← Zurück zum Blog
Compliance
12 min Lesezeit
NIS2 Compliance Checkliste 2026: Der vollständige Leitfaden für deutsche Unternehmen
NIS2 ist seit Oktober 2024 in Kraft. Die Strafen? Bis zu €10 Millionen oder 2% des Jahresumsatzes. Diese Checkliste zeigt Ihnen genau, was Sie tun müssen — Punkt für Punkt.
Warum Sie jetzt handeln müssen
NIS2 ist keine Option — es ist Gesetz
Seit dem 17. Oktober 2024 müssen betroffene Unternehmen die NIS2-Richtlinie umsetzen. Die nationale Umsetzung in Deutschland (NIS2UmsuCG) verschärft die Anforderungen zusätzlich.
Die wichtigsten Zahlen:
| Fakt | Zahl |
| Maximale Strafe | €10 Millionen oder 2% Jahresumsatz |
| Betroffene Unternehmen in DE | ~30.000 |
| Meldepflicht bei Vorfällen | 24 Stunden |
| Persönliche Haftung | Geschäftsführer |
Wer ist betroffen?
Wesentliche Einrichtungen (Essential Entities)
- Energie (Strom, Gas, Öl, Wärme)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen (Important Entities)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie
- Lebensmittel
- Verarbeitendes Gewerbe (Medizinprodukte, Computer, Fahrzeuge)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Größenschwellen
Mittlere Unternehmen: 50-249 Mitarbeiter ODER €10-50 Mio. Umsatz
Große Unternehmen: ≥250 Mitarbeiter ODER ≥€50 Mio. Umsatz
Die 20-Punkte NIS2 Checkliste
1. Governance & Organisation
- Geschäftsführer-Schulung: Cybersecurity-Schulung für alle Leitungsorgane nachweisen
- CISO ernennen: Verantwortliche Person für Informationssicherheit benennen
- Budget freigeben: Dediziertes Security-Budget für NIS2-Umsetzung
- Risikomanagement-Framework: Dokumentiertes Framework nach ISO 27001 oder BSI-Grundschutz
2. Technische Maßnahmen
- Schwachstellenmanagement: Regelmäßige Scans, dokumentierte Behebung
- Patch-Management: Prozess für zeitnahe Updates aller Systeme
- Netzwerksegmentierung: Kritische Systeme isoliert
- Verschlüsselung: Daten at-rest und in-transit verschlüsselt
- Multi-Faktor-Authentifizierung: MFA für alle kritischen Systeme
- Backup & Recovery: Getestete Backup-Strategie mit definierten RTOs/RPOs
3. Incident Response
- Incident-Response-Plan: Dokumentiert, getestet, aktuell
- Meldeprozess: Fähigkeit zur 24h-Meldung an BSI/Behörden
- Forensik-Fähigkeit: Interne oder externe Kapazitäten gesichert
- Kommunikationsplan: Templates für interne/externe Kommunikation
4. Supply Chain Security
- Lieferanten-Assessment: Security-Bewertung aller kritischen Zulieferer
- Vertragliche Anforderungen: Security-Klauseln in allen Verträgen
- Software-Lieferkette: SBOM (Software Bill of Materials) für kritische Software
5. Dokumentation & Nachweis
- Policies dokumentiert: Alle Sicherheitsrichtlinien schriftlich
- Audit-Trail: Nachvollziehbare Logs aller sicherheitsrelevanten Aktivitäten
- Regelmäßige Audits: Mindestens jährliche Überprüfung aller Maßnahmen
Wichtige Fristen
| Datum | Anforderung |
| 17.10.2024 | NIS2 in Kraft getreten |
| Q1 2025 | Nationale Umsetzung in Deutschland |
| Laufend | Regelmäßige Schwachstellenanalyse |
| Bei Vorfall | 24h Erstmeldung, 72h vollständiger Bericht |
| Jährlich | Management-Review der Sicherheitsmaßnahmen |
Die häufigsten Fehler
- "Wir sind zu klein" — Die Schwellen sind niedriger als gedacht (50 Mitarbeiter!)
- "IT macht das schon" — Geschäftsführer haften persönlich
- "Wir haben eine Firewall" — NIS2 erfordert dokumentierte Prozesse, nicht nur Tools
- "Einmal scannen reicht" — "Regelmäßig" bedeutet kontinuierlich
- "Wir warten auf Klarheit" — Die Richtlinie ist bereits in Kraft
Wie KENSAI bei NIS2 hilft
Automatisierte NIS2-Compliance
KENSAI deckt die technischen Anforderungen automatisch ab:
- ✅ Schwachstellenmanagement: Kontinuierliche Scans, 333.000+ CVEs
- ✅ Patch-Management: KI-generierte Patches, 1-Klick GitHub PRs
- ✅ Dokumentation: Deutsche Reports, Audit-Trail
- ✅ Supply Chain: Dependency-Scanning, SBOM-Support
- ✅ Incident Response: Echtzeit-Alerts bei kritischen Schwachstellen
Selbst-Assessment: Wo stehen Sie?
Beantworten Sie diese Fragen ehrlich:
- Haben Sie einen dokumentierten Incident-Response-Plan? (Ja/Nein)
- Werden Schwachstellen-Scans mindestens wöchentlich durchgeführt? (Ja/Nein)
- Sind alle Geschäftsführer in Cybersecurity geschult? (Ja/Nein)
- Haben Sie eine SBOM für Ihre kritische Software? (Ja/Nein)
- Können Sie einen Vorfall innerhalb von 24h melden? (Ja/Nein)
Weniger als 3x Ja? Sie haben Handlungsbedarf.
NIS2-Compliance prüfen
Kostenloser Scan zeigt Ihre Schwachstellen in 60 Sekunden.
Jetzt scannen →
Weiterführende Ressourcen
Bleiben Sie compliant. Bleiben Sie sicher.
🗡️ Das KENSAI Team