← Zurück zum Blog
NIS2 Compliance 10 Min Lesezeit

NIS2-Checkliste: 10 Schritte zur Compliance vor der Frist

Die NIS2-Umsetzung steht an — und viele Unternehmen wissen nicht, wo sie anfangen sollen. Diese NIS2-Checkliste gibt Ihnen einen konkreten, priorisierten Fahrplan mit 10 Schritten zur Compliance. Praktisch, umsetzbar, ohne Berater-Deutsch.


Bevor Sie starten: Die richtige Erwartungshaltung

NIS2-Compliance ist kein Projekt, das Sie in zwei Wochen abhaken. Je nach aktuellem Reifegrad Ihrer IT-Sicherheit dauert die vollständige Umsetzung 6 bis 18 Monate. Aber: Sie müssen nicht alles gleichzeitig machen. Die NIS2 Compliance Schritte in dieser Checkliste sind nach Priorität und logischer Reihenfolge sortiert.

Hinweis: Diese NIS2-Checkliste ist keine Rechtsberatung. Sie basiert auf den veröffentlichten Anforderungen der NIS2-Richtlinie und dem NIS2UmsuCG-Entwurf. Für die juristische Bewertung Ihrer konkreten Situation konsultieren Sie bitte einen spezialisierten Rechtsanwalt.


1 Betroffenheit feststellen

Zeitaufwand: 1–2 Wochen | Verantwortlich: Geschäftsleitung, Rechtsabteilung

Der erste Schritt der NIS2-Vorbereitung: Klären Sie, ob Ihr Unternehmen überhaupt unter die Richtlinie fällt.

Ergebnis

Dokumentiertes Gutachten zur NIS2-Betroffenheit: Ja/Nein, Einstufung als wesentliche oder wichtige Einrichtung, betroffener Sektor.


2 Verantwortlichkeiten definieren

Zeitaufwand: 1 Woche | Verantwortlich: Geschäftsleitung

NIS2 macht Cybersicherheit zur Chefsache. Die Geschäftsleitung haftet persönlich — Delegation ist nicht vorgesehen. Definieren Sie klar:

Stellen Sie sicher, dass die Geschäftsführung die Risikomanagementmaßnahmen formal genehmigt — NIS2 verlangt dies ausdrücklich.


3 Gap-Analyse durchführen

Zeitaufwand: 2–4 Wochen | Verantwortlich: IT-Sicherheit, ggf. externer Berater

Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen. Die Gap-Analyse ist das Fundament Ihres gesamten Compliance-Projekts.

Prüfen Sie systematisch die zehn Maßnahmenbereiche aus Artikel 21 der NIS2-Richtlinie:

  1. Risikoanalyse und Sicherheitskonzepte
  2. Bewältigung von Sicherheitsvorfällen
  3. Betriebskontinuität und Krisenmanagement
  4. Sicherheit der Lieferkette
  5. Sicherheit bei Erwerb, Entwicklung und Wartung
  6. Bewertung der Wirksamkeit
  7. Cyberhygiene und Schulungen
  8. Kryptografie und Verschlüsselung
  9. Personalsicherheit und Zugriffskontrolle
  10. Sichere Kommunikation

Dokumentieren Sie für jeden Bereich: Ist-Zustand, Soll-Zustand, Lücke, geschätzter Aufwand zur Schließung.

Typische Lücken im Mittelstand

Die häufigsten Defizite: fehlende Incident-Response-Prozesse, keine systematische Lieferantenbewertung, unzureichendes Schwachstellenmanagement, keine Schulungen der Geschäftsleitung. Starten Sie hier.


4 Asset-Inventar und Risikoanalyse

Zeitaufwand: 2–4 Wochen | Verantwortlich: IT-Abteilung, IT-Sicherheit

Sie können nur schützen, was Sie kennen. Erstellen Sie ein vollständiges Verzeichnis aller kritischen Assets:

Bewerten Sie für jedes Asset die Geschäftskritikalität, identifizieren Sie Bedrohungen und Schwachstellen und leiten Sie risikobasierte Maßnahmen ab. Die Risikoanalyse muss dokumentiert und regelmäßig aktualisiert werden.


5 Schwachstellenmanagement etablieren

Zeitaufwand: 2–3 Wochen Einrichtung, dann fortlaufend | Verantwortlich: IT-Sicherheit

NIS2 fordert explizit den Umgang mit Schwachstellen und deren Offenlegung. Ein systematisches Schwachstellenmanagement umfasst:

Automatisierung ist der Schlüssel

Manuelles Schwachstellenmanagement skaliert nicht. Setzen Sie auf automatisierte Tools wie KENSAI, die kontinuierlich scannen, intelligent priorisieren und den Behebungsprozess nachverfolgen. So erfüllen Sie die NIS2-Anforderungen effizient und nachhaltig.


6 Incident-Response-Prozess aufbauen

Zeitaufwand: 3–4 Wochen | Verantwortlich: IT-Sicherheit, Geschäftsleitung

Die NIS2-Meldepflichten sind streng: 24 Stunden für die Frühwarnung, 72 Stunden für den detaillierten Bericht. Ohne vorbereitete Prozesse ist das nicht zu schaffen.

Ihr Incident-Response-Plan muss enthalten:

Testen Sie den Plan! Ein Incident-Response-Plan, der nur im Schrank steht, ist wertlos. Führen Sie mindestens zweimal jährlich Tabletop-Übungen durch und einmal jährlich eine vollständige Simulation.


7 Lieferkettensicherheit bewerten

Zeitaufwand: 4–6 Wochen | Verantwortlich: Einkauf, IT-Sicherheit, Rechtsabteilung

NIS2 fordert die Bewertung der Cybersicherheitsrisiken in Ihrer Lieferkette. Das betrifft alle Zulieferer und Dienstleister, die Zugang zu Ihren Systemen oder Daten haben.

Beginnen Sie mit den kritischsten Lieferanten — also jenen, die Zugang zu sensiblen Daten oder geschäftskritischen Systemen haben.


8 Technische Maßnahmen umsetzen

Zeitaufwand: 2–6 Monate | Verantwortlich: IT-Abteilung, IT-Sicherheit

Basierend auf Ihrer Gap-Analyse und Risikoanalyse setzen Sie nun die technischen Maßnahmen um. Die wichtigsten Bereiche:

Zugriffskontrolle

Netzwerksicherheit

Backup und Wiederherstellung

Patch-Management


9 Schulungen und Awareness

Zeitaufwand: 2–3 Wochen Einrichtung, dann fortlaufend | Verantwortlich: IT-Sicherheit, Personalwesen

NIS2 fordert Schulungen auf zwei Ebenen:

Geschäftsleitung

Die Geschäftsleitung muss an spezifischen Cybersicherheitsschulungen teilnehmen. Diese müssen die NIS2-Anforderungen, die persönliche Haftung und die Grundlagen des Risikomanagements abdecken. Dokumentieren Sie die Teilnahme — Aufsichtsbehörden können danach fragen.

Alle Mitarbeiter


10 Registrierung und Nachweisführung

Zeitaufwand: 1–2 Wochen | Verantwortlich: Compliance, Geschäftsleitung

Der letzte Schritt Ihrer NIS2-Vorbereitung: Registrieren Sie sich beim BSI und bereiten Sie die Nachweisführung vor.

Nachweispflicht ernst nehmen

NIS2 verlangt nicht nur die Umsetzung von Maßnahmen, sondern auch deren Nachweis. Automatisierte Tools, die kontinuierlich Berichte generieren, sind hier Gold wert. Sie schaffen eine lückenlose Dokumentation, die bei Audits und behördlichen Prüfungen als Beleg dient.


Zeitplan: Wann Sie was erledigen sollten

Phase Schritte Zeitrahmen
Sofort 1. Betroffenheit, 2. Verantwortlichkeiten Woche 1–3
Monat 1–2 3. Gap-Analyse, 4. Asset-Inventar Woche 3–10
Monat 2–4 5. Schwachstellenmanagement, 6. Incident Response Woche 8–18
Monat 3–6 7. Lieferkette, 8. Technische Maßnahmen Woche 12–26
Monat 4–6 9. Schulungen, 10. Registrierung Woche 16–26

Die häufigsten Fehler bei der NIS2-Vorbereitung


Fazit: Jetzt anfangen, nicht perfekt sein

Diese NIS2-Checkliste ist Ihr Kompass — nicht Ihre Landkarte. Jedes Unternehmen ist anders, und die konkrete Umsetzung hängt von Ihrer Branche, Größe und dem aktuellen Reifegrad Ihrer Sicherheit ab.

Der wichtigste Rat: Fangen Sie an. Perfektionismus ist der Feind des Fortschritts. Lieber heute mit Schritt 1 beginnen als nächsten Monat immer noch über die optimale Vorgehensweise nachdenken.

Und: Nutzen Sie Automatisierung, wo immer möglich. Kein mittelständisches Unternehmen hat die Ressourcen, alle NIS2-Anforderungen manuell zu erfüllen und dauerhaft aufrechtzuerhalten. Automatisierte Tools für Schwachstellenmanagement, Monitoring und Berichterstellung sind keine Luxusausgabe — sie sind eine Notwendigkeit.

Starten Sie mit Schritt 5: Schwachstellen erkennen

KENSAI scannt Ihre Angriffsfläche automatisiert und liefert eine priorisierte Übersicht Ihrer kritischsten Schwachstellen — der ideale Einstieg in Ihr NIS2-Schwachstellenmanagement.

Kostenlosen Scan starten

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Security Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home