NIS2-Checkliste: Pflichten umsetzen und Compliance strukturiert steuern

Diese NIS2-Checkliste zeigt, wie Sie NIS2-Pflichten in Deutschland praxisnah umsetzen – von Governance über Awareness bis Technik, inklusive Umsetzungsgesetz und Nachweisen.

Inhalt

1. Checkliste im Überblick
2. Checkliste im Detail
3. NIS2 Umsetzungsgesetz

NIS2-Checkliste im Überblick

Mit dieser NIS2-Checkliste erhalten Sie eine kompakte Orientierung für die NIS2-Umsetzung. Die Übersicht folgt der Struktur der Detail-Checkliste und hilft Ihnen, die Umsetzung in Arbeitsblöcke zu planen und auditfähig zu dokumentieren.

Die folgenden Abschnitte erläutern diese Bereiche im Detail und zeigen, welche konkreten Maßnahmen, Prozesse und Nachweise für eine NIS2-konforme Umsetzung erforderlich sind.

Bevor Sie in die Detailumsetzung einsteigen, kann eine kurze Standortbestimmung mit unserem NIS2-Check helfen, Prioritäten richtig zu setzen.

NIS2-Check in 3 Minuten

Zum NIS2-Check

Finden Sie heraus, wie gut Ihr Unternehmen auf NIS-2 vorbereitet ist – schnell, praxisnah und kostenlos.

NIS2-Checkliste im Detail

Diese NIS2-Checkliste übersetzt die gesetzlichen Anforderungen der NIS2-Richtlinie in konkrete, umsetzbare Arbeitsschritte. Ziel ist es, die NIS2-Umsetzung strukturiert zu steuern, Verantwortlichkeiten klar zu regeln und von Beginn an prüfbare Nachweise aufzubauen.

Die NIS2-Checkliste folgt einer praxisnahen Umsetzungslogik und unterstützt Sie dabei, technische, organisatorische und personelle NIS2-Maßnahmen nachvollziehbar zu dokumentieren.

A) Governance & Verantwortlichkeiten

1. Scope und Verantwortlichkeiten festlegen

Worum es geht:
Klare Zuständigkeiten sind die Grundlage jeder NIS2-Umsetzung. Nur wenn Rollen, Geltungsbereich und Entscheidungswege definiert sind, lassen sich Anforderungen konsistent umsetzen und nachweisen.

To-dos:

• Rollen benennen: Management, IT und Security, Compliance und Legal, Einkauf, Kommunikation.
• Geltungsbereich festlegen und dokumentieren: Services, Standorte, kritische Prozesse, wesentliche Dienstleister.
• Reporting-Rhythmen und Eskalationswege definieren.

2. Risikoanalyse durchführen und dokumentieren (Art. 21 Abs. 2)

Worum es geht:
Die Risikoanalyse ist ein zentrales Element der NIS2-Checkliste. Sie steuert Prioritäten, Investitionen und begründete Ausnahmen im Rahmen der NIS2-Vorgaben.

To-dos:

• Methodik und Bewertungskriterien festlegen.
• Risiken bewerten, priorisieren und Maßnahmen ableiten.
• Risikoakzeptanzen und Ausnahmen freigeben und dokumentieren.

3. Sicherheitsrichtlinien und Mindeststandards etablieren (Art. 21 Abs. 2)

Worum es geht:
Richtlinien machen die Anforderungen aus NIS2 im Arbeitsalltag verbindlich. Sie legen fest, wie Sicherheit konkret umgesetzt wird und dienen Prüfern als zentrale Nachweise für die NIS2-Umsetzung.

To-dos:

• Relevante Policies definieren, etwa zu Zugriff, Patch-Management, Backups, Logging und Lieferanten.
• Review- und Freigabeprozesse festlegen.
• Versionierung, Verantwortlichkeiten und Änderungsverläufe dokumentieren.

B) Awareness & Human Risk Management

4. Schulungsprogramme für Leitungsorgane und Mitarbeitende umsetzen (Art. 20 Abs. 2)

Worum es geht:
Awareness ist Teil der Governance-Pflichten aus NIS2 und damit fester Bestandteil der NIS2-Umsetzung.

To-dos:

• Zielgruppen definieren, inklusive Management und Hochrisiko-Teams.
• Trainingspläne und Lernziele festlegen.
• Teilnahme und Ergebnisse auditfähig dokumentieren.

5. Awareness-Maßnahmen messen und kontinuierlich verbessern (Art. 21 Abs. 2)

Worum es geht:
Wirksamkeit entsteht durch Messung, Auswertung und Anpassung.

To-dos:

• Reporting für Audits und Management aufbereiten.
• Kampagnen und Übungen planen.
• Verbesserungen aus Ergebnissen ableiten.

Ihre Roadmap zum Einhalten von Security-Training-Verpflichtungen

Setzen Sie Schulungs- und Awareness-Pflichten aus NIS2 strukturiert um. Der Guide zeigt, wie Sie Trainings für Leitungsorgane und Mitarbeitende planen, durchführen und auditfähig nachweisen.

C) Technische Maßnahmen & Basisschutz

6. Asset-Inventar und Schutzbedarf pflegen (Art. 21 Abs. 2)

Worum es geht:
Sie müssen wissen, welche Systeme, Dienste und Daten Sie schützen. Die NIS2-Checkliste verlangt Transparenz über Assets und deren Kritikalität.

To-dos:

• Inventar für Systeme, Dienste, Identitäten und relevante Datenflüsse führen.
• Schutzbedarf und Kritikalität dokumentieren.
• Asset Owner benennen.

7. Zugriffskontrollen und Identity-Management umsetzen (Art. 21 Abs. 2)

Worum es geht:
Kontrollierte Zugriffe reduzieren Risiken und sind Kernbestandteil technischer NIS2-Maßnahmen.

To-dos:

• Rollen- und Berechtigungskonzepte definieren.
• Joiner-, Mover- und Leaver-Prozesse etablieren.
• Admin-Zugänge getrennt regeln und nachvollziehbar protokollieren.

8. Starke Authentifizierung und sichere Kommunikation einführen (Art. 21 Abs. 2)

Worum es geht:
Starke Authentifizierung schützt kritische Systeme und privilegierte Zugriffe im Rahmen der NIS2-Umsetzung.

To-dos:

• MFA für kritische Systeme und Administrationszugänge einführen.
• Sichere Kommunikationswege für Incident- und Krisenfälle definieren.
• Rollout-Status und Konfigurationen dokumentieren.

9. Schwachstellen-, Patch- und Change-Management etablieren (Art. 21 Abs. 2)

Worum es geht:
Technische Sicherheit ist kein Zustand, sondern ein fortlaufender Prozess im Kontext von NIS2.

To-dos:

• Vulnerability-Management definieren: Erkennung, Bewertung, Behebung, Ausnahmen.
• Patch-Zyklen, Prioritäten und Fristen festlegen.
• Änderungen dokumentieren, inklusive Rollback-Optionen.

10. Kryptografie und Verschlüsselung angemessen umsetzen (Art. 21 Abs. 2)

Worum es geht:
Verschlüsselung schützt Daten und Kommunikation, muss aber nachvollziehbar geregelt sein.

To-dos:

• Kryptorichtlinie für Datenklassen und Einsatzbereiche festlegen.
• Key-Management regeln, inklusive Rollen und Rotation.
• Technische Umsetzung prüfbar dokumentieren.

D) Vorfälle & Meldewege

11. Incident-Response-Prozess etablieren (Art. 21 Abs. 2)

Worum es geht:
Ein strukturierter Umgang mit Sicherheitsvorfällen ist Pflichtbestandteil der NIS2-Umsetzung.

To-dos:

• Incident-Response-Pläne und Playbooks erstellen.
• Rollen, Kontaktlisten und Eskalationsstufen definieren.
• Übungen durchführen und Erkenntnisse dokumentieren.

12. Meldeprozess nach NIS2 integrieren (Art. 23)

Worum es geht:
Die Meldepflichten aus NIS2 sind zeitkritisch und müssen vorab klar geregelt sein.

To-dos:

• Fristen und Verantwortlichkeiten je Meldestufe festlegen.
• Standardisierte Dokumentationspakete definieren.
• Abstimmung mit Legal, Kommunikation und Management sicherstellen.

E) Resilienz & Wirksamkeitsnachweise

13. Backup, Restore und Wiederherstellbarkeit nachweisen (Art. 21 Abs. 2)

Worum es geht:
Resilienz muss praktisch funktionieren und belegbar sein.

To-dos:

• Backup- und Restore-Konzepte inklusive Testplänen definieren.
• Wiederherstellungstests dokumentieren.
• Abhängigkeiten berücksichtigen, etwa Identitätsdienste oder Cloud-Komponenten.

14. Business Continuity und Krisenmanagement operationalisieren (Art. 21 Abs. 2)

Worum es geht:
Krisenpläne müssen geübt werden, um im Ernstfall zu tragen.

To-dos:

• BCM- und DR-Pläne erstellen und Verantwortliche benennen.
• Szenarien üben und Ergebnisse dokumentieren.
• Verbesserungen systematisch nachhalten.

15. Wirksamkeit von Maßnahmen testen und nachweisen (Art. 21 Abs. 2)

Worum es geht:
NIS2 verlangt den Nachweis, dass eingeführte NIS2-Maßnahmen wirksam sind.

To-dos:

• Audit- und Testpläne definieren.
• Findings priorisieren und Maßnahmen nachverfolgen.
• Management-Reporting etablieren.

F) Lieferkette & Dienstleistersteuerung

16. Lieferanten- und Dienstleisterrisiken systematisch steuern (Art. 21 Abs. 2)

Worum es geht:
Externe Abhängigkeiten sind Teil Ihrer eigenen Risikolage im Rahmen von NIS2.

To-dos:

• Kritische Services und Dienstleister identifizieren.
• Risiko- und Kritikalitätsklassen definieren.
• Informations- und Meldepflichten integrieren.

17. Sicherheitsanforderungen vertraglich und operativ verankern

Worum es geht:
Verträge sind ein zentrales Steuerungsinstrument der NIS2-Umsetzung.

To-dos:

• Mindestanforderungen und Audit-Rechte festlegen.
• Onboarding- und Re-Onboarding-Prozesse definieren.
• Laufende Überwachung sicherstellen.

18. Sichere Beschaffung, Entwicklung und Wartung absichern (Art. 21 Abs. 2)

Worum es geht:
Sichere Beschaffung und Entwicklung sind eng mit der Lieferkette verknüpft und Bestandteil der NIS2-Checkliste.

To-dos:

• Anforderungen an Updates, Support und Schwachstellenkommunikation festlegen.
• Sicherheitsnachweise einfordern.
• Ausnahmeprozesse dokumentieren.

Immer griffbereit: NIS2-Checkliste als Download

Checkliste kostenlos herunterladen

Nutzen Sie die NIS2-Checkliste als Arbeitsgrundlage, um Maßnahmen, Zuständigkeiten und Nachweise übersichtlich zu dokumentieren.

NIS2-Umsetzungsgesetz: Stand in Deutschland

Hinweis: Dieser Abschnitt dient der Orientierung und ist keine Rechtsberatung.

Die NIS2-Umsetzung in Deutschland ist abgeschlossen. Das nationale NIS-Umsetzungsgesetz wurde im Bundesgesetzblatt am 5. Dezember 2025 verkündet und ist am 6. Dezember 2025 in Kraft getreten.
Damit sind die Vorgaben der NIS2-Richtlinie verbindlich in deutsches Recht überführt und von betroffenen Organisationen umzusetzen.

Was bedeutet die Umsetzung der NIS2-Richtlinie in Deutschland für die Praxis?

Mit der nationalen Umsetzung der NIS2-Richtlinie wird Cybersicherheit zur verbindlichen Managementaufgabe. Organisationen müssen geeignete technische und organisatorische Maßnahmen einführen, deren Wirksamkeit regelmäßig prüfen und erhebliche Vorfälle fristgerecht melden.

Die NIS2-Checkliste unterstützt dabei, diese Pflichten strukturiert abzubilden und die NIS2-Umsetzung von Beginn an prüfbar zu gestalten.

Pflichten, Aufsicht und mögliche Sanktionen

Aus NIS2 ergeben sich drei zentrale Anforderungen, die Sie in Ihrer NIS2-Checkliste berücksichtigen sollten:

• Risikomanagement und Maßnahmen: Einführung, Betrieb und kontinuierliche Verbesserung geeigneter technischer und organisatorischer Maßnahmen inklusive Wirksamkeitsnachweisen.
• Meldepflichten bei erheblichen Vorfällen: Klar definierte Meldewege, Verantwortlichkeiten und Entscheidungsprozesse unter Zeitdruck.
• Governance-Pflichten: Verantwortung der Leitungsorgane, inklusive Information, Steuerung und Teilnahme an Schulungen.

Für die Praxis gilt: Der Schwerpunkt liegt weniger auf abstrakten Sanktionen als auf Aufsicht, Prüfungen und belastbaren Nachweisen. Wer Nachweise frühzeitig aufsetzt und pflegt, reduziert Risiken in Audits und gegenüber Behörden deutlich.

Weitere Infos rund um NIS2 und Ihr Unternehmen

Wenn Sie nach der NIS2-Checkliste noch zwei Dinge klären möchten, sind diese beiden Glossarartikel die sinnvollsten nächsten Schritte:

• Bin ich betroffen? NIS2-Betroffenheit schnell prüfen
  Der Artikel erläutert, welche Unternehmen und Organisationen unter NIS2 fallen. Er führt durch relevante Kriterien wie Sektor, Unternehmensgröße und Rolle in der Lieferkette.
• NIS2 einfach erklärt: Ziele, Pflichten und Zeitplan
  Diese Übersicht ordnet NIS2 ein, erklärt die Ziele der Richtlinie und fasst zentrale Pflichten zusammen. Dazu gehören Risikomanagement, Meldeanforderungen und Governance inklusive Verantwortung des Managements.

Beide Artikel ergänzen Ihre NIS2-Checkliste: Erst prüfen Sie, ob Ihr Unternehmen betroffen ist, dann verankern Sie die Anforderungen strukturiert in Ihrer NIS2-Umsetzung.