Zum Inhalt springen
NIS2 kommt: Bereiten Sie Ihre Compliance strukturiert vor, bevor das deutsche Umsetzungsgesetz in Kraft tritt.Jetzt starten →

NIS2Cockpit

AnmeldenKostenlos testen
← Alle Artikel

NIS2-Checkliste: 10 Schritte zur Compliance

1. März 2026·10 Min.·NIS2Cockpit Redaktion
NIS2ChecklisteUmsetzungPraxis

NIS2-Checkliste: In 10 Schritten zur Compliance

Die Umsetzung der NIS2-Anforderungen kann überwältigend erscheinen. Diese Checkliste gibt Ihnen einen strukturierten Fahrplan an die Hand.

Schritt 1: Betroffenheitsprüfung

Prüfen Sie zunächst, ob Ihr Unternehmen unter NIS2 fällt.

Fragen, die Sie beantworten müssen:

  • In welchem Sektor ist Ihr Unternehmen tätig?
  • Wie viele Mitarbeiter haben Sie?
  • Wie hoch ist Ihr Jahresumsatz?
  • Bieten Sie Dienste in der EU an?

Ergebnis: Sie wissen, ob Sie als wesentliche oder wichtige Einrichtung eingestuft werden.

NIS2Cockpit bietet eine kostenlose Betroffenheitsprüfung mit dem integrierten NIS2-Wizard.

Schritt 2: BSI-Registrierung

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Erforderliche Angaben:

  • Name und Rechtsform des Unternehmens
  • Kontaktdaten und Ansprechpartner
  • Sektor und Teilsektor
  • Mitgliedstaaten, in denen Dienste erbracht werden
  • IP-Adressbereiche

Schritt 3: Ist-Analyse durchführen

Bevor Sie Maßnahmen ergreifen, müssen Sie wissen, wo Sie stehen.

Bewerten Sie:

  • Bestehende Sicherheitsmaßnahmen
  • Vorhandene Dokumentation
  • Incident-Response-Fähigkeiten
  • Lieferkettensicherheit
  • Schulungsstand der Mitarbeiter

Ergebnis: Ein Gap-Report, der zeigt, welche NIS2-Anforderungen bereits erfüllt sind und wo Lücken bestehen.

Schritt 4: Risikomanagement aufsetzen

NIS2 fordert ein risikobasiertes Sicherheitsmanagement nach Art. 21.

Mindestanforderungen:

  • Systematische Risikoanalyse
  • Risikobewertung und Priorisierung
  • Maßnahmenplanung
  • Regelmäßige Überprüfung
  • Dokumentation aller Schritte

Schritt 5: Technische Maßnahmen implementieren

Basierend auf der Risikoanalyse implementieren Sie technische Schutzmaßnahmen:

  • Netzwerksicherheit: Firewalls, Segmentierung, IDS/IPS
  • Endpoint-Schutz: Antivirus, EDR, Patch-Management
  • Zugangskontrolle: Multi-Faktor-Authentifizierung, Berechtigungsmanagement
  • Kryptographie: Verschlüsselung at rest und in transit
  • Backup: Regelmäßige Sicherungen, getestete Wiederherstellung
  • Monitoring: Logging, SIEM, Anomalie-Erkennung

Schritt 6: Organisatorische Maßnahmen etablieren

Neben der Technik brauchen Sie klare Prozesse:

  • Sicherheitsrichtlinien — Dokumentierte Policies für alle relevanten Bereiche
  • Schulungsprogramm — Regelmäßige Awareness-Schulungen für alle Mitarbeiter
  • Incident-Response-Plan — Klare Abläufe für Sicherheitsvorfälle
  • Business-Continuity-Plan — Maßnahmen für den Notfall
  • Lieferantenmanagement — Bewertung und Überwachung der Lieferkette

Schritt 7: Meldeprozesse einrichten

Die strengen Meldefristen erfordern vorbereitete Prozesse:

24-Stunden-Frühwarnung:

  • Wer entscheidet, ob ein Vorfall meldepflichtig ist?
  • Wer erstellt die Frühwarnung?
  • Über welchen Kanal wird gemeldet?

72-Stunden-Erstmeldung:

  • Wer sammelt die erforderlichen Informationen?
  • Welche Bewertung muss enthalten sein?
  • Wer gibt die Meldung frei?

Abschlussbericht (1 Monat):

  • Wer erstellt den Bericht?
  • Welche Inhalte sind erforderlich?
  • Wie wird der Bericht archiviert?

Schritt 8: Geschäftsführung einbinden

Die Geschäftsleitung hat unter NIS2 besondere Pflichten:

  • Billigungsbeschluss — Formale Genehmigung der Sicherheitsmaßnahmen
  • Regelmäßige Reviews — Vierteljährliche Überprüfung
  • Schulungsteilnahme — Persönliche Cybersicherheitsschulung
  • Budget-Freigabe — Angemessene Ressourcen bereitstellen

Schritt 9: Lieferkette absichern

NIS2 fordert explizit die Sicherheit der Lieferkette:

  • Bestandsaufnahme — Alle kritischen Lieferanten identifizieren
  • Risikobewertung — Jeden Lieferanten nach Risiko bewerten
  • Vertragliche Absicherung — Sicherheitsanforderungen in Verträge aufnehmen
  • Regelmäßige Überprüfung — Lieferanten-Audits durchführen

Schritt 10: Kontinuierliche Verbesserung

NIS2-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess:

  • Regelmäßige Audits — Mindestens jährlich
  • Maßnahmen-Updates — Bei neuen Bedrohungen oder Schwachstellen
  • Schulungen auffrischen — Mindestens jährlich für alle Mitarbeiter
  • Dokumentation aktualisieren — Bei jeder Änderung
  • Wirksamkeitsprüfung — Testen Sie Ihre Maßnahmen

Zusammenfassung

Schritt Aufgabe Priorität
1 Betroffenheitsprüfung Sofort
2 BSI-Registrierung Sofort
3 Ist-Analyse / Gap-Report Hoch
4 Risikomanagement aufsetzen Hoch
5 Technische Maßnahmen Hoch
6 Organisatorische Maßnahmen Hoch
7 Meldeprozesse einrichten Hoch
8 Geschäftsführung einbinden Hoch
9 Lieferkette absichern Mittel
10 Kontinuierliche Verbesserung Fortlaufend

Mit NIS2Cockpit können Sie jeden dieser 10 Schritte digital abbilden, dokumentieren und nachverfolgen.

Hinweis: Keine Rechtsberatung

Dieser Artikel dient ausschliesslich der allgemeinen Information über die NIS2-Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG). Er stellt KEINE Rechtsberatung dar und kann eine individuelle anwaltliche Prüfung nicht ersetzen. Die Anwendung gesetzlicher Anforderungen auf Ihren konkreten Einzelfall haengt von Faktoren ab, die nur durch einen qualifizierten Fachanwalt für IT-Recht oder einen NIS2-Fachberater bewertet werden können.

Der Anbieter (NIS2Cockpit / Xantix Digital) uebernimmt keine Gewähr für die Aktualität, Richtigkeit oder Vollständigkeit der dargestellten Informationen und haftet nicht für Entscheidungen oder Handlungen, die auf Basis dieses Artikels getroffen werden. Es gelten die AGB, insbesondere §2 Absatz 3 und §10.

Bereit für Ihre NIS2-Compliance?

NIS2Cockpit führt Sie strukturiert durch alle Anforderungen. 62 Controls, lückenlose Dokumentation, Made in Germany.

14 Tage kostenlos testen
NIS2-Checkliste: 10 Schritte zur Compliance