Der NIS2-Beratungsmarkt ist stark fragmentiert. Sie finden Wirtschaftsprüfer mit Cybersicherheits-Praxis, BSI-nahe Prüforganisationen, Spezialdienstleister mit Branchenfokus und Technologie-Anbieter, die ISMS-Software vertreiben. Der Vergleich zeigt Stärken, typische Preispunkte und Auswahlkriterien.
Kategorie 1 — Wirtschaftsprüfer und Big-4-Beratungen
PwC, KPMG, EY und Deloitte bieten umfassende NIS2-Beratung von Betroffenheitscheck bis ISMS-Aufbau. Vorteil: konzernweite Koordination, vertraute Audit-Methodik, integrierte Risiko- und Compliance-Sicht. Nachteil: hohe Tagessätze (1.800 bis 2.800 Euro für Senior Consultants), lange Angebotsphasen, formeller Umgang mit Anpassungen.
Kategorie 2 — Cybersicherheits-Spezialisten und BSI-Nahraum
HiSolutions, Secuvera, secunet, TÜV IT, Materna Radar, usd AG und SySS sind auf Cybersicherheit spezialisiert und haben umfangreiche Erfahrung mit BSI-Kontakten, KRITIS-Prüfungen und § 8a BSIG-Audits. Tagessätze 1.200 bis 1.900 Euro, pragmatischere Vertragsbedingungen, meist tiefere technische Expertise.
Kategorie 3 — Spezialisierte Anwaltskanzleien
Taylor Wessing, Noerr, Heuking Kühn Lüer Wojtek, CMS und Rödl führen den Legal-Review-Teil durch. Sie liefern juristisch belastbare Einstufungen, prüfen Konzernstrukturen und besondere Kriterien nach § 28 NIS2UmsuCG. Tagessätze 1.800 bis 3.200 Euro. Für den reinen Check selten die wirtschaftlichste Wahl, aber unverzichtbar bei grenzwertigen Konstellationen.
Kategorie 4 — ISMS-Software und Tool-Anbieter
Ab der Umsetzungsphase werden Tools wie ForumISM, HiScout, verinice oder DocSetMinder relevant. Sie bilden die Artikel-21-Maßnahmen als GRC-Workflow ab, erleichtern Audit-Nachweise und verhindern, dass ein ISMS in Excel-Dateien versinkt. Lizenzkosten 8.000 bis 45.000 Euro jährlich zzgl. Einführungsprojekt.
Entscheidungs-Matrix
| Szenario | Empfehlung | Budget-Indikation |
|---|---|---|
| Mittelstand < 250 MA, ein Sektor, keine Auslandstochter | Cybersicherheits-Spezialist (Kategorie 2) | 25.000 – 65.000 € |
| Konzern 250 – 1.500 MA, mehrere Sektoren | Spezialist + Legal Review (Kategorie 2 + 3) | 70.000 – 160.000 € |
| Großkonzern ab 1.500 MA, internationale Struktur | Big-4-Beratung (Kategorie 1) | 140.000 – 450.000 € |
| Erstregulierter Mittelständler ohne ISMS | Spezialist + ISMS-Tool (Kategorie 2 + 4) | 85.000 – 220.000 € über 12 Monate |
| Grenzwertige Betroffenheit | Anwaltskanzlei + Spezialist (Kategorie 3 + 2) | 18.000 – 48.000 € |
Auswahlkriterien und Red Flags
Prüfen Sie vor Vertragsabschluss: Welche Referenzen aus derselben Branche kann der Anbieter vorweisen? Welche BSI-Zertifikate halten die eingesetzten Consultants? Wie ist die Haftung geregelt, falls das BSI die Einstufung später korrigiert? Wird ein sauberer Managementreport mit Entscheidungsvorlage erstellt? Ist die jährliche Re-Prüfung als Option im Vertrag angelegt?
- Versprechen einer „NIS2-Zertifizierung" — existiert nicht
- Keine Referenzen aus vergleichbarer Branche oder Größenklasse
- Keine BSI-nahen oder ISO-27001-zertifizierten Consultants im Projektteam
- Tagessatz unter 900 Euro bei „Senior"-Stufe (deutet auf Junior-Vergabe hin)
- Unklare Haftung bei späterer Fehleinstufung durch das BSI
- Fehlende Integration zwischen Cybersicherheits- und Legal-Review
Vertrags- und Haftungsgestaltung — was oft vergessen wird
Die Haftung bei Fehleinschätzung der Betroffenheit ist ein sensibles Thema. Wenn ein Anbieter zu dem Schluss kommt, die Einrichtung sei nicht betroffen, später das BSI aber das Gegenteil feststellt, können Bußgelder und Reputationsschäden entstehen. Saubere Vertragsgestaltung sieht eine Berufshaftpflicht von mindestens 5 Mio. Euro vor, eine ausdrückliche Zusicherung der methodischen Sorgfalt und eine Klausel zur Aktualisierung der Einschätzung bei Änderung des Unternehmens (Zukauf, Ausgliederung, Branchenwechsel).
Weiter wichtig: die Nutzungsrechte an den Ergebnissen. Interne Präsentationen, Managementreports und Checklisten sollten auch an Tochtergesellschaften und zukünftige Berater weitergegeben werden dürfen. Einige Big-4-Anbieter schränken dies vertraglich ein, was bei späteren Ausschreibungen oder Audits zu Reibungen führt. Regeln Sie Nutzungsrechte, Archivierungsfristen und Übergabeprotokolle vor Vertragsabschluss.
Zum Schluss: Prüfen Sie, ob der Anbieter interne Ressourcen für eine mehrjährige Begleitung hat. NIS2 ist kein Projekt mit definiertem Ende, sondern eine laufende Compliance-Aufgabe. Wechsel des Beraters kostet beim zweiten Durchgang typisch 40 Prozent mehr als eine kontinuierliche Betreuung, weil Einarbeitungsaufwand und Methodenunterschiede anfallen.
Häufig gestellte Fragen zum Anbieter-Vergleich
Welche Anbieter führen NIS2-Betroffenheitschecks durch?
Große Wirtschaftsprüfer wie PwC, KPMG, EY und Deloitte, Spezialisten wie HiSolutions, TÜV IT, Secuvera, secunet, Materna Radar Cyber Security, usd AG und spezialisierte Anwaltskanzleien wie Taylor Wessing, Noerr oder Heuking. Daneben kleinere Boutique-Beratungen mit regionalem Fokus.
Was kostet ein NIS2-Betroffenheitscheck?
Mittelstand 15.000 bis 45.000 Euro für den reinen Check, Konzerne mit mehreren Töchtern 60.000 bis 180.000 Euro. Die anschließende Gap-Analyse gegen Artikel 21 NIS2 kostet zusätzlich 35.000 bis 120.000 Euro. Der vollständige ISMS-Aufbau liegt je nach Umfang zwischen 80.000 und 400.000 Euro verteilt auf 6 bis 12 Monate.
Welche Zertifizierung brauchen Anbieter?
BSI-zertifizierte Auditoren nach ISO 27001, persönliche Zertifizierungen wie CISSP, CISA, CISM oder BSI-Grundschutz-Praktiker. TÜV-Zertifikate für Prüforganisationen. Für den Legal-Review-Teil ist der Fachanwalt für IT-Recht oder nachgewiesene Compliance-Expertise sinnvoll.