← Zurück zum Blog
NIS2 Compliance
10 Min Lesezeit
NIS2-Checkliste: 10 Schritte zur Compliance vor der Frist
Die NIS2-Umsetzung steht an — und viele Unternehmen wissen nicht, wo sie anfangen sollen. Diese NIS2-Checkliste gibt Ihnen einen konkreten, priorisierten Fahrplan mit 10 Schritten zur Compliance. Praktisch, umsetzbar, ohne Berater-Deutsch.
Bevor Sie starten: Die richtige Erwartungshaltung
NIS2-Compliance ist kein Projekt, das Sie in zwei Wochen abhaken. Je nach aktuellem Reifegrad Ihrer IT-Sicherheit dauert die vollständige Umsetzung 6 bis 18 Monate. Aber: Sie müssen nicht alles gleichzeitig machen. Die NIS2 Compliance Schritte in dieser Checkliste sind nach Priorität und logischer Reihenfolge sortiert.
Hinweis: Diese NIS2-Checkliste ist keine Rechtsberatung. Sie basiert auf den veröffentlichten Anforderungen der NIS2-Richtlinie und dem NIS2UmsuCG-Entwurf. Für die juristische Bewertung Ihrer konkreten Situation konsultieren Sie bitte einen spezialisierten Rechtsanwalt.
1 Betroffenheit feststellen
Zeitaufwand: 1–2 Wochen | Verantwortlich: Geschäftsleitung, Rechtsabteilung
Der erste Schritt der NIS2-Vorbereitung: Klären Sie, ob Ihr Unternehmen überhaupt unter die Richtlinie fällt.
- Branchenzugehörigkeit: Fällt Ihr Unternehmen in einen der 18 Sektoren aus Anhang I oder II der NIS2-Richtlinie?
- Unternehmensgröße: Haben Sie mindestens 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Millionen Euro?
- Sonderfälle: Sind Sie als DNS-Dienst, Vertrauensdiensteanbieter oder Telekommunikationsanbieter tätig?
- Lieferkette: Fordern bereits NIS2-pflichtige Kunden Sicherheitsnachweise von Ihnen?
Ergebnis
Dokumentiertes Gutachten zur NIS2-Betroffenheit: Ja/Nein, Einstufung als wesentliche oder wichtige Einrichtung, betroffener Sektor.
2 Verantwortlichkeiten definieren
Zeitaufwand: 1 Woche | Verantwortlich: Geschäftsleitung
NIS2 macht Cybersicherheit zur Chefsache. Die Geschäftsleitung haftet persönlich — Delegation ist nicht vorgesehen. Definieren Sie klar:
- Gesamtverantwortung: Wer in der Geschäftsleitung zeichnet verantwortlich für die NIS2-Compliance?
- Operative Umsetzung: Wer koordiniert das Projekt intern? CISO, IT-Leiter, externer Berater?
- Budget: Welches Budget steht für die NIS2-Umsetzung zur Verfügung?
- Berichtswege: Wie und wie oft wird die Geschäftsleitung über den Fortschritt informiert?
Stellen Sie sicher, dass die Geschäftsführung die Risikomanagementmaßnahmen formal genehmigt — NIS2 verlangt dies ausdrücklich.
3 Gap-Analyse durchführen
Zeitaufwand: 2–4 Wochen | Verantwortlich: IT-Sicherheit, ggf. externer Berater
Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen. Die Gap-Analyse ist das Fundament Ihres gesamten Compliance-Projekts.
Prüfen Sie systematisch die zehn Maßnahmenbereiche aus Artikel 21 der NIS2-Richtlinie:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Betriebskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung
- Bewertung der Wirksamkeit
- Cyberhygiene und Schulungen
- Kryptografie und Verschlüsselung
- Personalsicherheit und Zugriffskontrolle
- Sichere Kommunikation
Dokumentieren Sie für jeden Bereich: Ist-Zustand, Soll-Zustand, Lücke, geschätzter Aufwand zur Schließung.
Typische Lücken im Mittelstand
Die häufigsten Defizite: fehlende Incident-Response-Prozesse, keine systematische Lieferantenbewertung, unzureichendes Schwachstellenmanagement, keine Schulungen der Geschäftsleitung. Starten Sie hier.
4 Asset-Inventar und Risikoanalyse
Zeitaufwand: 2–4 Wochen | Verantwortlich: IT-Abteilung, IT-Sicherheit
Sie können nur schützen, was Sie kennen. Erstellen Sie ein vollständiges Verzeichnis aller kritischen Assets:
- Hardware: Server, Netzwerkgeräte, Endgeräte, IoT-Systeme
- Software: Betriebssysteme, Anwendungen, Datenbanken, Cloud-Dienste
- Daten: Kundendaten, Geschäftsgeheimnisse, personenbezogene Daten
- Netzwerk: Netzwerktopologie, Zugangspunkte, Segmentierung
- Externe Dienste: Cloud-Provider, SaaS-Anwendungen, Managed Services
Bewerten Sie für jedes Asset die Geschäftskritikalität, identifizieren Sie Bedrohungen und Schwachstellen und leiten Sie risikobasierte Maßnahmen ab. Die Risikoanalyse muss dokumentiert und regelmäßig aktualisiert werden.
5 Schwachstellenmanagement etablieren
Zeitaufwand: 2–3 Wochen Einrichtung, dann fortlaufend | Verantwortlich: IT-Sicherheit
NIS2 fordert explizit den Umgang mit Schwachstellen und deren Offenlegung. Ein systematisches Schwachstellenmanagement umfasst:
- Regelmäßige Schwachstellenscans: Automatisierte Scans Ihrer gesamten Infrastruktur — mindestens wöchentlich, idealerweise täglich
- Penetrationstests: Regelmäßige Überprüfung der tatsächlichen Ausnutzbarkeit gefundener Schwachstellen
- Priorisierung: Bewertung nach tatsächlichem Risiko, nicht nur nach CVSS-Score
- Behebungsfristen: Definierte SLAs für die Behebung — kritisch: 48 Stunden, hoch: 1 Woche, mittel: 1 Monat
- Verifizierung: Nachprüfung, dass Schwachstellen tatsächlich behoben wurden
Automatisierung ist der Schlüssel
Manuelles Schwachstellenmanagement skaliert nicht. Setzen Sie auf automatisierte Tools wie KENSAI, die kontinuierlich scannen, intelligent priorisieren und den Behebungsprozess nachverfolgen. So erfüllen Sie die NIS2-Anforderungen effizient und nachhaltig.
6 Incident-Response-Prozess aufbauen
Zeitaufwand: 3–4 Wochen | Verantwortlich: IT-Sicherheit, Geschäftsleitung
Die NIS2-Meldepflichten sind streng: 24 Stunden für die Frühwarnung, 72 Stunden für den detaillierten Bericht. Ohne vorbereitete Prozesse ist das nicht zu schaffen.
Ihr Incident-Response-Plan muss enthalten:
- Erkennungsmechanismen: Wie werden Sicherheitsvorfälle erkannt? Monitoring, SIEM, Alarmsysteme
- Klassifizierung: Wann ist ein Vorfall „erheblich" im Sinne der NIS2? Definierte Kriterien und Schwellwerte
- Eskalationswege: Wer wird wann informiert? Organigramm mit Kontaktdaten, auch für Wochenenden und Feiertage
- Meldeprozess: Vorgefertigte Meldeformulare für das BSI, klare Zuständigkeit für die Meldung
- Eindämmung und Behebung: Standardverfahren für typische Vorfallstypen (Ransomware, Datenleck, DDoS)
- Kommunikation: Interne und externe Kommunikationsvorlagen, Krisenkommunikationsplan
- Nachbereitung: Lessons-Learned-Prozess nach jedem Vorfall
Testen Sie den Plan! Ein Incident-Response-Plan, der nur im Schrank steht, ist wertlos. Führen Sie mindestens zweimal jährlich Tabletop-Übungen durch und einmal jährlich eine vollständige Simulation.
7 Lieferkettensicherheit bewerten
Zeitaufwand: 4–6 Wochen | Verantwortlich: Einkauf, IT-Sicherheit, Rechtsabteilung
NIS2 fordert die Bewertung der Cybersicherheitsrisiken in Ihrer Lieferkette. Das betrifft alle Zulieferer und Dienstleister, die Zugang zu Ihren Systemen oder Daten haben.
- Lieferanteninventar: Erstellen Sie eine vollständige Liste aller IT-Dienstleister, Cloud-Provider, Softwarelieferanten und Zulieferer mit Systemzugang
- Risikobewertung: Bewerten Sie jeden Lieferanten nach Kritikalität, Zugangsumfang und Sicherheitsreife
- Vertragliche Absicherung: Ergänzen Sie bestehende Verträge um Cybersicherheitsklauseln — Sicherheitsanforderungen, Audit-Rechte, Meldepflichten bei Vorfällen
- Regelmäßige Überprüfung: Etablieren Sie einen Prozess zur jährlichen Neubewertung Ihrer kritischen Lieferanten
Beginnen Sie mit den kritischsten Lieferanten — also jenen, die Zugang zu sensiblen Daten oder geschäftskritischen Systemen haben.
8 Technische Maßnahmen umsetzen
Zeitaufwand: 2–6 Monate | Verantwortlich: IT-Abteilung, IT-Sicherheit
Basierend auf Ihrer Gap-Analyse und Risikoanalyse setzen Sie nun die technischen Maßnahmen um. Die wichtigsten Bereiche:
Zugriffskontrolle
- Multi-Faktor-Authentifizierung für alle externen Zugänge und privilegierten Konten
- Prinzip der geringsten Berechtigung konsequent umsetzen
- Privileged Access Management für Administratorkonten
- Regelmäßige Überprüfung und Bereinigung von Zugriffsrechten
Netzwerksicherheit
- Netzwerksegmentierung — kritische Systeme isolieren
- Monitoring und Protokollierung aller sicherheitsrelevanten Ereignisse
- Verschlüsselung sensibler Daten bei Übertragung und Speicherung
Backup und Wiederherstellung
- 3-2-1-Backup-Strategie: drei Kopien, zwei Medien, eine offline
- Regelmäßige Wiederherstellungstests — mindestens quartalsweise
- Dokumentierte Recovery-Zeiten für alle kritischen Systeme
Patch-Management
- Automatisierte Patch-Verteilung für Standardsoftware
- Definierte Fristen: kritische Patches innerhalb von 48 Stunden
- Sonderprozess für Systeme, die nicht sofort gepatcht werden können
9 Schulungen und Awareness
Zeitaufwand: 2–3 Wochen Einrichtung, dann fortlaufend | Verantwortlich: IT-Sicherheit, Personalwesen
NIS2 fordert Schulungen auf zwei Ebenen:
Geschäftsleitung
Die Geschäftsleitung muss an spezifischen Cybersicherheitsschulungen teilnehmen. Diese müssen die NIS2-Anforderungen, die persönliche Haftung und die Grundlagen des Risikomanagements abdecken. Dokumentieren Sie die Teilnahme — Aufsichtsbehörden können danach fragen.
Alle Mitarbeiter
- Basis-Awareness: Phishing-Erkennung, Passwortsicherheit, Social Engineering, sicherer Umgang mit E-Mails und Daten
- Regelmäßige Auffrischung: Mindestens halbjährlich, idealerweise quartalsweise
- Phishing-Simulationen: Regelmäßige Tests mit simulierten Phishing-Mails und individuellem Feedback
- Rollenspezifische Schulungen: Entwickler erhalten Security-Coding-Training, Administratoren erhalten Hardening-Schulungen
10 Registrierung und Nachweisführung
Zeitaufwand: 1–2 Wochen | Verantwortlich: Compliance, Geschäftsleitung
Der letzte Schritt Ihrer NIS2-Vorbereitung: Registrieren Sie sich beim BSI und bereiten Sie die Nachweisführung vor.
- BSI-Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren. Halten Sie alle erforderlichen Angaben bereit: Unternehmensname, Branche, Kontaktdaten, Ansprechpartner für Sicherheitsvorfälle
- Kontaktstelle benennen: Definieren Sie eine 24/7-erreichbare Kontaktstelle für Kommunikation mit dem BSI
- Dokumentation: Stellen Sie sicher, dass alle Maßnahmen lückenlos dokumentiert sind — Risikoanalysen, Sicherheitskonzepte, Schulungsnachweise, Testberichte, Incident-Response-Pläne
- Audit-Bereitschaft: Bereiten Sie sich auf behördliche Prüfungen vor. Bei wesentlichen Einrichtungen kann das BSI anlasslose Prüfungen durchführen
Nachweispflicht ernst nehmen
NIS2 verlangt nicht nur die Umsetzung von Maßnahmen, sondern auch deren Nachweis. Automatisierte Tools, die kontinuierlich Berichte generieren, sind hier Gold wert. Sie schaffen eine lückenlose Dokumentation, die bei Audits und behördlichen Prüfungen als Beleg dient.
Zeitplan: Wann Sie was erledigen sollten
| Phase |
Schritte |
Zeitrahmen |
| Sofort |
1. Betroffenheit, 2. Verantwortlichkeiten |
Woche 1–3 |
| Monat 1–2 |
3. Gap-Analyse, 4. Asset-Inventar |
Woche 3–10 |
| Monat 2–4 |
5. Schwachstellenmanagement, 6. Incident Response |
Woche 8–18 |
| Monat 3–6 |
7. Lieferkette, 8. Technische Maßnahmen |
Woche 12–26 |
| Monat 4–6 |
9. Schulungen, 10. Registrierung |
Woche 16–26 |
Die häufigsten Fehler bei der NIS2-Vorbereitung
- Abwarten: „Das Gesetz ist ja noch nicht endgültig verabschiedet." — Die Anforderungen stehen fest. Wer wartet, verliert wertvolle Vorbereitungszeit.
- Nur Technik: NIS2 ist kein reines IT-Projekt. Ohne Einbindung der Geschäftsleitung, der Rechtsabteilung und des Einkaufs fehlen wesentliche Bausteine.
- Einmal und fertig: Compliance ist kein Zustand, sondern ein Prozess. Risiken ändern sich, neue Bedrohungen entstehen, Systeme werden aktualisiert. NIS2 fordert kontinuierliche Maßnahmen.
- Papierform statt Praxis: Dokumente allein schützen nicht. Testen Sie Ihre Prozesse regelmäßig — Incident-Response-Übungen, Backup-Wiederherstellung, Penetrationstests.
- Lieferkette ignorieren: Viele Unternehmen konzentrieren sich auf die eigene Infrastruktur und vergessen ihre Zulieferer. Die Lieferkettensicherheit ist ein zentraler NIS2-Pfeiler.
Fazit: Jetzt anfangen, nicht perfekt sein
Diese NIS2-Checkliste ist Ihr Kompass — nicht Ihre Landkarte. Jedes Unternehmen ist anders, und die konkrete Umsetzung hängt von Ihrer Branche, Größe und dem aktuellen Reifegrad Ihrer Sicherheit ab.
Der wichtigste Rat: Fangen Sie an. Perfektionismus ist der Feind des Fortschritts. Lieber heute mit Schritt 1 beginnen als nächsten Monat immer noch über die optimale Vorgehensweise nachdenken.
Und: Nutzen Sie Automatisierung, wo immer möglich. Kein mittelständisches Unternehmen hat die Ressourcen, alle NIS2-Anforderungen manuell zu erfüllen und dauerhaft aufrechtzuerhalten. Automatisierte Tools für Schwachstellenmanagement, Monitoring und Berichterstellung sind keine Luxusausgabe — sie sind eine Notwendigkeit.
Starten Sie mit Schritt 5: Schwachstellen erkennen
KENSAI scannt Ihre Angriffsfläche automatisiert und liefert eine priorisierte Übersicht Ihrer kritischsten Schwachstellen — der ideale Einstieg in Ihr NIS2-Schwachstellenmanagement.
Kostenlosen Scan starten
Bleiben Sie sicher. Bleiben Sie wachsam.
🗡️ KENSAI Security Team