NIS2-Kosten 2026: Beratung vs. Software

Was NIS2-Compliance wirklich kostet

NIS2-Compliance ist nicht kostenlos. Die Bundesregierung kalkuliert in der Gesetzesbegründung (Bundestag-Drucksache 20/9171, Seite 165 ff.) durchschnittlich 70.000 EUR einmalige Einführungskosten pro betroffener Einrichtung. Tatsächlich schwanken die Kosten je nach Unternehmensgröße und Ansatz zwischen 15.000 und 250.000 EUR. Dieser Artikel vergleicht die drei gängigen Wege und zeigt dir, was pro Weg konkret anfällt.

Der Regierungsdurchschnitt: 70.000 EUR im Kontext

Die Bundesregierung hat in ihrer Gesetzesbegründung zum NIS2-Umsetzungsgesetz konkrete Zahlen veröffentlicht: 70.000 EUR einmalige Einführungskosten plus 30.000 EUR jährliche Betriebskosten pro betroffene Einrichtung. Diese Zahlen basieren auf einer Folgenabschätzung und spiegeln einen Mittelwert über alle Unternehmensgruppen wider.

Das ist ein Durchschnitt: Großkonzerne mit komplexen IT-Landschaften und hunderten Lieferanten liegen deutlich darüber. Ein schlankes KMU mit klarer IT-Struktur, das auf Software-Tooling setzt, kann deutlich darunter bleiben. Quelle: Bundestag-Drucksache 20/9171, Seite 165 ff., veröffentlicht durch das Bundesministerium des Innern und für Heimat.

Die 5 Kostentreiber bei NIS2

Unabhängig vom gewählten Ansatz gibt es fünf Bereiche, die den Großteil der NIS2-Kosten verursachen:

• 1.ISMS-Aufbau (Risikoanalyse, Policies, Controls): Der Aufbau eines Informationssicherheits-Managementsystems bildet das Fundament aller NIS2-Maßnahmen. Ohne strukturiertes ISMS lassen sich die Anforderungen aus Art. 21 NIS2UmsuCG nicht dauerhaft erfüllen.
• 2.Lückenanalyse und Umsetzungsprojekt: Die Gap-Analyse identifiziert den Abstand zwischen aktuellem Sicherheitsniveau und NIS2-Anforderungen. Je nach Ausgangslage ist das Umsetzungsprojekt ein kleines Verbesserungsprojekt oder ein mehrjähriger Transformationsprozess.
• 3.Technische Maßnahmen (SIEM, EDR, MFA, Backup): Logging, Monitoring, Endpunktschutz, Mehrfaktor-Authentifizierung und ausfallsichere Backups sind nicht verhandelbar. Wer diese Infrastruktur neu aufbaut, trägt erhebliche Einmalkosten.
• 4.Laufende Nachweisführung und Audits: NIS2 verlangt dauerhaftes Risikomanagement (§ 30 NIS2UmsuCG), keine einmalige Bestandsaufnahme. Evidenz-Archivierung, regelmäßige interne Audits und BSI-Meldeprozesse erzeugen kontinuierliche Betriebskosten.
• 5.Schulung und Geschäftsleitungs-Awareness: Security-Awareness-Trainings sind nach NIS2 Pflicht, auch und gerade für die Geschäftsleitung. Schulungsnachweise gehören zu den ersten Punkten, die das BSI bei einer Prüfung abfragt.

Weg 1: Klassische Beratung

Externe Berater bringen Erfahrung aus vielen NIS2-Projekten mit und können schnell Strukturen aufbauen. Beratertagessätze für Informationssicherheitsexperten liegen typischerweise zwischen 800 und 2.500 EUR, je nach Spezialisierung und Erfahrung.

Typische Projektgrößen in der Praxis:

• •Kleines KMU (ca. 50 MA, bis 15 Mio. EUR Umsatz): 15 bis 25 Projekttage plus 10 bis 15 Tage Nacharbeit ergeben Einmalkosten von rund 20.000 bis 50.000 EUR. Laufende Betreuungskosten: 15.000 bis 25.000 EUR jährlich.
• •Mittelstand (ca. 150 MA): 30 bis 50 Projekttage plus 20 Tage Nacharbeit: rund 50.000 bis 150.000 EUR einmalig. Laufend: 30.000 bis 50.000 EUR jährlich.
• •Großunternehmen (500 und mehr MA): 80 bis 150 Projekttage, Einmalkosten 150.000 bis 500.000 EUR. Laufender Bedarf: 80.000 EUR und mehr jährlich.

Vorteile der Beratung: Externes Expertenwissen, hohe Geschwindigkeit beim Aufbau, klare Verantwortung durch Beratungsvertrag. Beratung hat ihren Platz, besonders für den Initialaufbau und bei komplexen Architekturen.

Nachteile: Nach Projektabschluss endet das Beratungsmandat. Das ISMS muss intern weitergepflegt werden. Ohne passende Software wird aus dem Beratungsprojekt schnell ein Excel-Friedhof. Starke Abhängigkeit vom Berater und schwer zu skalieren.

Weg 2: Interner CISO oder DPO

Ein eigener Chief Information Security Officer (CISO) bringt Kontinuität, tiefes Unternehmenswissen und dauerhaftes Engagement. Realistische Jahresgehälter für erfahrene CISOs: 80.000 bis 150.000 EUR Brutto, abhängig von Region und Erfahrung. Dazu kommen Tool-Budgets, Weiterbildungskosten und ggf. ein kleines Security-Team.

Für Unternehmen ab ca. 200 Mitarbeitenden kann sich ein interner CISO langfristig rechnen, vor allem wenn mehrere Frameworks parallel betreut werden (NIS2, ISO 27001, DSGVO). Für kleine KMUs ist diese Option kaum wirtschaftlich: Qualifizierte Kandidaten sind schwer zu finden, teuer und ein Personenschaden bei Kündigung kann das gesamte Compliance-Programm gefährden.

Vorteile: Starke interne Kontinuität, tiefes Unternehmenswissen, kein externer Informationsabfluss.

Nachteile: Hohe Rekrutierungskosten (Headhunter 20 bis 30 % des Jahresgehalts), langer Onboarding-Zeitraum, Single Point of Failure bei Abgängen. Erst ab ca. 200 Mitarbeitenden wirtschaftlich sinnvoll.

Weg 3: GRC-Software mit Self-Service oder Partner

Moderne GRC-Software ermöglicht es, ein strukturiertes ISMS ohne vollständige Abhängigkeit von Beratern oder einem teuren internen CISO aufzubauen. Kopexa bietet zwei Varianten:

• •Self-Service: Ab 249 EUR/Monat, keine Setup-Gebühr, flexible Vertragslaufzeit, 14-tägige Testphase ohne Kreditkarte. Ein verantwortlicher interner Mitarbeiter führt die Umsetzung durch, unterstützt von vorstrukturierten Frameworks, Policy-Vorlagen und dem integrierten NIS2-Anforderungskatalog.
• •Software mit zertifiziertem Partner: Ein Kopexa-Partner übernimmt die Einführung und initiale Konfiguration, typischerweise für 5.000 bis 15.000 EUR einmalig. Danach läuft das ISMS selbstständig in der Plattform weiter. Der Partner bleibt als optionale Ergänzung erreichbar, aber du bist nicht dauerhaft abhängig.

Vorteile: Transparente, planbare Kosten. Skalierbar mit dem Unternehmen. Das ISMS bleibt dauerhaft in der Plattform lebendig, nicht in einem Ordner. Geschäftsleitungs-Dashboard für den Nachweis gegenüber BSI und Auditoren.

Nachteile: Ein verantwortlicher interner Mitarbeiter ist nötig, auch beim Self-Service-Ansatz. Ohne zumindest eine Teilfreistellung scheitert auch die beste Software.

Der Kostenvergleich: Beispielrechnung für 100 Mitarbeitende

Die folgende Tabelle zeigt eine realistische Orientierungsrechnung für ein mittelständisches Unternehmen mit rund 100 Mitarbeitenden, das bisher kein strukturiertes ISMS betreibt:

Kopexa Self-Service: 249 EUR/Monat x 12 = 2.988 EUR/Jahr. Kopexa + Partner: 2.988 EUR Software + 5.000 EUR Partner-Jahresretainer (optional). Diese Zahlen sind Orientierungswerte, keine Festpreise. Der individuelle Bedarf des Unternehmens entscheidet.

Was GRC-Software konkret liefert

GRC-Software ist kein Selbstzweck. Was eine Plattform wie Kopexa in der NIS2-Umsetzung konkret abnimmt:

• •Risiko-Katalog: Strukturierte Risikoerfassung und -bewertung nach anerkannter Methodik. Kein Excel mehr.
• •Policy-Vorlagen: Vorstrukturierte Informationssicherheitsrichtlinien nach NIS2 und ISO 27001, die du auf dein Unternehmen anpassen und freigeben kannst.
• •Audit-Workflow: Geplante Audits mit Aufgaben, Fristen und Verantwortlichen. Ergebnisse werden automatisch archiviert.
• •Nachweis-Archivierung: Evidenzen zu Controls und Maßnahmen zentral ablegen, versionieren und bei BSI-Prüfungen bereitstellen.
• •Incident-Tracking mit Fristen-Timer: 24h Frühwarnung, 72h Erstmeldung und 30-Tage-Abschlussbericht an das BSI direkt aus dem System heraus vorbereiten.
• •ISO 27001 und NIS2 Framework-Mapping: Anforderungen aus NIS2 auf ISO 27001 Annex A Controls abbilden und Synergien nutzen. Mehr dazu im NIS2 und ISO 27001 Mapping.

Eine Plattform-Übersicht aller Module findest du auf kopexa.com/platform.

Wann sich welcher Weg lohnt

Es gibt keine universell richtige Antwort. Die Entscheidung hängt von Unternehmensgröße, Ausgangslage, internen Kapazitäten und Budget ab:

• •Einmalige Umsetzung, kein dauerhaftes ISMS geplant: Klassische Beratung kann sinnvoll sein. Das Risiko: Ohne ein lebendes System lässt sich die dauerhaft geforderte Nachweisführung kaum effizient erfüllen.
• •Großunternehmen mit eigenem Risiko-Team: Interner CISO und GRC-Software kombiniert. Die Software skaliert auf Unternehmensgröße; der CISO nutzt sie als operatives Werkzeug.
• •KMU und Mittelstand mit Effizienz-Fokus: GRC-Software mit Self-Service oder zertifiziertem Partner. Planbare Kosten, kein dauerhafter Beratervertrag, internes Ownership des ISMS.

Häufige Fehler bei der Budgetplanung

Vier Fehlannahmen, die immer wieder zu falschen Budgetkalkulationen führen:

• 1."Wir brauchen keine laufenden Kosten": Falsch. § 30 NIS2UmsuCG verlangt kontinuierliches Risikomanagement. Ein einmaliges Beratungsprojekt erfüllt diese Pflicht nicht dauerhaft.
• 2."Ein einmaliges Beratungsprojekt reicht": Die Nachweispflicht besteht dauerhaft. BSI-Prüfungen können jederzeit kommen. Ohne laufendes System fehlt der aktuelle Nachweis.
• 3."Ohne ISO-Zertifizierung geht es nicht": § 30 NIS2UmsuCG verlangt technische und organisatorische Maßnahmen (TOMs), keine bestimmte Zertifizierung. ISO 27001 ist hilfreich und schafft Synergien, aber keine gesetzliche Pflicht.
• 4."Wir budgetieren nur das Einführungsjahr": Der Audit-Rhythmus ist mehrjährig. BSI-Prüfungen, interne Audits, Schulungszyklen und Lieferantenbewertungen erzeugen dauerhaften Aufwand.

Zuerst: Bin ich überhaupt betroffen?

Bevor du ein Budget kalkulierst, lohnt sich die Betroffenheitsprüfung. Wer nicht unter NIS2 fällt, spart 100 % der oben genannten Kosten. Unser Branchenrechner zeigt dir in wenigen Minuten, ob und in welcher Kategorie dein Unternehmen betroffen ist. Erst danach macht eine detaillierte Budgetkalkulation Sinn.