NIS2-Checkliste: 10 Schritte zur Compliance

NIS2-Checkliste: In 10 Schritten zur Compliance

Die Umsetzung der NIS2-Anforderungen wirkt auf den ersten Blick überwältigend. Zehn Maßnahmenbereiche, gestaffelte Meldepflichten, Geschäftsführerhaftung und Lieferketten-Anforderungen. Wo fängt man an? Diese Checkliste gibt dir einen strukturierten 10-Schritte-Plan, mit dem du die NIS2-Compliance systematisch aufbaust. Jeder Schritt baut auf dem vorherigen auf, sodass du Prioritäten setzen und Fortschritte messen kannst.

Schritt 1: Betroffenheitsprüfung durchführen

Bevor du in die Umsetzung investierst, musst du klären, ob dein Unternehmen überhaupt unter NIS2 fällt. Die Richtlinie betrifft Unternehmen in 18 definierten Sektoren mit mindestens 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz. Bestimmte Einrichtungen (z. B. DNS-Anbieter, TLD-Registries, qualifizierte Vertrauensdiensteanbieter) fallen unabhängig von der Größe unter NIS2.

Prüfe systematisch: In welchem Sektor bist du tätig? Erfüllst du die Größenkriterien? Erbringst du kritische Dienstleistungen? Nutze die Betroffenheitsprüfung auf unserer NIS2-Übersichtsseite, um eine erste Einschätzung zu erhalten.

Dokumentiere das Ergebnis: Auch wenn du nicht betroffen bist, solltest du die Prüfung nachweisen können. Denn die Beweislast liegt bei dir, nicht beim BSI.

Schritt 2: Verantwortlichkeiten definieren

NIS2 nimmt die Geschäftsleitung explizit in die Pflicht. Nach Art. 20 müssen Leitungsorgane die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen. Die Geschäftsführung haftet persönlich bei Pflichtverletzungen und diese Haftung kann vertraglich nicht ausgeschlossen werden.

Definiere klar: Wer ist auf Geschäftsleitungsebene für Cybersicherheit verantwortlich? Wer ist operativer CISO oder IT-Sicherheitsbeauftragter? Wer übernimmt die Meldungen an das BSI? Wer koordiniert das Incident-Response-Team? Lege diese Verantwortlichkeiten schriftlich fest und kommuniziere sie im Unternehmen.

Wichtig: Die Geschäftsleitung muss nachweislich an Cybersicherheitsschulungen teilnehmen. Plane dies von Anfang an ein.

Schritt 3: Ist-Analyse durchführen

Bevor du Maßnahmen ergreifen kannst, musst du deinen aktuellen Sicherheitsstatus kennen. Erfasse systematisch: Welche Informationssicherheitsmaßnahmen existieren bereits? Welche Prozesse sind dokumentiert? Welche Tools und Technologien sind im Einsatz? Gibt es ein ISMS (z. B. nach ISO 27001)?

Die Ist-Analyse umfasst technische, organisatorische und personelle Aspekte. Inventarisiere deine IT-Assets, erfasse bestehende Sicherheitsrichtlinien und bewerte den Reifegrad deiner Prozesse. Befrage Fachabteilungen zu aktuellen Praktiken und bekannten Schwachstellen.

Tipp: Nutze die zehn Maßnahmen aus Art. 21 als Checkliste für deine Ist-Analyse. So erkennst du sofort, in welchen Bereichen du bereits gut aufgestellt bist und wo Handlungsbedarf besteht.

Schritt 4: Gap-Analyse durchführen

Vergleiche deinen Ist-Zustand mit den NIS2-Anforderungen. Die Gap-Analyse zeigt dir systematisch, wo Lücken bestehen. Bewerte jede Lücke nach Kritikalität und Aufwand, um eine sinnvolle Priorisierung vorzunehmen.

Typische Gaps bei deutschen Unternehmen: fehlende oder veraltete Risikoanalysen, keine dokumentierten Incident-Response-Prozesse, unzureichende Lieferantenbewertung, fehlende Multi-Faktor-Authentifizierung für Admin-Zugänge und lückenhafte Schulungsnachweise.

Dokumentiere die Ergebnisse in einer Gap-Matrix. Diese dient als Grundlage für deinen Maßnahmenplan im nächsten Schritt und als Compliance-Nachweis gegenüber dem BSI.

Schritt 5: Risikoanalyse gemäß Art. 21 erstellen

Die Risikoanalyse ist die wichtigste Einzelmaßnahme in NIS2. Sie bildet die Grundlage für alle weiteren Sicherheitsmaßnahmen. Identifiziere Bedrohungen, bewerte Eintrittswahrscheinlichkeiten und potenzielle Auswirkungen, und leite Behandlungsoptionen ab.

Nutze anerkannte Methoden: ISO 27005, BSI-Standard 200-3 oder NIST SP 800-30. Wichtig ist, dass du den sogenannten All-Gefahren-Ansatz verfolgst und nicht nur Cyber-Risiken, sondern auch physische, personelle und organisatorische Risiken berücksichtigst.

Die Risikoanalyse muss regelmäßig aktualisiert werden, mindestens jährlich oder bei signifikanten Änderungen. Dokumentiere die Ergebnisse und die daraus abgeleiteten Entscheidungen der Geschäftsleitung.

Schritt 6: Maßnahmenplan entwickeln und priorisieren

Auf Basis der Gap-Analyse und Risikoanalyse entwickelst du einen konkreten Maßnahmenplan. Priorisiere die Maßnahmen nach Risiko-Reduzierung, Compliance-Relevanz und Umsetzungsaufwand. Nicht alles muss sofort passieren, aber du brauchst einen nachvollziehbaren Plan mit Zeitrahmen.

Kategorisiere Maßnahmen in Quick Wins (z. B. MFA aktivieren, Passwortrichtlinie verschärfen), mittelfristige Maßnahmen (z. B. ISMS-Aufbau, Incident-Response-Prozess) und strategische Projekte (z. B. Lieferkettenbewertung, Zero-Trust-Architektur). Details zur Timeline findest du auf unserer Seite zur NIS2-Umsetzung.

Weise jeder Maßnahme einen Verantwortlichen, ein Budget und eine Deadline zu. Ohne klare Ownership bleiben Maßnahmen oft liegen.

Schritt 7: Incident-Response-Prozess einrichten

Die Meldepflichten sind einer der am häufigsten unterschätzten Aspekte von NIS2. Innerhalb von 24 Stunden musst du eine Frühwarnung abgeben, innerhalb von 72 Stunden eine detaillierte Meldung und innerhalb von 30 Tagen einen Abschlussbericht. Ohne vorbereitete Prozesse sind diese Fristen kaum einzuhalten.

Richte einen Incident-Response-Prozess ein, der folgende Elemente umfasst: Erkennungsmechanismen (SIEM, Monitoring), klare Eskalationswege, vordefinierte Rollen im Incident-Response-Team, Melde-Templates für das BSI, Kommunikationspläne (intern und extern) sowie einen Prozess für die forensische Analyse.

Teste den Prozess mindestens einmal jährlich durch eine Notfallübung. Nur so stellst du sicher, dass er im Ernstfall funktioniert. Dokumentiere jede Übung und die daraus gewonnenen Erkenntnisse.

Schritt 8: Lieferantenbewertung implementieren

Die Lieferkettensicherheit ist für viele Unternehmen Neuland. Beginne mit einer Inventarisierung aller Lieferanten und Dienstleister, die Zugang zu deinen Systemen oder Daten haben. Klassifiziere sie nach Kritikalität: Welcher Lieferant könnte bei einem Sicherheitsvorfall dein Geschäft am stärksten beeinträchtigen?

Entwickle einen standardisierten Bewertungsprozess mit Sicherheitsfragebögen, vertraglichen Anforderungen (z. B. Verpflichtung zur Meldung von Sicherheitsvorfällen) und regelmäßigen Überprüfungen. Für kritische Lieferanten solltest du Nachweise wie ISO-27001-Zertifikate oder SOC-2-Berichte einfordern.

Vergiss nicht die Software-Lieferkette: Führe ein Verzeichnis der eingesetzten Software und deren Abhängigkeiten (Software Bill of Materials). So kannst du bei bekannt gewordenen Schwachstellen schnell reagieren.

Schritt 9: Schulungsprogramm aufsetzen

NIS2 verlangt regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden, einschließlich der Geschäftsleitung. Entwickle ein Schulungsprogramm, das verschiedene Zielgruppen adressiert: allgemeine Security-Awareness für alle Mitarbeitenden, vertiefende technische Trainings für IT-Personal und spezifische Compliance-Schulungen für die Geschäftsleitung.

Effektive Schulungen sind interaktiv und praxisnah. Ergänze klassische Trainings durch Phishing-Simulationen, Gamification-Elemente und regelmäßige kurze Awareness-Impulse (z. B. monatliche Security-Newsletter). Messe die Wirksamkeit durch Testphishing-Kampagnen und Quizze.

Dokumentiere alle Schulungsaktivitäten lückenlos: Wer hat wann welche Schulung absolviert? Diese Nachweise brauchst du für das BSI und als Entlastung im Haftungsfall.

Schritt 10: Dokumentation und Nachweisführung sicherstellen

Dokumentation ist kein Selbstzweck, sondern dein wichtigster Compliance-Nachweis. Das BSI kann jederzeit Nachweise über deine Sicherheitsmaßnahmen verlangen. Ohne Dokumentation existiert eine Maßnahme aus regulatorischer Sicht nicht, egal wie gut sie implementiert ist.

Dokumentiere mindestens: Risikoanalysen und deren Ergebnisse, Sicherheitskonzepte und Richtlinien, Incident-Response-Protokolle, Schulungsnachweise, Audit-Berichte, Lieferantenbewertungen, Maßnahmenpläne mit Umsetzungsstatus und Management-Entscheidungen zu Sicherheitsfragen.

Ein GRC-Tool wie Kopexa hilft dir, all diese Nachweise zentral zu erfassen, zu verwalten und bei Bedarf schnell bereitzustellen. So vermeidest du den typischen Dokumentations-Wildwuchs aus Excel-Tabellen, SharePoint-Ordnern und E-Mails.

Typische Stolpersteine bei der NIS2-Checkliste

Die zehn Schritte klingen in der Theorie logisch. In der Praxis scheitern viele Unternehmen jedoch an wiederkehrenden Stolpersteinen. Seit das NIS2UmsuCG am 06.12.2025 in Kraft getreten ist, beobachten wir diese Muster besonders häufig:

Stolperstein 1: Betroffenheitsprüfung ohne Rechtsberatung

Viele Unternehmen verlassen sich bei der Betroffenheitsprüfung auf interne Einschätzungen. Das ist riskant. Die Sektordefinitionen im NIS2UmsuCG sind komplex, und die Abgrenzung zwischen "besonders wichtigen" und "wichtigen" Einrichtungen hat direkte Auswirkungen auf Pflichten und Sanktionshöhe. Ein IT-Dienstleister, der Cloud-Services anbietet, kann beispielsweise als Managed Service Provider unter die Richtlinie fallen, ohne sich dessen bewusst zu sein. Lass die juristische Einordnung durch einen spezialisierten Rechtsanwalt oder Berater validieren. Die Kosten dafür sind gering im Vergleich zu den Konsequenzen einer Fehleinschätzung.

Stolperstein 2: Ist-Analyse bleibt an der Oberfläche

Eine oberflächliche Ist-Analyse führt zu einer oberflächlichen Gap-Analyse und damit zu einem unvollständigen Maßnahmenplan. Häufiger Fehler: Nur die IT-Abteilung wird befragt, Fachabteilungen bleiben außen vor. Dabei liegen kritische Datenflüsse und Prozesse oft in Bereichen wie Produktion, Personalwesen oder Finanzbuchhaltung. Investiere in Workshops mit allen relevanten Stakeholdern. Zwei Tage mehr Aufwand in der Analysephase sparen dir Wochen in der Umsetzung.

Stolperstein 3: Maßnahmenplan ohne klare Ownership

Ein Maßnahmenplan mit 50 Einträgen, bei dem "die IT" verantwortlich ist, wird nicht umgesetzt. Jede einzelne Maßnahme braucht eine namentlich benannte Person als Owner, ein konkretes Zieldatum und ein definiertes Budget. Ohne diese drei Elemente verschwinden Maßnahmen in der täglichen Arbeitsbelastung. Nutze ein GRC-Tool oder mindestens ein strukturiertes Tracking-System, um den Fortschritt nachzuverfolgen.

Stolperstein 4: Meldepflichten nicht durchgespielt

Die gestaffelten Meldepflichten (24 Stunden Frühwarnung, 72 Stunden detaillierte Meldung, 30 Tage Abschlussbericht) klingen auf dem Papier machbar. In der Praxis scheitern Unternehmen daran, dass Verantwortlichkeiten unklar sind, BSI-Kontaktdaten nicht hinterlegt sind oder die interne Kommunikation bei einem Vorfall zusammenbricht. Führe mindestens eine Tabletop-Übung durch, bei der ihr einen fiktiven Sicherheitsvorfall komplett durchspielt, inklusive BSI-Meldung und Krisenkommunikation.

Checkliste nach Unternehmensgröße

Nicht jedes Unternehmen muss die Checkliste identisch abarbeiten. Die NIS2-Richtlinie unterscheidet zwischen "besonders wichtigen Einrichtungen" (meist 250+ Mitarbeitende oder 50 Mio. EUR Umsatz) und "wichtigen Einrichtungen" (meist 50-249 Mitarbeitende oder 10-50 Mio. EUR Umsatz). Diese Unterscheidung beeinflusst Prioritäten, Aufsichtsintensität und Sanktionshöhe.

Mittelstand (50-249 Mitarbeitende): Pragmatisch und fokussiert

Unternehmen dieser Größe fallen in der Regel als "wichtige Einrichtung" unter NIS2. Das bedeutet: Die Aufsicht erfolgt anlassbezogen (nicht proaktiv), und die maximalen Bußgelder liegen bei 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. Das klingt nach Entwarnung, ist es aber nicht. Die Geschäftsführerhaftung gilt uneingeschränkt, und bei einem Sicherheitsvorfall prüft das BSI genauso gründlich.

Prioritäten für den Mittelstand: Konzentriere dich auf die Schritte 1-7 der Checkliste in den ersten sechs Monaten. Betroffenheitsprüfung, Governance, Ist-Analyse, Gap-Analyse, Risikoanalyse, Maßnahmenplan und Incident-Response sind die Kernpflichten. Die Lieferantenbewertung (Schritt 8) kannst du mit einem vereinfachten Fragebogen starten und auf kritische Lieferanten beschränken. Schulungen (Schritt 9) sollten von Anfang an laufen, können aber mit kostengünstigen Online-Formaten beginnen. Investiere früh in eine saubere Dokumentation (Schritt 10), denn sie ist dein wichtigstes Schutzschild.

Typische Ressourcen: Ein dedizierter NIS2-Projektleiter (kann auch in Teilzeit sein, z. B. der IT-Leiter mit 50 % Freistellung), ein Projektteam von 3-5 Personen aus verschiedenen Abteilungen und ein Budget von 50.000-150.000 EUR für externe Beratung, Tools und Schulungen im ersten Jahr. Mehr zur Ressourcenplanung findest du auf unserer Seite zur NIS2-Umsetzung.

Große Unternehmen (250+ Mitarbeitende): Umfassend und nachweispflichtig

Unternehmen mit 250 oder mehr Mitarbeitenden fallen häufig als "besonders wichtige Einrichtung" unter NIS2. Das bedeutet: proaktive Aufsicht durch das BSI, höhere Bußgelder (bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes) und eine stärkere Nachweispflicht. Das BSI kann jederzeit Audits anordnen und Sicherheitsscans durchführen.

Prioritäten für große Unternehmen: Alle zehn Schritte der Checkliste sollten parallel gestartet werden. Richte ein dediziertes NIS2-Projektbüro ein. Die Lieferantenbewertung (Schritt 8) muss umfassend sein und alle Lieferanten mit Zugang zu kritischen Systemen oder Daten einbeziehen. Investiere in ein professionelles GRC-Tool, denn bei der Menge an Kontrollen, Nachweisen und Lieferanten ist manuelle Verwaltung nicht mehr praktikabel. Plane Notfallübungen (Schritt 7) vierteljährlich statt jährlich. Große Unternehmen sollten außerdem prüfen, ob eine ISO-27001-Zertifizierung sinnvoll ist, da sie rund 70 % der NIS2-Anforderungen abdeckt und die Nachweisführung gegenüber dem BSI erheblich vereinfacht.

Typische Ressourcen: Ein Vollzeit-Projektleiter, ein CISO (intern oder extern), ein Projektteam von 5-10 Personen, ein Jahresbudget von 200.000-500.000 EUR für Beratung, Tools, Schulungen und technische Maßnahmen. Unternehmen mit bestehendem ISMS nach ISO 27001 kommen mit deutlich weniger Aufwand aus, da viele Grundlagen bereits vorhanden sind.

Häufige Fehler bei der NIS2-Umsetzung

Bei der Beratung von Unternehmen zur NIS2-Compliance sehen wir immer wieder dieselben Fehler. Vermeide diese typischen Fallstricke:

Fehler 1: NIS2 als reines IT-Projekt behandeln

NIS2 betrifft das gesamte Unternehmen, nicht nur die IT-Abteilung. Die Geschäftsleitung muss aktiv eingebunden sein, Fachabteilungen müssen Prozesse anpassen und die Lieferkettenbewertung betrifft den Einkauf. Behandle NIS2 als unternehmensweites Compliance-Projekt mit Steering Committee und abteilungsübergreifendem Team.

Konkretes Beispiel: Ein Maschinenbauunternehmen mit 300 Mitarbeitenden hatte die NIS2-Umsetzung komplett an den IT-Leiter delegiert. Nach sechs Monaten waren zwar technische Maßnahmen wie MFA und Logging umgesetzt, aber es fehlten Sicherheitsrichtlinien, Schulungsnachweise für die Geschäftsleitung und die Lieferantenbewertung war nicht einmal gestartet. Der Neustart als unternehmensweites Projekt kostete zusätzliche Monate. Setze von Beginn an ein Steering Committee ein, das die Geschäftsleitung, IT, Recht, Einkauf und HR einbindet.

Fehler 2: Zu spät anfangen

Das NIS2UmsuCG ist seit dem 06.12.2025 in Kraft. Der Aufbau eines NIS2-konformen Sicherheitsniveaus dauert 12 bis 18 Monate. Wer noch nicht begonnen hat, ist bereits im Verzug und riskiert Sanktionen. Starte sofort mit der Betroffenheitsprüfung und der Ist-Analyse. Einen detaillierten Fahrplan findest du auf unserer Seite zur NIS2-Umsetzung.

Fehler 3: Dokumentation vernachlässigen

Viele Unternehmen setzen Maßnahmen um, dokumentieren sie aber nicht ausreichend. Im Prüfungsfall zählt nur, was nachweisbar ist. Investiere von Anfang an in eine strukturierte Dokumentation. Das spart dir im Ernstfall erheblichen Aufwand und schützt die Geschäftsleitung vor persönlicher Haftung.

Was "strukturierte Dokumentation" konkret bedeutet: Jede Maßnahme braucht einen Nachweis, der zeigt, dass sie geplant, umgesetzt und überprüft wurde. Für eine Risikoanalyse ist das z. B. das ausgefüllte Risikoregister mit Datum, Teilnehmerliste und Freigabe durch die Geschäftsleitung. Für Schulungen sind es Teilnehmerlisten mit Unterschrift, Schulungsinhalte und Wirksamkeitsprüfungen. Für den Incident-Response-Prozess sind es Übungsprotokolle und Lessons Learned. Ein GRC-Tool wie Kopexa automatisiert diese Nachweisführung und stellt sicher, dass keine Lücken entstehen.

Fehler 4: Lieferkette ignorieren

Die Lieferkettensicherheit ist eine der anspruchsvollsten NIS2-Anforderungen. Viele Unternehmen unterschätzen den Aufwand für die Lieferantenbewertung und beginnen zu spät damit. Starte frühzeitig mit der Klassifizierung und Bewertung deiner kritischen Lieferanten.

Der Aufwand wird regelmäßig unterschätzt: Allein die Inventarisierung aller Lieferanten mit Zugang zu Systemen oder Daten kann bei einem mittelständischen Unternehmen 50-200 Positionen ergeben. Für jeden kritischen Lieferanten brauchst du einen Sicherheitsfragebogen, vertragliche Anpassungen (Meldepflichten, Audit-Rechte) und eine regelmäßige Überprüfung. Plane mindestens drei Monate für den Aufbau des Prozesses und die erste Bewertungsrunde ein. Beginne mit den Top-10-Lieferanten nach Kritikalität und arbeite dich dann durch die Liste.

Fehler 5: Geschäftsführerschulungen als Formalität behandeln

Das NIS2UmsuCG verpflichtet die Geschäftsleitung zur Teilnahme an Cybersicherheitsschulungen. Viele Unternehmen buchen dafür ein einstündiges Webinar und haken den Punkt ab. Das reicht nicht. Die Geschäftsleitung muss in der Lage sein, Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Das erfordert ein fundiertes Verständnis der Bedrohungslage, der eigenen Sicherheitsarchitektur und der regulatorischen Anforderungen. Investiere in mehrstündige, praxisorientierte Workshops für die Geschäftsleitung, die auf den spezifischen Kontext deines Unternehmens zugeschnitten sind. Diese Nachweise sind im Haftungsfall Gold wert.