NIS2-Checkliste: 10 Pflichten für IT-Leiter

Die NIS2-Richtlinie (EU) 2022/2555 weitet den Kreis der regulierten Unternehmen massiv aus: Statt bisher einiger hundert KRITIS-Betreiber sind in Deutschland laut Branchenschätzungen rund 30.000 Unternehmen betroffen. Die nationale Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist 2025 in Kraft getreten. Das BSI hat bereits die Registrierungsplattform für betroffene Einrichtungen freigeschaltet. Dieser Artikel ist Ihre Checkliste: 10 Pflichten, priorisiert und mit konkreten Umsetzungshinweisen.

Betrifft NIS2 Ihr Unternehmen? Der Schnelltest

Sektoren und Schwellenwerte

Die NIS2-Richtlinie gilt für Unternehmen in 18 Sektoren, aufgeteilt in Sektoren mit hoher Kritikalität (Anhang I) und sonstige kritische Sektoren (Anhang II):

Sektoren mit hoher Kritikalität (Anhang I): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), Öffentliche Verwaltung, Weltraum

Sonstige kritische Sektoren (Anhang II): Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe (Medizinprodukte, IT-Geräte, Fahrzeuge, Maschinenbau), Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung

Größenschwelle: Die Richtlinie gilt grundsätzlich für mittlere und große Unternehmen in diesen Sektoren. Als mittleres Unternehmen gilt gemäß EU-Definition: mindestens 50 Mitarbeitende oder mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Bilanzsumme.

Bestimmte Einrichtungen fallen unabhängig von der Größe unter die Richtlinie, darunter Anbieter öffentlicher elektronischer Kommunikationsnetze, Vertrauensdiensteanbieter und DNS-Diensteanbieter.

(Quelle: Richtlinie (EU) 2022/2555, Art. 2, Anhang I und II)

„Besonders wichtige" vs. „wichtige" Einrichtungen — der Unterschied zählt

Das deutsche NIS2UmsuCG unterscheidet zwei Kategorien:

Kategorie Typische Merkmale Aufsichtsintensität Sanktionen
Besonders wichtige Einrichtungen Sektoren mit hoher Kritikalität (Anhang I), große Unternehmen (≥250 MA oder >50 Mio. € Umsatz) Proaktive Aufsicht durch BSI Höhere Bußgelder
Wichtige Einrichtungen Sonstige kritische Sektoren (Anhang II), mittlere Unternehmen Reaktive Aufsicht (anlassbezogen) Niedrigere Bußgeldschwellen

Der praktische Unterschied: „Besonders wichtige Einrichtungen" unterliegen einer intensiveren Aufsicht durch das BSI, einschließlich regelmäßiger Prüfungen und der Möglichkeit proaktiver Audits. „Wichtige Einrichtungen" werden primär anlassbezogen geprüft — aber die inhaltlichen Pflichten an Risikomanagement, Meldewesen und Dokumentation sind nahezu identisch.

Schnelltest: Bin ich betroffen?

Beantworten Sie drei Fragen:

  1. Ist Ihr Unternehmen in einem der 18 NIS2-Sektoren tätig? (Liste oben)
  2. Hat Ihr Unternehmen mindestens 50 Mitarbeitende ODER mehr als 10 Mio. Euro Jahresumsatz UND mehr als 10 Mio. Euro Bilanzsumme?
  3. Erbringen Sie Dienste in der EU?

Wenn Sie alle drei Fragen mit Ja beantworten, sind Sie mit hoher Wahrscheinlichkeit NIS2-betroffen. Sonderfälle (z. B. Anbieter digitaler Infrastruktur, DNS-Diensteanbieter) fallen unabhängig von der Unternehmensgröße unter die Richtlinie.

Im Zweifel: Registrieren Sie sich beim BSI. Eine unnötige Registrierung hat keine negativen Folgen — eine versäumte Registrierung kann ein Bußgeld nach sich ziehen.

Die 10 Pflichten im Detail

☐ Pflicht 1 — Risikomanagement-Maßnahmen implementieren

Was die Richtlinie fordert: Art. 21 der NIS2-Richtlinie verlangt „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" zum Schutz von Netz- und Informationssystemen. Diese müssen dem Stand der Technik entsprechen und das Risiko berücksichtigen.

Was Sie konkret tun müssen:

  • Risikoanalyse aller geschäftskritischen IT-Systeme durchführen
  • Maßnahmen nach Stand der Technik definieren und umsetzen
  • Regelmäßige Überprüfung und Aktualisierung (mindestens jährlich)
  • Dokumentation der Risikoanalyse und der ergriffenen Maßnahmen

Priorisierung: 🔴 Sofort starten — Grundlage für alle weiteren Pflichten.

☐ Pflicht 2 — Incident-Response-Plan vorhalten

Was die Richtlinie fordert: Art. 21 Abs. 2 lit. b) verlangt die „Bewältigung von Sicherheitsvorfällen" als Teil der Risikomanagementmaßnahmen.

Was Sie konkret tun müssen:

  • Incident-Response-Plan erstellen (Erkennung, Analyse, Eindämmung, Wiederherstellung)
  • Verantwortlichkeiten und Eskalationswege definieren
  • Regelmäßige Übungen durchführen (Tabletop-Exercises mindestens halbjährlich)
  • Kontaktdaten für CERT-Bund und BSI griffbereit halten

Priorisierung: 🔴 Sofort starten — ohne Incident Response keine funktionierende Meldepflicht.

☐ Pflicht 3 — Business Continuity sicherstellen

Was die Richtlinie fordert: Art. 21 Abs. 2 lit. c) verlangt „Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement".

Was Sie konkret tun müssen:

  • Business-Impact-Analyse (BIA) für kritische Geschäftsprozesse erstellen
  • Backup-Strategie definieren und testen (3-2-1-Regel: 3 Kopien, 2 Medien, 1 offsite)
  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) festlegen
  • Krisenkommunikationsplan vorhalten

Priorisierung: 🟡 Innerhalb von 3 Monaten — baut auf Risikoanalyse (Pflicht 1) auf.

☐ Pflicht 4 — Supply Chain Security prüfen

Was die Richtlinie fordert: Art. 21 Abs. 2 lit. d) verlangt die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern".

Was Sie konkret tun müssen:

  • Kritische IT-Dienstleister und Zulieferer identifizieren
  • Sicherheitsanforderungen in Verträge aufnehmen
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen wichtiger Lieferanten
  • Notfallpläne für den Ausfall kritischer Zulieferer erstellen

Priorisierung: 🟡 Innerhalb von 3–6 Monaten — beginnen Sie mit den Top-10-Lieferanten.

☐ Pflicht 5 — Meldepflichten einrichten (24h / 72h / 1 Monat)

Was die Richtlinie fordert: Art. 23 definiert ein dreistufiges Meldesystem:

Frist Was gemeldet werden muss
24 Stunden Frühwarnung: Erste Meldung an das zuständige CSIRT oder die Behörde über einen erheblichen Sicherheitsvorfall
72 Stunden Vorfallmeldung: Aktualisierung mit erster Bewertung, Schwere und Auswirkungen
1 Monat Abschlussbericht: Detaillierte Beschreibung, Ursachenanalyse und ergriffene Maßnahmen

Was Sie konkret tun müssen:

  • Interne Meldeprozesse definieren (wer erkennt, wer meldet, wer entscheidet?)
  • Meldewege zum BSI und CERT-Bund testen
  • Vorlagen für Erst-, Folge- und Abschlussmeldung vorbereiten
  • Bereitschaftsdienst sicherstellen (24h-Frist gilt auch am Wochenende)

Priorisierung: 🔴 Sofort einrichten — die Fristen laufen ab dem Moment der Kenntnisnahme eines Vorfalls.

☐ Pflicht 6 — Verschlüsselung und Zugangskontrollen

Was die Richtlinie fordert: Art. 21 Abs. 2 lit. h) und i) verlangen Maßnahmen zur Verschlüsselung und zum Zugangsmanagement, einschließlich Multi-Faktor-Authentifizierung.

Was Sie konkret tun müssen:

  • Verschlüsselung für Daten in Transit und at Rest implementieren (TLS 1.3, AES-256)
  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge einführen
  • Least-Privilege-Prinzip durchsetzen (Zugriff nur nach Bedarf)
  • Regelmäßige Überprüfung der Zugriffsrechte (vierteljährlich empfohlen)

Priorisierung: 🟡 Quick Win — MFA und Verschlüsselung können oft kurzfristig aktiviert werden.

💡 Tipp: Beginnen Sie mit MFA für alle administrativen Zugänge und VPN-Verbindungen. Erweitern Sie dann schrittweise auf alle Mitarbeitenden. Hardware-Tokens (FIDO2/WebAuthn) bieten den höchsten Schutz, aber auch App-basierte MFA (Authenticator Apps) ist ein massiver Sicherheitsgewinn gegenüber reinen Passwörtern.

☐ Pflicht 7 — Schwachstellenmanagement betreiben

Was die Richtlinie fordert: Art. 21 Abs. 2 lit. e) verlangt „Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen".

Was Sie konkret tun müssen:

  • Regelmäßige Schwachstellen-Scans (mindestens monatlich, kritische Systeme wöchentlich)
  • Patch-Management-Prozess mit definierten SLAs (kritische Patches: 72h, hohe: 7 Tage)
  • Responsible-Disclosure-Policy veröffentlichen
  • CVE-Monitoring für eingesetzte Software

Priorisierung: 🟡 Innerhalb von 1–2 Monaten — der häufigste Angriffsvektor.

☐ Pflicht 8 — Schulungen für Geschäftsführung und Personal

Was die Richtlinie fordert: Art. 20 Abs. 2 verpflichtet die Leitungsorgane, an Schulungen teilzunehmen und allen Mitarbeitenden regelmäßige Schulungen anzubieten.

Was Sie konkret tun müssen:

  • Geschäftsführungs-Schulung zu Cybersicherheits-Risikomanagement (nicht delegierbar!)
  • Security-Awareness-Programm für alle Mitarbeitenden (mindestens jährlich)
  • Spezifische Schulungen für IT-Personal (Incident Response, forensische Grundlagen)
  • Phishing-Simulationen als fortlaufende Maßnahme

Priorisierung: 🔴 Sofort beginnen — die Geschäftsführung muss nachweislich geschult sein.

⚠️ Achtung: Die NIS2-Richtlinie macht Cybersicherheit explizit zur Chefsache. Art. 20 sieht vor, dass die Leitungsorgane die Umsetzung der Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und für Verstöße haftbar gemacht werden können. Diese Pflicht ist persönlich und nicht an den CISO delegierbar.

☐ Pflicht 9 — Dokumentation und Nachweispflichten

Was die Richtlinie fordert: Die Gesamtheit der Pflichten erfordert eine lückenlose Dokumentation, die bei Prüfungen durch das BSI vorgelegt werden kann.

Was Sie konkret dokumentieren müssen:

  • Risikoanalyse und Risikomanagement-Maßnahmen
  • Incident-Response-Plan und Ergebnisse von Übungen
  • Business-Continuity-Plan und Test-Ergebnisse
  • Schulungsnachweise für Geschäftsführung und Personal
  • Audit-Berichte und Maßnahmen-Tracking
  • Lieferantenbewertungen und Vertragsklauseln

Priorisierung: 🟡 Laufend — Dokumentation ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess.

💡 Tipp: Nutzen Sie ein zentrales GRC-Tool (Governance, Risk, Compliance) oder — pragmatischer für den Einstieg — ein gut strukturiertes Wiki oder Confluence-Space. Entscheidend ist nicht das Tool, sondern die Systematik: Jede Maßnahme hat ein Datum, einen Verantwortlichen und einen Status.

☐ Pflicht 10 — Registrierung beim BSI

Was das Gesetz fordert: Das NIS2UmsuCG verpflichtet „besonders wichtige Einrichtungen" und „wichtige Einrichtungen" zur Registrierung beim BSI.

Was Sie konkret tun müssen:

  • Im ersten Schritt: Registrierung bei „Mein Unternehmenskonto" (MUK) mit ELSTER-Organisationszertifikat
  • Im zweiten Schritt: Registrierung im BSI-Portal (portal.bsi.bund.de)
  • Pflichtangaben: Firma, Rechtsform, Sektor, Branche, Einrichtungsart, Kontaktstelle, Kontaktperson, Unternehmensgröße, öffentlich erreichbare IP-Adressbereiche
  • Frist: Spätestens drei Monate nach erstmaliger NIS2-Betroffenheit
  • Änderungen müssen dem BSI unverzüglich, spätestens innerhalb von zwei Wochen, gemeldet werden

(Quelle: BSI, NIS-2-Pflichten und NIS-2-Registrierung, bsi.bund.de, März 2026)

Priorisierung: 🔴 Sofort — wenn noch nicht geschehen. Die Registrierungsplattform ist aktiv.

Persönliche Haftung — warum die Geschäftsführung jetzt handeln muss

Die NIS2-Richtlinie macht in Art. 20 unmissverständlich klar: Die Leitungsorgane (Geschäftsführung, Vorstand) sind persönlich verantwortlich für die Genehmigung und Überwachung der Cybersicherheitsmaßnahmen. Diese Pflicht kann nicht vollständig delegiert werden.

Was das bedeutet:

  • Die Geschäftsführung muss die Risikomanagement-Maßnahmen formal billigen
  • Sie muss deren Umsetzung überwachen
  • Sie muss an Cybersicherheitsschulungen teilnehmen
  • Bei Verstößen können Geschäftsführer persönlich haftbar gemacht werden

Bußgelder gemäß NIS2-Richtlinie (Art. 34):

  • Für besonders wichtige Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Für wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes

(Quelle: Richtlinie (EU) 2022/2555, Art. 34 Abs. 4 und 5)

Darüber hinaus: Die Aufsichtsbehörden können Durchsetzungsmaßnahmen anordnen, die über Bußgelder hinausgehen. Dazu gehören Anweisungen zur Umsetzung bestimmter Maßnahmen, die öffentliche Bekanntgabe von Verstößen und in schweren Fällen die vorübergehende Untersagung der Leitungsfunktion für verantwortliche Geschäftsführer.

Die persönliche Haftung ist das eigentliche Novum: Während bislang Cybersecurity-Versäumnisse überwiegend als Unternehmensrisiko behandelt wurden, macht NIS2 die Geschäftsführung unmittelbar verantwortlich. Das verändert die Risikogleichung fundamental — und gibt IT-Leitern ein starkes Argument für Sicherheitsinvestitionen.

Timeline: Was bis wann erledigt sein muss

Zeitraum Maßnahme Pflicht-Nr.
Sofort BSI-Registrierung abschließen (falls noch nicht erfolgt) 10
Sofort Geschäftsführungs-Schulung durchführen 8
Monat 1 Risikoanalyse starten 1
Monat 1–2 Incident-Response-Plan erstellen / aktualisieren 2
Monat 1–2 Meldeprozesse einrichten und testen 5
Monat 2–3 MFA und Verschlüsselung ausrollen 6
Monat 2–3 Schwachstellenmanagement-Prozess etablieren 7
Monat 3–4 Business-Continuity-Plan erstellen / testen 3
Monat 3–6 Supply-Chain-Security-Bewertung Top-Lieferanten 4
Laufend Dokumentation pflegen, Schulungen wiederholen 9, 8

NIS2 und andere Regulierung — Synergien nutzen

NIS2 steht nicht allein. Unternehmen, die gleichzeitig den AI Act und die DSGVO umsetzen müssen, profitieren von einem integrierten Ansatz:

  • Risikomanagement: Ein einheitliches Risikomanagement-Framework kann Cybersicherheitsrisiken (NIS2), KI-Risiken (AI Act) und Datenschutzrisiken (DSGVO) gemeinsam abdecken.
  • Incident Response: Meldepflichten gibt es in allen drei Regulierungen. Ein gemeinsamer Meldeprozess — mit unterschiedlichen Meldefristen und Adressaten — reduziert die Komplexität.
  • Schulungen: Kombinieren Sie Security-Awareness-Schulungen (NIS2) mit KI-Kompetenz-Schulungen (AI Act) und Datenschutz-Schulungen (DSGVO). Ihre Mitarbeitenden danken es Ihnen, wenn sie nicht zu drei separaten Pflichtveranstaltungen müssen.
  • Dokumentation: Ein zentrales Compliance-Register, das alle drei Regulierungen abdeckt, ist effizienter als drei Insellösungen.

Was das für Ihre IT-Strategie bedeutet

📋 Handlungsempfehlungen

  1. Klären Sie Ihre Betroffenheit — diese Woche. Nutzen Sie den Schnelltest aus diesem Artikel. Falls unklar: Das BSI bietet auf bsi.bund.de umfangreiche FAQ zur Sektorzuordnung und Größenbewertung. Im Zweifel lieber registrieren als abwarten.

  2. Bringen Sie die Geschäftsführung an den Tisch. NIS2 ist kein IT-Projekt — es ist eine Pflicht der Unternehmensleitung. Organisieren Sie eine Geschäftsführungs-Schulung und lassen Sie die Risikomanagement-Maßnahmen formal genehmigen. Die persönliche Haftung ist ein starkes Argument.

  3. Priorisieren Sie: Meldepflichten und Incident Response zuerst. Ein Sicherheitsvorfall ohne funktionierenden Meldeprozess ist das schlimmste Szenario unter NIS2. Die 24-Stunden-Frist für die Frühwarnung verzeiht keine Improvisation.

  4. Nutzen Sie NIS2 als Hebel für überfällige Sicherheitsinvestitionen. MFA, Schwachstellenmanagement, Backup-Tests — vieles davon sollte längst Standard sein. NIS2 gibt Ihnen das regulatorische Mandat, um Budgets durchzusetzen. Verbinden Sie es mit dem AI Act für ein integriertes Compliance-Programm.

  5. Dokumentieren Sie alles — von Anfang an. Bei einer BSI-Prüfung zählt nicht, was Sie getan haben, sondern was Sie nachweisen können. Führen Sie ein zentrales Compliance-Register mit Risikoanalysen, Schulungsnachweisen, Audit-Ergebnissen und Incident-Reports.

Quellen und weiterführende Informationen

  • NIS2-Richtlinie (EU) 2022/2555: Volltext auf EUR-Lex
  • BSI: NIS-2-regulierte Unternehmen — Pflichten und Registrierung: bsi.bund.de
  • BSI-Portal für NIS-2-Registrierung: portal.bsi.bund.de
  • NIS2UmsuCG — NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (Deutschland)