NIS2 Implementierung — Der 12-Monats-Fahrplan
Letzte Aktualisierung: 23. März 2026
Die NIS2 Implementierung umfasst einen strukturierten 12-Monats-Fahrplan in vier Phasen, damit Unternehmen die 10 Mindestmaßnahmen aus Art. 21 der Richtlinie (EU) 2022/2555 geordnet umsetzen, Meldeprozesse nach Art. 23 aufbauen und ihre Leitungsverantwortung nach Art. 20 nachweisbar erfüllen. Für deutsche Unternehmen ist das relevant, weil seit dem 6. Dezember 2025 das neue BSIG gilt, rund 29.000 betroffene Unternehmen erfasst werden und das BSI Registrierung, Aufsicht und Meldeprozesse bündelt.
Die praktische Konsequenz lautet: Nicht mit Einzelmaßnahmen beginnen, sondern mit einem Fahrplan, der Bestandsaufnahme, Governance, technische Umsetzung und Auditvorbereitung verbindet. Genau daran scheitern viele Projekte. Wer zuerst nur Tools einkauft, aber Betroffenheit, Risikoanalyse, Verantwortlichkeiten und Meldeketten offenlässt, erzeugt Kosten ohne belastbare Compliance. Wenn Sie zunächst prüfen müssen, ob Ihr Unternehmen überhaupt in den Anwendungsbereich fällt, beginnen Sie mit der Anleitung NIS2-Betroffenheit prüfen und ergänzen Sie anschließend die operative Planung mit der NIS2-Checkliste.
Die folgende Tabelle zeigt einen pragmatischen 12-Monats-Plan für KMU und größere Mittelständler. Der Fahrplan ist bewusst nicht theoretisch, sondern auf Deliverables ausgerichtet, die Sie gegenüber Geschäftsleitung, Revision, Prüfern und im Ernstfall auch gegenüber dem BSI belegen können.
| Monat | Phase | Kernaktivitäten | Deliverables |
|---|---|---|---|
| 1 | Scope und Kick-off | Betroffenheit prüfen, Sektor und Unternehmensgröße validieren, Sponsor benennen | Betroffenheitsvermerk, Projektauftrag |
| 2 | GAP-Analyse | Soll-Ist-Abgleich gegen Art. 21, Prioritäten und Budgetrahmen definieren | GAP-Report, Maßnahmenliste |
| 3 | Governance | ISMS-Struktur festlegen, Rollen definieren, Risikomethodik beschließen | Governance-Matrix, Rollenmodell |
| 4 | Risiko | Risikoanalyse, Richtlinienentwürfe, Managementfreigaben | Risikoregister, Richtlinienpaket |
| 5 | Identitäten und Zugriff | MFA, Berechtigungen, privilegierte Konten, Härtung | MFA-Rollout, Access-Control-Standard |
| 6 | Resilienz | Backup, Patch-Management, Segmentierung, Verschlüsselung | Backup-Nachweise, Patch-Prozess |
| 7 | Vorfallbehandlung | Incident-Response-Plan, Eskalationsstufen, Kommunikationswege | IR-Plan, Eskalationsmatrix |
| 8 | Meldepflicht | 24h-/72h-/30d-Prozess, BSI-Portal, Tabletop-Übung | Meldeleitfaden, Übungsprotokoll |
| 9 | Lieferkette | Lieferantenklassifizierung, Sicherheitsanforderungen, Vertragsanpassungen | Lieferantenregister, Klauselset |
| 10 | Schulungen | Geschäftsleitungsschulung, Awareness, Rollentrainings | Schulungsnachweise, Trainingsplan |
| 11 | Audit | Interne Prüfung, Wirksamkeitskontrolle, Restlücken schließen | Auditbericht, Maßnahmen-Backlog |
| 12 | Verstetigung | Registrierung, Dokumentation, KPI-Review, KVP | Registrierungsnachweis, Jahresplan |
Dieser Ablauf ersetzt keine juristische Einzelfallprüfung, schafft aber die richtige Reihenfolge. Für die inhaltlichen Mindestmaßnahmen lohnt zusätzlich der Überblick zu den NIS2-Anforderungen nach Artikel 21 und für Fristen die Einordnung zu NIS2-Fristen und Deadlines 2026.
Monat 1-2: Bestandsaufnahme und Planung
Die ersten zwei Monate entscheiden darüber, ob Ihre NIS2 Implementierung später geordnet oder hektisch verläuft. Der erste Schritt ist kein Maßnahmenkatalog, sondern ein belastbarer Betroffenheitscheck. Maßgeblich sind Größe, Umsatzschwellen, Sektorzuordnung und die Einordnung als besonders wichtige oder wichtige Einrichtung nach § 28 BSIG. Unternehmen sollten diese Entscheidung dokumentieren, weil genau hier häufig spätere Diskussionen mit Management, Lieferanten oder Prüfern beginnen.
Direkt danach folgt die GAP-Analyse gegen Art. 21 NIS2. Praktisch heißt das: Sie prüfen systematisch, welche organisatorischen, technischen und prozessualen Maßnahmen bereits vorhanden sind und welche Lücken noch bestehen. Dazu gehören Governance, Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Sicherheitsrichtlinien, Kryptografie, Zugriffsmanagement, Schwachstellenbehandlung und Awareness. Wer bereits ISO 27001-Strukturen nutzt, kann große Teile wiederverwenden. Wer noch kein ISMS hat, sollte nicht versuchen, alle Maßnahmen parallel zu starten, sondern die größten Risiken und schnellsten Quick Wins priorisieren.
In dieser Phase muss außerdem das Projektteam stehen. Für ein mittelständisches Unternehmen genügt meist ein kleines Kernteam aus Geschäftsführung, IT-Leitung, Compliance oder Datenschutz, operativer Security-Verantwortung und gegebenenfalls Einkauf oder Recht. Entscheidend ist nicht die Teamgröße, sondern die Klarheit der Rollen. Die Geschäftsleitung muss als Sponsor eingebunden werden, weil Art. 20 NIS2 die Billigung und Überwachung der Risikomanagementmaßnahmen ausdrücklich auf Leitungsebene verankert. Ohne diesen Sponsor werden später Budget, Priorisierung und Eskalationen unnötig zäh.
Ebenso wichtig ist ein realistisches Budget. Viele Unternehmen kalkulieren nur Technik ein und übersehen internen Personalaufwand, Richtlinienarbeit, Auditvorbereitung und Schulungen. Sinnvoll ist daher ein Grobbudget nach Arbeitspaketen: Governance und Dokumentation, technische Nachrüstung, externe Beratung, Schulungen und Auditreserve. Diese erste Budgetfreigabe muss nicht perfekt sein, aber sie muss den nächsten 12 Monaten einen verbindlichen Rahmen geben.
Die zentralen Deliverables in Monat 1 und 2 sind ein schriftlicher GAP-Report, ein priorisierter Projektplan mit Meilensteinen, eine Verantwortlichkeitsmatrix und eine Managemententscheidung zur Finanzierung. Wenn diese vier Dokumente fehlen, ist Ihre NIS2 Implementierung kein Programm, sondern nur eine lose Sammlung guter Absichten. Als operative Vorarbeit helfen die Beiträge NIS2-Betroffenheit prüfen und NIS2-Checkliste, weil sie die Scope-Fragen und Basisanforderungen strukturiert vorbereiten.
Monat 3-4: Governance und Risikomanagement
Monat 3 und 4 übersetzen die Erkenntnisse aus der Bestandsaufnahme in ein belastbares Governance-Modell. Der Kern ist ein pragmatisches Informationssicherheitsmanagementsystem, das Verantwortlichkeiten, Entscheidungswege, Freigaben und Review-Zyklen festlegt. NIS2 verlangt kein bestimmtes Normenlabel, wohl aber geeignete und verhältnismäßige Risikomanagementmaßnahmen. Deshalb ist entscheidend, dass Ihr ISMS nicht nur formal existiert, sondern tatsächlich Steuerungswirkung entfaltet.
Im ersten Schritt definieren Sie Rollen. Typischerweise braucht das Unternehmen eine benannte Verantwortlichkeit für Informationssicherheit, häufig als CISO, ISB oder Security Lead. Daneben müssen Geschäftsleitung, IT-Betrieb, Datenschutz, HR, Fachbereiche und Einkauf wissen, welche Aufgaben sie tragen. Besonders wichtig ist die Trennung zwischen Governance und operativer Umsetzung: Die Geschäftsleitung trifft Grundsatzentscheidungen und überwacht, die Fachfunktionen setzen um und berichten regelmäßig.
Parallel dazu wird die Risikomethodik festgelegt. Sie brauchen kein überkomplexes Punktesystem, aber ein konsistentes Verfahren zur Identifikation, Bewertung, Behandlung und Nachverfolgung von Risiken. Für KMU funktioniert häufig ein Modell mit Eintrittswahrscheinlichkeit, Auswirkung, vorhandenen Kontrollen und Maßnahmenstatus. Wichtig ist, dass Cyberrisiken nicht nur technisch, sondern auch geschäftsbezogen betrachtet werden: Welche Dienste sind kritisch, welche Lieferanten sind Single Points of Failure, welche Ausfälle würden erhebliche Schäden verursachen?
Auf dieser Basis entstehen die ersten Richtlinien. Dazu zählen mindestens eine übergreifende Informationssicherheitsrichtlinie, eine Risiko-Policy, Vorgaben zu Zugriffen und Berechtigungen, Regeln für Backup und Wiederherstellung, Patch-Management, Incident Handling und gegebenenfalls mobile Arbeit oder Cloud-Nutzung. Diese Richtlinien müssen freigegeben, kommuniziert und versioniert werden. Ein PDF im Sharepoint ohne Managementbilligung und ohne Umsetzungsbezug reicht nicht.
Die Deliverables am Ende von Monat 4 sind ein freigegebenes Rollenmodell, ein dokumentiertes Risikoregister, eine priorisierte Maßnahmen-Roadmap und ein Richtlinienpaket mit Eigentümern und Review-Terminen. Wer in dieser Phase sauber arbeitet, erleichtert die folgenden Monate erheblich. Wer Governance auslässt, wird später technische Maßnahmen zwar einführen, aber weder steuern noch auditfest belegen können. Inhaltlich vertieft der Beitrag NIS2-Anforderungen nach Artikel 21 genau diese Mindestmaßnahmen und ihre praktische Priorisierung.
Monat 5-6: Technische Maßnahmen
Monat 5 und 6 sind die Phase, in der NIS2 im Betriebsalltag sichtbar wird. Jetzt werden die priorisierten technischen Basiskontrollen umgesetzt, die Risiken senken und zugleich prüfbare Nachweise erzeugen. Die Reihenfolge ist wichtig: Beginnen Sie mit Kontrollen, die hohe Wirksamkeit bei überschaubarem Aufwand haben und mehrere Anforderungen zugleich adressieren.
An erster Stelle steht in vielen Unternehmen Multi-Faktor-Authentifizierung. Administratorenkonten, E-Mail, VPN, Cloud-Dienste und Remote-Zugänge sollten zuerst abgesichert werden. MFA ist kein vollständiges Sicherheitskonzept, verhindert aber viele einfache Kompromittierungen und erhöht die Nachvollziehbarkeit im Incident-Fall erheblich. Parallel dazu sollte das Berechtigungsmodell überprüft werden: privilegierte Konten, verwaiste Zugänge, gemeinsame Accounts und fehlende Offboarding-Prozesse sind in Audits regelmäßig auffällige Schwachstellen.
Das zweite große Arbeitspaket ist Backup und Wiederherstellung. NIS2 denkt Resilienz nicht nur als Prävention, sondern ausdrücklich auch als Business Continuity und Wiederanlauf. Deshalb reichen tägliche Sicherungen allein nicht aus. Sie brauchen Wiederherstellungstests, klare RTO- und RPO-Ziele, getrennte Aufbewahrung, Schutz vor Manipulation und eine dokumentierte Restore-Reihenfolge für kritische Systeme. Ein Backup ist erst dann belastbar, wenn es praktisch getestet wurde.
Drittes Kernpaket ist Netzwerk- und Systemhärtung. Dazu gehören Segmentierung sensibler Bereiche, Abschottung privilegierter Admin-Pfade, Patch-Management mit definierten Fristen, Schwachstellen-Scanning, sichere Konfigurationen und wo sinnvoll Verschlüsselung ruhender und übertragener Daten. Art. 21 verlangt angemessene technische und organisatorische Maßnahmen; in der Praxis heißt das, bekannte kritische Schwachstellen zügig zu behandeln und zentrale Infrastrukturen nicht monolithisch offen zu betreiben.
Für KMU ist ein pragmatischer Ansatz sinnvoll: nicht sofort jedes Spezialtool beschaffen, sondern zuerst den Sicherheitsnutzen der bestehenden Plattformen heben. Microsoft- oder Google-Umgebungen, Firewalls, Endpoint-Schutz und MDM-Systeme bieten oft bereits Funktionen, die nur nicht konsequent aktiviert oder dokumentiert wurden. Genau diese Aktivierung und Standardisierung ist häufig der schnellste Weg zur wirksamen Verbesserung.
Die Deliverables für Monat 5 und 6 sind ein nachweisbarer MFA-Rollout, dokumentierte Backup- und Restore-Tests, ein verbindlicher Patch-Prozess, eine Zielarchitektur für Segmentierung und eine Liste geschlossener Hochrisiko-Lücken. Diese Maßnahmen schaffen Substanz. Ohne sie bleibt die NIS2 Implementierung auf Policy-Ebene hängen. Für die zeitliche Priorisierung einzelner Maßnahmen eignet sich ergänzend die NIS2-Checkliste, weil sie Governance und Technik in eine sinnvolle Reihenfolge bringt.
Monat 7-8: Incident Response und Meldeprozesse
Monat 7 und 8 verbinden technische Resilienz mit regulatorischer Handlungsfähigkeit. Genau hier wird aus Sicherheitsorganisation echte NIS2-Compliance, denn Art. 23 verlangt eine belastbare Meldearchitektur für erhebliche Sicherheitsvorfälle. Unternehmen müssen daher nicht nur Vorfälle erkennen, sondern auch intern qualifizieren, eskalieren, entscheiden, dokumentieren und fristgerecht melden können.
Der erste Deliverable in dieser Phase ist ein Incident-Response-Plan. Dieser Plan beschreibt Rollen, Eskalationsstufen, Schweregrade, technische Sofortmaßnahmen, Kommunikationswege, Beweissicherung, Wiederherstellung und Nachbereitung. Besonders wichtig ist, dass der Plan nicht nur die IT adressiert. Auch Geschäftsleitung, Recht, Datenschutz, Kommunikation und gegebenenfalls externe Forensik oder Cyberversicherung müssen mitgedacht werden. Ein guter Incident-Response-Plan beantwortet die erste Stunde nach einem Vorfall, nicht nur die Theorie des Krisenmanagements.
Der zweite Kernbaustein ist die Meldeprozesskette. Nach Art. 23 NIS2 besteht sie typischerweise aus Frühwarnung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden und Abschlussbericht nach einem Monat. Für Deutschland müssen Unternehmen die operative Anbindung an das BSI mitdenken, einschließlich Registrierungsstatus, Meldeverantwortlichen und interner Freigabeschritte. Wenn Sie die Meldepflichten strukturiert aufbereiten möchten, ist der Beitrag NIS2-Meldepflicht in 24 Stunden der passende Deep Dive.
Wesentlich ist außerdem die Kommunikationsplanung. Nicht jeder Vorfall ist meldepflichtig, aber jeder erhebliche Vorfall erzeugt internen und externen Kommunikationsbedarf. Deshalb sollten Sie Vorlagen für Erstbewertung, Management-Update, Kundenkommunikation und Behördenkontakt vorbereiten. Parallel dazu muss die Verzahnung mit anderen Pflichten geprüft werden, etwa mit Datenschutzmeldungen oder vertraglichen Informationspflichten gegenüber Kunden und Dienstleistern.
In Monat 8 sollte mindestens eine Tabletop-Übung stattfinden. Ziel ist nicht Perfektion, sondern das Aufdecken organisatorischer Lücken: Fehlen Kontaktlisten? Ist unklar, wann die 24-Stunden-Uhr startet? Gibt es Konflikte zwischen IT und Management? Muss das Kommunikationsfreigabeverfahren verschlankt werden? Genau diese Erkenntnisse machen aus einem schönen Dokument einen nutzbaren Prozess.
Die Deliverables dieser Phase sind ein freigegebener Incident-Response-Plan, eine Eskalationsmatrix, ein Meldeleitfaden mit 24h-, 72h- und 30-Tage-Logik, hinterlegte BSI-Kontakte und ein Übungsprotokoll mit Verbesserungsmaßnahmen. Für die operative Detailtiefe empfehlen sich ergänzend NIS2-Meldepflicht in 24 Stunden und der Beitrag zur Geschäftsleitungsschulung unter NIS2, weil Meldefähigkeit ohne Leitungsbeteiligung in der Praxis selten funktioniert.
Monat 9-10: Lieferkette und Schulungen
Monat 9 und 10 verschieben den Fokus von der internen Schutzwirkung auf Abhängigkeiten und Menschen. Art. 21 Abs. 2 NIS2 nennt ausdrücklich die Sicherheit der Lieferkette sowie grundlegende Cyberhygiene und Schulungen. Genau deshalb endet NIS2 nicht an der Firewall. Unternehmen müssen prüfen, welche externen IT- und Betriebsdienstleister kritische Funktionen beeinflussen und wie sie deren Sicherheitsreife steuern.
Der erste Schritt ist eine Lieferantenklassifizierung. Nicht jeder Anbieter ist gleich kritisch. Sinnvoll ist eine Einteilung in hohe, mittlere und niedrige Kritikalität, basierend auf Systemzugriff, Datenzugriff, Betriebsabhängigkeit, Substituierbarkeit und Ausfallfolgen. Besonders relevante Gruppen sind Managed Service Provider, Cloud-Anbieter, Rechenzentren, Softwareanbieter, externe Administratoren und Dienstleister mit privilegiertem Fernzugriff. Für diese Lieferanten brauchen Sie Mindestanforderungen, Sicherheitsfragebögen, Eskalationskontakte und möglichst vertragliche Regelungen zu Vorfallmeldungen, Auditunterstützung und Mindestkontrollen.
Parallel dazu läuft die Schulungsschiene. NIS2 ist kein reines IT-Projekt; die Geschäftsleitung muss ihre Aufsichts- und Billigungsverantwortung verstehen, und Mitarbeitende müssen Basisrisiken erkennen. In der Praxis bedeutet das mindestens drei Zielgruppen: Geschäftsleitung, privilegierte Rollen und allgemeine Belegschaft. Für die Geschäftsleitung sollte die Schulung Governance, Haftung, Budgetlogik, Freigaben und Eskalationspflichten abdecken. Für IT- und Security-Rollen braucht es vertiefte Inhalte zu Incident Handling, Berechtigungen, Patchen, Backup und Meldewegen. Für alle Mitarbeitenden genügen häufig Awareness-Trainings zu Phishing, Passwortsicherheit, Meldewegen und sicherem Verhalten.
Wichtig ist die Dokumentation. Schulungen sind nur dann als Nachweis belastbar, wenn Zielgruppe, Inhalte, Termine und Teilnahme dokumentiert werden. Gleiches gilt für Lieferantenprüfungen. Ein mündliches Sicherheitsgespräch mit dem wichtigsten Dienstleister ist besser als nichts, aber in einer Prüfung zählt der dokumentierte Prozess.
Die Deliverables für Monat 9 und 10 sind ein Lieferantenregister mit Kritikalitätsstufen, ein Set von Sicherheitsanforderungen und Vertragsklauseln, dokumentierte Lieferantenbewertungen, ein Management-Training und Awareness-Nachweise für Mitarbeitende. Gerade für die Leitungsverantwortung ist der Beitrag NIS2-Geschäftsleitungsschulung Pflicht relevant, weil er den Zusammenhang zwischen Billigungspflicht, Überwachung und Schulungsbedarf konkretisiert.
Monat 11-12: Audit, Dokumentation und Registrierung
Monat 11 und 12 schließen die NIS2 Implementierung nicht endgültig ab, aber sie machen sie prüfbar und verstetigen sie. Der erste Fokus liegt auf dem internen Audit. Dabei geht es nicht nur um die Frage, ob Dokumente vorhanden sind, sondern ob Maßnahmen wirksam sind. Funktioniert der Patch-Prozess tatsächlich? Sind Berechtigungsreviews durchgeführt worden? Liegen Restore-Nachweise vor? Wurde der Incident-Response-Prozess geübt? Gibt es zu kritischen Lieferanten belastbare Bewertungen?
Direkt daran schließt die Dokumentationsbereinigung an. Viele Unternehmen haben zu diesem Zeitpunkt zahlreiche Einzeldokumente, aber keine saubere Versionierung und keinen klaren Nachweisraum. Für Prüfungen ist das riskant. Deshalb sollten Richtlinien, Risikoakte, Maßnahmenpläne, Schulungsnachweise, Lieferantenbewertungen, Auditberichte, Managemententscheidungen und Registrierungsunterlagen geordnet zusammengeführt werden. Ziel ist kein Dokumentationsmuseum, sondern ein konsistentes Steuerungs- und Nachweissystem.
Ein weiterer Schwerpunkt ist die Registrierung beziehungsweise Pflege des Status beim BSI. Seit Anfang 2026 läuft die praktische Anbindung betroffener Einrichtungen über das BSI-Portal. Ob Ihr Unternehmen bereits registriert sein muss oder ob noch Nacharbeiten nötig sind, hängt von Einordnung und Status ab. In jedem Fall sollte die Verantwortung für Registrierung, Stammdatenpflege und spätere Vorfallmeldungen im Unternehmen eindeutig zugewiesen sein. Wer Fristen und Zuständigkeiten noch nicht sauber eingeordnet hat, sollte die Übersicht NIS2-Fristen und Deadlines 2026 zur letzten Validierung nutzen.
Zum Abschluss der 12 Monate braucht es außerdem einen kontinuierlichen Verbesserungsprozess. Cyberrisiken ändern sich, Lieferanten wechseln, Angriffsflächen wachsen und regulatorische Erwartungen konkretisieren sich. Deshalb sollte aus dem Projekt ein Regelbetrieb werden: mit Management-Review, jährlicher Risikoaktualisierung, Auditplan, KPI-Set und Maßnahmen-Backlog.
Die Deliverables in Monat 11 und 12 sind ein interner Auditbericht, ein Wirksamkeitsreview mit Restlücken, ein vollständiger Dokumentationsstand, klare Registrierungsnachweise beziehungsweise Zuständigkeiten und ein Jahresplan für den KVP. Erst dann ist die NIS2 Implementierung von einem Projekt in einen belastbaren Betriebsprozess überführt.
Budget-Planung: Was NIS2-Compliance kostet
Die Budget-Planung für NIS2-Compliance sollte realistisch, stufenweise und risikobasiert erfolgen. Für KMU liegt der typische Erstaufwand oft zwischen 50.000 und 200.000 EUR, wenn bereits grundlegende IT-Strukturen vorhanden sind. Die Spannweite ist groß, weil sie von Branche, Systemlandschaft, Outsourcing-Grad, Reife vorhandener Kontrollen und regulatorischer Betroffenheit abhängt. Ein Unternehmen mit dokumentierten Prozessen, Microsoft-Standardplattform und externer Security-Unterstützung startet günstiger als ein Unternehmen mit veralteter Infrastruktur, unklaren Zuständigkeiten und vielen kritischen Lieferanten.
Sinnvoll ist eine Aufteilung des Budgets in Personal, Technik, Schulung, externe Beratung und Auditreserve. Gerade der interne Aufwand wird oft unterschätzt. Wenn IT-Leitung, Compliance, Einkauf und Management über Monate Zeit in die Umsetzung investieren, ist das ein echter Kostenblock, auch wenn keine Rechnung von außen kommt. Ebenso wichtig: Nicht das ganze Budget in Tools verschieben. NIS2 scheitert in der Praxis seltener an fehlender Software als an fehlender Steuerung.
| Unternehmensgröße | Typischer Erstaufwand | Typische Kostentreiber |
|---|---|---|
| 50-100 Mitarbeitende | 50.000-90.000 EUR | GAP-Analyse, Richtlinien, MFA, Backup, Schulungen |
| 100-250 Mitarbeitende | 90.000-150.000 EUR | Segmentierung, Logging, Lieferkette, Incident Response |
| 250+ Mitarbeitende | 150.000-200.000+ EUR | komplexe Landschaft, mehrere Standorte, Audit- und Integrationsaufwand |
| Budgetblock | Typischer Anteil | Inhalt |
|---|---|---|
| Personal und Projektsteuerung | 25-35 % | interne Ressourcen, Projektleitung, Management-Reviews |
| Technische Maßnahmen | 30-40 % | MFA, Backup, Logging, Härtung, Scanning, Segmentierung |
| Schulungen und Awareness | 10-15 % | Geschäftsleitung, Mitarbeitende, Rollentrainings |
| Beratung und Recht | 10-20 % | GAP-Analyse, Vertragsklauseln, Meldeprozesse, Auditvorbereitung |
| Audit und Reserve | 5-10 % | interne Prüfungen, Nacharbeiten, ungeplante Lücken |
Pragmatisch planen heißt deshalb: zuerst Mindestfähigkeit aufbauen, dann gezielt vertiefen. Wenn Sie aus dem Budget sofort einen belastbaren Umsetzungsstart machen wollen, ist der nächste sinnvolle Schritt die interne Priorisierung und eine konkrete Schulung der Verantwortlichen. Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Wie lange dauert die NIS2-Implementierung?
Die NIS2-Implementierung dauert in mittelständischen Unternehmen typischerweise 9 bis 12 Monate, wenn Bestandsaufnahme, Governance, Technik, Meldeprozesse und Auditvorbereitung sauber nacheinander aufgebaut werden. Schneller geht es nur dann, wenn bereits ein funktionierendes ISMS, klare Rollen und tragfähige technische Basiskontrollen vorhanden sind.
Was sind die ersten Schritte bei der NIS2-Umsetzung?
Die ersten Schritte sind Betroffenheit prüfen, GAP-Analyse durchführen, Projektteam und Sponsor benennen und das Budget freigeben. Ohne diese vier Punkte fehlt die Grundlage für Priorisierung, Maßnahmensteuerung und spätere Nachweise.
Was kostet NIS2-Compliance für ein mittelständisches Unternehmen?
Für viele mittelständische Unternehmen liegt der anfängliche Aufwand zwischen 50.000 und 200.000 EUR. Die reale Höhe hängt vor allem davon ab, wie viel Governance, technische Hygiene, Lieferantensteuerung und Incident-Response-Fähigkeit bereits vorhanden sind.
Brauche ich externe Berater für die NIS2-Implementierung?
Externe Berater sind nicht immer notwendig, aber häufig in einzelnen Phasen sinnvoll. Besonders bei GAP-Analyse, Risiko-Methodik, Meldeprozessen, Lieferkettenanforderungen und Auditvorbereitung beschleunigt externe Expertise die Umsetzung und reduziert Fehlpriorisierungen.
Kann ich bestehende ISO-27001-Maßnahmen für NIS2 nutzen?
Ja, bestehende ISO-27001-Maßnahmen lassen sich in vielen Bereichen direkt nutzen. Sie müssen aber gegen die spezifischen Anforderungen aus Art. 21 und Art. 23 NIS2 gespiegelt werden, insbesondere bei Meldeprozessen, Leitungsverantwortung und Lieferkettensicherheit.
In welcher Reihenfolge setze ich NIS2 am sinnvollsten um?
Am sinnvollsten ist die Reihenfolge Bestandsaufnahme, Governance, technische Basiskontrollen, Incident Response, Lieferkette, Schulungen und danach Audit plus Verstetigung. Diese Abfolge reduziert Reibung, weil spätere Technik- und Prozessentscheidungen auf einer klaren Risikologik beruhen.
Brauche ich für NIS2 zwingend ein formales Zertifikat?
Nein. NIS2 verlangt angemessene und verhältnismäßige Maßnahmen, wirksame Prozesse und belastbare Nachweise, aber kein zwingendes formales Zertifikat. Ein freiwilliges Zertifikat kann hilfreich sein, ersetzt aber nicht die praktische Umsetzbarkeit der NIS2-Pflichten.