Sie wissen, dass NIS2 Ihr Unternehmen betrifft. Aber wo fangen Sie an? Was muss zuerst erledigt werden? Was kann warten? Und was passiert, wenn Sie etwas vergessen?
Genau dafür haben wir diese Checkliste erstellt. Kein Juristendeutsch, keine 200-Seiten-Dokumente — sondern eine klare, priorisierte Übersicht aller Pflichten, die das NIS2-Umsetzungsgesetz von mittelständischen Unternehmen verlangt.
Drucken Sie diese Seite aus, hängen Sie sie an die Wand, arbeiten Sie sie ab. Punkt für Punkt.
Phase 1: Sofort erledigen (diese Woche)
Diese Punkte dulden keinen Aufschub. Sie sind entweder bereits überfällig oder kosten Sie bei Nichtbeachtung sofort Geld.
☐ BSI-Registrierung durchführen
Die Frist ist seit dem 6. März 2026 abgelaufen. Falls Sie noch nicht registriert sind, holen Sie das heute nach. Sie brauchen ein ELSTER-Organisationszertifikat — falls Sie noch keines haben, beantragen Sie es sofort unter mein-unternehmenskonto.de. Die Registrierung selbst erfolgt unter muk.bsi.bund.de. Allein die fehlende Registrierung kann bis zu 500.000 Euro Bußgeld kosten. Das ist kein theoretisches Risiko — das BSI prüft seit Mai 2026 aktiv.
☐ Einstufung klären: bwE oder wE
Sind Sie eine besonders wichtige Einrichtung oder eine wichtige Einrichtung? Die Antwort bestimmt Ihre Aufsichtsintensität und Ihre Bußgeldhöhe. Ab 250 Mitarbeitern oder über 50 Mio. Euro Umsatz: besonders wichtige Einrichtung. Ab 50 Mitarbeitern oder über 10 Mio. Euro Umsatz: wichtige Einrichtung. Falls Sie unsicher sind: Unser Betroffenheitscheck berechnet Ihre Einstufung in 5 Minuten.
☐ 24/7-Kontaktstelle einrichten
NIS2 verlangt eine jederzeit erreichbare Kontaktstelle für Sicherheitsvorfälle. Das kann ein Funktionspostfach wie security@ihrefirma.de sein, kombiniert mit einer Rufbereitschaft. Legen Sie fest: Wer ist die Kontaktperson? Wer ist die Vertretung? Wie sind beide außerhalb der Geschäftszeiten erreichbar? Dokumentieren Sie das schriftlich.
☐ Verantwortlichkeiten festlegen
Wer ist in Ihrem Unternehmen für NIS2 zuständig? Benennen Sie einen Informationssicherheitsbeauftragten — das kann der IT-Leiter sein, ein externer Berater oder eine andere geeignete Person. Wichtig: Die Geschäftsführung kann die operative Umsetzung delegieren, aber nicht die Genehmigung und Überwachung. Das bleibt Chefsache.
Phase 2: Innerhalb von 30 Tagen
Diese Punkte bilden das Fundament Ihrer NIS2-Compliance. Ohne sie haben Sie bei einer BSI-Prüfung nichts vorzuweisen.
☐ Risikoanalyse durchführen
§30 Nr. 1 BSIG verlangt eine dokumentierte Risikoanalyse. Erfassen Sie alle geschäftskritischen IT-Systeme: ERP, E-Mail, Produktionssteuerung, Warenwirtschaft, Telematik. Bewerten Sie für jedes System: Was passiert wenn es ausfällt? Wie wahrscheinlich ist ein Ausfall? Wie hoch ist der potenzielle Schaden? Halten Sie die Ergebnisse in einem Risikoregister fest. Nicht im Kopf, nicht in einer E-Mail — in einem strukturierten Dokument mit Datum und Verantwortlichem.
☐ Incident-Response-Plan erstellen
Was passiert wenn morgen ein Ransomware-Angriff Ihre Systeme verschlüsselt? Wer wird informiert? In welcher Reihenfolge? Wer meldet an das BSI? Wer kommuniziert mit Kunden? Schreiben Sie das auf. Maximal 3–4 Seiten. Definieren Sie: Meldekette intern, BSI-Meldeverantwortlicher, Vorlagen für die drei Meldestufen (24h Frühwarnung, 72h Zwischenbericht, 1 Monat Abschlussbericht), Kontaktnummern die auch offline verfügbar sind.
☐ Backup-Strategie prüfen und testen
Die meisten Unternehmen haben Backups. Die wenigsten haben jemals getestet ob eine Wiederherstellung funktioniert. Prüfen Sie: Werden alle kritischen Systeme gesichert? Wie alt ist das letzte Backup? Gibt es ein Offline-Backup das bei einem Ransomware-Angriff nicht mitverschlüsselt wird? Und dann: Testen Sie die Wiederherstellung. Einmal. Jetzt. Dokumentieren Sie das Ergebnis.
☐ MFA für alle administrativen Zugänge aktivieren
Multi-Faktor-Authentifizierung für alle Admin-Accounts, VPN-Zugänge und Cloud-Dienste. Das ist die einzelne Maßnahme mit dem besten Kosten-Nutzen-Verhältnis in der gesamten IT-Sicherheit. Die meisten Systeme unterstützen MFA bereits — es muss nur aktiviert werden.
☐ IT-Asset-Inventar erstellen
Sie können nicht schützen was Sie nicht kennen. Erstellen Sie eine vollständige Liste aller IT-Systeme, Server, Netzwerkgeräte, Arbeitsplätze, mobilen Geräte und Cloud-Dienste. Pro Asset: Bezeichnung, Standort, Verantwortlicher, Betriebssystem, Patch-Stand, Kritikalität.
Phase 3: Innerhalb von 90 Tagen
Diese Maßnahmen bauen auf Phase 1 und 2 auf und machen Ihre Compliance nachweisbar.
☐ Gap-Analyse über alle 10 Maßnahmenbereiche
§30 BSIG definiert zehn Bereiche die jedes betroffene Unternehmen abdecken muss. Gehen Sie jeden systematisch durch und bewerten Sie ehrlich: Wo stehen wir? Was fehlt? Was hat Priorität? Die zehn Bereiche sind: Risikoanalyse, Incident Response, BCM und Backup, Lieferkettensicherheit, Beschaffung und Patch-Management, Wirksamkeitsprüfung, Schulungen, Kryptografie, Zugriffskontrolle, MFA und sichere Kommunikation.
☐ Maßnahmenplan mit Verantwortlichen und Fristen erstellen
Aus der Gap-Analyse ergibt sich ein konkreter Maßnahmenplan. Jede offene Lücke wird zu einer Aufgabe: Was ist zu tun? Wer ist verantwortlich? Bis wann? Priorisieren Sie nach Risiko — die größten Lücken zuerst.
☐ Sicherheitsleitlinie verabschieden
Die zentrale Richtlinie die festlegt wie Ihr Unternehmen mit Informationssicherheit umgeht. Muss von der Geschäftsführung genehmigt und unterschrieben werden. Inhalt: Geltungsbereich, Sicherheitsziele, Rollen und Verantwortlichkeiten, Grundsätze. Die GF-Freigabe ist der Nachweis für §38 BSIG dass die Geschäftsleitung ihre Genehmigungspflicht wahrgenommen hat.
☐ Mitarbeiterschulungen durchführen
Alle Mitarbeiter müssen in den Grundlagen der Cybersicherheit geschult werden. Phishing erkennen, sichere Passwörter, Meldewege bei Vorfällen, Clean-Desk-Policy. Dokumentieren Sie wer wann geschult wurde — mit Nachweis. Die Geschäftsführung muss sich zusätzlich persönlich schulen lassen. Das ist keine Empfehlung sondern Pflicht nach §38.
☐ Lieferantenbewertung starten
Identifizieren Sie Ihre kritischen IT-Dienstleister und Zulieferer: Wer hat Zugang zu Ihren Systemen? Wer verarbeitet Ihre Daten? Wer liefert geschäftskritische Komponenten? Bewerten Sie deren Cybersicherheit mit einem strukturierten Fragebogen. Ergänzen Sie bestehende Verträge um Sicherheitsklauseln.
☐ Patch-Management-Prozess etablieren
Definieren Sie: Wie werden Sicherheitsupdates identifiziert? Wie schnell werden sie eingespielt? Wer ist verantwortlich? Kritische Patches sollten innerhalb von 72 Stunden eingespielt werden. Dokumentieren Sie den Patch-Status aller Systeme.
Phase 4: Laufend (dauerhaft)
NIS2-Compliance ist kein einmaliges Projekt sondern ein laufender Prozess. Diese Punkte müssen regelmäßig wiederholt werden.
☐ Risikoregister quartalsweise reviewen
Risiken ändern sich. Neue Systeme, neue Bedrohungen, neue Lieferanten. Planen Sie feste Review-Termine — mindestens einmal pro Quartal für kritische Risiken.
☐ Richtlinien jährlich prüfen und aktualisieren
Jede Sicherheitsrichtlinie hat ein Ablaufdatum. Prüfen Sie mindestens jährlich ob Ihre Richtlinien noch aktuell sind. Dokumentieren Sie das Review — auch wenn keine Änderung nötig war.
☐ Schulungen jährlich wiederholen
Einmal schulen reicht nicht. Mitarbeiter vergessen, neue Mitarbeiter kommen dazu, Bedrohungen ändern sich. Planen Sie mindestens eine Auffrischung pro Jahr.
☐ Lieferanten regelmäßig neu bewerten
Kritische Lieferanten mindestens jährlich, wichtige Lieferanten alle zwei Jahre. Die Cybersicherheitslandschaft Ihrer Lieferanten ändert sich — Ihr Bewertungsprozess muss das abbilden.
☐ Incident-Response-Plan testen
Mindestens einmal pro Jahr eine Übung durchführen: simulierter Vorfall, Meldekette durchspielen, BSI-Meldung probeweise ausfüllen. Dokumentieren Sie die Übung und die Erkenntnisse daraus.
☐ Compliance-Score monatlich prüfen
Wo stehen Sie? Welche Maßnahmen sind umgesetzt, welche in Arbeit, welche offen? Ein monatlicher Blick auf den Gesamtstatus verhindert dass Themen einschlafen.
☐ Audit-Nachweise pflegen
Alles was Sie tun, muss nachweisbar sein. Wer hat wann was getan? Wer hat welche Richtlinie genehmigt? Wer wurde wann geschult? Diese Nachweise sind das Erste was das BSI bei einer Prüfung sehen will. Pflegen Sie sie kontinuierlich, nicht erst wenn die Prüfung ansteht.
Die häufigsten Fehler bei der NIS2-Umsetzung
Zum Abschluss: Was die meisten Unternehmen falsch machen — und wie Sie es besser machen.
Fehler 1: Alles auf einmal machen wollen. NIS2 hat zehn Maßnahmenbereiche. Versuchen Sie nicht alle gleichzeitig umzusetzen. Priorisieren Sie: BSI-Registrierung, Risikoanalyse und Incident-Response-Plan zuerst. Der Rest folgt.
Fehler 2: Excel als Compliance-Tool. Excel hat keinen Audit-Trail. Kein Prüfer akzeptiert eine Tabelle als Nachweis. Nutzen Sie ein System das Zeitstempel, Benutzer und Versionshistorien dokumentiert.
Fehler 3: IT-Sicherheit an den IT-Leiter delegieren und vergessen. Die Geschäftsführung muss die Maßnahmen genehmigen und deren Umsetzung überwachen. Das steht im Gesetz. Delegieren Sie die operative Arbeit, aber nicht die Verantwortung.
Fehler 4: Schulungen als Pflichtübung betrachten. Eine 20-minütige PowerPoint einmal im Jahr macht niemanden sicher. Gute Schulungen sind praxisnah, regelmäßig und werden nachgewiesen.
Fehler 5: Lieferanten ignorieren. 75 Prozent der Unternehmen prüfen ihre Zulieferer nicht auf Cybersicherheit. NIS2 macht genau das zur Pflicht. Und Ihre Kunden werden es von Ihnen verlangen.
Diese Checkliste als System nutzen
Sie können diese Checkliste Punkt für Punkt abarbeiten. Oder Sie nutzen ein Tool das den gesamten Prozess strukturiert, priorisiert und dokumentiert.
Der NIS2-Autopilot führt Sie durch genau diese Checkliste — digital, nachweisbar und audit-ready. Von der Risikoanalyse über den Maßnahmenplan bis zum fertigen Compliance-Report. Jeder Schritt wird mit Zeitstempel dokumentiert. Jede GF-Freigabe protokolliert. Jede Schulung zertifiziert.
Ab 249 Euro im Monat. 14 Tage kostenlos testen.
Noch nicht sicher ob NIS2 Sie überhaupt betrifft? Unser kostenloser Betroffenheitscheck gibt Ihnen in 5 Minuten die Antwort.