NIS2 Checkliste — 20 Punkte die Sie sofort abhaken müssen
Letzte Aktualisierung: 23. März 2026
Die NIS2 Checkliste umfasst 20 priorisierte Maßnahmen in 4 Phasen, die betroffene Unternehmen zur Erfüllung von Art. 21 der Richtlinie (EU) 2022/2555 umsetzen müssen. Ausgangspunkt sind 10 Mindestmaßnahmen, mehr als 29.000 potenziell betroffene Unternehmen in Deutschland und die praktische Frage, in welcher Reihenfolge Sie Governance, Technik, Prozesse und Nachweise belastbar aufbauen.
Die operative Kurzantwort lautet: Starten Sie nicht mit einem Großprojekt, sondern mit einer belastbaren Reihenfolge. Erst prüfen Sie die Betroffenheit, benennen Verantwortliche und schaffen Transparenz über Systeme, Risiken und Managementpflichten. Danach folgen Richtlinien, Meldewege, Business Continuity, Lieferkettenkontrollen und Zugriffsschutz. In einer dritten Phase setzen Sie vertiefende technische und organisatorische Maßnahmen um. Abschließend prüfen Sie Wirksamkeit, üben den Ernstfall, schließen Dokumentationslücken und bereiten die Kommunikation mit dem BSI vor. Für die regulatorische Basis lesen Sie ergänzend die Beiträge zu NIS2 Anforderungen nach Artikel 21, zum NIS2 Implementierung Fahrplan, zur NIS2 Betroffenheit prüfen, zu NIS2 für Geschäftsführer und zur NIS2 Meldepflicht in 24 Stunden.
Die folgende Tabelle gibt Ihnen eine kompakte NIS2 Maßnahmen Liste für die operative Steuerung. Nutzen Sie die Spalte Status als internes Arbeitsboard für Ihre NIS2 To-do-Liste.
| Nr. | Maßnahme | Phase | Priorität | Status |
|---|---|---|---|---|
| 1 | Betroffenheitscheck durchführen | Phase 1 | Sehr hoch | Offen |
| 2 | Verantwortlichkeiten festlegen | Phase 1 | Sehr hoch | Offen |
| 3 | Asset-Inventar aufbauen | Phase 1 | Sehr hoch | Offen |
| 4 | Risikobewertung dokumentieren | Phase 1 | Sehr hoch | Offen |
| 5 | Geschäftsleitung informieren und Schulung planen | Phase 1 | Sehr hoch | Offen |
| 6 | Informationssicherheitsrichtlinie verabschieden | Phase 2 | Hoch | Offen |
| 7 | Meldeprozesse nach Art. 23 definieren | Phase 2 | Hoch | Offen |
| 8 | Business-Continuity-Plan erstellen | Phase 2 | Hoch | Offen |
| 9 | Lieferketten-Sicherheit steuern | Phase 2 | Hoch | Offen |
| 10 | MFA und Zugangskontrollen ausrollen | Phase 2 | Hoch | Offen |
| 11 | Kryptografie-Konzept umsetzen | Phase 3 | Mittel bis hoch | Offen |
| 12 | Schwachstellenmanagement etablieren | Phase 3 | Hoch | Offen |
| 13 | Cyberhygiene-Schulungen durchführen | Phase 3 | Hoch | Offen |
| 14 | Personalsicherheit absichern | Phase 3 | Mittel | Offen |
| 15 | Secure Development Lifecycle verankern | Phase 3 | Mittel | Offen |
| 16 | Wirksamkeitsprüfung definieren | Phase 4 | Hoch | Offen |
| 17 | Incident-Response-Übung durchführen | Phase 4 | Hoch | Offen |
| 18 | Dokumentation konsolidieren | Phase 4 | Hoch | Offen |
| 19 | Interne Audits planen | Phase 4 | Mittel bis hoch | Offen |
| 20 | BSI-Registrierung vorbereiten | Phase 4 | Hoch | Offen |
NIS2 Checkliste — 20 Punkte für Ihre Compliance
Diese NIS2 Checkliste priorisiert nicht nur Maßnahmen, sondern auch die Reihenfolge, in der Sie begrenzte Ressourcen sinnvoll einsetzen. Gemäß Art. 21 Abs. 1 und Abs. 2 der Richtlinie (EU) 2022/2555 müssen betroffene Einrichtungen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen treffen, um Risiken für Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Die Richtlinie nennt dafür keine starre Einheitsvorlage, sondern einen risikobasierten Maßnahmenkatalog.
Für die Praxis bedeutet das: Ihre NIS2 Compliance Checkliste muss gleichzeitig drei Fragen beantworten. Erstens: Sind wir überhaupt betroffen und in welchem Umfang? Zweitens: Welche Mindestmaßnahmen fehlen uns heute noch? Drittens: Wie dokumentieren wir Entscheidungen, Umsetzungsstände und Nachweise so, dass Management, Revision und Aufsicht sie nachvollziehen können? Genau deshalb ist eine priorisierte NIS2 Anforderungen Checkliste wertvoller als eine unstrukturierte Sammlung einzelner Controls.
Wichtig ist außerdem die Governance-Perspektive. Art. 20 NIS2 verpflichtet Leitungsorgane, Cyber-Risikomaßnahmen zu billigen, ihre Umsetzung zu überwachen und selbst Schulungen zu absolvieren. Die Geschäftsleitung ist also nicht nur Empfänger eines IT-Reports, sondern Teil der Umsetzungsarchitektur. Wenn Sie diese Verantwortung vertiefen möchten, finden Sie im Beitrag zu NIS2 für Geschäftsführer die Management-Sicht auf Haftung, Aufsicht und Schulungspflichten.
Die folgenden 20 Punkte sind deshalb als Arbeitsliste für zwölf Monate aufgebaut. Sie ersetzen keine individuelle Rechtsberatung, geben Ihnen aber eine belastbare NIS2 Umsetzung Schritte-Logik an die Hand: erst Klarheit, dann Grundlagen, dann Umsetzung, dann Prüfung und Optimierung. Jeder Punkt endet mit einem konkreten Deliverable, damit aus Pflichten operativ greifbare Ergebnisse werden.
Phase 1: Sofort starten (Monat 1-2)
1. Betroffenheitscheck durchführen. Prüfen Sie zuerst, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung in den Anwendungsbereich fällt und welche Dienstleistungen, Standorte oder Konzerngesellschaften erfasst sind. Ohne diese Einordnung bleiben Prioritäten, Meldewege und Ressourceneinsatz unscharf; als Einstieg hilft der Leitfaden zur NIS2 Betroffenheit prüfen. Deliverable: Schriftliche Betroffenheitsanalyse mit Begründung, Sektorzuordnung und Ansprechpartnern.
2. Verantwortlichkeiten für Informationssicherheit festlegen. Benennen Sie eine verantwortliche Funktion für Informationssicherheit, etwa CISO, ISB oder IT-Leitung, und legen Sie Berichtslinien, Stellvertretungen und Eskalationswege fest. NIS2 verlangt kein bestimmtes Organigramm, aber klare Zuständigkeiten für Risiko, Maßnahmensteuerung und Vorfallkoordination. Deliverable: Rollenmatrix mit Verantwortlichkeiten, Stellvertretungen und Reporting an die Geschäftsleitung.
3. Asset-Inventar aufbauen. Erfassen Sie kritische Systeme, Anwendungen, Daten, Cloud-Dienste, Standorte, Lieferanten und privilegierte Konten. Ein unvollständiges Inventar verhindert belastbare Risikoanalysen, Wiederanlaufpläne und Schwachstellenmanagement, weil Sie weder Schutzobjekte noch Abhängigkeiten sauber kennen. Deliverable: Zentrales Asset-Register mit Kritikalität, Eigentümer und Abhängigkeiten.
4. Risikobewertung dokumentieren. Führen Sie eine erste Risikobewertung für die wichtigsten Geschäftsprozesse, Systeme und Bedrohungen durch, beispielsweise Ransomware, Ausfall von Cloud-Diensten, Lieferantenvorfall oder Kontoübernahme. Gemäß Art. 21 Abs. 2 Buchst. a NIS2 ist Risikoanalyse die Grundlage aller weiteren Maßnahmen, nicht ein optionaler Formalakt. Deliverable: Risiko-Matrix mit Eintrittswahrscheinlichkeit, Auswirkung, Verantwortlichem und priorisierten Maßnahmen.
5. Geschäftsleitung informieren und Schulung planen. Informieren Sie die Geschäftsführung früh über Betroffenheit, Prioritäten, Ressourcenbedarf und die eigene Pflicht zur Überwachung und Schulung. Art. 20 Abs. 2 NIS2 verlangt ausdrücklich Management-Schulungen; warten Sie damit nicht bis zur Schlussphase, sondern planen Sie sie von Beginn an. Deliverable: Management-Briefing, Beschlussprotokoll und Terminplan für die Schulung der Leitungsebene.
Die ersten zwei Monate entscheiden darüber, ob Ihr NIS2-Projekt steuerbar wird oder in Einzelmaßnahmen zerfällt. Wenn diese fünf Punkte sauber abgeschlossen sind, haben Sie bereits die Kernbausteine für eine belastbare GAP-Analyse, einen realistischen Ressourceneinsatz und eine prüfbare Management-Governance. Ohne diese Grundlage laufen spätere technische Investitionen Gefahr, am falschen Risiko oder am falschen Scope anzusetzen.
Phase 2: Grundlagen schaffen (Monat 3-6)
6. Informationssicherheitsrichtlinie verabschieden. Erstellen oder aktualisieren Sie eine übergeordnete IS-Richtlinie, die Sicherheitsziele, Geltungsbereich, Rollen, Grundprinzipien und Freigabeprozesse festhält. Die Richtlinie ist kein Selbstzweck, sondern das formale Dach für Zugriffsschutz, Incident Handling, Lieferantensteuerung, Backup und Schulungen. Deliverable: Freigegebene Informationssicherheitsrichtlinie mit Versionsstand und Review-Termin.
7. Meldeprozesse nach Art. 23 definieren. Legen Sie fest, wie erhebliche Vorfälle erkannt, bewertet, eskaliert und gemeldet werden, einschließlich 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht. Für die operative Ausgestaltung sollten Sie die Anforderungen aus dem Beitrag zur NIS2 Meldepflicht in 24 Stunden mit Ihren internen Alarm- und Freigabeketten verbinden. Deliverable: Incident- und Meldeprozess mit Fristenlogik, Rollen, Vorlagen und Kontaktliste.
8. Business-Continuity-Plan erstellen. Art. 21 Abs. 2 Buchst. c NIS2 nennt Business Continuity, Backup Management, Disaster Recovery und Krisenmanagement ausdrücklich als Mindestmaßnahmen. Deshalb müssen Sie definieren, welche Prozesse kritisch sind, welche Wiederanlaufzeiten gelten und welche Notbetriebsverfahren im Ernstfall greifen. Deliverable: BCP mit priorisierten Prozessen, RTO/RPO, Notfallkontakten und Restore-Strategie.
9. Lieferketten-Sicherheit steuern. Prüfen Sie kritische Dienstleister, Softwareanbieter, Managed Services und Cloud-Partner auf Sicherheitsanforderungen, Meldefristen, Subunternehmer und Datenstandorte. Gemäß Art. 21 Abs. 2 Buchst. d NIS2 gehört die Sicherheit der Lieferkette ausdrücklich zum Maßnahmenkatalog; der Vertiefungsbeitrag zu NIS2 Anforderungen nach Artikel 21 ordnet diese Pflicht systematisch ein. Deliverable: Lieferantenregister mit Risikoklassifizierung, Fragebogen und Vertragsanforderungen.
10. MFA und Zugangskontrollen ausrollen. Setzen Sie Multi-Faktor-Authentifizierung für E-Mail, VPN, Administratorzugänge und zentrale Cloud-Systeme durch und überprüfen Sie Joiner-Mover-Leaver-Prozesse sowie Berechtigungen. Zugriffssicherheit ist ein schneller Hebel gegen Kontoübernahmen und gehört funktional zu Art. 21 Abs. 2 Buchst. i NIS2 über Authentifizierung und Kommunikationssicherheit. Deliverable: MFA-Rollout-Nachweis, Berechtigungsmatrix und dokumentierter JML-Prozess.
Phase 2 schafft die Grundarchitektur Ihrer NIS2 Maßnahmen Liste. Jetzt wird aus einer Betroffenheits- und Risikologik ein belastbares Mindestsystem aus Richtlinie, Reaktion, Notfallvorsorge, Lieferantensteuerung und Zugriffsschutz. Diese fünf Punkte liefern außerdem die Dokumente, die in Prüfungen oder Kundenanforderungen häufig zuerst angefragt werden.
Phase 3: Maßnahmen umsetzen (Monat 6-9)
11. Kryptografie-Konzept umsetzen. Gemäß Art. 21 Abs. 2 Buchst. h NIS2 müssen Unternehmen den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung angemessen regeln. Prüfen Sie deshalb Endgeräte, mobile Datenträger, Backup-Speicher, E-Mail, Datenübertragung und besonders schützenswerte Datenbestände auf Verschlüsselungsstatus und Mindeststandards. Deliverable: Kryptografie- und Verschlüsselungsrichtlinie mit Systeminventar und Umsetzungsstatus.
12. Schwachstellenmanagement etablieren. Führen Sie einen wiederkehrenden Prozess für Patches, Scans, Priorisierung, Tests und Nachverfolgung ein. Art. 21 Abs. 2 Buchst. e und f NIS2 adressieren Sicherheitsaspekte bei Beschaffung, Entwicklung und Wartung sowie Verfahren zur Bewertung der Wirksamkeit; ohne Schwachstellenmanagement bleibt beides lückenhaft. Deliverable: Patch- und Vulnerability-Prozess mit Patchkalender, Scan-Report und Maßnahmenlog.
13. Cyberhygiene-Schulungen durchführen. Setzen Sie wiederkehrende Schulungen für Mitarbeitende, Schlüsselrollen und Management um, statt nur einmalige Awareness-Folien zu versenden. Art. 21 Abs. 2 Buchst. g NIS2 nennt grundlegende Cyberhygiene und Cybersicherheitsschulungen ausdrücklich; vertiefend lohnt sich der Beitrag NIS2 Cyberhygiene und Schulungen. Deliverable: Schulungsplan, Teilnehmernachweise, Inhalte, Lernkontrollen und Management-Training.
14. Personalsicherheit absichern. Regeln Sie Onboarding, Offboarding, Vertraulichkeit, Berechtigungswechsel, Hintergrund der Rollenfreigaben und Mindestpflichten bei externen Mitarbeitenden. Personalsicherheit steht zwar nicht als einzelnes Schlagwort in Art. 21 Abs. 2, ist aber praktische Voraussetzung für Zugriffskontrollen, Cyberhygiene und die Steuerung menschlicher Risiken. Deliverable: Personal-Sicherheitsprozess mit Onboarding-/Offboarding-Checklisten und Vertraulichkeitsregeln.
15. Secure Development Lifecycle verankern. Wenn Sie eigene Software, Schnittstellen, Portale oder Automatisierungen betreiben, müssen Sicherheitsanforderungen in Entwicklung, Test, Deployment und Wartung eingebaut sein. Art. 21 Abs. 2 Buchst. e NIS2 erfasst Sicherheitsaspekte bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Schwachstellenbehandlung. Deliverable: SDLC-Standard mit Sicherheitsanforderungen, Code-Review-Regeln, Testpflichten und Freigabekriterien.
Phase 3 ist der Übergang von der NIS2 To-do-Liste in den operativen Regelbetrieb. An dieser Stelle wird sichtbar, ob Sicherheitsmaßnahmen nicht nur beschlossen, sondern technisch und organisatorisch verankert werden. Gerade Schulungen, Kryptografie und Schwachstellenmanagement erzeugen hier schnell prüfbare Nachweise, wenn Sie Teilnahme, Konfigurationen, Logs und Abweichungen konsequent dokumentieren.
Phase 4: Prüfen und Optimieren (Monat 9-12)
16. Wirksamkeitsprüfung definieren. Legen Sie Kennzahlen und Prüfmethoden fest, etwa MFA-Abdeckung, Patch-Quote, Restore-Erfolg, Schulungsstatus, Vorfallzeiten oder offene Hochrisiko-Schwachstellen. Art. 21 Abs. 2 Buchst. f NIS2 verlangt Verfahren zur Bewertung der Wirksamkeit von Cyber-Risikomanagementmaßnahmen; ohne Metriken bleibt diese Pflicht bloße Behauptung. Deliverable: KPI-Set mit Messmethode, Zielwerten, Review-Takt und Management-Reporting.
17. Incident-Response-Übung durchführen. Testen Sie den Ernstfall mit einer Tabletop-Übung oder Simulation zu Ransomware, Lieferantenausfall oder Kontoübernahme. Eine Übung zeigt, ob Eskalation, Meldefristen, Management-Einbindung und Wiederherstellung wirklich funktionieren, und ergänzt den operativen Rahmen aus dem NIS2 Implementierung Fahrplan. Deliverable: Übungsszenario, Teilnehmerliste, Ergebnisprotokoll und Maßnahmenplan aus Lessons Learned.
18. Dokumentation konsolidieren. Bündeln Sie Richtlinien, Prozesse, Inventare, Risikobewertungen, Schulungsnachweise, Auditspuren und Management-Protokolle an einem zentralen Ort mit Versionierung. In der Praxis scheitern viele NIS2-Projekte nicht an fehlenden Maßnahmen, sondern an verteilten Unterlagen ohne Freigabestand und Nachweislogik. Deliverable: Zentrale NIS2-Dokumentationsstruktur mit Index, Versionskontrolle und Verantwortlichen.
19. Interne Audits planen. Prüfen Sie systematisch, ob definierte Maßnahmen eingehalten werden, wo Abweichungen bestehen und welche Korrekturen nötig sind. Interne Audits sind kein ausdrücklicher Einzelbegriff aus Art. 21, aber ein bewährtes Mittel, um Wirksamkeit, Nachweislage und Management-Überwachung belastbar zu machen. Deliverable: Auditplan mit Prüffeldern, Auditfragen, Abweichungslog und Terminierung.
20. BSI-Registrierung vorbereiten. Stellen Sie sicher, dass Stammdaten, Ansprechpartner, betroffene Dienste, Organisationsdaten und Meldeverantwortliche für die Kommunikation mit dem BSI vollständig vorliegen. Auch wenn die genaue nationale Umsetzung laufend konkretisiert wird, sollten Sie Registrierung und Behördenschnittstelle nicht als Schlussgedanken behandeln. Deliverable: Registrierungsdossier mit Unternehmensdaten, Kontaktrollen und behördlich relevanten Informationen.
Mit Phase 4 machen Sie aus Umsetzung echte Steuerungsfähigkeit. Jetzt zeigt sich, ob Ihr Unternehmen nur einzelne NIS2 Maßnahmen eingeführt hat oder ob ein belastbares Cyber-Risikomanagementsystem entstanden ist. Wer Wirksamkeit, Übungen, Dokumentation, Audits und Registrierung vorbereitet, reduziert nicht nur Aufsichtsrisiken, sondern verbessert zugleich die operative Resilienz bei realen Sicherheitsvorfällen.
Checkliste zum Download
Die kompakte Zusammenfassung dieser NIS2 Checkliste lautet: zuerst Betroffenheit, Zuständigkeiten, Inventar, Risiko und Management klären; dann Richtlinie, Meldewege, Notfallfähigkeit, Lieferanten und MFA aufbauen; anschließend Kryptografie, Schwachstellenmanagement, Schulungen, Personalsicherheit und sicheren Entwicklungsprozess umsetzen; zum Schluss Wirksamkeit messen, üben, dokumentieren, auditieren und die BSI-Kommunikation vorbereiten.
Wenn Sie diese 20 Punkte nicht nur lesen, sondern als Arbeitsgrundlage in Ihr ISMS, Projektboard oder Management-Reporting übernehmen möchten, ist eine strukturierte Schulung der schnellste Hebel. Die Inhalte aus Art. 20 und Art. 21 werden erst dann wirksam, wenn Verantwortliche, Fachbereiche und Geschäftsleitung dieselbe Prioritätenlogik teilen. Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Was sind die wichtigsten NIS2-Maßnahmen die ich sofort umsetzen muss?
Die wichtigsten Sofortmaßnahmen sind Betroffenheitscheck, klare Zuständigkeiten, Asset-Inventar, Risikobewertung und die frühe Einbindung der Geschäftsleitung. Diese fünf Punkte schaffen die Grundlage, um die weiteren NIS2 Maßnahmen überhaupt in der richtigen Reihenfolge und mit belastbaren Nachweisen umzusetzen.
Wie lange dauert die vollständige NIS2-Implementierung?
Ein realistischer Zeitraum für mittelständische Unternehmen liegt meist bei neun bis zwölf Monaten. Einzelne Quick Wins wie MFA, Meldewege oder Management-Briefings gehen schneller, aber Business Continuity, Lieferketten-Sicherheit, Schulungsprogramm und interne Audits brauchen erfahrungsgemäß mehrere Iterationen.
Brauche ich einen CISO für NIS2-Compliance?
Sie brauchen keine zwingend so benannte Vollzeitrolle, aber Sie brauchen eine klar benannte Verantwortlichkeit für Informationssicherheit und Berichtslinien zur Geschäftsleitung. Entscheidend ist nicht der Titel, sondern dass Zuständigkeit, Entscheidungsrechte, Eskalationsweg und Stellvertretung dokumentiert sind.
Kann ich NIS2-Compliance ohne externe Berater erreichen?
Ja, wenn Ihr Unternehmen intern genügend Fachwissen, Zeit und Management-Unterstützung hat. Externe Unterstützung ist besonders sinnvoll für Betroffenheitsprüfung, GAP-Analyse, rechtliche Einordnung, Incident-Übungen, OT-Themen oder bei fehlender interner Informationssicherheitsfunktion.
Welche NIS2-Maßnahmen haben die höchste Priorität?
Die höchste Priorität haben Maßnahmen mit unmittelbarer Wirkung auf Governance und Reaktionsfähigkeit: Risikoanalyse, Incident Handling, Zugriffsschutz mit MFA, Backup- und Wiederanlaufplanung sowie Schulungen. Genau diese Bausteine reduzieren das Risiko früher und schaffen zugleich die wichtigsten Nachweise.