- NIS2 umfasst sechs Anforderungsbereiche: Registrierung beim BSI, zehn Mindestmaßnahmen nach Artikel 21, Meldepflichten, Governance-Anforderungen, Lieferkettensicherheit und Schulungspflichten.
- Die zehn Mindestmaßnahmen reichen von Risikoanalyse über Incident Response und Business Continuity bis hin zu Kryptographie, Zugriffskontrolle und Multi-Faktor-Authentifizierung.
- Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstgemeldet, nach 72 Stunden bestätigt und nach einem Monat mit Abschlussbericht versehen werden.
- Die Geschäftsführung haftet persönlich und muss nachweislich an Cybersicherheitsschulungen teilnehmen.
- Ein realistischer Umsetzungszeitraum für ein mittelständisches Unternehmen liegt bei 12 bis 18 Monaten, wenn noch kein ISMS vorhanden ist.
Warum eine NIS2-Checkliste?
NIS2 ist seit Dezember 2025 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland geltendes Recht. Die Anforderungen verteilen sich über verschiedene Artikel der Richtlinie und des nationalen Gesetzes. Wer sich erstmals damit beschäftigt, steht vor der Herausforderung, den Überblick zu behalten: Was genau wird gefordert? Was davon betrifft mich? Und in welcher Reihenfolge sollte ich die Anforderungen angehen?
Diese Checkliste fasst alle wesentlichen NIS2-Anforderungen zusammen, gegliedert nach den sechs zentralen Anforderungsbereichen. Zu jedem Punkt findest du eine kurze Erläuterung, einen empfohlenen Status-Tracker (erledigt / in Arbeit / offen) und eine Priorisierung. Am Ende steht ein realistischer Zeitplan für die Umsetzung.
Ein Hinweis vorab: Diese Checkliste richtet sich an Unternehmen, die als „wichtige Einrichtung" unter NIS2 fallen. Das betrifft die Mehrheit der mittelständischen Unternehmen, die unter die Regulierung fallen. Wesentliche Einrichtungen (essential entities) unterliegen zusätzlichen Aufsichtsanforderungen, die hier nicht separat aufgeführt sind.
Bereich 1: Registrierung und Selbstidentifikation
NIS2 setzt auf das Prinzip der Selbstidentifikation. Das bedeutet: Du musst selbst prüfen, ob du betroffen bist, und dich aktiv registrieren. Es kommt keine Behörde, die dich informiert.
Checkliste Registrierung
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 1.1 | Betroffenheitsprüfung durchführen: Prüfe anhand der Größenkriterien (ab 50 Mitarbeiter oder 10 Mio. Euro Umsatz) und der 18 Sektoren, ob dein Unternehmen unter NIS2 fällt. | Kritisch | ☐ |
| 1.2 | Kategorie bestimmen: Kläre, ob du als wesentliche oder wichtige Einrichtung eingestuft wirst. Die Kategorie bestimmt das Aufsichtsregime und die Bußgeldhöhen. | Kritisch | ☐ |
| 1.3 | Registrierung beim BSI: Melde dich über das BSI-Portal als betroffenes Unternehmen an. Die Registrierung umfasst Unternehmensname, Sektor, Kontaktdaten und einen Ansprechpartner für Sicherheitsvorfälle. | Kritisch | ☐ |
| 1.4 | Ansprechpartner benennen: Bestimme einen zentralen Ansprechpartner für das BSI und stelle sicher, dass die Kontaktdaten stets aktuell sind. | Hoch | ☐ |
| 1.5 | Dokumentation der Betroffenheitsprüfung: Halte schriftlich fest, warum dein Unternehmen unter NIS2 fällt (oder nicht). Bei einer Prüfung durch die Aufsichtsbehörde musst du diese Bewertung vorlegen können. | Hoch | ☐ |
Die Registrierung ist der erste formale Schritt. Ohne sie bist du nicht nur nicht compliant, du riskierst auch, dass das BSI bei einem Vorfall nicht weiß, wie es dich erreicht. Die Registrierungspflicht gilt ab Inkrafttreten des Gesetzes, unabhängig davon, wie weit deine Umsetzung der übrigen Anforderungen fortgeschritten ist.
Bereich 2: Die zehn Mindestmaßnahmen nach Artikel 21
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen. Diese Maßnahmen bilden den Kern der technischen und organisatorischen Anforderungen.
Maßnahme 1: Risikoanalyse und Sicherheitskonzepte
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.1.1 | Risikobewertungsmethodik definieren: Lege fest, wie Risiken identifiziert, analysiert und bewertet werden. Die Methodik muss reproduzierbar und dokumentiert sein. | Kritisch | ☐ |
| 2.1.2 | Erstmalige Risikobewertung durchführen: Identifiziere und bewerte die Risiken für deine Netz- und Informationssysteme. | Kritisch | ☐ |
| 2.1.3 | Risikobehandlungsplan erstellen: Dokumentiere für jedes relevante Risiko, wie es behandelt wird: Maßnahme, Verantwortlicher, Frist. | Kritisch | ☐ |
| 2.1.4 | Sicherheitskonzept erstellen: Erstelle ein übergreifendes Sicherheitskonzept, das die Ergebnisse der Risikoanalyse in konkrete Schutzmaßnahmen übersetzt. | Kritisch | ☐ |
| 2.1.5 | Regelmäßige Überprüfung etablieren: Risikobewertungen müssen mindestens jährlich und anlassbezogen (nach Vorfällen, bei wesentlichen Änderungen) aktualisiert werden. | Hoch | ☐ |
Die Risikoanalyse ist die Grundlage aller weiteren Maßnahmen. Ohne sie fehlt die sachliche Basis für die Auswahl und Priorisierung der Schutzmaßnahmen. Beginne hier, bevor du dich den anderen neun Mindestmaßnahmen widmest.
Maßnahme 2: Bewältigung von Sicherheitsvorfällen (Incident Response)
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.2.1 | Incident-Response-Plan erstellen: Dokumentiere den Ablauf bei Sicherheitsvorfällen mit klaren Rollen, Eskalationsstufen und Kommunikationswegen. | Kritisch | ☐ |
| 2.2.2 | Incident-Response-Team benennen: Definiere, wer zum Team gehört (intern und ggf. extern), und stelle sicher, dass alle Mitglieder ihre Rolle kennen. | Kritisch | ☐ |
| 2.2.3 | Erkennungsmechanismen implementieren: Setze technische Maßnahmen zur Erkennung von Sicherheitsvorfällen um (Logging, Monitoring, Alerting). | Hoch | ☐ |
| 2.2.4 | Meldeweg zum BSI einrichten: Stelle sicher, dass die Meldekette zum BSI innerhalb der geforderten Fristen funktioniert (siehe Bereich 3). | Kritisch | ☐ |
| 2.2.5 | Vorfälle dokumentieren und nachbereiten: Jeder Vorfall muss dokumentiert und mit Lessons Learned nachbereitet werden. | Hoch | ☐ |
Maßnahme 3: Business Continuity und Krisenmanagement
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.3.1 | Business-Impact-Analyse (BIA) durchführen: Bewerte die Auswirkungen eines Ausfalls deiner kritischen Geschäftsprozesse und bestimme maximal tolerierbare Ausfallzeiten. | Hoch | ☐ |
| 2.3.2 | Business-Continuity-Plan erstellen: Dokumentiere, wie der Geschäftsbetrieb bei einem schwerwiegenden Vorfall aufrechterhalten wird. | Hoch | ☐ |
| 2.3.3 | Backup-Strategie umsetzen: Implementiere eine dokumentierte Backup-Strategie mit definierten RPO/RTO-Zielen und regelmäßigen Restore-Tests. | Kritisch | ☐ |
| 2.3.4 | Wiederanlaufplan erstellen: Beschreibe die technische Wiederherstellung kritischer Systeme mit Priorisierung und Verantwortlichkeiten. | Hoch | ☐ |
| 2.3.5 | Krisenmanagement etablieren: Definiere einen Krisenstab, Kommunikationswege und Entscheidungsbefugnisse für den Krisenfall. | Hoch | ☐ |
| 2.3.6 | Regelmäßige Tests durchführen: Plane und führe mindestens jährlich Notfallübungen durch (Tabletop-Übungen, Restore-Tests, Failover-Tests). | Mittel | ☐ |
Maßnahme 4: Sicherheit der Lieferkette
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.4.1 | Kritische Lieferanten identifizieren: Erstelle eine Übersicht aller IT-Dienstleister und Zulieferer, die Zugang zu deinen Systemen oder Daten haben. | Hoch | ☐ |
| 2.4.2 | Sicherheitsanforderungen in Verträge aufnehmen: Stelle sicher, dass Verträge mit kritischen Lieferanten Sicherheitsanforderungen, Audit-Rechte und Meldepflichten enthalten. | Hoch | ☐ |
| 2.4.3 | Lieferantenbewertung durchführen: Bewerte die Sicherheitslage deiner kritischen Lieferanten, z. B. durch Fragebögen, Zertifikate oder Audits. | Mittel | ☐ |
| 2.4.4 | Regelmäßige Überprüfung etablieren: Überprüfe die Sicherheitslage kritischer Lieferanten mindestens jährlich und bei wesentlichen Änderungen. | Mittel | ☐ |
Maßnahme 5: Sicherheit bei Erwerb, Entwicklung und Wartung
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.5.1 | Sichere Beschaffungsrichtlinie: Definiere Sicherheitsanforderungen für den Einkauf von IT-Systemen, Software und Dienstleistungen. | Mittel | ☐ |
| 2.5.2 | Schwachstellenmanagement implementieren: Etabliere einen Prozess zur Identifikation und Behebung von Schwachstellen (Patch-Management, Vulnerability Scanning). | Hoch | ☐ |
| 2.5.3 | Sichere Entwicklungspraktiken: Wenn du Software entwickelst, setze Secure-Development-Richtlinien um (Code Reviews, Dependency Checks, Security Testing). | Mittel | ☐ |
Maßnahme 6: Bewertung der Wirksamkeit von Maßnahmen
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.6.1 | Wirksamkeitsprüfung etablieren: Definiere, wie und wann du prüfst, ob deine Sicherheitsmaßnahmen tatsächlich wirksam sind. | Hoch | ☐ |
| 2.6.2 | Kennzahlen definieren: Lege messbare KPIs fest, anhand derer du den Sicherheitsstatus bewerten kannst (z. B. Patch-Stand, Schulungsquote, Vorfallszahlen). | Mittel | ☐ |
| 2.6.3 | Interne Audits durchführen: Plane und führe regelmäßige interne Audits durch, die die Umsetzung und Wirksamkeit der Maßnahmen prüfen. | Hoch | ☐ |
| 2.6.4 | Ergebnisse an die Geschäftsführung berichten: Stelle sicher, dass die Ergebnisse der Wirksamkeitsprüfung regelmäßig an die Geschäftsleitung berichtet werden. | Hoch | ☐ |
Maßnahme 7: Cyberhygiene und Schulungen
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.7.1 | Security-Awareness-Programm aufsetzen: Etabliere ein regelmäßiges Awareness-Programm für alle Mitarbeiter. | Hoch | ☐ |
| 2.7.2 | Grundlegende Cyberhygiene-Maßnahmen umsetzen: Passwortrichtlinie, MFA, aktuelle Software, E-Mail-Sicherheit, sichere Konfiguration. | Kritisch | ☐ |
| 2.7.3 | Schulungsnachweise dokumentieren: Halte für jeden Mitarbeiter fest, welche Schulungen absolviert wurden. | Hoch | ☐ |
| 2.7.4 | Geschäftsführung schulen: Die Geschäftsleitung muss nachweislich an Cybersicherheitsschulungen teilnehmen (NIS2-Pflicht). | Kritisch | ☐ |
Maßnahme 8: Kryptographie
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.8.1 | Verschlüsselungsrichtlinie erstellen: Definiere, welche Daten im Ruhezustand und im Transport verschlüsselt werden müssen. | Hoch | ☐ |
| 2.8.2 | Verschlüsselung umsetzen: Implementiere Verschlüsselung gemäß der Richtlinie (TLS, Festplattenverschlüsselung, E-Mail-Verschlüsselung). | Hoch | ☐ |
| 2.8.3 | Schlüsselmanagement etablieren: Definiere den Umgang mit kryptographischen Schlüsseln (Erzeugung, Speicherung, Rotation, Widerruf). | Mittel | ☐ |
Maßnahme 9: Personalsicherheit und Zugriffskontrolle
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.9.1 | Zugriffskontrollrichtlinie erstellen: Definiere das Berechtigungskonzept nach dem Least-Privilege-Prinzip. | Hoch | ☐ |
| 2.9.2 | Berechtigungskonzept umsetzen: Setze rollenbasierte Zugriffssteuerung um und dokumentiere die Berechtigungsvergabe. | Hoch | ☐ |
| 2.9.3 | Regelmäßige Rezertifizierung: Überprüfe mindestens halbjährlich, ob die vergebenen Berechtigungen noch angemessen sind. | Mittel | ☐ |
| 2.9.4 | Onboarding- und Offboarding-Prozess: Stelle sicher, dass Berechtigungen bei Eintritt vergeben und bei Austritt zeitnah entzogen werden. | Hoch | ☐ |
| 2.9.5 | Personalsicherheit bei Einstellung: Prüfe die Identität und ggf. Referenzen neuer Mitarbeiter mit Zugang zu kritischen Systemen. | Mittel | ☐ |
Maßnahme 10: Multi-Faktor-Authentifizierung und sichere Kommunikation
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 2.10.1 | MFA für kritische Systeme einführen: Setze Multi-Faktor-Authentifizierung für administrative Zugänge, VPN und Cloud-Dienste um. | Kritisch | ☐ |
| 2.10.2 | MFA für alle Mitarbeiter ausrollen: Erweitere MFA auf alle Mitarbeiterzugänge, soweit technisch und organisatorisch möglich. | Hoch | ☐ |
| 2.10.3 | Sichere Kommunikation etablieren: Stelle gesicherte Sprach-, Video- und Textkommunikation für den Notfall bereit. | Mittel | ☐ |
| 2.10.4 | Sichere Notfallkommunikation: Definiere Kommunikationswege, die auch bei einem Ausfall der regulären IT funktionieren. | Hoch | ☐ |
Bereich 3: Meldepflichten
Die Meldepflichten gehören zu den Anforderungen mit den engsten Fristen. Wer hier nicht vorbereitet ist, riskiert bei einem Vorfall neben dem eigentlichen Schaden auch noch Bußgelder wegen verspäteter Meldung.
Checkliste Meldepflichten
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 3.1 | Meldeprozess definieren: Dokumentiere den internen Ablauf von der Erkennung eines Vorfalls bis zur Meldung an das BSI. Wer entscheidet, ob ein Vorfall meldepflichtig ist? Wer meldet? Über welchen Kanal? | Kritisch | ☐ |
| 3.2 | 24-Stunden-Erstmeldung sicherstellen: Ein erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden nach Kenntnisnahme an das BSI gemeldet werden. Die Erstmeldung muss den Verdacht und eine erste Einschätzung enthalten. | Kritisch | ☐ |
| 3.3 | 72-Stunden-Bestätigungsmeldung einplanen: Innerhalb von 72 Stunden muss eine bestätigte Meldung mit weiteren Details folgen: Schwere, Auswirkungen, Indikatoren für Kompromittierung. | Kritisch | ☐ |
| 3.4 | Abschlussbericht nach einem Monat: Spätestens einen Monat nach der Erstmeldung muss ein Abschlussbericht eingereicht werden mit Beschreibung des Vorfalls, Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen. | Hoch | ☐ |
| 3.5 | Meldewege testen: Führe regelmäßig (mindestens jährlich) einen Testdurchlauf des Meldeprozesses durch, um sicherzustellen, dass die Fristen eingehalten werden können. | Mittel | ☐ |
| 3.6 | Meldeformulare vorbereiten: Halte vorausgefüllte Meldeformulare bereit, die im Ernstfall nur noch um die vorfallsspezifischen Informationen ergänzt werden müssen. | Mittel | ☐ |
| 3.7 | Bereitschaftsdienst für Meldepflichten: Stelle sicher, dass auch außerhalb der Geschäftszeiten (Wochenende, Feiertage, Urlaub) jemand erreichbar ist, der die 24-Stunden-Frist einhalten kann. | Hoch | ☐ |
Die Meldefristen laufen ab dem Zeitpunkt der Kenntnisnahme. „Wir haben den Vorfall erst am Montag bemerkt" schützt nicht, wenn angemessene Erkennungsmechanismen den Vorfall am Freitag hätten aufdecken müssen. Deshalb ist die Implementierung von Monitoring und Alerting (Punkt 2.2.3) direkt mit den Meldepflichten verknüpft.
Bereich 4: Governance und Verantwortlichkeiten
NIS2 legt besonderen Wert darauf, dass Cybersicherheit Chefsache ist. Die Geschäftsführung kann die Verantwortung nicht vollständig delegieren.
Checkliste Governance
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 4.1 | Geschäftsführung in die Pflicht nehmen: Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Dokumentiere diese Genehmigung. | Kritisch | ☐ |
| 4.2 | Persönliche Haftung kommunizieren: Stelle sicher, dass die Geschäftsführung über ihre persönliche Haftung informiert ist. Bei Verstößen kann die Aufsichtsbehörde die Geschäftsleitung persönlich zur Rechenschaft ziehen. | Kritisch | ☐ |
| 4.3 | ISB oder CISO benennen: Bestimme einen Informationssicherheitsbeauftragten mit klarem Mandat, ausreichenden Ressourcen und direktem Berichtsweg zur Geschäftsführung. | Kritisch | ☐ |
| 4.4 | Rollen und Verantwortlichkeiten dokumentieren: Definiere und dokumentiere alle sicherheitsrelevanten Rollen (ISB, Risikoeigner, IT-Sicherheitsverantwortliche, Datenschutzbeauftragter). | Hoch | ☐ |
| 4.5 | Regelmäßiges Reporting etablieren: Richte einen festen Rhythmus für Sicherheitsberichte an die Geschäftsführung ein (mindestens quartalsweise). | Hoch | ☐ |
| 4.6 | Budget für Cybersicherheit bereitstellen: Die Geschäftsführung muss angemessene Ressourcen (Personal, Budget, Tools) für die Umsetzung der NIS2-Anforderungen bereitstellen. | Hoch | ☐ |
Checkliste Schulungspflicht der Geschäftsführung
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 4.7 | Geschäftsführungs-Schulung planen: Die Geschäftsleitung muss an Cybersicherheitsschulungen teilnehmen. Plane diese Schulungen ein und stelle sicher, dass sie regelmäßig wiederholt werden. | Kritisch | ☐ |
| 4.8 | Schulungsinhalte festlegen: Die Schulung muss mindestens Risikomanagement, aktuelle Bedrohungslage, NIS2-Anforderungen und die Rolle der Geschäftsführung abdecken. | Hoch | ☐ |
| 4.9 | Schulungsnachweise sichern: Dokumentiere die Teilnahme der Geschäftsführung mit Datum, Thema und Dauer. Diese Nachweise werden im Audit geprüft. | Hoch | ☐ |
Die Governance-Anforderungen von NIS2 unterscheiden sich fundamental von der bisherigen Praxis vieler Unternehmen, wo Cybersicherheit als reines IT-Thema behandelt wurde. NIS2 macht sie zur Führungsaufgabe mit persönlicher Haftung. Für die Geschäftsführung gibt es kein „Das macht die IT".
Bereich 5: Lieferkettensicherheit im Detail
Die Sicherheit der Lieferkette ist in den zehn Mindestmaßnahmen bereits als Punkt enthalten (Maßnahme 4), verdient aber aufgrund ihrer Komplexität eine vertiefte Betrachtung.
Checkliste Lieferkette
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 5.1 | Lieferanteninventar erstellen: Erstelle eine vollständige Liste aller Lieferanten mit Zugang zu deinen Netz- und Informationssystemen oder Daten. Priorisiere nach Kritikalität. | Hoch | ☐ |
| 5.2 | Risikoanalyse pro Lieferant: Bewerte für jeden kritischen Lieferanten die Sicherheitsrisiken. Berücksichtige deren eigene Sicherheitsmaßnahmen, Zertifizierungen und die Art des Zugangs. | Hoch | ☐ |
| 5.3 | Vertragliche Sicherheitsklauseln: Prüfe und aktualisiere Verträge mit kritischen Lieferanten. Sie müssen Sicherheitsanforderungen, Audit-Rechte, Meldepflichten bei Vorfällen und Haftungsregelungen enthalten. | Hoch | ☐ |
| 5.4 | Auftragsverarbeitungsverträge (AVV) prüfen: Wenn Lieferanten personenbezogene Daten verarbeiten, müssen AVV gemäß DSGVO vorliegen. NIS2 ergänzt dies um spezifische Sicherheitsanforderungen. | Hoch | ☐ |
| 5.5 | Monitoring kritischer Lieferanten: Etabliere einen Prozess zur laufenden Überwachung der Sicherheitslage kritischer Lieferanten (Zertifikatsstatus, Sicherheitsvorfälle, Pressemeldungen). | Mittel | ☐ |
| 5.6 | Notfallplan für Lieferantenausfall: Prüfe für geschäftskritische Lieferanten, welche Alternativen es gibt und wie schnell du im Ernstfall wechseln könntest. | Mittel | ☐ |
| 5.7 | Koordinierte Risikobewertung der Lieferkette: NIS2 ermöglicht koordinierte Risikobewertungen auf Sektorebene. Informiere dich über branchenspezifische Initiativen. | Niedrig | ☐ |
In der Praxis ist die Lieferkette oft der Bereich, der am meisten Aufwand verursacht. Die Anzahl der Lieferanten mit IT-Zugang ist bei den meisten Unternehmen größer, als sie zunächst denken: Cloud-Provider, Managed-Service-Provider, Softwareanbieter, externe Berater mit VPN-Zugang, Drucker-Dienstleister, Reinigungsfirmen mit Zutrittskarten. Eine systematische Erfassung lohnt sich.
Bereich 6: Schulung und Awareness
Neben der bereits in den Mindestmaßnahmen erwähnten Cyberhygiene und der Geschäftsführungsschulung gibt es weitere Schulungsanforderungen, die in einem strukturierten Awareness-Programm münden sollten.
Checkliste Schulung und Awareness
| Nr. | Anforderung | Priorität | Status |
|---|---|---|---|
| 6.1 | Schulungsplan erstellen: Erstelle einen Jahresplan mit definierten Zielgruppen, Themen, Formaten und Terminen. | Hoch | ☐ |
| 6.2 | Grundschulung für alle Mitarbeiter: Alle Mitarbeiter müssen über grundlegende Cybersicherheitsrisiken und Verhaltensregeln geschult werden. | Hoch | ☐ |
| 6.3 | Rollenspezifische Schulungen: IT-Administratoren, Entwickler und andere Rollen mit erhöhtem Risikoprofil benötigen vertiefende Schulungen. | Mittel | ☐ |
| 6.4 | Phishing-Simulationen: Führe regelmäßig simulierte Phishing-Kampagnen durch, um das Bewusstsein der Mitarbeiter zu testen und zu schärfen. | Mittel | ☐ |
| 6.5 | Neue Mitarbeiter schulen: Integriere die Cybersicherheitsschulung in den Onboarding-Prozess. Neue Mitarbeiter sollten innerhalb der ersten Woche geschult werden. | Hoch | ☐ |
| 6.6 | Schulungserfolg messen: Definiere Kennzahlen zur Messung des Schulungserfolgs (Quiz-Ergebnisse, Phishing-Klickraten, Melderate von Verdachtsfällen). | Mittel | ☐ |
| 6.7 | Dokumentation und Nachweise: Halte alle Schulungen lückenlos mit Teilnehmer, Datum, Thema und Ergebnis fest. | Hoch | ☐ |
Priorisierung: Was kommt zuerst?
Mit über 60 Einzelpunkten in der Checkliste stellt sich zwangsläufig die Frage: Wo fange ich an? Nicht alles kann gleichzeitig umgesetzt werden, und nicht alles hat dieselbe Dringlichkeit. Die folgende Priorisierung hilft dir, die richtige Reihenfolge zu finden.
Phase 1: Sofort (Monat 1 bis 3)
Die Punkte mit der Priorität „Kritisch" müssen zuerst angegangen werden:
- Betroffenheitsprüfung und Registrierung (1.1 bis 1.5): Ohne das geht nichts weiter.
- Governance-Grundlagen (4.1 bis 4.3): Geschäftsführung ins Boot holen, ISB benennen.
- Risikobewertungsmethodik (2.1.1): Die Basis für alle weiteren Maßnahmen.
- Incident-Response-Plan (2.2.1, 2.2.2): Falls morgen ein Vorfall eintritt, musst du handlungsfähig sein.
- Meldeprozess (3.1, 3.2): Die 24-Stunden-Frist gilt ab sofort.
- MFA für kritische Systeme (2.10.1): Einer der wirkungsvollsten Schutzmechanismen.
Phase 2: Kurzfristig (Monat 3 bis 6)
Die Punkte mit der Priorität „Hoch", die auf den kritischen Grundlagen aufbauen:
- Erstmalige Risikobewertung durchführen (2.1.2, 2.1.3): Jetzt, wo die Methodik steht.
- Sicherheitskonzept erstellen (2.1.4): Das übergreifende Dokument, das alles zusammenführt.
- Backup-Strategie überprüfen (2.3.3): Backups sind oft vorhanden, aber nicht dokumentiert oder getestet.
- Zugriffskontrolle und Berechtigungskonzept (2.9.1, 2.9.2): Wer hat Zugang zu was?
- Lieferanteninventar (5.1): Verschaffe dir zunächst den Überblick.
- Schulungsprogramm starten (6.1, 6.2): Awareness aufbauen, Geschäftsführung schulen.
- Rollen und Verantwortlichkeiten dokumentieren (4.4): Wer ist für was zuständig?
Phase 3: Mittelfristig (Monat 6 bis 12)
Die verbleibenden Punkte mit Priorität „Hoch" und die ersten „Mittel"-Prioritäten:
- Business Continuity und Wiederanlauf (2.3.1 bis 2.3.5): BIA, BCP und Wiederanlaufplan.
- Schwachstellenmanagement (2.5.2): Patch-Management formalisieren.
- Lieferantenbewertung und Vertragsanpassung (5.2 bis 5.4): Die Detailarbeit an der Lieferkette.
- Interne Audits (2.6.3): Erste Wirksamkeitsprüfung der umgesetzten Maßnahmen.
- Verschlüsselungsrichtlinie (2.8.1, 2.8.2): Dokumentation und Umsetzung.
- Meldewege testen (3.5): Erster Testlauf des Meldeprozesses.
Phase 4: Langfristig (Monat 12 bis 18)
Die verbleibenden „Mittel"- und „Niedrig"-Prioritäten sowie die Konsolidierung:
- Notfallübungen und Tests (2.3.6): Tabletop-Übungen, Restore-Tests.
- Sichere Kommunikation (2.10.3, 2.10.4): Notfallkommunikationswege.
- Lieferanten-Monitoring (5.5, 5.6, 5.7): Laufende Überwachung.
- KPI-Dashboard und Reporting (2.6.2, 4.5): Regelmäßige Berichterstattung an die Geschäftsführung.
- Schlüsselmanagement (2.8.3): Detailregelung der Kryptographie.
- Schulungserfolg messen (6.6): Auswertung und Optimierung des Awareness-Programms.
Zeitplan-Empfehlung
Der folgende Zeitplan zeigt einen realistischen Rahmen für die NIS2-Umsetzung. Er geht davon aus, dass noch kein formales ISMS existiert, aber grundlegende IT-Sicherheitsmaßnahmen (Firewall, Virenschutz, Backup) vorhanden sind.
| Zeitraum | Fokus | Ergebnis |
|---|---|---|
| Monat 1 | Betroffenheitsprüfung, Registrierung, Governance | Du weißt, ob und wie du betroffen bist, und hast die organisatorischen Grundlagen gelegt. |
| Monat 2 bis 3 | Risikobewertungsmethodik, Incident Response, Meldeprozess, MFA | Du bist handlungsfähig bei einem Vorfall und hast die dringendsten technischen Lücken geschlossen. |
| Monat 4 bis 6 | Risikobewertung, Sicherheitskonzept, Richtlinien, Schulungsprogramm | Die Risiken sind bewertet, die Maßnahmen priorisiert und das Bewusstsein im Unternehmen wächst. |
| Monat 7 bis 9 | Business Continuity, Lieferkette, Zugriffskontrolle | Die operativen Prozesse sind dokumentiert und die Lieferkette ist bewertet. |
| Monat 10 bis 12 | Schwachstellenmanagement, Verschlüsselung, erste Audits | Die technischen Maßnahmen sind implementiert und die erste Wirksamkeitsprüfung ist erfolgt. |
| Monat 13 bis 18 | Tests, Konsolidierung, Monitoring, KPIs | Das Gesamtsystem ist etabliert, getestet und wird kontinuierlich überwacht. |
Dieser Zeitplan ist ambitioniert, aber machbar, wenn dedizierte Ressourcen vorhanden sind. Rechne mit einem halben bis ganzen FTE für den ISB plus Unterstützung aus IT und Fachbereichen. Wenn du parallel eine ISO-27001-Zertifizierung anstrebst, verlängert sich der Zeitraum um drei bis sechs Monate, weil die Dokumentationsanforderungen höher sind.
NIS2-Checkliste als lebendes Dokument
Diese Checkliste ist ein Startpunkt, kein Endpunkt. NIS2-Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Die Anforderungen müssen nicht nur umgesetzt, sondern dauerhaft aufrechterhalten werden.
Nutze die Checkliste als Statusübersicht in deinem ISMS. Tools wie ISMS Lite bilden alle NIS2-Anforderungen als trackbare Maßnahmen ab, sodass du den Umsetzungsstatus jederzeit auf einen Blick siehst. 500 Euro pro Jahr erhältst du alle Module inklusive Risikobewertung, Maßnahmentracking und Audit-Trail, ohne Seat-Lizenzen. Aktualisiere den Status regelmäßig, mindestens monatlich in der Aufbauphase und quartalsweise im laufenden Betrieb. Berichte den Fortschritt an die Geschäftsführung, denn die hat unter NIS2 ein berechtigtes Interesse und eine persönliche Pflicht, den Stand zu kennen.
Wenn du bereits ein ISMS nach ISO 27001 betreibst, wirst du feststellen, dass viele Punkte dieser Checkliste bereits abgedeckt sind. Die Schnittmenge liegt bei etwa 80 Prozent. Die spezifischen NIS2-Anforderungen, die über ISO 27001 hinausgehen, betreffen vor allem die Meldepflichten, die persönliche Haftung der Geschäftsführung und einzelne technische Anforderungen wie die explizite MFA-Pflicht.
Für Unternehmen ohne bestehendes ISMS ist die NIS2-Umsetzung gleichzeitig der Anlass, ein ISMS aufzubauen. Das ist der effizienteste Weg, weil ein gut strukturiertes ISMS alle NIS2-Anforderungen organisatorisch abdeckt und gleichzeitig die Grundlage für eine optionale ISO-27001-Zertifizierung legt.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2-Erstmeldung an das BSI: Ablauf und Inhalte der Meldung
- NIS2-Bußgelder und persönliche Haftung der Geschäftsführung
- NIS2 vs. ISO 27001: Gemeinsamkeiten, Unterschiede und Synergien
- Incident-Response-Plan erstellen: Aufbau und Praxisbeispiel
Fang mit der Betroffenheitsprüfung und Registrierung an, hol die Geschäftsführung ins Boot und arbeite die Checkliste Schritt für Schritt ab. Die Priorisierung hilft dir, die richtigen Dinge zuerst zu tun, und der Zeitplan gibt dir einen Rahmen, an dem du dich orientieren kannst. NIS2-Compliance entsteht nicht über Nacht, aber mit einem strukturierten Vorgehen ist sie auch für mittelständische Unternehmen ohne großes Security-Team umsetzbar.