PlanB
Kostenlos starten
Ratgeber Stand: 11.06.2026

NIS2-Checkliste: Anforderungen und Umsetzung für Unternehmen

Von der Betroffenheitsprüfung bis zur Meldekette – NIS2 strukturiert umsetzen.

Die NIS2-Richtlinie weitet die Cybersicherheitspflichten in der EU massiv aus: Statt weniger hundert KRITIS-Betreiber sind nun zehntausende Unternehmen erfasst – inklusive persönlicher Verantwortung der Geschäftsleitung. Diese Checkliste zeigt, wer betroffen ist, was gefordert wird und womit Sie anfangen sollten.

Was ist NIS2?

NIS2 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Network and Information Security). Sie ersetzt die erste NIS-Richtlinie und verschärft die Anforderungen deutlich: mehr betroffene Sektoren, konkrete Mindestmaßnahmen, strenge Meldepflichten und empfindliche Sanktionen. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungsgesetz; zuständige Aufsicht ist das BSI.

Wer ist betroffen?

NIS2 unterscheidet wesentliche und wichtige Einrichtungen in 18 Sektoren – von Energie, Transport und Gesundheit über digitale Infrastruktur bis zu verarbeitendem Gewerbe, Lebensmitteln und Chemie. Als Faustregel gilt: Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in einem der Sektoren fallen in den Anwendungsbereich; für besonders kritische Bereiche gelten keine Größenschwellen.

Wichtig: Auch wer selbst nicht direkt erfasst ist, bekommt NIS2 über die Lieferkette zu spüren – betroffene Kunden müssen die Sicherheit ihrer Lieferanten bewerten und reichen Anforderungen vertraglich weiter. Eine dokumentierte Notfallvorsorge wird damit faktisch zur Geschäftsvoraussetzung.

Die zehn Mindestmaßnahmen nach Artikel 21

Die Richtlinie schreibt einen Katalog von Risikomanagement-Maßnahmen vor, die jede betroffene Einrichtung umsetzen muss:

  • Risikoanalyse und Sicherheitskonzepte: Systematische Bewertung der Risiken für Netz- und Informationssysteme.
  • Bewältigung von Sicherheitsvorfällen: Prozesse für Erkennung, Reaktion und Wiederherstellung – inklusive Vorfallmodus und Dokumentation.
  • Business Continuity: Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement – das Kerngebiet des Notfallhandbuchs.
  • Sicherheit der Lieferkette: Bewertung und vertragliche Absicherung der Sicherheit von Dienstleistern und Lieferanten.
  • Sicherheit bei Erwerb und Entwicklung: Sicherheitsanforderungen über den gesamten Lebenszyklus von Systemen.
  • Wirksamkeitsbewertung: Verfahren, um die eigenen Maßnahmen regelmäßig zu überprüfen.
  • Cyberhygiene und Schulungen: Grundlegende Sicherheitspraktiken und regelmäßige Sensibilisierung der Beschäftigten.
  • Kryptografie: Konzepte für Verschlüsselung, wo angemessen.
  • Personal-, Zugriffs- und Anlagensicherheit: Zugriffskontrolle und Management der eigenen Assets.
  • Multi-Faktor-Authentifizierung und sichere Kommunikation: MFA sowie gesicherte Sprach-, Video- und Textkommunikation – auch für den Notfall.

Meldepflichten: 24 Stunden, 72 Stunden, ein Monat

Erhebliche Sicherheitsvorfälle müssen gestaffelt gemeldet werden: eine Frühwarnung binnen 24 Stunden nach Kenntnis, eine ausführlichere Meldung binnen 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Parallel kann bei Datenpannen die 72-Stunden-Meldung nach DSGVO an die Datenschutzbehörde fällig sein.

Diese Fristen sind unter Stress nur zu halten, wenn die Meldekette vorbereitet ist: Wer erkennt und bewertet den Vorfall, wer meldet an welche Stelle, welche Informationen müssen rein? Genau dafür gehören Meldewege und Kommunikationsvorlagen ins Notfallhandbuch.

Geschäftsführung in der Pflicht

NIS2 nimmt die Leitungsebene ausdrücklich in die Verantwortung: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen – und haftet bei Verstößen persönlich. Delegieren lässt sich die Arbeit, nicht die Verantwortung. Ein nachvollziehbar gepflegtes Notfall- und Krisenmanagement mit Aktivitätsprotokoll ist hier der wichtigste Entlastungsnachweis.

Checkliste: so strukturieren Sie die Umsetzung

Für den Einstieg hat sich diese Reihenfolge bewährt:

  • 1. Betroffenheit prüfen: Sektor, Unternehmensgröße und Rolle in der Lieferkette bewerten – im Zweifel rechtlich absichern.
  • 2. Verantwortung verankern: Zuständigkeiten auf Leitungsebene festlegen, Budget und Berichtsweg klären.
  • 3. Bestandsaufnahme: Kritische Prozesse, Systeme und Dienstleister erfassen – die Grundlage für Risikoanalyse und Prioritäten.
  • 4. Lücken zu den zehn Maßnahmen schließen: Gap-Analyse gegen den Artikel-21-Katalog; zuerst Incident-Response, Business Continuity und Meldewege.
  • 5. Notfallhandbuch und Krisenorganisation aufbauen: Rollen, Wiederanlaufpläne, Szenario-Checklisten und Kommunikationsvorlagen – getestet, nicht nur dokumentiert.
  • 6. Nachweise organisieren: Umsetzung, Übungen und Änderungen revisionssicher dokumentieren – ein Compliance-Dashboard zeigt den Stand auf einen Blick.

Häufige Fragen

Betrifft NIS2 auch kleine Unternehmen?

Direkt meist erst ab 50 Beschäftigten oder 10 Millionen Euro Umsatz in einem der 18 Sektoren – mit Ausnahmen für besonders kritische Bereiche. Indirekt aber häufig ja: Betroffene Kunden müssen ihre Lieferkette absichern und geben Anforderungen an kleinere Zulieferer weiter.

Welche Strafen drohen bei Verstößen?

Die Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor (7 Millionen bzw. 1,4 Prozent für wichtige). Hinzu kommt die persönliche Verantwortung der Geschäftsleitung.

Womit sollte man bei der NIS2-Umsetzung anfangen?

Mit dem, was im Ernstfall sofort trägt und zugleich Pflicht ist: Vorfallbewältigung, Business Continuity und Meldewege – also Krisenorganisation und Notfallhandbuch. Diese Bausteine liefern den schnellsten Risiko- und Compliance-Gewinn; die übrigen Maßnahmen folgen aus der Gap-Analyse.

Reicht eine ISO-27001-Zertifizierung für NIS2?

Sie deckt viele Anforderungen ab, ersetzt die NIS2-Pflichten aber nicht vollständig – insbesondere Registrierung, Meldepflichten und die spezifischen Business-Continuity-Anforderungen bleiben eigenständig nachzuweisen. ISO 27001 ist eine sehr gute Basis, kein Freifahrtschein.

Weiterlesen
Notfallhandbuch für Unternehmen: Inhalte, Aufbau und Pflege
Krisenmanagement im Mittelstand: Phasen, Rollen und Werkzeuge
IT-Notfallplan erstellen: Aufbau, Inhalte und typische Fehler
BSI-Standard 200-4 umsetzen: Business Continuity Schritt für Schritt

Vom Ratgeber zum eigenen Notfallhandbuch.

PlanB führt Schritt für Schritt durch alle Bausteine – von Rollen und Wiederanlaufplänen bis zu Szenario-Checklisten und Compliance-Nachweisen.

Kostenlos starten Funktionen ansehen info@arento.ai