Startseite › NIS2 Umsetzung

NIS2 Umsetzung — Checkliste für Unternehmen

Hinweis: Stand: Mai 2026. Die nationale Umsetzung kann sich aendern.

Die NIS2-Richtlinie verschärft die Cybersicherheitspflichten für tausende Unternehmen in Deutschland. Prüfen Sie, ob Sie betroffen sind, und setzen Sie die Anforderungen mit unserer 10-Punkte-Checkliste um.

Was ist NIS2?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete europäische Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Anwendungsbereich massiv aus: Statt weniger hundert Betreiber kritischer Infrastrukturen sind nun schätzungsweise 30.000 Unternehmen allein in Deutschland betroffen.

In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Unternehmen müssen ein systematisches Cybersicherheits-Risikomanagement einführen, Vorfälle melden und die Sicherheit ihrer Lieferkette gewährleisten — andernfalls drohen Bußgelder in Millionenhöhe.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwei Kategorien betroffener Organisationen:

Wesentliche Einrichtungen (Essential Entities)

Großunternehmen (ab 250 Mitarbeiter oder 50 Mio. Euro Umsatz) in den Sektoren:

Wichtige Einrichtungen (Important Entities)

Mittlere Unternehmen (ab 50 Mitarbeiter oder 10 Mio. Euro Umsatz) in den Sektoren:

Kernpflichten der NIS2-Richtlinie

1. Risikomanagement für Cybersicherheit

Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für ihre Netz- und Informationssysteme zu beherrschen. Dazu gehören Risikoanalysen, Sicherheitskonzepte, Incident-Response-Pläne und regelmäßige Tests.

2. Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dem BSI in drei Stufen gemeldet werden: Erstmeldung innerhalb von 24 Stunden, bestätigende Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Das erfordert vorbereitete Prozesse und geschultes Personal.

3. Sicherheit der Lieferkette

Unternehmen müssen die Cybersicherheit ihrer Zulieferer und Dienstleister bewerten und vertragliche Sicherheitsanforderungen vereinbaren. Schwachstellen in der Lieferkette sind einer der häufigsten Angriffsvektoren.

4. Geschäftsführerhaftung

Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Sie haftet persönlich für Verstöße. Zudem sind regelmäßige Cybersicherheits-Schulungen für die Geschäftsführung verpflichtend.

NIS2-Umsetzungs-Checkliste: 10 Schritte

  1. Betroffenheit prüfen — Sektor, Unternehmensgröße und Umsatz gegen die NIS2-Kriterien abgleichen
  2. Registrierung beim BSI — Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren
  3. Verantwortlichkeiten festlegen — CISO benennen, Geschäftsführung einbinden, Rollen und Zuständigkeiten dokumentieren
  4. Risikoanalyse durchführen — Alle IT-Systeme, Netzwerke und Datenflüsse inventarisieren und Risiken bewerten
  5. Sicherheitsmaßnahmen implementieren — Zugangskontrollen, Kryptografie, Netzwerksegmentierung, Endpoint-Schutz umsetzen
  6. Incident-Response-Plan erstellen — Meldeketten, Eskalationsstufen und Kommunikationspläne definieren und testen
  7. Business-Continuity-Management aufbauen — Backup-Strategien, Notfallpläne und Wiederherstellungsprozeduren etablieren
  8. Lieferkettensicherheit sicherstellen — Dienstleister bewerten, Sicherheitsanforderungen vertraglich verankern, regelmäßig auditieren
  9. Schulungen durchführen — Geschäftsführung und Mitarbeiter regelmäßig in Cybersicherheit und Awareness schulen
  10. Dokumentation und Audit — Alle Maßnahmen dokumentieren, interne Audits durchführen, kontinuierliche Verbesserung nachweisen

NIS2 und ISO 27001: Was ist der Zusammenhang?

Die NIS2-Anforderungen überschneiden sich stark mit der internationalen Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS). Wer bereits ein ISMS nach ISO 27001 betreibt, erfüllt einen Großteil der NIS2-Pflichten — insbesondere beim Risikomanagement, bei den technischen Maßnahmen und der Dokumentation.

Dennoch geht NIS2 in einigen Punkten über ISO 27001 hinaus: Die Meldepflichten (24-Stunden-Frist), die persönliche Geschäftsführerhaftung und die Lieferketten-Anforderungen erfordern zusätzliche Prozesse. Eine ISO-27001-Zertifizierung ist daher eine hervorragende Basis, ersetzt aber nicht die vollständige NIS2-Compliance.

AnforderungISO 27001NIS2 zusätzlich
RisikomanagementJa (Annex A)Branchenspezifische Vorgaben
Incident ResponseJa (A.5.24-26)24h-Meldepflicht ans BSI
Business ContinuityJa (A.5.29-30)Spezifische Recovery-Anforderungen
LieferketteTeilweise (A.5.19-23)Umfassende Lieferketten-Bewertung
GeschäftsführerhaftungNeinPersönliche Haftung und Schulungspflicht
BußgelderNein (freiwillig)Bis 10 Mio. Euro / 2 % Umsatz

NIS2-Compliance systematisch umsetzen

Mit Custodio steuern Sie Ihre NIS2-Umsetzung zentral — Risikoanalysen, Maßnahmen-Tracking, Audit-Dokumentation und Meldeprozesse in einer Plattform.

Kostenlos beraten lassen Kostenlos DSE erstellen

Häufige Fragen zur NIS2 Umsetzung

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die NIS-Richtlinie von 2016 und stellt deutlich höhere Anforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz in nationales Recht überführt.

Wer ist von NIS2 betroffen?

Unternehmen in 18 Sektoren mit mindestens 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Dazu zählen Energie, Gesundheit, Transport, Digitale Infrastruktur, Öffentliche Verwaltung, Abfallwirtschaft und IT-Dienstleister. In Deutschland sind rund 30.000 Unternehmen betroffen.

Welche Pflichten haben betroffene Unternehmen?

Betroffene Unternehmen müssen ein Risikomanagement-System einführen, Sicherheitsvorfälle innerhalb von 24 Stunden melden, die Lieferkette absichern und die Geschäftsführung in Cybersicherheit schulen. Hinzu kommen Pflichten zu Business Continuity, Kryptografie und Zugangskontrolle.

Welche Strafen drohen bei Verstößen gegen NIS2?

Für wesentliche Einrichtungen bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführer persönlich für die Nichtumsetzung der Cybersicherheitsmaßnahmen.

Weiterführende Themen