← Zurück zum Blog
NIS2 COMPLIANCE
12 Min. Lesezeit
NIS2-Compliance-Checkliste: 10 Schritte, die jedes DACH-Unternehmen vor 2027 abschließen muss
Deutschland, Österreich und die Schweiz setzen NIS2 unterschiedlich um. Diese DACH-spezifische Checkliste gibt Ihnen die exakten 10 Schritte — mit länderspezifischen Anforderungen, realen Fristen und Bußgeldhöhen.
Warum DACH-Unternehmen eine spezifische NIS2-Checkliste brauchen
Die EU-NIS2-Richtlinie (2022/2555) hätte bis zum 17. Oktober 2024 umgesetzt werden sollen. Die Realität sieht anders aus: Deutschlands NIS2UmsuCG durchläuft noch das parlamentarische Verfahren, Österreich hat sein NISG 2024 Mitte 2025 verabschiedet, und die Schweiz — als Nicht-EU-Mitglied — hat ihr Informationssicherheitsgesetz (ISG) an NIS2-Prinzipien angeglichen.
Das Fazit: Die Durchsetzung kommt 2026-2027, und Unternehmen, die noch nicht mit der Vorbereitung begonnen haben, riskieren Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes.
Schritt 1: NIS2-Klassifizierung bestimmen
Was zu tun ist:
- Besonders wichtige Einrichtungen: Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur, IKT-Dienstleistungen, öffentliche Verwaltung, Weltraum (250+ Beschäftigte ODER 50 Mio. €+ Umsatz)
- Wichtige Einrichtungen: Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung (50+ Beschäftigte ODER 10 Mio. €+ Umsatz)
- Deutschland: Das NIS2UmsuCG definiert eigene Schwellenwerte für „besonders wichtige" und „wichtige" Einrichtungen
- Österreich: NISG 2024 folgt den EU-Schwellenwerten, ergänzt um Bestimmungen für bereits registrierte KRITIS-Betreiber
- Schweiz: Das ISG gilt für Bundesinformatik und Betreiber kritischer Infrastrukturen. BACS-Leitlinien beachten
⚡ Handlungsschritt: Klassifizierung nach Sektor, Größe und länderspezifischen Kriterien abschließen und dokumentieren.
Schritt 2: Bei der zuständigen Behörde registrieren
- Deutschland: Registrierung beim BSI innerhalb von 3 Monaten nach Identifikation als betroffene Einrichtung
- Österreich: Registrierung beim Innenministerium. Bestehende NISG-1.0-Registrierungen aktualisieren
- Schweiz: Meldung an das BACS für kritische Infrastruktur-Sektoren
⚡ Handlungsschritt: Zuständige nationale Behörde identifizieren und Registrierungsfrist auf Q1 2026 setzen.
Schritt 3: Cybersicherheits-Governance aufbauen
- CISO oder gleichwertige Position mit direkter Berichtslinie an die Geschäftsleitung benennen
- Geschäftsleiterhaftung: §38 NIS2UmsuCG — persönliche Haftung der Geschäftsführung für Cybersicherheitsmaßnahmen
- Cybersicherheitsausschuss mit vierteljährlicher Überprüfung einrichten
- Budget: 8-14% des IT-Budgets für Cybersicherheit einplanen
⚡ Handlungsschritt: NIS2-Haftungsimplikationen dem Vorstand/der Geschäftsführung präsentieren. Formale Bestätigung und Budgetfreigabe dokumentieren.
Schritt 4: Umfassende Risikoanalyse durchführen
- All-Gefahren-Risikoanalyse nach NIS2 Artikel 21 — Cyberbedrohungen, physische Bedrohungen, Lieferkettenrisiken
- Alle kritischen Assets kartieren: Netzwerke, IT-Systeme, APIs, Cloud-Dienste, OT/ICS
- Frameworks nutzen: BSI IT-Grundschutz (besonders für deutsche Unternehmen), ISO 27005, NIST CSF
- Lieferkettenrisiken explizit einbeziehen
⚡ Handlungsschritt: Risikoanalyse-Projekt starten, am BSI IT-Grundschutz ausrichten. Ziel: Erstbewertung innerhalb von 6 Monaten.
Schritt 5: Technische Sicherheitsmaßnahmen umsetzen
- (a) Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- (b) Vorfallsbehandlung — SIEM/SOAR, Playbooks für häufige Szenarien
- (c) Business Continuity, Backup-Management, Krisenreaktion
- (d) Lieferkettensicherheit — Lieferantenbewertungen, vertragliche Sicherheitsanforderungen
- (e) Sicherheit bei Beschaffung, Entwicklung und Wartung
- (f) Wirksamkeitsprüfung der Cybersicherheitsmaßnahmen
- (g) Cyberhygiene und Schulungen
- (h) Kryptografie und Verschlüsselung
- (i) Personalsicherheit und Zugangssteuerung — MFA, Least Privilege
- (j) Multi-Faktor-Authentifizierung und sichere Kommunikation
⚡ Handlungsschritt: Aktuelle Sicherheitskontrollen gegen alle 10 Unteranforderungen von Artikel 21.2 abgleichen. Lücken identifizieren und priorisieren.
Schritt 6: Meldeverfahren für Sicherheitsvorfälle einrichten
- Frühwarnung: Innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls
- Vorfallsmeldung: Innerhalb von 72 Stunden — erste Bewertung mit Schweregrad, Auswirkung und IoCs
- Abschlussbericht: Innerhalb von 1 Monat — detaillierte Beschreibung, Ursachenanalyse, Gegenmaßnahmen
- Deutschland: BSI als primärer Empfänger über das BSI-Meldeportal
- Österreich: Meldung an CERT.at und die zuständige Behörde
- Schweiz: BACS-Pflichtmeldung seit April 2025; 24-Stunden-Fenster
⚡ Handlungsschritt: Vorlagen für jede Meldestufe erstellen. Planspiel durchführen, um die 24-Stunden-Frühwarnfähigkeit zu testen.
Schritt 7: Kontinuierliches Schwachstellenmanagement implementieren
- Kontinuierliches Vulnerability Scanning über alle internet-exponierten und internen Systeme
- Patch-Management-SLAs: Kritische Schwachstellen binnen 48 Stunden, Hohe binnen 7 Tagen
- Vulnerability Disclosure Policy gemäß NIS2 Artikel 21.2e
- Mean Time to Remediate (MTTR) als Vorstandskennzahl tracken
⚡ Handlungsschritt: Wenn Sie noch nicht kontinuierlich scannen, starten Sie heute.
KENSAIs kostenloser Scan verschafft Ihnen sofortige Sichtbarkeit über Ihre externe Angriffsfläche.
Schritt 8: Lieferkette absichern
- Alle kritischen Lieferanten und Dienstleister inventarisieren
- Cybersicherheitsanforderungen in Verträge aufnehmen: SLAs für Patch-Management, Vorfallsmeldung, Auditrechte
- ISO 27001-Zertifikate von kritischen Lieferanten anfordern
- SBOM-Anforderungen für individuelle Software einführen
- DACH-spezifisch: Viele Mittelständler sind Zulieferer von NIS2-Einrichtungen — kaskadieren de Compliance-Anforderungen erwarten
⚡ Handlungsschritt: Kritisches Lieferantenregister erstellen. Sicherheitsfragebögen an die Top-20-Lieferanten innerhalb von 30 Tagen senden.
Schritt 9: Auf Audits und Aufsicht vorbereiten
- Besonders wichtige Einrichtungen: Proaktive Aufsicht — regelmäßige Audits, Sicherheitsscans, Vor-Ort-Inspektionen
- Wichtige Einrichtungen: Reaktive Aufsicht — Audits bei Vorfällen oder Beschwerden
- Audit-bereite Dokumentation pflegen: Risikoanalysen, Sicherheitskonzepte, Vorfallsprotokolle, Schulungsnachweise
- Bußgelder: Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes (besonders wichtige Einrichtungen)
⚡ Handlungsschritt: Interne NIS2-Bereitschaftsbewertung durchführen. Sich selbst gegen jede Artikel-21-Anforderung bewerten. Kritische Lücken vor externen Audits beheben.
Schritt 10: Kultur der kontinuierlichen Compliance aufbauen
- NIS2 ist kein einmaliges Projekt — es ist eine dauerhafte Verpflichtung
- Vierteljährliche Sicherheitsreviews mit Geschäftsleitungsbeteiligung
- Jährliche Planspiele zur Simulation von Vorfallsreaktionsszenarien
- Compliance-KPIs tracken: MTTR, Schulungsabschlussquoten, Reaktionszeiten, Lieferantenbewertungsabdeckung
- ENISA-Leitlinien und nationale Behörden-Updates verfolgen
⚡ Handlungsschritt: 12-Monats-NIS2-Compliance-Roadmap mit Quartalsmeilensteinen erstellen. Vorstandsfreigabe einholen.
DACH-Bußgeldvergleich
| Land | Besonders wichtige Einrichtungen | Wichtige Einrichtungen | Geschäftsleiterhaftung |
| Deutschland | Bis zu 10 Mio. € oder 2% des Umsatzes | Bis zu 7 Mio. € oder 1,4% des Umsatzes | Persönliche Haftung Geschäftsführung/Vorstand |
| Österreich | Bis zu 10 Mio. € oder 2% des Umsatzes | Bis zu 7 Mio. € oder 1,4% des Umsatzes | Organhaftung nach NISG 2024 |
| Schweiz | Bis zu CHF 100.000 (ISG) | Sektorspezifische Sanktionen | Individuelle Haftung bei fahrlässiger Nichtmeldung |
Warten Sie nicht auf die Durchsetzung
Der größte Fehler von DACH-Unternehmen ist es, NIS2 als Zukunftsproblem zu behandeln. Mit dem erwarteten Inkrafttreten des NIS2UmsuCG in 2026 und Österreichs bereits geltendem NISG 2024 schließt sich das Compliance-Fenster rapide.
Starten Sie Ihre NIS2-Compliance-Reise
Sehen Sie, wo Ihr Unternehmen heute steht. KENSAIs kostenloser externer Scan prüft Ihre Angriffsfläche gegen NIS2-Anforderungen.
Kostenlosen NIS2-Scan starten →
Published by KENSAI Research Team · 2026-02-28