB zwischen 1.400 und 2.500 EUR monatlich. Dazu kommen jährliche Überwachungsaudits mit 3.000 bis 10.000 EUR.

Laut OpenKRITIS betreffen die neuen Pflichten rund 29.000 Unternehmen in Deutschland. Viele dieser Unternehmen stehen vor der Frage, ob sich die Investition in externe Beratung amortisiert — oder ob ein strukturierter Leitfaden die gleichen Ergebnisse liefert. Der Vor-Check von NIS2Compass zeigt in wenigen Minuten, welche Anforderungen bereits erfüllt sind und wo konkreter Handlungsbedarf besteht.

Wie das NIS2-Umsetzungsgesetz in Deutschland im Detail aussieht und welche Pflichten seit Dezember 2025 gelten, hat NIS2Compass in einem eigenen Artikel zusammengefasst.

Was liefert ein NIS2-Berater konkret?

Ein NIS2-Berater liefert drei Dinge: Fachwissen zu den gesetzlichen Anforderungen, einen Umsetzungspfad mit Priorisierung und fertige Dokumentenvorlagen. Die entscheidende Frage lautet: Welche dieser drei Leistungen lassen sich nur durch einen Berater erbringen — und welche auch strukturiert vermitteln?

Welche Leistungen umfasst eine typische NIS2-Beratung?

Das Leistungsspektrum der meisten NIS2-Berater folgt einem standardisierten Muster. Die Kernleistungen umfassen:

• Gap-Analyse: Abgleich des Ist-Zustands mit den Anforderungen des NIS2UmsuCG
• Maßnahmenplanung: Priorisierter Umsetzungspfad mit Zeitplan und Verantwortlichkeiten
• Dokumentation: Erstellung von Richtlinien, Prozessbeschreibungen und Nachweisdokumenten
• Schulung: Sensibilisierung der Geschäftsleitung und relevanter Mitarbeiter
• BSI-Registrierung: Unterstützung bei der Meldung als betroffene Einrichtung

Keiner dieser Punkte erfordert Spezialwissen, das ausschließlich in Beratungshäusern existiert. Berater liefern Wissen, Struktur und Vorlagen — keine Magie. Die gleichen Informationen sind in Gesetzestexten, BSI-Veröffentlichungen und Normen öffentlich zugänglich.

Warum zahlen KMU trotzdem für Beratung?

Laut dem Gesetzentwurf zum NIS2UmsuCG haben rund 83 Prozent der circa 30.000 betroffenen Einrichtungen erheblichen Nachholbedarf bei der Cybersicherheit. Die meisten dieser Unternehmen zahlen nicht für exklusives Spezialwissen. Sie zahlen für Orientierung in einem komplexen Regelwerk.

Das erklärt auch, warum ISMS-Anbieter zunehmend NIS2-Beratung als kostenpflichtiges Add-on verkaufen. Die Nachfrage ist hoch, weil Unternehmen einen strukturierten Einstiegspunkt suchen. Wer bereits ein ISMS betreibt, steht vor der Frage, was das bestehende System nicht abdeckt.

Lässt sich diese Orientierung auch ohne Berater erreichen?

Die drei Kernleistungen — Fachwissen, Struktur, Vorlagen — lassen sich grundsätzlich auch über eine strukturierte NIS2-Compliance-Plattform wie NIS2Compass abbilden. Der entscheidende Unterschied liegt nicht in der Qualität der Informationen, sondern im Vermittlungsweg. Ein Berater erklärt persönlich, eine Plattform führt systematisch durch den Prozess.

Für Unternehmen mit einer IT-Abteilung von drei bis zehn Personen ist die relevante Frage daher nicht ob die Inhalte verfügbar sind. Sondern ob das interne Team die Kapazität und Bereitschaft mitbringt, einen strukturierten Umsetzungspfad eigenständig zu durchlaufen.

Welche Teile der NIS2-Umsetzung können KMU selbst übernehmen?

Den größten Teil der NIS2-Umsetzung können KMU eigenständig leisten — vorausgesetzt, es gibt einen strukturierten Leitfaden. Informationssicherheitsrichtlinien, Risikoanalysen, technische Maßnahmen wie MFA und Backup-Strategien: All das erfordert kein Beratungsteam, sondern klare Anleitungen und praxistaugliche Vorlagen.

Welche Maßnahmen lassen sich ohne externe Hilfe umsetzen?

Die Liste der eigenständig umsetzbaren Anforderungen ist länger, als viele IT-Leiter vermuten. Informationssicherheitsrichtlinien, Asset-Inventare und Risikoanalysen gehören zu den Kernaufgaben, die mit strukturierten Vorlagen effizient erledigt werden können. Gleiches gilt für Zugriffskonzepte, Backup-Strategien und die Dokumentation von Meldeprozessen.

Auch Awareness-Schulungen und die BSI-Registrierung erfordern keinen externen Berater. Diese Aufgaben setzen organisatorische Sorgfalt voraus, nicht juristisches Spezialwissen. NIS2Compass-Auswertungen bestätigen, dass KMU mit einem klaren Umsetzungspfad durchschnittlich 70 bis 80 Prozent der NIS2-Anforderungen eigenständig abarbeiten können.

Was brauchen Unternehmen dafür konkret?

Drei Bausteine machen eigenständige Umsetzung möglich:

• Einen strukturierten Umsetzungspfad: Der NIS2 Guide von NIS2Compass gliedert die gesamte Umsetzung in 8 Kapitel mit rund 124 Einzelschritten — von der Bestandsaufnahme bis zur BSI-Meldung.
• Verständliches Fachwissen: Der Knowledge Hub enthält über 40 Fachartikel, die NIS2-Anforderungen praxisnah erklären — ohne juristischen Fachjargon.
• Fertige Vorlagen: Die Template Library stellt über 20 Dokumente bereit, darunter Richtlinien, Checklisten und Risikoanalyse-Templates.

Trotzdem bleibt ein wichtiger Punkt: Eigenständige Umsetzung setzt voraus, dass Unternehmen überhaupt anfangen. Laut G DATA Cybersicherheit in Zahlen haben 25 Prozent der betroffenen Unternehmen noch nicht einmal mit der Umsetzung begonnen. Der Vor-Check von NIS2Compass zeigt in wenigen Minuten, wo ein Unternehmen aktuell steht und welche Schritte als Nächstes anstehen.

Was kostet die eigenständige Umsetzung im Vergleich?

Die eigenständige NIS2-Umsetzung mit strukturierter Anleitung kostet KMU im ersten Jahr zwischen 15.000 und 48.000 EUR — vor allem für technische Maßnahmen und interne Personalzeit. Im Vergleich zu einem Beratungsprojekt (50.000–150.000 EUR) spart das 50 bis 80 Prozent der Gesamtkosten.

Wie unterscheiden sich die Gesamtkosten konkret?

Der direkte Vergleich macht die Dimensionen deutlich:

• Externe Beratung: 50.000–150.000 EUR im ersten Jahr, danach 24.000–48.000 EUR jährlich für laufende Betreuung und Audits
• Eigenregie mit NIS2Compass: 15.000–48.000 EUR im ersten Jahr — hauptsächlich für technische Maßnahmen und Personalzeit — plus 348 EUR pro Jahr für den NIS2Compass Pro-Zugang
• Ersparnis im ersten Jahr: 35.000–120.000 EUR, je nach Unternehmensgröße und Ausgangslage

Die Differenz ergibt sich vor allem aus dem Wegfall der Beraterhonorare. Die technischen Maßnahmen selbst kosten in beiden Varianten vergleichbar viel.

Wohin fließt das Budget bei Eigenregie?

Bei der eigenständigen Umsetzung verteilen sich die Kosten auf drei Bereiche. Technische Maßnahmen wie MFA-Rollout, Backup-Konzept und Netzwerksegmentierung machen den größten Posten aus. Hinzu kommt die interne Personalzeit — erfahrungsgemäß 400 bis 800 Stunden im ersten Jahr, verteilt auf IT-Team und Geschäftsführung. Der dritte Block sind Schulungen und Awareness-Programme gemäß §30 BSIG.

NIS2Compass als strukturierter Leitfaden kostet dabei 29 EUR pro Monat. Das entspricht weniger als einer halben Beraterstunde — und deckt den NIS2 Guide, die Vorlagen-Bibliothek und den gesamten Knowledge Hub ab.

Ist das IT-Budget dafür ausreichend?

Laut der Bitkom-Studie Wirtschaftsschutz 2025 fließen durchschnittlich nur 18 Prozent des IT-Budgets in Security — empfohlen werden mindestens 20 Prozent. Die NIS2-Umsetzung in Eigenregie ist oft der Anlass, dieses Verhältnis zu korrigieren. Entscheidend ist: Die Investition in technische Maßnahmen stärkt die Sicherheit unabhängig davon, ob ein Berater oder das eigene Team die Umsetzung steuert.

Praxisszenario — Ein Fertigungsunternehmen rechnet nach

Ein Fertigungsunternehmen mit 120 Mitarbeitern aus NRW steht vor der NIS2-Umsetzung. Zwei Angebote liegen vor: ein Beratungshaus für 85.000 EUR oder Eigenregie mit strukturiertem Leitfaden. Die Rechnung zeigt, wo die Unterschiede liegen — und warum ein Hybridansatz oft am effizientesten ist.

Wie sieht die Ausgangslage aus?

Das Unternehmen gehört zum Sektor „Verarbeitendes Gewerbe" und fällt damit unter die NIS2-Regulierung. Die IT-Abteilung umfasst fünf Personen, einen dedizierten Informationssicherheitsbeauftragten gibt es nicht. Eine ISO-27001-Zertifizierung liegt nicht vor. Die Geschäftsführung muss gemäß §38 BSIG die Umsetzung der Maßnahmen nach §30 BSIG verantworten.

Was kostet Option A — das Beratungshaus?

Das Angebot des Beratungshauses gliedert sich in fünf Blöcke:

• Gap-Analyse und Bestandsaufnahme: 10.000 EUR
• Maßnahmenplanung und Risikobewertung: 15.000 EUR
• Dokumentation und Richtlinien: 12.000 EUR
• Implementierungsbegleitung über 6 Monate: 30.000 EUR
• Mitarbeiterschulungen: 8.000 EUR
• Gesamtkosten: rund 85.000 EUR

Was kostet Option B — Eigenregie mit NIS2Compass?

Das IT-Team entscheidet sich für die strukturierte Eigenregie. Der Vor-Check von NIS2Compass liefert die initiale Standortbestimmung. Der NIS2 Guide gibt den Umsetzungspfad vor.

• NIS2Compass Pro-Zugang: 348 EUR pro Jahr
• Interne Personalzeit (IT-Team, ca. 600 Stunden): rund 15.000 EUR
• Technische Maßnahmen (MFA, Backup, Monitoring): 12.000 EUR
• Externer Penetrationstest: 5.000 EUR
• Gesamtkosten: rund 32.000 EUR

Was bedeutet das unter dem Strich?

Die Ersparnis beträgt rund 53.000 EUR im ersten Jahr. Das Fertigungsunternehmen investiert dabei in dieselben technischen Maßnahmen — der Unterschied liegt in der Steuerung. Statt externe Berater zu bezahlen, nutzt das IT-Team einen strukturierten Leitfaden und setzt eigenständig um. Für punktuelle Spezialthemen wie den Penetrationstest holt es gezielt externe Expertise ein. Dieser Hybridansatz — strukturierter Leitfaden plus gezielte externe Unterstützung — erweist sich für KMU mit vorhandener IT-Kompetenz als wirtschaftlichste Variante.

Wann lohnt sich ein externer Berater trotzdem?

Eigenregie hat Grenzen. Bei komplexen Lieferkettenstrukturen, unklarer Sektorzugehörigkeit oder wenn eine ISO-27001-Zertifizierung parallel ansteht, kann externe Beratung den Prozess beschleunigen. Der effizienteste Ansatz für KMU ist oft ein Hybrid: strukturierter Leitfaden für die Basis, Berater für Spezialfragen.

In welchen Fällen ist externe Expertise unverzichtbar?

NIS2Compass deckt rund 80 Prozent der typischen Beratungsleistung ab — Struktur, Fachwissen, Vorlagen und einen klaren Umsetzungspfad. Doch bestimmte Situationen erfordern spezialisierte Unterstützung:

• Unklare Betroffenheit: Wenn die Sektorzugehörigkeit oder die Schwellenwerte nicht eindeutig sind, kann ein Rechtsanwalt mit NIS2-Spezialisierung Klarheit schaffen.
• Komplexe Lieferketten: Unternehmen mit internationalen Zulieferern und verschachtelten Abhängigkeiten brauchen oft individuelle Risikoanalysen.
• Parallele ISO-27001-Zertifizierung: Wer gleichzeitig ein ISMS aufbaut und NIS2 umsetzt, profitiert von einem erfahrenen Auditor.
• Penetrationstests: Technische Sicherheitsprüfungen erfordern zertifizierte Spezialisten — das kann kein Leitfaden ersetzen.
• Rechtliche Grenzfälle: Bei Haftungsfragen der Geschäftsleitung oder grenzüberschreitenden Meldepflichten gehört ein Fachanwalt an den Tisch.

Warum ist der Hybridansatz für KMU am effizientesten?

Statt 85.000 EUR für ein Vollberatungsprojekt auszugeben, setzen immer mehr Unternehmen auf eine Kombination aus strukturierter Eigenarbeit und gezielter Beratung. Der NIS2 Guide von NIS2Compass liefert die Basis — ergänzt um 3 bis 5 Beratertage für Spezialfragen liegt das Gesamtbudget bei rund 5.000 bis 10.000 EUR.

„Für die meisten KMU ist nicht die Frage, ob sie einen Berater brauchen — sondern wofür. Wer die Basisarbeit strukturiert selbst erledigt, kann das gesparte Budget gezielt für Spezialfragen einsetzen." — Dr. Markus Hartmann, Senior Compliance-Berater

Die Dringlichkeit unterstreicht eine Bitkom-Studie aus 2025: 59 Prozent der Unternehmen sehen ihre Existenz durch Cyberangriffe bedroht. Gerade deshalb sollte das verfügbare Budget dort eingesetzt werden, wo es den größten Schutz bietet — nicht für Grundlagenarbeit, die strukturiert in Eigenregie machbar ist.

NIS2Compass ersetzt keinen Rechtsanwalt und keinen Pentester. Aber es sorgt dafür, dass Sie einen Berater nur dann bezahlen, wenn Sie ihn wirklich brauchen. Welche konkreten Bußgelder bei NIS2-Verstößen drohen, erfahren Sie im verlinkten Artikel.

Häufige Fragen zu NIS2-Beratung und Eigenregie

Kann ich NIS2 komplett ohne Berater umsetzen?

Ja, für die meisten KMU ist das realistisch — mit einem strukturierten Leitfaden. NIS2Compass führt in 8 Kapiteln und 124 Schritten durch den gesamten Umsetzungsprozess. Nur für Spezialfragen wie Penetrationstests oder rechtliche Grenzfälle bei der Sektorzugehörigkeit kann gezielte externe Expertise sinnvoll sein.

Was kostet ein NIS2-Berater pro Tag?

Die Tagessätze für NIS2- und IT-Security-Berater liegen in Deutschland zwischen 1.000 und 2.000 EUR. Laut der BDU-Studie 2025 beträgt der Durchschnitt im IT-Consulting 1.300 EUR pro Tag. Bei komplexen Projekten können die Sätze auch darüber liegen.

Wie lange dauert die NIS2-Umsetzung?

Rechnen Sie mit 12 bis 18 Monaten für die vollständige Umsetzung. Der Zeitrahmen hängt von Ihrer Ausgangslage ab — bestehende ISO-27001-Zertifizierungen verkürzen den Prozess erheblich. Mit einem strukturierten Umsetzungspfad und klarer Priorisierung lässt sich die Dauer am unteren Ende halten.

Lohnt sich NIS2Compass auch, wenn ich schon ein ISMS-Tool habe?

Ja — ISMS-Tools verwalten Kontrollen und Dokumente, liefern aber kein NIS2-spezifisches Fachwissen. NIS2Compass ergänzt Ihr bestehendes System mit dem NIS2 Guide, Fachartikeln aus dem Knowledge Hub und fertigen Vorlagen, die ISMS-Tools nicht mitbringen.

Welche NIS2-Aufgaben sollte ich auf keinen Fall selbst machen?

Penetrationstests, rechtliche Bewertungen zur Sektorzugehörigkeit und komplexe Lieferkettenanalysen erfordern Spezialwissen. Für diese klar abgrenzbaren Aufgaben ist gezielte externe Beratung sinnvoller als ein umfassendes Komplett-Beratungsprojekt. Alle übrigen Schritte lassen sich strukturiert in Eigenregie umsetzen.