NIS2-Umsetzungsgesetz in Kraft Erste BSI-Hinweisschreiben rollen 2026 Quick-Audit-Slots aktuell: KW 22

NIS2-Maßnahmenkatalog auf dem Schreibtisch — in 5 bis 7 Werktagen. Festpreis ab 4.000 €.

Q: Sind Sie zugelassener Wirtschaftsprüfer oder Auditor?

Nein — und das ist Absicht. Wir liefern die Vorbereitung, die Ihr Wirtschaftsprüfer oder NIS2-Auditor anschließend abnimmt. Zum Bruchteil seiner Tagessätze und Wochen vor seiner Slot-Verfügbarkeit.

Q: Warum nur 4.000–6.000 €? Wo ist der Haken?

Scharfer Scope (Maßnahmenkatalog + Asset-Inventory-Skizze, keine Implementierung), standardisierte Methodik und Automatisierung (Asset-Discovery läuft als Agent), 50 % Zahlung erst bei Delivery.

Q: Wir haben kein AI-Budget — wir brauchen NIS2-Konformität.

Sie zahlen kein AI-Projekt. Sie zahlen einen NIS2-Maßnahmenkatalog. AI ist unser Werkzeug, nicht Ihr Projekt-Risiko. Auf der Rechnung steht "NIS2-Quick-Audit", in den Büchern steht "Compliance-Aufwand".

Q: Auch für Versicherer, Finanzdienstleister oder Asset Manager (DORA)?

Ja. DORA-Anforderungen (insbesondere Art. 10–16 zum ICT-Risiko-Management) sind Teil unseres Methodik-Sets. Procurement-Zyklen in diesem Sektor liegen typischerweise bei 30–60 Tagen statt 20.

NIS2-Automatisierung statt Excel. Audit-Vorbereitung von 6 Wochen auf 1 Woche. Für Stadtwerke, Wasser- und Abfallbetriebe sowie IT-Systemhäuser im DACH-Mittelstand — vom Senior-Architekten, der bereits eine KRITIS-Warn-Infrastruktur für den Bund gebaut hat.

Jetzt 30-Min-Call einplanen Cal.com · keine Verkaufs-Show · konkrete Antworten zu Ihrer NIS2-Lage Lieber erst der 90-Sekunden-Selbst-Check ↓

KRITIS-Architektur · Bund (NINA-Umfeld) Engineering · deutscher Bahn-Großkonzern (KRITIS Verkehr) Großverwaltungs-DB-Migration · Feuerwehr GitHub →

Diese Seite ist für Sie geschrieben, wenn …

… einer dieser drei Schreibtische der Ihre ist.

Stadtwerk / Energieversorger (50–500 MA)

Sie sind IT-Leiter oder CIO und:

ein BSI-Hinweisschreiben oder NIS2-Mahnung liegt seit Wochen auf Ihrem Schreibtisch
Ihr IT-Team zählt weniger als 10 Köpfe — keine eigene Compliance-Abteilung
ein 80-k€-BDO-Programm ist weder im Budget noch in der Zeit drin

Wasser-, Abwasser-, Abfallbetrieb (50–300 MA)

Sie sind Geschäftsführer oder IT-Verantwortlich und:

OT- und IT-Welt verschmelzen — Ihr Asset-Inventory existiert als Excel-Datei oder gar nicht
Ihr Wirtschaftsprüfer hat im letzten Findings-Brief explizit einen Maßnahmenkatalog angemahnt
das Lieferanten-Risiko nach NIS2-§-30 ist nirgends sauber dokumentiert

IT-Systemhaus / MSP (50–300 MA)

Sie sind Geschäftsführer oder Tech-Lead und:

Ihre Endkunden fragen seit Wochen nach NIS2-Unterstützung — Sie haben aktuell keine Antwort
Sie suchen ein Senior-Engineering-Backend, das im Whitelabel-Modus liefert
Sie wollen die Kundenbeziehung behalten, aber das Liefer-Risiko abgeben

NIS2-Konformität ist kein PowerPoint-Problem. Es ist ein Asset-Inventory- und Lieferanten-Risiko-Problem.

Deshalb braucht es Engineering, nicht 80 k€ Workshop-Tage. Hier sind die zwei Wege im direkten Vergleich.

Vergleichstabelle: Klassische GRC-Beratung gegenüber Kritwerk Quick-Audit
	Klassische GRC-Beratung	Kritwerk Quick-Audit
Preis	80.000 – 180.000 €	4.000 – 6.000 € Festpreis
Dauer	4 – 6 Monate	5 – 7 Werktage
Zahlungsmodell	30 / 30 / 30 / 10 über Quartale	50 % bei Auftrag · 50 % bei Übergabe
Ergebnis	Excel-Checkliste + PowerPoint-Foliensatz	Priorisierter Maßnahmenkatalog (15–25 S.) + Asset-Inventory-CSV
Methodik	Workshop-Tage, Fragebogen-Interviews	Automatisierter Discovery-Agent + BSI-Top-Kontrollen-Mapping
Sprache	Wirtschaftsprüfer-Deutsch	Engineering-Klartext
Anschluss	Folge-Vertrag, neuer Tagessatz	Anrechnung auf Sprint-Paket (12–18 k€) bei Folgebuchung

Kritwerk Quick-Audit

Preis: 4.000 – 6.000 € Festpreis
Dauer: 5 – 7 Werktage
Zahlungsmodell: 50 % bei Auftrag · 50 % bei Übergabe
Ergebnis: Priorisierter Maßnahmenkatalog (15–25 S.) + Asset-Inventory-CSV
Methodik: Automatisierter Discovery-Agent + BSI-Top-Kontrollen-Mapping
Sprache: Engineering-Klartext
Anschluss: Anrechnung auf Sprint-Paket (12–18 k€) bei Folgebuchung

Klassische GRC-Beratung

Preis: 80.000 – 180.000 €
Dauer: 4 – 6 Monate
Zahlungsmodell: 30 / 30 / 30 / 10 über Quartale
Ergebnis: Excel-Checkliste + PowerPoint-Foliensatz
Methodik: Workshop-Tage, Fragebogen-Interviews
Sprache: Wirtschaftsprüfer-Deutsch
Anschluss: Folge-Vertrag, neuer Tagessatz

Wenn Sie einen großen Wirtschaftsprüfer brauchen, der die Schlussabnahme zeichnet — gut. Den haben Sie wahrscheinlich sowieso. Was Sie davor brauchen, ist ein Maßnahmenkatalog, den Ihr Prüfer dann abnimmt. Das ist unser Job. Zum Bruchteil der WP-Tagessätze, in einer Woche statt einem Quartal.

Was wir gebaut haben, bevor wir Kritwerk gegründet haben.

Aus Vertragsgründen ohne Logos. Aus Compliance-Gründen ohne Kundennamen. Aber konkret genug, dass Sie die Tiefe einschätzen können.

KRITIS-Warn-Infrastruktur (Bund)

Architekt einer Notfall- und Warn-Infrastruktur für eine deutsche Bundesbehörde. Millionen-Endgeräte, Sub-Sekunden-Push, ISO-27001-Umfeld.

Diese Käufer haben uns ausgewählt — vor allen anderen.

Bahn-Großkonzern (KRITIS Verkehr)

Entwicklung in einem der größten deutschen Bahn-Konzerne. KRITIS-Sektor Verkehr, Java/Spring im Hochlast-Umfeld.

Wenn Sie wissen wollen, wie Audit-Druck wirklich aussieht — diese Häuser haben ihn jeden Tag.

Großverwaltungs-DB-Migration (Feuerwehr)

Oracle → Postgres-Migration für eine deutsche Großverwaltung im Bereich Feuerwehr. Bestandsdaten ohne Downtime, vollständig dokumentiert für Audit-Nachweis.

Wir haben Audit-Trails gebaut, bevor wir sie verkauft haben.

Open-Source-Engineering

Produktiver MCP-Server- und CrewAI-Stack im Einsatz, Teil eines Ökosystems mit 86.000+ GitHub-Stars.

Kein Foliensatz — Code, den Sie nachlesen können.

GitHub-Repo ansehen →

Von Auftragseingang bis Maßnahmenkatalog auf Ihrem Schreibtisch — in 5 bis 7 Werktagen.

Hier ist die Tag-für-Tag-Abfolge. Sie können den Plan vor der Unterschrift abklopfen.

Tag 1 Kickoff & Datenzugriff

90-Min-Kickoff-Call (Sie + Ihr IT-Verantwortlicher + wir)
Discovery-Fragebogen vorab ausgefüllt (60 Min Ihrer Zeit, nicht mehr)
Read-only-Zugriff auf 3 Quellen: Asset-Liste, Lieferanten-Liste, Policy-Repo

Aufwand auf Ihrer Seite an Tag 1: ca. 2,5 Stunden.

Tag 2 – 3 Asset-Discovery + Gap-Analyse

Automatisierter Discovery-Agent inventarisiert Ihre IT/OT-Landschaft strukturiert
Gap-Analyse gegen die 10 BSI-Top-Kontrollen für Ihren Sektor

Aufwand auf Ihrer Seite an Tag 2–3: nahe null. Sie machen Ihren Job, wir machen unseren.

Tag 4 Lieferanten-Risiko + Priorisierung

Lieferanten-Risiko-Mapping nach NIS2-§-30
60-Min-Priorisierungs-Workshop (asynchron möglich — Sie kommentieren, wir bauen ein)

Tag 5 Soll-Übergabe

Übergabe: priorisierter Maßnahmenkatalog (15–25 Seiten)
Asset-Inventory-CSV (bereit für Ihr ITSM)
30-Min-Walkthrough-Call mit Q&A

Tag 5 ist das Ziel. Tag 6–7 ist der Puffer, den wir nehmen, wenn Ihre OT-Welt es verlangt — kostenlos.

Tag 6 – 7 Puffer bei komplexer OT-Landschaft

Zusätzliche Zeit für komplexe OT-Umgebungen
Keine Mehrkosten für Sie

Was am Ende auf Ihrem Schreibtisch liegt:

Priorisierter NIS2-Maßnahmenkatalog (15–25 Seiten · 8–15 Maßnahmen mit Aufwand-Schätzung, Owner-Empfehlung, BSI-Kontroll-Mapping)
Asset-Inventory-CSV (sortier-/filterbar, importierbar in Ihr ITSM oder Excel)
30-Min-Walkthrough-Call + 14 Tage Q&A-Fenster per E-Mail

Alles in Ihrem Eigentum. Kein Vendor-Lock-in. Keine Verlängerungs-Automatik.

Was wir bewusst NICHT im Quick-Audit machen — damit der Festpreis trägt:

Umsetzung / Implementierung der Maßnahmen → das ist der NIS2/DORA-AI-Automation-Sprint (12 – 18 k€, 3 – 6 Wochen)
Audit-Begleitung beim Wirtschaftsprüfer → Beauftragung Ihres WP bleibt bei Ihnen
OT-Penetrationstest → externes Pen-Test-Haus, nicht unser Spielfeld

Klingt nach dem richtigen Werkzeug für Ihren Schreibtisch? → 30-Min-Call einplanen

Noch nicht call-bereit? In 90 Sekunden ehrliche Selbsteinschätzung.

10 Fragen — Sie erfahren, wo Ihre NIS2-Lage steht. Wir erfahren, ob ein Call überhaupt Sinn ergibt. Beide Seiten gewinnen Zeit.

10 Fragen · 90 Sekunden · PDF-Auswertung per E-Mail

10 Multiple-Choice-Fragen zu Asset-Inventory, Lieferanten-Risiko, Incident-Response, BSI-Kontrollen
Auswertung mit Ampel-Logik (rot/gelb/grün pro Themenfeld)
Konkrete Empfehlung am Ende: Quick-Audit nötig? Eigene IT reicht? Big-4 angebracht?

DSGVO: Ihre Adresse landet ausschließlich in unserer EU-gehosteten Inbox. Kein Newsletter, kein Drittweitergabe. Abmeldung mit einem Klick.

Dieselben 10 Fragen — als Live-Chat mit unserem Compliance-Agent.

Läuft auf demselben MCP-/CrewAI-Stack, den Sie auch im Quick-Audit bekommen
Sie sehen das Werkzeug, bevor Sie es kaufen
Am Ende: "Möchten Sie Ihre Antworten direkt mit einem 30-Min-Call verknüpfen?"

Phase 2 — Coming Soon

Wer den Maßnahmenkatalog schreibt, der auf Ihrem Schreibtisch landet.

Senior-Software-Architekt mit 9+ Jahren Erfahrung im hochregulierten Umfeld. Gebaut habe ich unter anderem eine KRITIS-Warn-Infrastruktur für den Bund (NINA-Umfeld, ohne Namensnennung), Software in einem deutschen Bahn-Großkonzern (KRITIS Verkehr) und eine Oracle→Postgres-Migration für eine deutsche Großverwaltung (Feuerwehr, Audit-trail-konform).

Heute betreibe ich einen produktiven MCP-/CrewAI-Stack und übertrage diese Engineering-Tiefe auf NIS2-Konformität für den DACH-Mittelstand. Festpreis. Kein Theater. Keine Folien.

GitHub-Profil → LinkedIn-Unternehmensprofil → Sprachen: Deutsch · Englisch · Arabisch (fließend) · Französisch (solide)

Drei Stufen. Festpreis. Sie wissen vorher, was Sie bekommen — und was nicht.

Wir verkaufen nicht über Tagessätze und nicht über Workshops. Wir verkaufen Artefakte mit Übergabedatum.

Empfohlener Einstieg

NIS2-Quick-Audit

4.000 – 6.000 € · 5 – 7 Werktage

Ihr Einstieg. 50 % erst bei Delivery.

Priorisierter Maßnahmenkatalog + Asset-Inventory-Skizze. Bereit zur Übergabe an Ihren Wirtschaftsprüfer oder Aufsichtsrat.

Festpreis, vorher festgelegt
50 % bei Auftrag, 50 % bei Übergabe
Voll anrechenbar auf Sprint-Paket

30-Min-Call einplanen →

NIS2/DORA-AI-Automation-Sprint

12.000 – 18.000 € · 3 – 6 Wochen

Aus Maßnahmenkatalog wird Automatisierung.

RAG-Suche über Ihre internen Policies · Lieferanten-Risiko-Agent (CrewAI/MCP) · automatisierte Audit-Trails.

Quick-Audit-Preis voll anrechenbar bei Buchung ≤ 30 Tage
Festpreis, klare Liefer-Meilensteine
Anschluss an Retainer optional, nicht verpflichtend

30-Min-Call einplanen →

Compliance-Co-Pilot Retainer

2.500 – 4.000 € / Monat

Ihre laufende NIS2-Aufsicht.

Quartals-Audit-Checks · Lieferanten-Re-Assessment · Incident-Drill · monatlicher Stand-up.

Monatlich kündbar
Auch ohne vorherigen Sprint buchbar
Skaliert mit Ihrer NIS2-Reife

30-Min-Call einplanen →

Faire Zahlungsbedingungen, ohne Marketing-Tricks

50 / 50 — Sie zahlen 50 % bei Auftrag und 50 % erst bei Übergabe des Maßnahmenkatalogs. Wenn an Tag 5 – 7 nichts Sauberes auf Ihrem Schreibtisch liegt, ist die zweite Rate fällig — oder eben nicht.
Anrechnung — Buchen Sie innerhalb von 30 Tagen das Sprint-Paket, wird der Quick-Audit-Preis vollständig angerechnet. Wirtschaftlich heißt das: der Quick-Audit ist kostenlos, wenn Sie weitermachen.

Was uns regelmäßig gefragt wird — und unsere ehrlichen Antworten.

„Sind Sie zugelassener Wirtschaftsprüfer oder Auditor?"

Nein — und das ist Absicht. Wir liefern die Vorbereitung, die Ihr Wirtschaftsprüfer oder NIS2-Auditor anschließend abnimmt. Zum Bruchteil seiner Tagessätze und Wochen vor seiner Slot-Verfügbarkeit. Wenn Sie eine WP-Schlussabnahme brauchen — beauftragen Sie Ihren WP. Wenn Sie die Vorarbeit brauchen, die WP-Aufträge erst sinnvoll macht — beauftragen Sie uns.

„Warum nur 4.000 – 6.000 €? Wo ist der Haken?"

Drei Gründe, kein Haken:

Scharfer Scope. Maßnahmenkatalog + Asset-Inventory-Skizze. Implementierung und Audit-Begleitung sind explizit nicht enthalten — und das steht im Vertrag.
Standardisierte Methodik + Automatisierung. Asset-Discovery läuft als Agent, nicht als Junior-Berater mit Stift und Block.
50 % erst bei Delivery. Sie zahlen nicht voraus für eine Hoffnung — Sie zahlen die zweite Hälfte für ein konkretes Artefakt auf Ihrem Schreibtisch.

„Wir haben kein AI-Budget — wir brauchen NIS2-Konformität."

Sie zahlen kein „AI-Projekt". Sie zahlen einen NIS2-Maßnahmenkatalog. AI ist unser Werkzeug, nicht Ihr Projekt-Risiko. Auf der Rechnung steht „NIS2-Quick-Audit", in den Büchern steht „Compliance-Aufwand" — nicht „AI-Investition".

„5 – 7 Werktage — geht das wirklich?"

Ja, weil der Scope klar abgegrenzt ist. Wir liefern Maßnahmenkatalog und Asset-Inventory-Skizze, nicht die Implementierung. Tag 5 ist die Soll-Übergabe, Tag 6 – 7 ist der Puffer für komplexe OT-Landschaften. Wenn Ihre Umgebung simpler ist, sind wir an Tag 5 fertig. Wenn sie komplexer ist, nehmen wir den Puffer — kostenfrei für Sie.

„Welche Datenzugriffe brauchen Sie?"

Read-only-Zugriff auf maximal drei Quellen: aktuelle Asset-Liste, Lieferanten-Liste, Policy-/Richtlinien-Repository. Plus ein Kickoff-Call. Keine Produktiv-Eingriffe, keine schreibenden Operationen, keine VPN-Permanenz. Unsere NDA-Vorlage liefern wir mit dem Angebot.

„Wir sind eventuell im Konflikt mit Ihrem Hauptarbeitgeber — geht das?"

Wettbewerbsprüfung ist Teil unserer Discovery. Im 30-Min-Call klären wir das vor jeder Angebotszusage. Wenn ein Konflikt vorliegt, sagen wir ab — bevor wir Ihre Zeit kosten.

„Was passiert, wenn wir nach dem Quick-Audit nicht weitermachen wollen?"

Sie behalten Maßnahmenkatalog und Asset-Inventory in voller Eigentumsschaft. Keine Verlängerungs-Klauseln, keine Vendor-Lock-in-Mechanik, keine Lizenzbindung an unseren Stack. Wenn Sie selbst weiterarbeiten oder einen anderen Lieferanten beauftragen — das ist Ihre Entscheidung, und sie ist erwartet.

„Auch für Versicherer, Finanzdienstleister oder Asset Manager (DORA)?"

Ja. DORA-Anforderungen (insbesondere Art. 10 – 16 zum ICT-Risiko-Management) sind Teil unseres Methodik-Sets. Procurement-Zyklen in diesem Sektor liegen typischerweise bei 30 – 60 Tagen statt 20 — wir blocken dafür einen separaten Sales-Track. Sprechen Sie uns einfach an.

Der NIS2-Stichtag wartet nicht. Aber dieser 30-Minuten-Call kostet Sie nichts außer Ihrer Zeit.

Wir reden über Ihre konkrete Lage, nicht über unsere Folien. Wenn am Ende klar ist, dass ein Quick-Audit nichts für Sie ist — dann sagen wir das. Das spart beiden Seiten den nächsten Termin.

Buchen Sie direkt — Slots der nächsten 14 Tage sind sichtbar:

30-Min-Termin bei Cal.com buchen → Öffnet in neuem Tab

Oder schreiben Sie uns kurz:

kontakt@kritwerk.de — wir antworten innerhalb eines Werktages mit drei Terminvorschlägen.

Keine Verkaufs-Show Pricing kommt in den ersten 5 Minuten NDA auf Wunsch vorab