NIS2-Compliance Checkliste für deutsche Unternehmen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und stellt deutlich strengere Anforderungen an die Cybersicherheit von Unternehmen und Organisationen in der Europäischen Union.

Für deutsche Unternehmen bedeutet dies: Die nationale Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) bringt weitreichende Pflichten mit sich. Wer nicht rechtzeitig handelt, riskiert empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Wer ist von NIS2 betroffen?

Wesentliche Einrichtungen (Essential Entities)

Unternehmen in kritischen Sektoren mit mehr als 250 Mitarbeitern oder mehr als 50 Millionen Euro Jahresumsatz:

• Energie (Strom, Gas, Öl, Wasserstoff)
• Transport (Luft, Schiene, Wasser, Straße)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (Important Entities)

Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -vertrieb
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
• Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Wichtig: Auch kleinere Unternehmen können betroffen sein, wenn sie als kritisch für die Lieferkette eingestuft werden.

Die NIS2-Compliance Checkliste

Phase 1: Bestandsaufnahme (Monat 1–2)

✅ Betroffenheit prüfen

• [ ] Prüfen Sie, ob Ihr Unternehmen unter die NIS2-Sektoren fällt
• [ ] Ermitteln Sie die Größenklasse (wesentlich vs. wichtig)
• [ ] Berücksichtigen Sie Tochtergesellschaften und verbundene Unternehmen
• [ ] Dokumentieren Sie die Ergebnisse der Betroffenheitsanalyse

✅ Ist-Zustand erfassen

• [ ] Inventarisieren Sie alle IT- und OT-Systeme
• [ ] Dokumentieren Sie bestehende Sicherheitsmaßnahmen
• [ ] Erfassen Sie alle Netzwerkverbindungen und Schnittstellen
• [ ] Listen Sie alle Dienstleister mit Zugang zu Ihren Systemen auf
• [ ] Führen Sie eine kostenlose Sicherheitsanalyse mit Nullbreach durch, um kompromittierte Zugangsdaten zu identifizieren

Phase 2: Risikomanagement (Monat 2–4)

✅ Risikobewertung durchführen

• [ ] Identifizieren Sie kritische Geschäftsprozesse
• [ ] Bewerten Sie Bedrohungen und Schwachstellen systematisch
• [ ] Erstellen Sie eine Risikomatrix (Eintrittswahrscheinlichkeit × Auswirkung)
• [ ] Priorisieren Sie Risiken nach Geschäftsrelevanz
• [ ] Definieren Sie Risikoakzeptanzkriterien

✅ Sicherheitskonzept erstellen

• [ ] Entwickeln Sie eine übergreifende Informationssicherheitsleitlinie
• [ ] Definieren Sie Sicherheitsziele und -strategie
• [ ] Erstellen Sie Richtlinien für:
• Zugriffsmanagement
• Netzwerksicherheit
• Kryptographie und Verschlüsselung
• Patch-Management
• Backup und Recovery
• Mobile Device Management
• Cloud-Sicherheit

Phase 3: Technische Maßnahmen (Monat 3–6)

✅ Netzwerksicherheit

• [ ] Implementieren Sie Netzwerksegmentierung
• [ ] Aktivieren Sie Firewall-Regeln nach dem Least-Privilege-Prinzip
• [ ] Setzen Sie Intrusion Detection/Prevention Systeme (IDS/IPS) ein
• [ ] Konfigurieren Sie VPN für Fernzugriffe
• [ ] Implementieren Sie DNS-Sicherheit (DNSSEC)

✅ Zugriffsmanagement

• [ ] Führen Sie Multi-Faktor-Authentifizierung (MFA) ein — für alle kritischen Systeme
• [ ] Implementieren Sie ein zentrales Identity Management
• [ ] Setzen Sie das Prinzip der minimalen Rechte um
• [ ] Überprüfen Sie regelmäßig Benutzerberechtigungen
• [ ] Deaktivieren Sie Standardpasswörter und -konten

✅ Datensicherheit

• [ ] Verschlüsseln Sie Daten im Transit (TLS 1.3)
• [ ] Verschlüsseln Sie Daten im Ruhezustand
• [ ] Implementieren Sie Data Loss Prevention (DLP)
• [ ] Richten Sie automatisierte Backups ein (3-2-1-Regel)
• [ ] Testen Sie regelmäßig die Wiederherstellung

✅ E-Mail-Sicherheit

• [ ] Konfigurieren Sie SPF, DKIM und DMARC korrekt
• [ ] Implementieren Sie E-Mail-Filterung und Sandboxing
• [ ] Schulen Sie Mitarbeiter im Erkennen von Phishing
• [ ] Überwachen Sie DMARC-Reports

✅ Monitoring und Erkennung

• [ ] Implementieren Sie zentrales Log-Management (SIEM)
• [ ] Überwachen Sie das Dark Web auf kompromittierte Daten Ihres Unternehmens mit Nullbreach Dark Web Monitoring
• [ ] Richten Sie Alerting für Sicherheitsvorfälle ein
• [ ] Überwachen Sie Endgeräte mit EDR-Lösungen

Phase 4: Organisatorische Maßnahmen (Monat 4–8)

✅ Governance und Verantwortlichkeiten

• [ ] Benennen Sie einen Informationssicherheitsbeauftragten (ISB/CISO)
• [ ] Definieren Sie klare Verantwortlichkeiten für Cybersicherheit
• [ ] Geschäftsführung muss NIS2-Maßnahmen genehmigen — persönliche Haftung!
• [ ] Stellen Sie Budget für Cybersicherheit bereit
• [ ] Richten Sie ein Information Security Management System (ISMS) ein

✅ Incident Response

• [ ] Erstellen Sie einen Incident-Response-Plan
• [ ] Definieren Sie Meldewege und Eskalationsstufen
• [ ] Erstmeldung an BSI innerhalb von 24 Stunden nach Erkennung eines erheblichen Sicherheitsvorfalls
• [ ] Vollständiger Bericht innerhalb von 72 Stunden
• [ ] Abschlussbericht innerhalb eines Monats
• [ ] Führen Sie regelmäßige Incident-Response-Übungen durch
• [ ] Lesen Sie unseren Leitfaden zur Reaktion auf Datenlecks

✅ Lieferkettensicherheit

• [ ] Bewerten Sie die Cybersicherheit Ihrer Lieferanten
• [ ] Integrieren Sie Sicherheitsanforderungen in Verträge
• [ ] Überwachen Sie die Einhaltung durch Dienstleister
• [ ] Erstellen Sie ein Verzeichnis kritischer Lieferanten
• [ ] Entwickeln Sie Notfallpläne für Lieferantenausfälle

✅ Schulung und Awareness

• [ ] Führen Sie regelmäßige Cybersicherheits-Schulungen durch
• [ ] Sensibilisieren Sie die Geschäftsleitung für NIS2-Pflichten
• [ ] Schulen Sie IT-Personal in aktuellen Bedrohungen
• [ ] Führen Sie Phishing-Simulationen durch
• [ ] Dokumentieren Sie alle Schulungsmaßnahmen

Phase 5: Compliance und Dokumentation (Monat 6–12)

✅ Registrierung

• [ ] Registrieren Sie sich beim BSI als betroffene Einrichtung
• [ ] Benennen Sie eine Kontaktstelle für das BSI
• [ ] Halten Sie Registrierungsdaten aktuell

✅ Dokumentation

• [ ] Dokumentieren Sie alle Sicherheitsmaßnahmen nachvollziehbar
• [ ] Führen Sie ein Risikomanagement-Protokoll
• [ ] Dokumentieren Sie alle Sicherheitsvorfälle
• [ ] Erstellen Sie regelmäßige Sicherheitsberichte für die Geschäftsleitung
• [ ] Archivieren Sie Nachweise für mindestens 3 Jahre

✅ Kontinuierliche Verbesserung

• [ ] Führen Sie jährliche Sicherheitsaudits durch
• [ ] Überprüfen Sie die Risikobewertung mindestens jährlich
• [ ] Aktualisieren Sie Sicherheitsmaßnahmen bei neuen Bedrohungen
• [ ] Messen Sie KPIs zur Informationssicherheit
• [ ] Passen Sie das ISMS kontinuierlich an

Bußgelder und Sanktionen bei Nichteinhaltung

Kategorie	Maximales Bußgeld
Wesentliche Einrichtungen	10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen	7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Geschäftsführerhaftung	Persönliche Haftung der Geschäftsleitung

Besonders wichtig: Die Geschäftsleitung kann persönlich haftbar gemacht werden, wenn sie ihre Aufsichtspflichten verletzt. Dies ist eine der einschneidendsten Neuerungen der NIS2-Richtlinie.

Zeitplan für die NIS2-Umsetzung

Die EU-Mitgliedstaaten mussten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland hat die Umsetzung im Rahmen des NIS2UmsuCG abgeschlossen. Unternehmen sollten jetzt mit der Umsetzung beginnen, da Aufsichtsbehörden bereits Kontrollen durchführen.

Empfohlener Zeitplan

1. Sofort: Betroffenheitsanalyse und Ist-Zustand erfassen
2. Monat 1–3: Risikobewertung und Sicherheitskonzept
3. Monat 3–6: Technische Maßnahmen implementieren
4. Monat 6–9: Organisatorische Maßnahmen und Schulungen
5. Monat 9–12: Dokumentation, Registrierung, Audit

Erste Schritte: So starten Sie heute

1. Führen Sie einen kostenlosen Sicherheitsscan durch: Mit Nullbreach erkennen Sie in 60 Sekunden, ob Zugangsdaten Ihres Unternehmens im Dark Web kursieren.

2. Bewerten Sie Ihre E-Mail-Sicherheit: Sind SPF, DKIM und DMARC korrekt konfiguriert? Ein falsch konfiguriertes E-Mail-System ist eine der häufigsten Schwachstellen.

3. Sensibilisieren Sie die Geschäftsleitung: NIS2 bringt persönliche Haftung — die Geschäftsführung muss verstehen, was auf dem Spiel steht.

4. Holen Sie sich professionelle Unterstützung: Ein ISMS aufzubauen erfordert Expertise. Investieren Sie frühzeitig in Beratung oder qualifiziertes Personal.

Fazit

Die NIS2-Richtlinie ist kein optionales Nice-to-have — sie ist geltendes Recht mit empfindlichen Strafen. Deutsche Unternehmen, die unter die Richtlinie fallen, müssen jetzt handeln. Die gute Nachricht: Viele der geforderten Maßnahmen sind ohnehin Best Practices für Informationssicherheit.

Beginnen Sie mit den Grundlagen: Wissen Sie, welche Ihrer Zugangsdaten bereits kompromittiert sind? Starten Sie einen kostenlosen Scan mit Nullbreach und verschaffen Sie sich einen Überblick über Ihre aktuelle Sicherheitslage.

---

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die konkrete Umsetzung der NIS2-Anforderungen in Ihrem Unternehmen empfehlen wir die Beratung durch einen spezialisierten Rechtsanwalt oder IT-Sicherheitsberater.