← Zurück zum Blog
ANALYSE
22.02.2026
10 Min. Lesezeit
NIS2-Compliance-Checkliste: 10 Schritte zur Vorbereitung vor der Frist
Eine praktische 10-Schritte-Checkliste zur Vorbereitung Ihrer Organisation auf die NIS2-Compliance — von Scoping und Risikobewertung bis hin zur Vorfallmeldung und kontinuierlichen Verbesserung.
NIS2-Compliance-Checkliste: 10 Schritte zur Vorbereitung vor der Frist
Die NIS2-Richtlinie verändert die Cybersicherheitspflichten in ganz Europa grundlegend, und die Uhr tickt. Da die Mitgliedstaaten die Richtlinie in nationales Recht umsetzen und die Durchsetzung näher rückt, benötigen Organisationen einen klaren, umsetzbaren Fahrplan zur Erreichung der Compliance.
Diese Checkliste unterteilt die NIS2-Vorbereitung in 10 konkrete Schritte — jeder mit spezifischen Maßnahmen, die Sie heute ergreifen können. Ob Sie bei Null anfangen oder auf einem bestehenden Sicherheitsprogramm aufbauen — dieser Leitfaden hilft Ihnen, Lücken zu identifizieren und Ihre Bemühungen zu priorisieren.
Schritt 1: Bestimmen Sie, ob Sie betroffen sind
Warum es wichtig ist: NIS2 hat die Anzahl der Organisationen, die Cybersicherheitspflichten unterliegen, dramatisch erweitert. Wenn Sie davon ausgehen, nicht betroffen zu sein, könnten Sie sich irren.
Maßnahmen:
- Prüfen Sie Ihren Sektor: NIS2 deckt 18 Sektoren in zwei Anhängen ab. Anhang I (wesentliche Einrichtungen) umfasst Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur und IKT-Dienste. Anhang II (wichtige Einrichtungen) umfasst Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung und digitale Anbieter
- Prüfen Sie Ihre Größe: Die Richtlinie gilt für mittlere Organisationen (50+ Mitarbeiter ODER €10 Mio.+ Umsatz) und große Organisationen (250+ Mitarbeiter ODER €50 Mio.+ Umsatz) in abgedeckten Sektoren
- Prüfen Sie Ausnahmen: Einige Einrichtungstypen sind unabhängig von der Größe betroffen — DNS-Anbieter, TLD-Registrierungsstellen, öffentliche Kommunikationsnetze und Vertrauensdiensteanbieter
- Bewerten Sie die Lieferkettenexposition: Selbst wenn Sie nicht direkt betroffen sind, können Ihre Kunden in abgedeckten Sektoren NIS2-konforme Sicherheit von ihren Zulieferern verlangen
Wie KENSAI hilft: KENSAIs Plattform ist für Organisationen im NIS2-Geltungsbereich konzipiert und bietet das kontinuierliche Schwachstellenmanagement und Reporting, das die Richtlinie verlangt. Ein kostenloser Scan gibt Ihnen sofortige Einblicke in Ihre aktuelle Sicherheitslage.
Schritt 2: Klassifizieren Sie Ihren Einrichtungstyp
Warum es wichtig ist: Wesentliche Einrichtungen unterliegen strengerer Aufsicht und höheren Strafen als wichtige Einrichtungen. Ihre Klassifizierung bestimmt Ihre Pflichten.
Maßnahmen:
- Wesentliche Einrichtungen (Anhang-I-Sektoren, große Organisationen): Unterliegen proaktiver behördlicher Aufsicht, einschließlich Vor-Ort-Inspektionen und regelmäßiger Audits. Höchststrafen von €10 Millionen oder 2 % des weltweiten Umsatzes
- Wichtige Einrichtungen (Anhang-II-Sektoren, mittlere Organisationen): Unterliegen reaktiver Aufsicht (nach einem Vorfall oder Hinweisen auf Nichteinhaltung). Höchststrafen von €7 Millionen oder 1,4 % des weltweiten Umsatzes
- Dokumentieren Sie Ihre Klassifizierung und die Begründung dahinter
- Prüfen Sie die nationale Umsetzung — einige Mitgliedstaaten können strengere Kriterien anwenden. Deutschlands NIS2UmsuCG beispielsweise führt zusätzliche Kategorien ein
Wie KENSAI hilft: KENSAIs Compliance-Reporting ordnet Ergebnisse den spezifischen Anforderungen zu, die für Ihre Einrichtungsklassifizierung gelten, und stellt sicher, dass Ihre Sicherheitsnachweise Ihren Pflichten entsprechen.
Schritt 3: Sichern Sie die Unterstützung der Geschäftsleitung
Warum es wichtig ist: NIS2 Artikel 20 macht Leitungsorgane persönlich verantwortlich für die Cybersicherheit. Das ist keine Empfehlung — es ist eine gesetzliche Pflicht mit persönlichen Haftungsfolgen.
Maßnahmen:
- Informieren Sie Vorstand und C-Suite über NIS2-Anforderungen und ihre persönliche Haftung
- Benennen Sie eine verantwortliche Führungskraft für die Cybersicherheitsaufsicht (CISO, CTO oder Äquivalent)
- Etablieren Sie eine Governance-Struktur, in der die Geschäftsleitung Cybersicherheitsrichtlinien formal genehmigt und Risikobewertungen überprüft
- Planen Sie verpflichtende Cybersicherheitsschulungen für alle Mitglieder des Leitungsorgans — NIS2 verlangt dies ausdrücklich
- Dokumentieren Sie die Beteiligung der Geschäftsleitung an Cybersicherheitsentscheidungen für Prüfungszwecke
- Nehmen Sie Cybersicherheit als festen Tagesordnungspunkt in Vorstandssitzungen auf
Wie KENSAI hilft: KENSAI bietet Executive-Dashboards und Trendberichte, die der Geschäftsleitung die Transparenz geben, die sie zur Erfüllung ihrer Aufsichtspflichten benötigt — ohne tiefes technisches Fachwissen vorauszusetzen.
Schritt 4: Führen Sie eine umfassende Risikobewertung durch
Warum es wichtig ist: NIS2 Artikel 21 verlangt „angemessene und verhältnismäßige" technische und organisatorische Maßnahmen auf Basis einer Risikobewertung. Ohne dokumentierte Risikobewertung können Sie nicht nachweisen, dass Ihre Maßnahmen verhältnismäßig sind.
Maßnahmen:
- Identifizieren Sie kritische Assets: Erfassen Sie alle Netz- und Informationssysteme, die Ihre wesentlichen Dienste unterstützen
- Bewerten Sie Bedrohungen: Dokumentieren Sie die für Ihren Sektor und Ihre Geografie relevante Bedrohungslandschaft (Ransomware, staatlich gesponserte Angriffe, Lieferketten-Kompromittierungen, Insider-Bedrohungen)
- Evaluieren Sie Schwachstellen: Führen Sie technische Schwachstellenbewertungen Ihrer Infrastruktur, Anwendungen und Prozesse durch
- Bestimmen Sie Auswirkungen: Bewerten Sie für jedes identifizierte Risiko die potenziellen Auswirkungen auf Dienstkontinuität, Datenintegrität und betroffene Parteien
- Berechnen Sie Risikoniveaus: Verwenden Sie eine konsistente Methodik (Eintrittswahrscheinlichkeit × Auswirkung) zur Priorisierung von Risiken
- Dokumentieren Sie alles: Die Risikobewertung muss schriftlich vorliegen, geprüft und regelmäßig aktualisiert werden
Wie KENSAI hilft: KENSAIs automatisiertes Schwachstellen-Scanning liefert die technischen Schwachstellendaten, die Ihre Risikobewertung benötigt. Statt auf punktuelle manuelle Bewertungen zu setzen, liefert KENSAI kontinuierliche Schwachstellen-Intelligence, die Ihre Risikobewertung aktuell hält.
Schritt 5: Kartieren Sie Ihre Angriffsfläche
Warum es wichtig ist: NIS2 verlangt Sicherheitsmaßnahmen für Ihre Netz- und Informationssysteme. Was Sie nicht kennen, können Sie nicht schützen.
Maßnahmen:
- Inventarisieren Sie alle extern erreichbaren Assets: Webanwendungen, APIs, Mailserver, VPN-Endpunkte, Cloud-Dienste, Subdomains
- Identifizieren Sie Schatten-IT: Entdecken Sie unautorisierte Cloud-Dienste, vergessene Testumgebungen und Legacy-Systeme
- Erfassen Sie Drittanbieter-Verbindungen: Dokumentieren Sie alle externen Integrationen, API-Verbindungen und Datenflüsse mit Lieferanten und Partnern
- Bewerten Sie Cloud-Exposition: Prüfen Sie IaaS-, PaaS- und SaaS-Konfigurationen auf Fehlkonfigurationen und übermäßige Berechtigungen
- Dokumentieren Sie Ihre Ergebnisse: Pflegen Sie ein lebendes Inventar Ihrer Angriffsfläche
Wie KENSAI hilft: KENSAIs Angriffsflächenerkennung identifiziert automatisch Ihre extern erreichbaren Assets, einschließlich vergessener Subdomains und exponierter Dienste, die interne Inventare übersehen. Führen Sie einen kostenlosen Scan durch, um Ihre Angriffsfläche aus der Perspektive eines Angreifers zu sehen.
Schritt 6: Implementieren Sie die 10 Mindestsicherheitsmaßnahmen
Warum es wichtig ist: NIS2 Artikel 21(2) listet zehn spezifische Kategorien von Sicherheitsmaßnahmen auf, die alle betroffenen Einrichtungen implementieren müssen. Diese sind nicht optional.
Maßnahmen für jede Kategorie:
- Entwickeln und dokumentieren Sie eine Informationssicherheitsrichtlinie
- Etablieren Sie ein Risikomanagement-Framework mit regelmäßigen Überprüfungszyklen
b) Vorfallbehandlung
- Erstellen Sie einen Incident-Response-Plan mit klaren Rollen, Verantwortlichkeiten und Eskalationsverfahren
- Implementieren Sie Fähigkeiten zur Vorfallerkennung und -überwachung
- Führen Sie regelmäßige Incident-Response-Übungen durch
c) Geschäftskontinuität und Krisenmanagement
- Entwickeln Sie Business-Continuity-Pläne für kritische Dienste
- Implementieren und testen Sie Backup- und Disaster-Recovery-Verfahren
- Stellen Sie sicher, dass Offline-/unveränderbare Backups existieren (kritisch für Ransomware-Resilienz)
d) Lieferkettensicherheit
- Bewerten Sie die Cybersicherheitspraktiken kritischer Lieferanten
- Nehmen Sie Sicherheitsanforderungen in Beschaffung und Verträge auf
- Überwachen Sie die Lieferantensicherheit fortlaufend
e) Sicherheit bei Beschaffung, Entwicklung und Wartung
- Implementieren Sie sichere Entwicklungspraktiken (SDLC)
- Führen Sie Schwachstellenbehandlung und regelmäßige Sicherheitstests durch
- Etablieren Sie Patch-Management-Verfahren
f) Wirksamkeitsbewertung
- Planen Sie regelmäßige Sicherheitsaudits und -bewertungen
- Implementieren Sie Sicherheitsmetriken und KPIs
- Überprüfen und aktualisieren Sie Maßnahmen basierend auf Bewertungsergebnissen
g) Cyberhygiene und Schulung
- Führen Sie Security-Awareness-Schulungen für alle Mitarbeiter ein
- Implementieren Sie Phishing-Simulationsprogramme
- Etablieren Sie grundlegende Cyberhygiene-Standards (Passwortrichtlinien, Clean Desk etc.)
h) Kryptographie und Verschlüsselung
- Verschlüsseln Sie Daten bei der Übertragung (TLS 1.2+ für alle Dienste)
- Verschlüsseln Sie Daten im Ruhezustand für sensible Informationen
- Verwalten Sie kryptographische Schlüssel gemäß Best Practices
i) Personalsicherheit und Zugangskontrolle
- Implementieren Sie Multi-Faktor-Authentifizierung für alle kritischen Systeme
- Wenden Sie das Prinzip der geringsten Berechtigung an
- Etablieren Sie Zugriffsüberprüfungsprozesse
j) Sichere Kommunikation
- Setzen Sie verschlüsselte Kommunikationskanäle für sensible Gespräche ein
- Etablieren Sie Notfallkommunikationsverfahren, die funktionieren, wenn primäre Systeme kompromittiert sind
Wie KENSAI hilft: KENSAI unterstützt direkt die Maßnahmen (e), (f) und die Schwachstellenbehandlungsaspekte von (a) und (d). Kontinuierliches automatisiertes Scanning stellt sicher, dass Sie die Anforderungen an „regelmäßige Tests" und „Schwachstellenbehandlung" mit überprüfbaren Nachweisen erfüllen.
Schritt 7: Etablieren Sie Vorfallmeldefähigkeiten
Warum es wichtig ist: NIS2 führt strenge mehrstufige Vorfallmeldepflichten ein. Das Versäumen der 24-Stunden-Frühwarnfrist kann zu Strafen führen, unabhängig vom Vorfall selbst.
Maßnahmen:
- Definieren Sie Kriterien für „erhebliche Vorfälle" für Ihre Organisation, abgestimmt auf die NIS2-Definition (schwere Betriebsstörung, finanzieller Verlust oder erheblicher Schaden für andere)
- Implementieren Sie 24/7-Überwachung, die in der Lage ist, erhebliche Vorfälle in Echtzeit zu erkennen — Sie können nicht melden, was Sie nicht erkannt haben
- Identifizieren Sie Ihr nationales CSIRT und die zuständige Behörde — wissen Sie genau, wo und wie Sie melden müssen
- Bereiten Sie Meldevorlagen für jede Stufe vor:
- 24-Stunden-Frühwarnung: Grundlegende Vorfallfakten, ob ein rechtswidriger oder böswilliger Verdacht besteht, mögliche grenzüberschreitende Auswirkungen
- 72-Stunden-Meldung: Erstbewertung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren
- 1-Monats-Abschlussbericht: Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen
- Benennen und schulen Sie Vorfallmelder — stellen Sie sicher, dass mehrere Teammitglieder Berichte einreichen können
- Üben Sie den Meldeprozess — führen Sie Planspielübungen durch, die den Meldezeitplan einschließen
Wie KENSAI hilft: KENSAIs kontinuierliche Überwachung bedeutet, dass Schwachstellen erkannt und gemeldet werden, bevor sie zu Vorfällen werden. Wenn Probleme gefunden werden, liefern KENSAIs detaillierte technische Berichte die Kompromittierungsindikatoren und technischen Details, die für eine schnelle Vorfallmeldung benötigt werden.
Schritt 8: Adressieren Sie die Lieferkettensicherheit
Warum es wichtig ist: NIS2 verlangt ausdrücklich, dass Organisationen Cybersicherheitsrisiken in ihrer Lieferkette managen. Die Richtlinie erkennt an, dass viele große Datenpannen über vertrauenswürdige Lieferanten erfolgen.
Maßnahmen:
- Identifizieren Sie kritische Lieferanten: Erfassen Sie Lieferanten mit Zugang zu Ihren Systemen, Daten oder Ihrem Netzwerk
- Bewerten Sie die Sicherheitslage der Lieferanten: Fordern Sie Sicherheitszertifizierungen an (ISO 27001, SOC 2), führen Sie Fragebögen durch oder verlangen Sie Drittanbieterbewertungen
- Nehmen Sie Sicherheitsanforderungen in Verträge auf: Definieren Sie Mindestsicherheitsstandards, Vorfallmeldepflichten, Prüfungsrechte und Kündigungsklauseln für Sicherheitsmängel
- Überwachen Sie die laufende Lieferantensicherheit: Bewerten Sie nicht nur bei der Aufnahme — führen Sie regelmäßige Überprüfungen durch
- Entwickeln Sie Lieferanten-Incident-Response-Verfahren: Wissen Sie, was passiert, wenn ein Lieferant kompromittiert wird
- Diversifizieren Sie kritische Abhängigkeiten: Vermeiden Sie Single Points of Failure in Ihrer Lieferkette
Wie KENSAI hilft: KENSAI kann die extern erreichbare Infrastruktur Ihrer Lieferanten (mit deren Genehmigung) scannen, um eine objektive Sicht auf deren Sicherheitslage zu liefern. Dies gibt Ihnen überprüfbare Daten, anstatt sich ausschließlich auf selbst gemeldete Fragebögen zu verlassen.
Schritt 9: Dokumentieren Sie alles für die Audit-Bereitschaft
Warum es wichtig ist: Die NIS2-Aufsicht umfasst die Befugnis, Audits, Inspektionen und Nachweisanforderungen durchzuführen. Wenn Sie die Compliance nicht durch Dokumentation nachweisen können, sind Sie nicht compliant.
Maßnahmen:
- Pflegen Sie ein Compliance-Nachweisarchiv mit allen Richtlinien, Verfahren, Risikobewertungen und Testergebnissen
- Führen Sie Aufzeichnungen über alle Sicherheitsvorfälle und Ihre Reaktionsmaßnahmen, unabhängig davon, ob sie die „Erheblichkeits"-Schwelle erreichten
- Dokumentieren Sie Genehmigungen der Geschäftsleitung — jede Richtliniengenehmigung, Risikoakzeptanz und Budgetentscheidung
- Archivieren Sie Sicherheitstestergebnisse mit Zeitstempeln — kontinuierliches Scanning liefert stärkere Nachweise als Jahresberichte
- Verfolgen Sie den Schulungsabschluss aller Mitarbeiter, mit besonderem Augenmerk auf Managementschulungen
- Dokumentieren Sie Lieferkettenbewertungen und vertragliche Sicherheitsklauseln
- Führen Sie Änderungsprotokolle für alle sicherheitsrelevanten Richtlinien und Verfahren
Wie KENSAI hilft: KENSAI generiert automatisch zeitgestempelte Scan-Berichte, Schwachstellenverlaufshistorien und Behebungszeitpläne. Dies schafft einen kontinuierlichen Audit-Trail, der laufende Sicherheitstests nachweist — weitaus überzeugender für Regulierungsbehörden als ein einzelner jährlicher Pentest-Bericht.
Schritt 10: Implementieren Sie kontinuierliche Verbesserung
Warum es wichtig ist: NIS2 ist keine einmalige Checkbox-Übung. Die Richtlinie verlangt laufendes Risikomanagement und regelmäßige Bewertung der Wirksamkeit der Maßnahmen. Regulierungsbehörden werden nach Nachweisen für kontinuierliche Verbesserung suchen, nicht nach statischer Compliance.
Maßnahmen:
- Planen Sie vierteljährliche Sicherheitsüberprüfungen zur Bewertung der Wirksamkeit implementierter Maßnahmen
- Verfolgen Sie Sicherheitsmetriken über die Zeit: Schwachstellenanzahl, mittlere Zeit bis zur Behebung, Vorfallhäufigkeit, Schulungsabschlussquoten
- Aktualisieren Sie Risikobewertungen, wenn sich die Bedrohungslandschaft ändert, nach erheblichen Vorfällen oder mindestens jährlich
- Benchmarken Sie gegen Frameworks: Verwenden Sie ISO 27001, NIST CSF oder CIS Controls als Reifegradmaßstäbe
- Beteiligen Sie sich am Informationsaustausch: Treten Sie sektorspezifischen ISACs (Information Sharing and Analysis Centers) bei und arbeiten Sie mit Ihrem nationalen CSIRT zusammen
- Überprüfen und aktualisieren Sie diese Checkliste — prüfen Sie Ihren NIS2-Compliance-Status jedes Quartal
- Planen Sie für regulatorische Weiterentwicklung: NIS2 wird überprüft und möglicherweise aktualisiert; bauen Sie Flexibilität in Ihr Sicherheitsprogramm ein
Wie KENSAI hilft: KENSAIs kontinuierliches Scanning-Modell ist von Natur aus auf kontinuierliche Verbesserung ausgerichtet. Jeder Scan baut auf vorherigen Ergebnissen auf und verfolgt, welche Schwachstellen behoben wurden, welche neu sind und wie sich Ihre gesamte Sicherheitslage im Zeitverlauf entwickelt. Die Plattform liefert die Metriken und Trenddaten, die gegenüber Auditoren und Regulierungsbehörden Verbesserung nachweisen.
Ihr NIS2-Compliance-Zeitplan
Hier ist ein realistischer Zeitplan für die Umsetzung dieser Checkliste:
Monat 1–2: Bewertungsphase
- Schritte 1–2: Geltungsbereichsbestimmung und Klassifizierung
- Schritt 3: Management-Briefing und Unterstützung
- Schritt 4: Risikobewertung beginnen
- Schritt 5: Angriffsflächenkartierung (mit kostenlosem KENSAI-Scan beginnen)
Monat 3–4: Aufbauphase
- Schritt 4: Risikobewertung abschließen
- Schritt 6: Implementierung der 10 Mindestmaßnahmen beginnen (Lücken priorisieren)
- Schritt 7: Vorfallmeldefähigkeiten etablieren
Monat 5–6: Implementierungsphase
- Schritt 6: Implementierung der Mindestmaßnahmen fortsetzen
- Schritt 8: Lieferkettensicherheit adressieren
- Schritt 9: Dokumentation und Nachweismanagement einrichten
Monat 7+: Kontinuierliche Phase
- Schritt 10: Laufende Verbesserung, Überwachung und Bewertung
- Regelmäßige Überprüfungen und Aktualisierungen über alle Schritte hinweg
Häufige Fehler, die Sie vermeiden sollten
- NIS2 als reines IT-Projekt behandeln: Es erfordert die Beteiligung der Geschäftsleitung und funktionsübergreifende Zusammenarbeit
- Auf die nationale Umsetzung warten: Die Anforderungen sind klar; beginnen Sie jetzt
- Übermäßig auf Zertifizierungen vertrauen: ISO 27001 ist eine starke Grundlage, bedeutet aber nicht automatisch NIS2-Compliance
- Lieferkettenpflichten vernachlässigen: Hier werden viele Organisationen unvorbereitet erwischt
- Einmalige Compliance: NIS2 verlangt kontinuierliches Risikomanagement, keine jährlichen Übungen
- Die 24-Stunden-Meldepflicht ignorieren: Dies erfordert Überwachungsfähigkeiten, nicht nur ein Richtliniendokument
Beginnen Sie mit Transparenz
Was Sie nicht sehen können, können Sie nicht beheben. Der erste Schritt zur NIS2-Compliance ist das Verständnis Ihrer aktuellen Sicherheitslage.
👉 Holen Sie sich Ihren kostenlosen KENSAI-Sicherheitsscan unter kensai.app/free-scan — kartieren Sie Ihre Angriffsfläche und identifizieren Sie Schwachstellen in Minuten.
KENSAI kostenlos testen
Scannen Sie Ihre Infrastruktur in Minuten auf Schwachstellen — keine Kreditkarte erforderlich.
Kostenlosen Scan starten →
Veröffentlicht von KENSAI Security Research — KI-gestützte Cybersicherheitsplattform