Zum Hauptinhalt springen
Leitfaden⏱ ~14 Min. Lesezeit

NIS2-Compliance-Checkliste: 10-Schritte-Implementierungsleitfaden 2025

Eine praktische NIS2-Compliance-Checkliste mit allen 10 Artikel-21-Sicherheitsmaßnahmen. Nutzen Sie diesen Leitfaden zum Aufbau Ihres NIS2-Programms oder zur Bewertung Ihres aktuellen Status.

TL;DR

NIS2-Compliance erfordert 10 Kategorien von Maßnahmen gemäß Artikel 21, plus Registrierung (Art. 3) und Management-Verantwortung (Art. 20). Diese Checkliste deckt alle Pflichtbereiche mit konkreten Aktionspunkten ab.

Die NIS2-Richtlinie schreibt kein spezifisches Implementierungsframework vor, sie definiert Ziele, keine Methoden. Diese Checkliste übersetzt die rechtlichen Anforderungen in konkrete, umsetzbare Schritte für Ihr Compliance-Team.

Ein wichtiger Hinweis zur Dokumentation: NIS2 verlangt nicht nur die Umsetzung von Maßnahmen, sondern auch den Nachweis dieser Umsetzung. Behörden können bei Prüfungen Dokumentation anfordern. Für jeden Schritt in dieser Checkliste gibt es entsprechende Nachweisanforderungen.

Erwartete Nachweise für Behördenprüfungen

Behörden, die eine Wesentliche Einrichtung prüfen, werden typischerweise folgende Dokumente anfordern:

📄Schriftliche Einstufungsentscheidung (WE oder WI) mit Begründung
📄Registrierungsnachweis bei der zuständigen Behörde
📄Aktuelle Risikoanalyse mit Datum und Genehmigung des Leitungsorgans
📄Informationssicherheitsrichtlinie (genehmigt, versioniert)
📄Incident-Response-Plan mit 24h/72h-Meldeprozess
📄Business Continuity Plan und DRP mit Test-Protokollen
📄Lieferanten-Inventar und aktuelle Risikobewertungen
📄Management-Schulungsnachweise (Zertifikate, Anwesenheitslisten)
📄MFA-Implementierungsnachweis für kritische Systeme
📄Protokolle von Management-Review-Sitzungen zu Cybersicherheit
📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →
1
Anwendungsbereich bestimmen
Art. 2–3
  • Sektor identifizieren (Anhang I oder II der NIS2-Richtlinie?)
  • Unternehmensgröße prüfen (≥50 MA oder ≥€10 Mio. Umsatz = potenziell betroffen)
  • Sonderregelungen prüfen (DNS, TLD, Vertrauensdienste, öffentliche Verwaltung)
  • Einstufung als Wesentliche oder Wichtige Einrichtung festlegen
  • Ergebnis dokumentieren und genehmigen lassen
2
Bei zuständiger Behörde registrieren
Art. 3(3)
  • Zuständige nationale Behörde für Ihren Sektor identifizieren
  • Registrierungsportal der Behörde aufrufen (z. B. BSI Meldeplattform in Deutschland)
  • Pflichtangaben bereithalten: Unternehmensname, Registernummer, Sektor, Ansprechpartner
  • Registrierung fristgerecht abschließen (in der Regel innerhalb von 3 Monaten)
  • Registrierungsbestätigung archivieren
3
Risikomanagement-Framework aufbauen
Art. 21(2)(a)
  • Informationswerte und kritische Dienste inventarisieren
  • Bedrohungslandschaft analysieren (intern, extern, Lieferkette)
  • Risikobewertungsmethodik definieren und dokumentieren
  • Risiken nach Wahrscheinlichkeit und Auswirkung priorisieren
  • Risikobehandlungsplan erstellen und genehmigen lassen
  • Jährliche Überprüfung und Aktualisierung einplanen
4
Incident-Response-Prozess einrichten
Art. 21(2)(b) + Art. 23
  • Definition eines 'erheblichen Vorfalls' gemäß Artikel 23 NIS2 festlegen
  • Incident-Response-Team (IRT) benennen und Verantwortlichkeiten klären
  • 24h-Frühwarnprozess an die zuständige Behörde / CSIRT dokumentieren
  • 72h-Vollmeldungstemplate erstellen (inkl. Vorfallsklassifizierung, Auswirkungsanalyse)
  • Abschlussberichtsprozess (1 Monat) definieren
  • Mindestens jährliche Übungen / Tabletop-Exercises durchführen
  • Incident-Protokolle mindestens 5 Jahre aufbewahren
5
Business Continuity sicherstellen
Art. 21(2)(c)
  • Business-Impact-Analyse (BIA) für alle kritischen Dienste durchführen
  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) festlegen
  • Backup-Strategie implementieren (3-2-1-Regel: 3 Kopien, 2 Medien, 1 Offsite)
  • Business Continuity Plan (BCP) und Disaster Recovery Plan (DRP) erstellen
  • Regelmäßige Backup-Wiederherstellungstests durchführen und dokumentieren
  • Krisenmanagement-Kommunikationsplan entwickeln
6
Lieferketten-Risikomanagement
Art. 21(2)(d)
  • Alle kritischen Lieferanten und Dienstleister inventarisieren
  • Risikobewertungskriterien für Lieferanten definieren
  • Sicherheitsfragebögen / -assessments für Tier-1-Lieferanten durchführen
  • Vertragliche Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen
  • Lieferanten-Patch-Management und Schwachstellenoffenlegungsrichtlinien prüfen
  • Jährliche Lieferketten-Risikoüberprüfung durchführen
7
Technische Sicherheitsmaßnahmen
Art. 21(2)(e)+(h)+(i)+(j)
  • Netzwerksegmentierung implementieren und dokumentieren
  • Multi-Faktor-Authentifizierung (MFA) für alle Remote-Zugänge aktivieren
  • Verschlüsselung für Daten in Transit und at Rest einrichten
  • Privileged Access Management (PAM) für Admin-Konten einführen
  • Patch-Management-Prozess mit definierten SLAs etablieren
  • Penetrationstests / Vulnerability Scanning regelmäßig durchführen
  • Endpoint Detection and Response (EDR) einsetzen
8
Schulung und Cyberhygiene
Art. 20 + Art. 21(2)(g)
  • Jährliches Cybersicherheitstraining für alle Mitarbeiter durchführen
  • Spezifisches Training für Leitungsorgane (Artikel 20 Pflicht!)
  • Phishing-Simulationen regelmäßig durchführen
  • Cybersicherheits-Richtlinien für Mitarbeiter erstellen und kommunizieren
  • Meldeprozess für verdächtige Aktivitäten intern bekanntmachen
  • Schulungsteilnahmen dokumentieren (für Behördennachweise)
9
Richtlinien und Dokumentation
Art. 21(2)(a)+(f)
  • Informationssicherheitsrichtlinie (ISMS-Policy) erstellen und genehmigen
  • Acceptable-Use-Policy für IT-Systeme
  • Passwort- und Zugangsverwaltungsrichtlinie
  • Mobile-Device-Management-Richtlinie
  • Datensicherungsrichtlinie
  • Alle Richtlinien mindestens jährlich überprüfen und aktualisieren
  • Versionsverwaltung und Genehmigungshistorie führen
10
Laufende Überwachung und Verbesserung
Art. 21(2)(f)
  • Security Information and Event Management (SIEM) einrichten
  • Key Security Indicators (KSIs) definieren und monatlich messen
  • Jährliche interne Audits der NIS2-Maßnahmen durchführen
  • Management-Review-Sitzung mindestens jährlich abhalten
  • Erkenntnisse aus Vorfällen systematisch in Verbesserungen umwandeln
  • NIS2-Änderungen und nationale Behördenmitteilungen verfolgen

Prüfen Sie Ihre aktuelle Lücken-Situation

Unser interaktives Tool führt Sie durch alle 40+ NIS2-Kontrollen und zeigt Ihren Compliance-Score in Echtzeit.

📊 Lückenanalyse starten

Zeitplan: Wie lange dauert die NIS2-Implementierung?

Die Implementierungsdauer hängt stark vom bestehenden Sicherheitsniveau ab. Als grobe Orientierung für ein mittleres Unternehmen ohne bestehendes ISMS:

Monate 1–2Grundlage
  • Anwendungsbereich bestimmen und dokumentieren
  • Behördenregistrierung abschließen
  • Gap-Analyse durchführen
  • Initialbewertung des Risikomanagements
Monate 3–5Kernmaßnahmen
  • Incident-Response-Plan erstellen und testen
  • MFA für alle kritischen Zugänge aktivieren
  • Business Continuity Plan erstellen
  • Lieferanten-Inventar und erste Bewertungen
Monate 6–9Vertiefung
  • Alle Richtlinien erstellen und genehmigen
  • Management-Schulung durchführen und dokumentieren
  • SIEM aufsetzen oder bestehende Überwachung erweitern
  • Vertragliche Lieferantenanforderungen einführen
Monate 10–12Prüfungsbereitschaft
  • Interne Überprüfung aller Maßnahmen
  • Tabletop-Übung für Incident-Response
  • Management-Review-Sitzung
  • Dokumentationspaket für Behördenprüfung bereitstellen

FAQ

Wie lange haben Unternehmen Zeit, sich nach NIS2-Einstufung zu registrieren?
NIS2 Artikel 3(3) verlangt eine Registrierung innerhalb von 3 Monaten nach dem Zeitpunkt, an dem eine Einrichtung die Schwellenwerte für die Einstufung als Wesentliche oder Wichtige Einrichtung erfüllt. In einigen Ländern können abweichende Fristen gelten. Prüfen Sie die nationalen Umsetzungsgesetze Ihres Landes.
Müssen wir für jeden der 10 Artikel-21-Punkte eine separate Richtlinie erstellen?
Nein. Sie können mehrere Anforderungen in einer einzigen Informationssicherheitsrichtlinie zusammenfassen, sofern alle Punkte abgedeckt sind. Wichtig ist, dass die Richtlinie vom Leitungsorgan genehmigt und regelmäßig überprüft wird.
Wie oft müssen Sicherheitsmaßnahmen überprüft werden?
NIS2 verlangt, dass Maßnahmen 'regelmäßig' überprüft werden. ENISA empfiehlt mindestens jährliche Überprüfungen sowie anlassbezogene Überprüfungen nach Vorfällen, wesentlichen Änderungen der Bedrohungslage oder technologischen Änderungen.
Was passiert, wenn wir die Checkliste nicht vollständig abarbeiten können?
Behörden verstehen, dass Compliance ein Prozess ist, keine einmalige Handlung. Prioritisieren Sie die Maßnahmen mit dem höchsten Risiko (Registrierung, Incident-Response, MFA) und dokumentieren Sie Ihre Fortschritte und Restrisiken. Ein nachvollziehbarer Plan und erkennbarer Fortschritt sind besser als keine Dokumentation.
📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

📚 Weitere Artikel

🛡️ NIS2 vs. DSGVO🚨 NIS2-Vorfallsmeldung👔 NIS2-Managementhaftung🆚 NIS2 vs. ISO 27001⚖️ NIS2-Bußgelder und Sanktionen🏢 NIS2 für KMU🔗 NIS2 Lieferkettensicherheit