NIS2-Umsetzung: Praktischer Fahrplan

NIS2 umsetzen: Der praktische Fahrplan

Seit dem 06.12.2025 ist das NIS2UmsuCG in Kraft. Die Anforderungen sind umfangreich, und der regulatorische Druck ist real: Das BSI kann Nachweise verlangen und Sanktionen verhängen. Gleichzeitig zeigt die Erfahrung, dass der Aufbau eines NIS2-konformen Sicherheitsniveaus in der Regel 12 bis 18 Monate dauert. Wer noch nicht begonnen hat, ist bereits im Verzug und muss sofort handeln.

Dieser praktische Fahrplan zeigt dir, wie du die NIS2-Umsetzung in drei Phasen strukturieren kannst. Der Plan ist bewusst pragmatisch gehalten: Er priorisiert Maßnahmen nach Compliance-Relevanz und Risiko-Reduzierung, damit du schnell messbare Fortschritte erzielst.

Timeline: 3-6-12 Monate

Monat 1–3: Grundlagen schaffen

In den ersten drei Monaten legst du das Fundament für deine NIS2-Compliance. Der Fokus liegt auf Assessment, Governance und Quick Wins. Diese Phase ist entscheidend, weil sie die Richtung für die gesamte Umsetzung vorgibt. Fehler in der Grundlagenphase ziehen sich durch das gesamte Projekt.

Zeitaufwand: Rechne mit 15-20 Personentagen für die Ist-Analyse und 5-10 Personentagen für die Gap-Analyse. Die Betroffenheitsprüfung inklusive juristischer Validierung dauert typischerweise 2-3 Wochen. Das Governance-Setup (Steering Committee, Projektteam, Rollen) sollte in der ersten Woche stehen.

• 1.Betroffenheitsprüfung abschließen: Kläre definitiv, ob und in welcher Kategorie dein Unternehmen unter NIS2 fällt. Dokumentiere das Ergebnis. Nutze bei Bedarf unsere Betroffenheitsprüfung.
• 2.Governance aufsetzen: Benenne einen NIS2-Verantwortlichen auf Geschäftsleitungsebene. Stelle ein Projektteam zusammen, das Vertreter aus IT, Recht, Einkauf und Fachabteilungen umfasst. Setze ein Steering Committee ein.
• 3.Ist-Analyse durchführen: Erfasse den aktuellen Sicherheitsstatus anhand der zehn Maßnahmen aus Art. 21. Inventarisiere IT-Assets, bestehende Richtlinien und Prozesse.
• 4.Gap-Analyse durchführen: Vergleiche Ist-Zustand mit NIS2-Anforderungen. Priorisiere die identifizierten Lücken nach Risiko und Compliance-Relevanz.
• 5.Quick Wins umsetzen: Aktiviere Multi-Faktor-Authentifizierung für alle Admin-Konten. Verschärfe die Passwortrichtlinie. Aktiviere Logging für kritische Systeme. Erstelle eine erste Kontaktliste für das BSI.

Monat 4–6: Kernmaßnahmen implementieren

In der zweiten Phase setzt du die zentralen Sicherheitsmaßnahmen um. Der Fokus liegt auf den Bereichen, die das BSI bei einer Prüfung als Erstes kontrollieren wird: Risikoanalyse, Incident-Response, dokumentierte Sicherheitsrichtlinien und Schulungsnachweise.

Diese Phase ist die arbeitsintensivste. Plane 30-40 Personentage für die Risikoanalyse (inklusive Workshops mit allen Geschäftsbereichen), 15-20 Personentage für den Aufbau des Incident-Response-Prozesses und 10-15 Personentage für die Erstellung der Sicherheitsrichtlinien. Wenn du externe Berater einbindest, ist dies die Phase mit dem höchsten Beratungsbedarf.

• 6.Risikoanalyse erstellen: Führe eine vollständige Risikoanalyse nach anerkannter Methodik durch (ISO 27005, BSI 200-3). Beziehe alle Geschäftsbereiche ein. Lass die Ergebnisse von der Geschäftsleitung freigeben.
• 7.Incident-Response-Prozess aufbauen: Definiere Rollen, Eskalationswege und Melde-Templates. Richte die technische Erkennung ein (SIEM, Monitoring). Bereite die BSI-Meldekette vor (24h / 72h / 30 Tage).
• 8.Sicherheitsrichtlinien erstellen: Entwickle Richtlinien für Informationssicherheit, Zugangskontrollen, Kryptografie, Backup und Remote-Arbeit. Stimme sie mit der Geschäftsleitung ab und kommuniziere sie im Unternehmen.
• 9.Schulungsprogramm starten: Führe eine erste Runde Security-Awareness-Trainings durch. Stelle sicher, dass die Geschäftsleitung nachweislich teilnimmt. Starte Phishing-Simulationen.
• 10.Business-Continuity-Pläne entwickeln: Erstelle eine Business-Impact-Analyse. Definiere RPO/RTO-Werte für kritische Systeme. Entwickle Disaster-Recovery-Pläne und teste Backups.

Monat 7–12: Reifegrad erhöhen

In der dritten Phase vertiefst du die Maßnahmen, schließt verbliebene Lücken und baust einen kontinuierlichen Verbesserungsprozess auf. Diese Phase unterscheidet solide Compliance von reiner Checkbox-Mentalität. Das Ziel ist nicht nur, die Mindestanforderungen zu erfüllen, sondern ein Sicherheitsniveau aufzubauen, das einem BSI-Audit standhält.

Zeitaufwand: Die Lieferantenbewertung allein kann 20-40 Personentage erfordern, abhängig von der Anzahl kritischer Lieferanten. Plane außerdem 5-10 Tage für die Durchführung und Auswertung von Notfallübungen sowie 10-15 Tage für das interne Audit. Der kontinuierliche Verbesserungsprozess (PDCA-Zyklus) ist kein einmaliges Projekt, sondern ein dauerhafter Betriebsmodus, der in den regulären Arbeitsablauf integriert werden muss.

• 11.Lieferantenbewertung aufbauen: Implementiere einen strukturierten Bewertungsprozess für alle kritischen Lieferanten. Verankere Sicherheitsanforderungen in Verträgen. Führe erste Lieferantenaudits durch.
• 12.Notfallübungen durchführen: Teste den Incident-Response-Prozess in einer realistischen Übung. Simuliere einen Ransomware-Angriff oder Datenverlust. Dokumentiere Erkenntnisse und verbessere die Prozesse.
• 13.Internes Audit durchführen: Überprüfe die Wirksamkeit aller implementierten Maßnahmen. Nutze die Art.-21-Maßnahmen als Audit-Framework. Identifiziere Verbesserungspotenziale.
• 14.Kontinuierliche Verbesserung etablieren: Richte einen PDCA-Zyklus (Plan-Do-Check-Act) ein. Definiere KPIs für Informationssicherheit. Plane regelmäßige Management-Reviews.
• 15.BSI-Registrierung vorbereiten: Stelle alle erforderlichen Informationen für die BSI-Registrierung zusammen. Bei besonders wichtigen Einrichtungen: Bereite die NIS2-Nachweisführung vor.

Quick Wins: Sofortmaßnahmen in den ersten 30 Tagen

Unabhängig davon, wo du im Gesamtprojekt stehst: Diese Maßnahmen kannst du in den ersten 30 Tagen umsetzen. Sie reduzieren dein Risiko sofort, schaffen intern Sichtbarkeit und liefern erste Nachweise für die Compliance-Dokumentation.

Woche 1: Governance und Verantwortlichkeiten

Benenne offiziell einen NIS2-Verantwortlichen auf Geschäftsleitungsebene. Dokumentiere diese Benennung schriftlich mit Datum und Unterschrift. Stelle ein Kernteam zusammen (IT-Leiter, Datenschutzbeauftragter, Einkauf, Recht). Setze ein erstes Kick-off-Meeting an, in dem du Scope, Timeline und Verantwortlichkeiten klärst. Erstelle ein Projektdokument mit Meilensteinen. Melde dein Unternehmen beim BSI-Meldeportal an und hinterlege die Kontaktinformationen.

Woche 2: Technische Sofortmaßnahmen

Aktiviere Multi-Faktor-Authentifizierung (MFA) für alle Administrator-Konten und privilegierten Zugänge. Prüfe, ob MFA auch für VPN-Zugänge und Cloud-Dienste aktiv ist. Verschärfe die Passwortrichtlinie auf mindestens 14 Zeichen mit Komplexitätsanforderungen. Aktiviere Logging und Monitoring für kritische Systeme (Domain Controller, Firewalls, E-Mail-Server). Stelle sicher, dass Logs mindestens 90 Tage aufbewahrt werden. Prüfe, ob automatische Sicherheitsupdates für alle Endgeräte aktiviert sind.

Woche 3: Inventarisierung starten

Beginne mit der Inventarisierung deiner IT-Assets: Server, Netzwerke, Endgeräte, Cloud-Dienste, SaaS-Anwendungen. Erstelle parallel eine erste Liste aller Lieferanten und Dienstleister mit Zugang zu deinen Systemen oder Daten. Diese Listen bilden die Grundlage für die Risikoanalyse und die Lieferantenbewertung. Nutze vorhandene Quellen wie Active Directory, CMDB, Vertragsmanagement und Rechnungssysteme.

Woche 4: Incident-Response-Grundlagen

Erstelle eine Notfall-Kontaktliste für Sicherheitsvorfälle: Wer wird intern informiert? Wer ist Ansprechpartner beim BSI? Welcher IT-Forensik-Dienstleister wird im Ernstfall hinzugezogen? Definiere eine einfache Eskalationsmatrix: Wann wird die Geschäftsleitung informiert? Ab welchem Schweregrad wird extern gemeldet? Erstelle ein erstes Melde-Template für die 24-Stunden-Frühwarnung an das BSI. Diese Grundlagen sind nicht perfekt, aber sie stellen sicher, dass du im Ernstfall nicht bei null anfängst. Verfeinern kannst du den Prozess in den Folgemonaten. Alle Details zu den NIS2-Anforderungen findest du auf unserer Detailseite.

Ressourcenplanung: Was braucht es wirklich?

Eine der häufigsten Fragen bei der NIS2-Umsetzung: Was kostet das, und wie viele Leute brauche ich? Die ehrliche Antwort: Es hängt von deiner Ausgangslage ab. Ein Unternehmen mit bestehendem ISMS nach ISO 27001 hat 70 % der Arbeit bereits erledigt. Ein Unternehmen ohne jegliche Informationssicherheitsstruktur steht vor einem Grundlagenaufbau. Hier sind realistische Richtwerte für ein typisches Mittelstandsunternehmen ohne ISMS.

Team und Rollen

Mindestbesetzung für Unternehmen mit 50-249 Mitarbeitenden: ein Projektleiter (50-100 % Freistellung im ersten Jahr, oft der IT-Leiter oder ein externer Berater), ein Kernteam von 3-5 Personen aus IT, Recht, Einkauf und einer Fachabteilung (jeweils 20-30 % Freistellung), sowie die aktive Beteiligung der Geschäftsleitung (mindestens 2 Stunden pro Woche für Reviews und Entscheidungen).

Für Unternehmen ab 250 Mitarbeitenden: ein Vollzeit-Projektleiter, ein CISO (intern oder als externer Managed CISO), ein Kernteam von 5-10 Personen und dedizierte Spezialisten für Incident-Response und Risikomanagement. Die Geschäftsleitung sollte monatliche Management-Reviews einplanen.

Budget: Realistische Bandbreiten

Für Unternehmen mit 50-249 Mitarbeitenden: 50.000-150.000 EUR im ersten Jahr. Davon entfallen typischerweise 30-50 % auf externe Beratung (Gap-Analyse, Risikoanalyse, Richtlinienerstellung), 20-30 % auf Tools (GRC-Plattform, SIEM/Monitoring, Schulungsplattform) und 20-30 % auf technische Maßnahmen (MFA-Rollout, Backup-Verbesserung, Netzwerksegmentierung). Ab dem zweiten Jahr sinken die Kosten auf 30.000-80.000 EUR jährlich für laufenden Betrieb, Schulungen und regelmäßige Audits.

Für Unternehmen ab 250 Mitarbeitenden: 200.000-500.000 EUR im ersten Jahr. Größere Unternehmen haben komplexere IT-Landschaften, mehr Lieferanten und höhere Anforderungen an Incident-Response und Monitoring. Der laufende Betrieb ab dem zweiten Jahr liegt bei 100.000-250.000 EUR jährlich.

Diese Zahlen wirken hoch, stehen aber in Relation zu den möglichen Sanktionen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Dazu kommt die persönliche Geschäftsführerhaftung. Mehr zu den Konsequenzen findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.

Tools: Was du wirklich brauchst

Nicht jedes Unternehmen braucht ein SOC (Security Operations Center) oder ein Enterprise-SIEM. Für den Mittelstand ist eine pragmatische Tool-Auswahl entscheidend. Diese drei Kategorien decken die Kernbedürfnisse ab:

• •GRC-Plattform: Für Framework-Management, Risikomanagement, Maßnahmen-Tracking, Evidenz-Management und Lieferantenbewertung. Eine integrierte Plattform wie Kopexa ersetzt dutzende Excel-Tabellen und sorgt für Nachvollziehbarkeit und Audit-Readiness.
• •SIEM/Monitoring: Für die Erkennung von Sicherheitsvorfällen und die Einhaltung der Meldepflichten. Für den Mittelstand reichen oft cloudbasierte Lösungen wie Microsoft Sentinel, Wazuh oder vergleichbare Managed-SIEM-Dienste.
• •Schulungsplattform: Für die verpflichtenden Security-Awareness-Trainings und Phishing-Simulationen. Anbieter wie KnowBe4, SoSafe oder Hornetsecurity bieten speziell auf den DACH-Raum zugeschnittene Inhalte auf Deutsch.

Prüfe vor der Beschaffung, welche Tools du bereits im Einsatz hast. Viele Unternehmen nutzen bereits Microsoft 365 E5, das Defender for Endpoint, Compliance Manager und grundlegende SIEM-Funktionen mitbringt. Baue auf vorhandenen Lizenzen auf, bevor du neue Tools einführst.

Die 5 häufigsten Fehler bei der NIS2-Umsetzung

Aus der Zusammenarbeit mit Unternehmen verschiedener Branchen und Größen kennen wir die typischen Stolpersteine bei der NIS2-Umsetzung. Hier sind die fünf häufigsten Fehler und wie du sie vermeidest:

1. Zu spät anfangen

Der mit Abstand häufigste Fehler. Seit dem 06.12.2025 ist das NIS2UmsuCG in Kraft. Unternehmen, die noch nicht begonnen haben, sind bereits im Verzug. Der Aufbau eines NIS2-konformen Sicherheitsniveaus dauert 12 bis 18 Monate. Jeder Monat ohne Fortschritt erhöht das Risiko von Sanktionen und persönlicher Geschäftsführerhaftung.

2. NIS2 als reines IT-Projekt behandeln

NIS2 betrifft das gesamte Unternehmen. Die Geschäftsleitung haftet persönlich, der Einkauf muss Lieferanten bewerten, die Personalabteilung muss Schulungen organisieren, das Risikomanagement muss Cyber-Risiken integrieren. Unternehmen, die NIS2 als reines IT-Projekt aufsetzen, scheitern regelmäßig an der organisatorischen Komplexität.

3. Lieferkette ignorieren

Die Lieferkettensicherheit ist für viele Unternehmen die größte Herausforderung. Lieferantenbewertung, vertragliche Anpassungen und kontinuierliches Monitoring erfordern erheblichen Aufwand. Viele Unternehmen schieben diesen Bereich auf und geraten dann unter Zeitdruck. Starte die Lieferantenbewertung parallel zur internen Umsetzung, nicht danach.

4. Schulungen vernachlässigen

Security-Awareness-Schulungen werden oft als nachrangig betrachtet. NIS2 sieht das anders: Die Richtlinie verpflichtet ausdrücklich auch die Geschäftsleitung zur Teilnahme. Schulungsnachweise sind einer der ersten Punkte, die bei einer BSI-Prüfung abgefragt werden. Ein fehlendes Schulungsprogramm ist ein klares Compliance-Defizit.

5. Dokumentation unterschätzen

Die beste Sicherheitsmaßnahme hilft nicht, wenn du sie nicht nachweisen kannst. NIS2 und das BSI verlangen umfassende Dokumentation: Risikoanalysen, Sicherheitskonzepte, Incident-Logs, Schulungsnachweise, Audit-Berichte. Unternehmen, die Dokumentation als Nebensache behandeln, stehen bei Prüfungen schlecht da. Mehr zu den Konsequenzen findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.

Welche Tools unterstützen die NIS2-Umsetzung?

Die Komplexität der NIS2-Anforderungen macht den Einsatz eines dedizierten GRC-Tools (Governance, Risk & Compliance) nahezu unverzichtbar. Manuelle Umsetzung mit Excel-Tabellen und File-Shares ist zwar theoretisch möglich, skaliert aber nicht und wird spätestens bei der Nachweisführung zum Problem.

Eine GRC-Plattform wie Kopexa unterstützt die NIS2-Umsetzung in mehreren Bereichen:

• •Framework-Management: NIS2-Anforderungen als strukturiertes Framework hinterlegen und den Umsetzungsstatus tracken. Kontrollen auf Maßnahmen mappen und Fortschritte transparent machen.
• •Risikomanagement: Risiken systematisch erfassen, bewerten und behandeln. Risiko-Register führen und die Risikoanalyse nach anerkannten Methoden durchführen.
• •Incident-Management: Sicherheitsvorfälle strukturiert erfassen, Workflows für die Bearbeitung definieren und die Meldeketten an das BSI vorbereiten.
• •Evidenz-Management: Nachweise zentral sammeln, versionieren und bei Bedarf für Audits bereitstellen. Keine verstreuten Dokumente mehr in E-Mail-Postfächern und Netzlaufwerken.
• •Lieferantenbewertung: Lieferanten klassifizieren, Bewertungsbögen versenden, Ergebnisse tracken und Nachverfolgungsaufgaben erstellen.

Der Vorteil einer integrierten Plattform: Alle Informationen sind an einem Ort. Du siehst auf einen Blick, wo du stehst, welche Maßnahmen offen sind und welche Nachweise fehlen. Das spart Zeit, reduziert Fehler und gibt dir Sicherheit bei Audits und BSI-Prüfungen.

Hast du bereits ein ISMS nach ISO 27001? Dann baust du auf einer soliden Grundlage auf. Rund 70 % der NIS2-Anforderungen werden durch ISO 27001 abgedeckt. Details zur Überschneidung findest du in unserem NIS2 & ISO 27001 Mapping.