Wieso Cherrycom
NIS-2-Compliance ohne Compliance-Abteilung.
18 fertige Pflichtrichtlinien, rund 180 Nachweisvorlagen, automatische Meldefristen. So weit vorbereitet, dass eine Person das stemmt. Kein eigenes Team, kein dauerhaft beauftragter Berater.
Was NIS-2 für Sie bedeutet
In Kraft seit 6. Dezember 2025
Das NIS-2-Umsetzungsgesetz gilt ohne Übergangsfrist. Bußgelder bis 10 Millionen Euro oder 2 % Jahresumsatz für besonders wichtige Einrichtungen, bis 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen.
Geschäftsleitung persönlich in der Pflicht
§ 38 BSIG verpflichtet die Geschäftsleitung persönlich: Risikomanagement umsetzen und überwachen, Schulungen besuchen, Innenhaftung gegenüber dem Unternehmen.
Rund 29.500 Pflichtige in Deutschland
Direkt betroffen in 18 Sektoren, dazu tausende Zulieferer, die über Lieferkettenanforderungen mitziehen müssen. Selten mit Vollzeit-ISB, knappen Beratungstagen und IT-Teams mit anderen Baustellen. Trotzdem läuft die Uhr.
Drei Wege, die heute meistens beschritten werden.
Jeder mit einem Haken.
Wer NIS-2 angehen will, hat heute praktisch drei Optionen. Wir kennen sie. Wir kommen selbst aus der Beratungspraxis.
Weg A
Excel, Word und der E-Mail-Thread
Schnell aufgesetzt: ein paar Vorlagen aus dem Netz, eine Liste in Excel, das Wichtige im Postfach. Funktioniert, solange niemand fragt, wer wann was geändert hat. Beim ersten Audit fehlt die Versionierung, das vollständige Änderungsprotokoll und die zentrale Nachweisablage. Was als pragmatisch gedacht war, kostet bei der ersten Prüfung Wochen Nacharbeit.
Weg B
Das große Beratungsprojekt
Fachlich solide, oft über mehrere Quartale verteilt. Am Ende stehen Ordner mit Konzepten, Richtlinien und Risikobewertungen, dazu ein Honorar zwischen 50.000 und 150.000 Euro. Das eigentliche Problem kommt aber danach: Compliance ist kein Einmalprojekt. Sobald der Berater geht, fehlt das Werkzeug, mit dem Sie den Stand aktuell halten. Beim nächsten Audit beginnt vieles von vorn.
Weg C
Enterprise-GRC-Plattform
Funktionsstark, mandantenfähig, alles dabei. Inklusive sechs- bis siebenstelliger Lizenzvolumen, mehrmonatigem Customizing und einer Bedienlogik, die für Konzern-Sicherheitsteams entworfen wurde. Für eine 80-Mitarbeiter-Firma ist das, als würde man ein Containerschiff mieten, um über den Rhein zu kommen.
Die meisten Mittelständler liegen zwischen diesen drei Optionen fest. Cherrycom ist die vierte Option: vorbereitete Inhalte einer Beratung, Bedienlogik eines KMU-Tools, Lizenzkosten weit unter einem klassischen Beratungsprojekt und um ein Vielfaches unter Enterprise-GRC.
Der Cherrycom-Weg
Sechs Punkte, an denen wir den Unterschied machen. Keine Versprechen, sondern das, was die Software ab Tag 1 leistet.
Wir liefern Inhalte mit, keine leeren Vorlagen.
18 Pflichtrichtlinien sind vollständig formuliert und einsatzbereit, rund 180 Nachweisvorlagen liegen vor, Risiken und Assets bringen einen branchentypischen Grundstock mit. Sie passen die Vorlagen an Ihre Realität an, statt sie selbst zu schreiben. In typischen Projekten spart das vier bis acht Wochen reine Dokumentenarbeit.
Größenangepasst statt Konzern-Apparat.
Eine 35-Mitarbeiter-Firma sieht 49 Nachweise. Ein 220-Mann-Mittelständler sieht 117. Ein 400-MA-Hersteller sieht 182. Die Software erkennt die Größenklasse aus den Stammdaten und blendet aus, was Sie nicht erfüllen müssen. Kein Mitschleifen von Konzernanforderungen, die für Ihre Größenklasse nicht gelten.
Auf die deutsche Umsetzung zugeschnitten.
Vokabular, Workflows und Pflichtbereiche folgen § 28, § 30 und § 32 BSIG. Wer ein deutsches NIS-2-Audit durchlaufen muss, findet hier genau die Begriffe wieder, die der Prüfer verwendet.
Cherrycom hält die Meldefristen automatisch ein.
24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht. Die drei NIS-2-Fristen sind im Incident-Modul fest verdrahtet. Das System rechnet ab Ersterfassung, erinnert aktiv und exportiert meldefertige Berichte. Keine Excel-Zähler, keine vergessene Deadline.
Daten in der EU, keine US-Subprozessoren.
Hosting in Frankfurt am Main, kritische Datenverarbeitung ohne US-Anbieter im Pfad. Verarbeitung DSGVO-konform mit Auftragsverarbeitungsvertrag im Standardprozess. Damit entfällt das Risiko durch internationale Datentransfers und die Schrems-II-Diskussion bei Ihrem nächsten Audit.
Audit-fertig per Knopfdruck.
Richtlinien, Nachweise und Berichte sind jederzeit als PDF exportierbar. Jede Änderung (Anlegen, Bearbeiten, Löschen, Einladen, Versenden) steht mit Zeitstempel und Akteur im lückenlosen Audit-Log. Wenn der Prüfer kommt, ist die Dokumentation fertig, nicht der Anfang der Bastelarbeit.
Wie schnell ist „schnell"?
Ein realistischer Pfad. Keine Marketing-Zeitachse, sondern der Weg, den unsere Kunden tatsächlich gehen.
Tag 1
Loslegen
Account live, Onboarding-Wizard durch, Größenklasse automatisch erkannt. Sie sehen ab der ersten Anmeldung nur die Anforderungen, die für Ihre Firma gelten.
Woche 1
Grundgerüst steht
Richtlinien-Set an Ihre Realität angepasst, erste Assets im Inventar, Rollen und Verantwortlichkeiten vergeben.
Monat 1
Risikoregister läuft
Risikoregister mit ersten Bewertungen, Awareness-Schulungen für die Belegschaft starten, Lieferantenfragebogen versendet.
Monat 2 bis 3
Audit-Trockenlauf möglich
Nachweis-Vollständigkeit erreicht. Sie können einen internen Trockenlauf fahren oder Ihrem Prüfer die Dokumentation per Knopfdruck als PDF übergeben.
Wieso Sie uns vertrauen können
Architektur
Row-Level-Security auf Datenbank-Ebene, Invite-Only-Zugriff, EU-Hosting in Frankfurt am Main. Die Mandantentrennung ist in der Software fest verankert, nicht nur konfiguriert.
Anbieter
Cherrycom GmbH, Köln. Geschäftsführer namentlich genannt, deutscher Vertragspartner, deutsches Recht, AVV im Standardprozess.
Hintergrund
Wir kommen aus der Beratung. Jede Vorlage und jeder Workflow basiert auf einem echten Compliance-Fall, nicht auf dem Reißbrett eines Software-Hauses.
Häufige Fragen
NIS-2 betrifft in Deutschland rund 29.500 Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in 18 Sektoren. Dazu zählen Energie, Verkehr, Gesundheit, digitale Infrastruktur, IT-Dienste, Lebensmittel, Chemie und verarbeitendes Gewerbe. Ob Sie direkt betroffen oder über die Lieferkette pflichtig sind, klärt unser kostenloser Quick Check in wenigen Minuten.
Ja. Wenn Sie bereits eine externe Beratung haben, arbeitet Cherrycom als Werkzeug daneben: Ihr Berater nutzt die Plattform für die Dokumentation und Nachweise, Sie behalten den laufenden Stand selbst in der Hand. Auch ein Berater-Mandant-Modell mit getrennten Rollen ist möglich.
Wir reden über einen mittleren dreistelligen monatlichen Betrag, je nach Unternehmensgröße und Vertragslaufzeit (12 oder 24 Monate, letztere mit 10 % Rabatt). Damit liegen unsere Lizenzkosten weit unter einem klassischen Beratungsprojekt (marktüblich 50.000 bis 150.000 Euro Honorar) und um ein Vielfaches unter Enterprise-GRC-Plattformen.
Ja. Das österreichische NISG 2026 ist verabschiedet (BGBl. I 94/2025 vom 23. Dezember 2025) und tritt am 1. Oktober 2026 in Kraft. Die Pflichtinhalte überschneiden sich weitgehend mit dem deutschen NIS-2-Umsetzungsgesetz, und unsere Plattform deckt beide ab. Österreichische Kunden begleiten wir aktiv.
Auf Knopfdruck stellt Cherrycom alle Richtlinien, Nachweise und Berichte als PDF-Paket zusammen, inklusive vollständigem Änderungsprotokoll mit Zeitstempel und Akteur. Der Prüfer bekommt entweder das fertige PDF-Paket oder einen zeitlich befristeten, schreibgeschützten Leserzugang in die Plattform.
Bestehende Richtlinien und Nachweise können importiert und über ein Mapping den jeweiligen NIS-2-Anforderungen zugeordnet werden. Sie schreiben nicht doppelt: Was Sie für ISO 27001, TISAX oder BSI-Grundschutz bereits haben, deckt einen relevanten Anteil der NIS-2-Pflichten ab. Cherrycom zeigt die offenen Lücken.
Im Betrieb: Hosting in Frankfurt am Main, mandantengetrennt mit Row-Level-Security und Invite-Only-Zugriff, keine US-Subprozessoren in der kritischen Datenverarbeitung, AVV im Standardprozess. Bei Kündigung: vollständiger Datenexport als PDF und CSV. Es gibt keinen Vendor-Lock-in, Ihre Dokumentation ist ohne Cherrycom weiterverwendbar.
Account und Onboarding-Wizard sind am ersten Tag durch. Innerhalb der ersten Woche ist das Richtlinien-Set angepasst, im ersten Monat steht das Risikoregister und der Lieferantenfragebogen läuft. Nach 2 bis 3 Monaten ist Nachweis-Vollständigkeit für einen internen Audit-Trockenlauf erreichbar.
Zwei Wege, jetzt zu starten
Sicher gehen, ob Sie überhaupt betroffen sind. Oder direkt sehen, wie die Plattform Ihre Pflichten abdeckt.
Demo buchen
30 Minuten live: Sie sehen Ihre Größenklasse, die für Sie relevanten Richtlinien und den Audit-Export. Konkret und abgestimmt auf Ihre Branche.
Termin anfragenSektor-Check starten
Kostenlos, in wenigen Minuten. Sie bekommen eine fundierte Einschätzung, ob Ihr Unternehmen direkt oder über die Lieferkette unter NIS-2 fällt.
Quick Check öffnen