NIS2-Roadmap: Die 5 Phasen von Betroffenheit bis Audit

NIS2-Compliance ist kein einmaliges Projekt, das du nach drei Monaten abhakst. Es ist ein strukturierter 5-Phasen-Zyklus, der mit der ersten Betroffenheitsprüfung beginnt und mit kontinuierlicher Nachweisführung endet. Dieser Artikel zeigt dir den gesamten Weg von Phase 1 (Bin ich überhaupt betroffen?) bis Phase 5 (Wie beweise ich dem BSI dauerhaft Compliance?) mit konkreten Entscheidungspunkten und dem jeweils passenden Kopexa-Tool für jeden Schritt. Wenn du die fünf Phasen verstanden hast, kannst du sofort mit der richtigen Phase beginnen, statt Zeit mit Vorarbeiten zu verlieren, die du gar nicht brauchst.

Phase 1: Betroffenheit prüfen

Bevor du auch nur einen Euro in NIS2-Compliance investierst, brauchst du Klarheit: Bist du überhaupt betroffen? Das klingt trivial, ist aber der häufigste Einstiegsfehler. Viele Unternehmen beginnen direkt mit Phase 3 und stellen später fest, dass ihr Scope falsch definiert war. NIS2 gilt in Deutschland für Einrichtungen in 18 Sektoren, die bestimmte Schwellenwerte bei Mitarbeiterzahl oder Jahresumsatz erreichen.

Unser NIS2-Betroffenheitsrechner deckt alle 17 Hauptbranchen ab und führt dich in unter 15 Minuten zum Ergebnis. Du bekommst einen Ampel-Status (betroffen / Grenzfall / nicht betroffen) und einen PDF-Report, den du direkt der Geschäftsleitung vorlegen kannst. Der Rechner berücksichtigt auch den KRITIS-Check gemäss § 28 BSIG.

Entscheidungspunkt nach Phase 1: Bist du eine wichtige oder besonders wichtige Einrichtung nach § 28 BSIG? Besonders wichtige Einrichtungen unterliegen proaktiver BSI-Aufsicht und dem höheren Bußgeldrahmen (bis 10 Mio. EUR). Wichtige Einrichtungen werden reaktiv geprüft (bis 7 Mio. EUR). Die Unterscheidung bestimmt deine Priorisierung in Phase 3.

Prüfe zusätzlich die NIS2-Schwellenwerte nach Branche wenn dein Unternehmen im Grenzbereich liegt. Manche Sektoren haben abweichende Schwellen, die Grenzfälle eindeutig klären.

• •Zeithorizont: 15 Minuten
• •Outputs: Ampel-Status, PDF-Report, Einrichtungskategorie (wichtig oder wesentlich)
• •Kopexa-Tool: Betroffenheitsrechner

Phase 2: Beim BSI registrieren

Wenn Phase 1 ergeben hat, dass du betroffen bist, folgt als nächstes die BSI-Registrierung nach § 33 BSIG. Die Registrierungsfrist lief am 06.03.2026 ab. Wer die Frist verpasst hat, riskiert nach § 65 Abs. 1 Nr. 1 BSIG ein Bußgeld von bis zu 100.000 EUR. Aktives Nachholen zeigt kooperatives Verhalten und kann die Sanktion mildern.

Der technische Ablauf: ELSTER-Organisationszertifikat beantragen, Mein Unternehmenskonto (MUK) einrichten, im BSI-Portal registrieren. Den vollständigen Schritt-für-Schritt-Prozess findest du auf unserer Seite zur NIS2-Registrierung beim BSI.

Plane für den gesamten Prozess mindestens 6 Werktage ein: 5 Werktage für den Postversand des ELSTER-Aktivierungsbriefs plus 1 Stunde tatsächliche Formularzeit im BSI-Portal. Bereite vorher alle Pflichtangaben vor: IP-Adressbereiche in CIDR-Notation, DNS-Domains, Sektorzuordnung nach Anhang I oder II sowie Name und Mobilnummer der 24/7-Kontaktstelle.

• •Zeithorizont: 6 Werktage gesamt (5 Tage ELSTER + 1 Stunde Portal)
• •Outputs: Einrichtungsnummer, bestaetigte 24/7-Kontaktstelle, Sektorzuordnung dokumentiert
• •Frist-Hinweis: 06.03.2026 abgelaufen, sofortiges Nachregistrieren reduziert Bussgeldsrisiko
• •Kopexa-Tool: Registrierungsanleitung

Phase 3: Risikomanagement aufbauen

Phase 3 ist die arbeitsintensivste Phase. § 30 BSIG schreibt vor, dass betroffene Einrichtungen geeignete Risikomanagementmassnahmen ergreifen. Das umfasst Risikoanalyse, Incident Handling, Business Continuity, Supply-Chain-Sicherheit, Kryptografie, Zugangskontrolle, MFA, Schulungspflichten und Netzwerksegmentierung. Die vollstaendige Liste aller Pflichten findest du auf unserer Seite zu den NIS2-Anforderungen nach Art. 21.

Wie lange Phase 3 dauert, haengt stark von deinem bestehenden Reifegrad ab. Ein Unternehmen ohne jegliches ISMS braucht 4 bis 6 Monate. Ein Unternehmen, das bereits nach ISO 27001 zertifiziert ist, kann Phase 3 in 4 bis 8 Wochen abschliessen, da ISO 27001 bereits rund 85 % der NIS2-Pflichten abdeckt. Details zur Uberschneidung findest du in unserem NIS2 und ISO 27001 Mapping.

Die Outputs aus Phase 3 bilden die Grundlage fuer alles Weitere: ISMS-Dokumentation, Risiko-Register und technische sowie organisatorische Massnahmen (TOMs) sind nicht nur regulatorisch erforderlich, sondern auch der Hauptgegenstand kuenftiger BSI-Pruefungen.

• •Zeithorizont: 3 bis 6 Monate je nach Reifegrad
• •Outputs: ISMS-Dokumentation, Risiko-Register, technische und organisatorische Massnahmen
• •ISO-Tipp: ISO 27001 deckt 85 % der NIS2-Pflichten ab und verkuerzt Phase 3 erheblich
• •Kopexa-Module: Risiken, Policies, IT-Assets, Vendors

Phase 4: Meldeprozess einrichten

§ 32 BSIG verpflichtet betroffene Einrichtungen, erhebliche Sicherheitsvorfaelle in einer dreistufigen Meldekette an das BSI zu melden: Fruhwarnung innerhalb von 24 Stunden, Erstmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb von 30 Tagen. Jeder verpasste Friste kann separat gemaess § 65 Abs. 1 Nr. 3 BSIG mit bis zu 500.000 EUR geahndet werden.

Phase 4 erfordert drei konkrete Massnahmen: Erstens die Benennung von Rollen (24/7-Kontaktstelle, Meldeverantwortlicher, Eskalationspfad zur Geschaftsleitung). Zweitens die Erstellung von Meldevorlagen fuer alle drei Stufen. Drittens eine Testmeldung via BSI-Portal, bevor ein Ernstfall eintritt. Ein Prozess, der im Ernstfall das erste Mal durchgefuhrt wird, schlaegt meistens fehl.

Das Kopexa-Vorfallmanagement-Modul unterstuetzt die gesamte Meldekette: strukturierte Vorfallerfassung, Eskalationsworkflows und Zeitstempel-Dokumentation, die bei einer BSI-Pruefung als Nachweis dient.

• •Zeithorizont: 2 bis 4 Wochen
• •Outputs: Meldeprozess dokumentiert, Team trainiert, Vorlagen bereit, Testlauf abgeschlossen
• •Gesetzliche Meldekette: 24h Fruhwarnung, 72h Erstmeldung, 30d Abschlussbericht
• •Kopexa-Modul: Vorfallmanagement (Incidents)

Phase 5: Nachweisfuhrung und kontinuierliches Audit

Phase 5 ist keine abgeschlossene Phase, sondern ein Dauerbetrieb. § 30 BSIG schreibt explizit eine kontinuierliche Risikobewertung vor. Das BSI kann jederzeit Nachweise verlangen. Besonders wichtige Einrichtungen können alle zwei Jahre einer externen Prüfung unterzogen werden. Wer seine Nachweise nicht jederzeit vorlegen kann, hat die vorherigen vier Phasen letztlich umsonst abgearbeitet.

Zu den jaehrlich erforderlichen Aktivitaeten gehoeren: Risikobewertung aktualisieren, Audit-Logs prufen, Schulungsnachweise erneuern und die Geschaeftsleitungs-Schulungspflicht nach § 38 BSIG dokumentieren. Dazu kommen regelmaessige interne Audits und bei wesentlichen Einrichtungen die Vorbereitung auf die alle-zwei-Jahre-Pruefung durch das BSI oder einen akkreditierten Prufer.

Das Kopexa-Nachweis-Archivierungsmodul und der Audit-Workflow zentralisieren alle Evidenzen: Risikobewertungen, Policy-Versionen, Schulungsnachweise und Audit-Berichte liegen an einem Ort und koennen bei einer BSI-Pruefung mit einem Klick exportiert werden. Das erspart wochenlange Zusammenstellung aus verstreuten E-Mails, SharePoints und Netzlaufwerken.

• •Zeithorizont: Kontinuierlich, jaehrlicher Zyklus
• •Outputs: Audit-ready Dokumentation, Compliance- Bericht fuer Geschaftsleitung, vollstandiger Nachweis-Trail
• •Externe Pruefung: Alle 2 Jahre durch BSI bei besonders wichtigen Einrichtungen moeglich
• •Kopexa-Module: Nachweise (Evidence), Audits

Zeitplan-Ubersicht: Alle 5 Phasen im Vergleich

Die folgende Tabelle gibt einen Uberblick uber die typischen Aufwaende pro Phase und das jeweils passende Kopexa-Tool.

Haufige Fehler bei der Roadmap

Aus der Zusammenarbeit mit Unternehmen verschiedener Branchen kennen wir die typischen Roadmap-Fehler. Hier sind die funf haufigsten:

1. 1."Wir fangen mit Phase 3 an": Ohne abgeschlossene Betroffenheitsprufung ist der Scope unklar. Du baust moeglicherweise Massnahmen fur Systeme auf, die gar nicht unter NIS2 fallen, und vergisst solche, die es tun. Immer mit Phase 1 beginnen.
2. 2."Phase 4 brauchen wir nicht, wir haben kein SIEM": Die Meldepflicht nach § 32 BSIG gilt vollig unabhaengig davon, welche Tools du einsetzt. Auch ohne SIEM bist du verpflichtet, erhebliche Vorfaelle zu melden. Ein fehlender Meldeprozess ist eine eigene Bussgeldsposition.
3. 3."Phase 5 ist optional": § 30 BSIG verlangt ausdruecklich eine kontinuierliche Bewertung der Risikomanagementmassnahmen. Wer nach der Ersteinfuhrung aufhoert zu dokumentieren, verliert seinen Compliance-Status wieder.
4. 4."Eine Phase pro Quartal reicht": Bei einem Quartal pro Phase dauert die vollstandige Umsetzung uber ein Jahr. Angesichts der bereits verstrichenen Registrierungsfrist und der sofortigen Wirksamkeit der Bussgelder ist das zu langsam. Plane Phasen 1 und 2 parallel, Phase 3 mit zwei Spuren.
5. 5."Externe Berater ubernehmen das komplett": Berater konnen bei Analyse, Dokumentation und Implementierung helfen. Aber die interne Verantwortung bleibt beim Unternehmen und dessen Geschaftsleitung. § 38 BSIG verankert persoenliche Haftung ausdruecklich, unabhangig davon, wen du beauftragst. Self-Service mit Kopexa oder mit Partner-Unterstutzung: Die Verantwortung ist deine.

Was Kopexa fur die NIS2-Roadmap liefert

Kopexa ist eine OSCAL-basierte GRC-Plattform, die alle funf Phasen der NIS2-Roadmap in einem System abbildet. Statt Excel-Tabellen, verstreuter E-Mail-Dokumentation und manueller Nachweisusammenststellung bekommst du eine zentrale Plattform fuer den gesamten Compliance-Zyklus.

• •Risikomanagement: Risiko-Register, Bewertungen nach ISO 27005, Massnahmen-Tracking
• •Policy-Management: Richtlinienvorlagen, Freigabe- Workflows, Versionierung
• •IT-Asset-Management: Asset-Inventar, Klassifikation, Risikozuordnung
• •Vendor-Management: Lieferantenbewertung, Risikoclassifizierung, Supply-Chain-Tracking
• •Incident-Management: Strukturierte Vorfallerfassung, 24h/72h/30d-Workflow, BSI-Meldevorlagen
• •Evidence und Audits: Zentrales Nachweis-Archiv, Audit-Trail, Compliance-Berichte

Kopexa wird in Deutschland gehostet, ist ab 249 EUR/Monat verfugbar und kann in einem 14-Tage-Trial kostenlos getestet werden. Kein Vertriebsgesprach notwendig. Mehr zu Preis und Funktionsumfang findest du auf der Preisseite. Wenn du lieber mit einem zertifizierten Partner arbeitest, der dich durch alle funf Phasen begleitet, schau dir unser Partnerprogramm an.

Nachster Schritt: Jetzt mit Phase 1 starten

Der einfachste Einstieg in die NIS2-Roadmap ist der Betroffenheitsrechner. In 15 Minuten weisst du, ob und in welcher Kategorie dein Unternehmen betroffen ist. Das Ergebnis liefert dir die Grundlage fur alle weiteren Phasen und einen PDF-Report, den du direkt an die Geschaftsleitung weitergeben kannst.

Wenn du bereits weisst, dass du betroffen bist, und lieber mit Kopexa-Plattform starten moechtest: 14 Tage kostenlos testen, kein Vertrag, kein Gesprach notwendig. Oder starte mit Partner-Unterstutzung uber unser Partnernetzwerk.