NIS-2 Checkliste: 15 Schritte zur Compliance
Praktische Checkliste für die NIS-2-Umsetzung: Von der Betroffenheitsprüfung über Maßnahmenimplementierung bis zur Registrierung – Schritt für Schritt zur Compliance.
NIS-2 Redaktion
NIS-2-Umsetzung kann sich anfühlen wie ein Berg, bei dem man nicht weiß, wo man anfangen soll. Diese Checkliste zerlegt das Ganze in verdauliche Häppchen. Fünfzehn Schritte, die Sie nacheinander abarbeiten können.
Phase 1: Wissen, wo Sie stehen
Schritt 1: Sind Sie überhaupt betroffen?
Das klingt banal, aber viele Unternehmen sind sich nicht sicher. Die Fragen, die Sie klären müssen: In welchem der 18 Sektoren sind Sie tätig? Erreichen Sie die Größenschwellen – 50 Mitarbeiter oder 10 Millionen Euro Umsatz? Gibt es Sonderregelungen, die auf Sie zutreffen? Und: Sind Sie “wichtig” oder “besonders wichtig”?
Am Ende dieses Schritts sollten Sie eine dokumentierte Entscheidung haben. Nicht “wahrscheinlich betroffen”, sondern Klarheit.
Schritt 2: Wer ist verantwortlich?
Jemand muss das Projekt führen. Nicht “die IT-Abteilung”, sondern eine konkrete Person mit Name und Telefonnummer. Wer ist der NIS-2-Projektleiter? Welche Geschäftsführer sind eingebunden – und ja, die müssen eingebunden sein, das ist Pflicht. Wer spricht mit dem BSI? Welche Abteilungen müssen mitwirken?
Erstellen Sie ein Organigramm. Klare Verantwortlichkeiten verhindern, dass Aufgaben zwischen den Stühlen landen.
Schritt 3: Was haben Sie eigentlich alles?
Eine Bestandsaufnahme Ihrer IT-Landschaft. Alle Server, Clients, Netzwerkgeräte, IoT-Devices. Alle Software, alle Lizenzen. Ihre Netzwerkarchitektur dokumentiert, nicht nur im Kopf des Admins. Externe Verbindungen. Cloud-Dienste.
Das klingt nach viel Arbeit, und das ist es auch. Aber ohne zu wissen, was Sie haben, können Sie es nicht schützen.
Schritt 4: Die Lücken finden
Vergleichen Sie Ihren Ist-Zustand mit dem, was NIS-2 fordert. Welche der zehn Mindestmaßnahmen haben Sie schon? Wo fehlt was? Welche Dokumentation existiert nur in Ihrem Kopf? Haben Sie Meldeprozesse für den Ernstfall?
Das Ergebnis: Ein Gap-Analyse-Bericht mit priorisierten Handlungsfeldern. Das wird Ihre Roadmap für die nächsten Monate.
Phase 2: Grundlagen schaffen
Schritt 5: Ihre Sicherheitspolitik
Sie brauchen ein Dokument, das festlegt: Was sind unsere Sicherheitsziele? Wer ist wofür verantwortlich? Wie ernst meinen wir das Ganze?
Das muss von der Geschäftsleitung unterschrieben sein. Nicht vom IT-Leiter, nicht vom CISO – von der Geschäftsführung. Das zeigt: Das hier ist Chefsache.
Schritt 6: Risikomanagement etablieren
Ein strukturierter Prozess, um Risiken zu identifizieren, zu bewerten und zu behandeln. Klingt bürokratisch, ist aber essenziell. Wie finden Sie Risiken? Wie bewerten Sie, was wichtig ist und was nicht? Wie gehen Sie mit Risiken um – vermeiden, vermindern, akzeptieren, übertragen? Und wie oft überprüfen Sie das Ganze?
Das muss kein 200-seitiges Dokument sein. Aber es muss existieren und gelebt werden.
Schritt 7: Was tun, wenn es knallt?
Ihr Incident-Response-Prozess. Definieren Sie, was ein “erheblicher Sicherheitsvorfall” ist. Legen Sie Eskalationswege fest. Wer ruft wen an, wenn um 3 Uhr nachts die Server verschlüsselt werden?
Und ganz wichtig: Wie schaffen Sie die 24-Stunden-Frühwarnung ans BSI? Die 72-Stunden-Meldung? Den Abschlussbericht?
Am Ende sollten Sie einen Plan haben und Vorlagen für die Meldungen. Nicht erst im Ernstfall darüber nachdenken – dann ist es zu spät.
Phase 3: Technisch umsetzen
Schritt 8: Die technischen Maßnahmen
Jetzt wird’s konkret. Multi-Faktor-Authentifizierung für kritische Zugriffe – nicht optional, Pflicht. Verschlüsselung von Daten, sowohl gespeichert als auch übertragen. Netzwerksegmentierung, damit ein kompromittiertes System nicht gleich alles lahmlegt. Backup-System mit regelmäßigen Tests – nicht nur “wir haben Backups”, sondern “wir haben die Wiederherstellung getestet”. Schwachstellen- und Patch-Management. Logging und Monitoring.
Dokumentieren Sie, was Sie implementiert haben. Diese Nachweise brauchen Sie.
Schritt 9: Was wenn alles ausfällt?
Business Continuity. Machen Sie eine Business Impact Analyse: Was passiert, wenn System X ausfällt? Wie lange können Sie das überleben? Dann erstellen Sie einen Business Continuity Plan und einen Disaster Recovery Plan.
Und dann testen Sie. Nichts ist peinlicher als ein Notfallplan, der beim ersten echten Notfall versagt.
Schritt 10: Ihre Lieferkette
Wer hat Zugang zu Ihren Systemen? Welche Dienstleister könnten zum Problem werden? Identifizieren Sie Ihre kritischen Lieferanten. Schreiben Sie Sicherheitsanforderungen in die Verträge. Etablieren Sie einen Due-Diligence-Prozess für neue Lieferanten. Und überprüfen Sie die bestehenden regelmäßig.
Das Ergebnis: Ein Lieferantenregister mit Sicherheitsbewertungen.
Phase 4: Menschen einbeziehen
Schritt 11: Schulungen
Alle Mitarbeitenden brauchen Awareness-Training. Die IT braucht spezifische Schulungen. Das Incident-Response-Team muss wissen, was es tut.
Und die Geschäftsführer? Die müssen persönlich geschult werden. Das ist keine Empfehlung, das steht so im Gesetz. Kein Delegieren, kein “mein IT-Leiter macht das für mich”.
Dokumentieren Sie die Schulungen. Teilnahmelisten, Inhalte, Datum. Diese Nachweise werden gebraucht.
Schritt 12: Alles dokumentiert?
Gehen Sie durch: Alle Richtlinien vorhanden? Risikobewertungen dokumentiert? Implementierungsnachweise da? Audit-Ergebnisse archiviert? Schulungsnachweise komplett?
Die Dokumentation ist Ihr Beweis, dass Sie compliant sind. Ohne Nachweis kein Nachweis.
Phase 5: Offiziell werden und dranbleiben
Schritt 13: Beim BSI registrieren
Richten Sie einen Account bei “Mein Unternehmenskonto” ein. Registrieren Sie sich dann im BSI-Portal. Benennen Sie Ansprechpersonen. Archivieren Sie die Bestätigung.
Das ist keine freiwillige Aktion. Sie haben drei Monate Zeit nach Inkrafttreten des Gesetzes.
Schritt 14: Dranbleiben
NIS-2 ist kein Projekt mit Enddatum. Es ist ein laufender Prozess. Regelmäßige Risiko-Reviews, laufendes Schwachstellenmanagement, Monitoring der Sicherheitslage, Aktualisierung von Maßnahmen wenn sich etwas ändert.
Etablieren Sie Routinen. Quartalsweise Reviews sind ein guter Rhythmus.
Schritt 15: Funktioniert das alles?
Prüfen Sie die Wirksamkeit Ihrer Maßnahmen. Interne Audits. Penetrationstests durch externe Experten. Security-Metriken erheben und auswerten. Management-Reviews durchführen.
Das Ergebnis: Audit-Berichte und konkrete Verbesserungsmaßnahmen. Und dann wieder von vorne.
Die Zuordnung auf einen Blick
| NIS-2 Anforderung | Schritte |
|---|---|
| Risikomanagement | 3, 4, 6 |
| Incident Response | 7 |
| Business Continuity | 9 |
| Lieferkettensicherheit | 10 |
| Sichere Entwicklung/Beschaffung | 8 |
| Wirksamkeitsprüfung | 15 |
| Cyberhygiene & Schulungen | 11 |
| Kryptographie | 8 |
| Zugriffskontrolle | 8 |
| MFA | 8 |
| Registrierung | 13 |
| Meldepflichten | 7 |
Wie lange dauert das?
Das hängt davon ab, wo Sie starten. Wenn Sie schon ein ISMS haben, geht es schneller. Wenn Sie bei null anfangen, rechnen Sie mit einem Jahr für die grundlegende Umsetzung.
Eine grobe Orientierung: Die ersten beiden Phasen in den ersten vier Monaten. Die technische Umsetzung in den Monaten fünf bis acht. Menschen und Prozesse in den Monaten neun und zehn. Registrierung und laufender Betrieb ab Monat elf.
Das sind keine festen Zeiträume – Ihr Tempo hängt von Ihren Ressourcen und Ihrer Ausgangslage ab.
Am Ende
NIS-2-Compliance ist kein Projekt, das Sie einmal erledigen und dann vergessen. Es ist ein fortlaufender Prozess. Diese Checkliste hilft Ihnen, strukturiert anzufangen und nichts Wichtiges zu übersehen.
Fangen Sie mit der Betroffenheitsprüfung an. Arbeiten Sie sich schrittweise vor. Dokumentieren Sie jeden Schritt – nicht für die Bürokratie, sondern weil Sie diese Nachweise im Falle einer BSI-Prüfung brauchen.
Und vergessen Sie bei allem Papierkram nicht: Das Ziel ist nicht Compliance um der Compliance willen. Das Ziel ist echte Sicherheit für Ihr Unternehmen.
Schlagworte
War dieser Artikel hilfreich?
Prüfen Sie jetzt kostenlos, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist.