Seit NIS2 und DORA in Kraft getreten sind, boomt ein Markt: Compliance-Beratung. Dutzende Kanzleien, IT-Sicherheitsfirmen und Unternehmensberater bieten Pakete an — von der Erstanalyse bis zum vollständigen Implementierungsprojekt. Klingt gut. Kostet aber zwischen €8.000 und €40.000. Und löst das eigentliche Problem nicht.
Das Kernproblem mit Compliance
Compliance ist kein Projekt. Es ist ein Zustand.
Das ist der Satz, den die meisten KMU erst dann verstehen, wenn ein Auditor vor der Tür steht. Denn regulatorische Konformität — ob nach NIS2, DORA, ISO 27001 oder BSI IT-Grundschutz — ist keine Einmalanforderung, die man mit einem Gutachten abhaken kann. Sie ist ein dauerhafter Betriebszustand, der kontinuierliche Aufmerksamkeit, Dokumentation und Anpassung erfordert.
Das Kernproblem: Die meisten KMU verstehen Compliance als Checkliste. Behörden und Regulatoren verstehen Compliance als Nachweis eines lebenden Systems.
Was externe Beratung leistet — und was nicht
Externe Berater sind nicht per se schlecht. Sie bringen etwas Wertvolles mit: Expertise, Erfahrung mit Regulatoren und die Fähigkeit, schnell ein Bild der Ausgangslage zu liefern. Was ein guter Berater liefert:
-
✓
GAP-Analyse: Wo steht das Unternehmen heute, gemessen an den Anforderungen?
-
✓
Priorisierung: Welche Maßnahmen sind dringend, welche können warten?
-
✓
Dokumentationsvorlage: Richtlinien, Prozessbeschreibungen, Verantwortlichkeitsmatrizen.
-
✓
Schulungskonzept: Was müssen Mitarbeitende wissen und nachweislich gelernt haben?
Und was ein klassisches Beratungsmandat nicht leistet:
-
✗
Kein laufender Betrieb: Nach Projektabschluss ist der Berater weg. Die Organisation muss alleine weitermachen.
-
✗
Keine Anpassung an neue Bedrohungen: Regulatorische Anforderungen ändern sich. Ein Projektbericht von 2024 ist 2026 möglicherweise veraltet.
-
✗
Keine Nachweisführung: Wer hat wann welche Maßnahme ergriffen? Diese Frage können die meisten KMU nach einem Beratungsprojekt nicht beantworten.
-
✗
Keine Mitarbeitersensibilisierung im laufenden Betrieb: Ein Schulungs-PDF, das einmal verteilt wurde, erfüllt keine regulatorische Anforderung an nachweisliche Awareness.
Was Beratung wirklich kostet
Sprechen wir über Zahlen. Der Marktdurchschnitt für ein NIS2-Erstprojekt (GAP-Analyse + Maßnahmenplan + Basisimplementierung) liegt bei:
(Basis-Paket)
(Standard-Mandat)
(Multi-Standort)
Dazu kommen die versteckten Kosten: Interne Arbeitszeit für Workshops, Interviews und Reviews — erfahrungsgemäß 20–60 Stunden Mitarbeiterzeit pro Projekt. Bei einem durchschnittlichen Stundensatz von €80 sind das weitere €1.600–€4.800 interne Kosten, die nirgendwo auftauchen.
Was ein Compliance-Betriebssystem ist
Der Begriff „Compliance-Betriebssystem" ist bewusst gewählt. Ein Betriebssystem läuft nicht einmal und ist dann fertig — es betreibt kontinuierlich Prozesse, reagiert auf Veränderungen und hält den Zustand des Systems aufrecht.
Ein Compliance-OS für KMU macht genau das — für regulatorische Anforderungen:
Laufende Statuserfassung
Das System weiß jederzeit, welche Maßnahmen implementiert sind, welche ausstehen und welche demnächst überprüft werden müssen. Kein manuelles Tracking in Excel-Tabellen.
Automatische Nachweisführung
Jede Maßnahme, jede Schulung, jeder Review wird mit Zeitstempel und Verantwortlichkeit dokumentiert. Im Falle einer Behördenprüfung kann der Nachweis in Minuten erstellt werden — nicht in Wochen.
Regulatorisches Monitoring
Wenn sich NIS2-Umsetzungsgesetze in Deutschland ändern oder neue BSI-Technische Richtlinien erscheinen, wird das im System reflektiert — ohne dass der Geschäftsführer selbst Gesetze lesen muss.
Mitarbeiter-Awareness im Dauerbetrieb
Phishing-Simulationen, Sicherheitsschulungen, Bestätigungen von Richtlinien — alles dokumentiert, wiederholbar und nachweisbar. Nicht einmalig, sondern als kontinuierlicher Prozess.
GF-Dashboard & Haftungsschutz
Der Geschäftsführer sieht auf einen Blick: Compliance-Score, offene Maßnahmen, bevorstehende Deadlines. Und im Ernstfall: Dokumentation, dass er seiner Sorgfaltspflicht nachgekommen ist.
Direkter Vergleich: Beratungsmandat vs. Compliance-OS
| Kriterium | Externes Beratungsmandat | Compliance-OS (Neurobird) |
|---|---|---|
| Erstkosten | €8.000–€40.000 | €0 (Beta-Phase) |
| Laufende Kosten | Jährliche Folgemandate (€5.000–€15.000) | €299/Monat (All-in) |
| Laufender Betrieb | Nicht enthalten — liegt beim Unternehmen | Kern des Produkts |
| Nachweisführung | Statisches Dokument (veraltet) | Dynamisch, immer aktuell |
| Regulatorische Updates | Neues Mandat erforderlich | Automatisch integriert |
| Mitarbeiter-Awareness | Einmalige Schulung (oft PDF) | Kontinuierlich, dokumentiert |
| GF-Haftungsschutz | Begrenzt (Einmal-Gutachten) | Dauerhaft (laufende Dokumentation) |
| Skalierbarkeit | Linearer Kostenanstieg | Fixer Monatsbeitrag |
| Eignung für KMU | Bedingt (Kosten oft prohibitiv) | Primäre Zielgruppe |
Die KMU-Realität: Warum das wichtig ist
Die meisten NIS2-verpflichteten Unternehmen in Deutschland sind keine Großkonzerne mit eigener Compliance-Abteilung. Ca. 30.000 der ca. 40.000 betroffenen Unternehmen sind KMU mit 50–250 Mitarbeitern. Diese Unternehmen haben typischerweise:
-
—
Keinen dedizierten CISO oder IT-Sicherheitsbeauftragten
-
—
Einen IT-Generalisten, der nebenbei auch für Compliance „zuständig" ist
-
—
Einen Geschäftsführer, der Compliance als notwendiges Übel betrachtet — aber persönlich haftet
-
—
Kein Budget für €20.000-Beratungsprojekte — aber erhebliche Bußgeldrisiken bei Nicht-Compliance
Für dieses Profil ist ein einmaliges Beratungsmandat keine Lösung — es ist ein teures Pflaster. Was diese Unternehmen brauchen, ist ein System, das die Compliance-Aufgabe dauerhaft und mit vertretbarem Aufwand erledigt.
Wann macht Beratung trotzdem Sinn?
Es wäre unfair, Beratung pauschal abzulehnen. Es gibt Szenarien, in denen externe Expertise unverzichtbar ist:
-
✓
Behördenverfahren oder laufende Prüfung: Hier brauchen Sie juristische und regulatorische Expertise, die ein Software-Tool nicht ersetzen kann.
-
✓
Komplexe Lieferkettensituationen: Wenn Sie als kritischer Zulieferer für mehrere regulierte Branchen tätig sind, ist individuelle Beratung sinnvoll.
-
✓
Erstimplementierung in hochkomplexer IT-Umgebung: Wenn Ihre Infrastruktur auf 15 Jahre Alt-Systeme aufgebaut ist, hilft ein Berater bei der initialen Risikoanalyse.
Die optimale Lösung für die meisten KMU ist eine Kombination: Einmalige Beratung für die Initialphase (GAP-Analyse, Priorisierung, kritische Sofortmaßnahmen) — gefolgt von einem Compliance-OS für den laufenden Betrieb. Das spart gegenüber laufenden Beratungsmandaten mehrere Tausend Euro pro Jahr.
Fazit: Die richtige Frage stellen
Die falsche Frage ist: „Sollen wir einen Berater engagieren oder eine Software kaufen?"
Die richtige Frage ist: „Was ist der günstigste Weg, dauerhaft compliant zu bleiben — und dabei die persönliche Haftung des Geschäftsführers zu minimieren?"
Denn darum geht es letztlich. NIS2 schreibt keine einmalige Auditierung vor. Es schreibt vor, dass Sicherheitsmaßnahmen fortlaufend aufrechterhalten, dokumentiert und angepasst werden. Das ist eine Betriebsaufgabe — keine Projektaufgabe.
