NIS2-Checkliste 2026: 42 Umsetzungspunkte fuer deutsche Unternehmen
Die NIS2-Richtlinie ist in 10 Massnahmenbereiche gegliedert (Art. 21 Abs. 2). In der Praxis uebersetzen sich diese in etwa 42 konkrete Einzelpunkte, die jedes betroffene Unternehmen umsetzen und nachweisen muss. Diese Checkliste gibt Ihnen das vollstaendige Bild.
Sind Sie ueberhaupt betroffen? NIS2-Betroffenheitscheck zuerst, dann diese Checkliste.
Vor der Checkliste: 4 Grundlagen
- Betroffenheit geklaert — wesentliche oder wichtige Einrichtung?
- Scope definiert — welche Systeme, Prozesse, Standorte sind relevant?
- Geschaeftsleitung eingebunden — persoenliche Haftung, Schulungspflicht verstanden
- Verantwortlicher benannt — CISO oder vergleichbare Rolle formal fuer NIS2 zustaendig
Massnahme 1 — Risikoanalyse und Sicherheitskonzepte (Art. 21 Abs. 2 lit. a)
- Dokumentierte Risikoanalyse aller Informationssysteme mit Methodik (ISO 31000 oder BSI-Standard)
- Risikobewertung mit Schadenshoehe × Eintrittswahrscheinlichkeit
- Risikobehandlungsplan — welche Risiken werden wie behandelt (vermeiden, vermindern, transferieren, akzeptieren)
- Informationssicherheitsrichtlinie als zentrales Dokument, genehmigt durch Geschaeftsleitung
- Jaehrliches Review der Risikoanalyse und Sicherheitskonzepte dokumentiert
Massnahme 2 — Behandlung von Sicherheitsvorfaellen (lit. b)
- Incident Response Plan schriftlich, mit Klassifizierung, Eskalationswegen, Kommunikation
- 24/7-Erreichbarkeit fuer kritische Vorfaelle (intern oder via MDR-Provider)
- Meldewege zum BSI etabliert: 24h Erstmeldung, 72h Update, 1 Monat Abschlussbericht
- Incident-Playbooks fuer haeufige Szenarien (Phishing, Malware, Datenleak, Ransomware)
- Tabletop-Uebung mindestens jaehrlich, dokumentiert
Mehr dazu: NIS2 Meldepflicht
Massnahme 3 — Aufrechterhaltung des Betriebs (lit. c)
- Business Continuity Plan (BCP) dokumentiert, mit definierten RTO/RPO pro kritischem Prozess
- Backup-Konzept mit regelmaessigen Tests der Wiederherstellung (nicht nur Backup-Erfolg)
- Disaster-Recovery-Test jaehrlich, dokumentiert
- Redundanz kritischer Systeme — Multi-Standort, Multi-Cloud, oder dokumentierte Ausweichloesungen
- Lieferantenausfall-Planung — was, wenn ein kritischer Provider ausfaellt?
Massnahme 4 — Lieferkettensicherheit (lit. d)
- Lieferantenverzeichnis mit Kritikalitaetstiers (T0, T1, T2)
- Sicherheitsanforderungen in Vertraegen (SLA, NDA, DSGVO-AVV, Audit-Rechte)
- Jaehrliches Lieferanten-Review mit SOC-2-/ISO-27001-Nachweisen
- Risikobewertung pro Tier-1-Lieferant (Kritikalitaet x Sicherheitsreife)
- Ausstiegsszenarien fuer kritische Lieferanten dokumentiert
Mehr: NIS2 Lieferkette & Lieferantenmanagement
Massnahme 5 — Sicherheit bei Erwerb, Entwicklung und Wartung (lit. e)
- Secure Software Development Policy — sichere SDLC-Prozesse
- Code Review verpflichtend auf Produktivcode, branch-protected
- SAST/DAST im CI/CD (Static/Dynamic Application Security Testing)
- Schwachstellenmanagement mit definierten SLAs (Critical 7d, High 30d, Medium 90d) — siehe Leitfaden
- Patch-Management zentral, dokumentiert, KEV-Catalog-priorisiert — siehe Vergleich
Massnahme 6 — Konzepte zur Bewertung der Wirksamkeit (lit. f)
- Regelmaessige Pentests mindestens jaehrlich, extern durchgefuehrt — siehe Pentest-Pflicht
- Kontinuierliche Schwachstellenanalyse (nicht nur Jahrespruefung)
- Wirksamkeits-KPIs definiert (MTTD, MTTR, Patch-Compliance)
- Monatliches Reporting an Management
- Jaehrliches internes Audit dokumentiert
Massnahme 7 — Cyber-Hygiene und Schulung (lit. g)
- Onboarding-Sicherheitsschulung fuer alle neuen Mitarbeitenden
- Jaehrliche Refresh-Schulung mit Teilnahme-Nachweis
- Phishing-Simulationen mindestens quartalsweise — siehe Anbieter-Vergleich
- Rollenbasierte Schulung fuer IT-Admins, Entwickler, HR, Finanzteam
- Geschaeftsleitungsschulung — verpflichtend nach NIS2 Art. 20, mindestens jaehrlich
Massnahme 8 — Kryptographie (lit. h)
- Verschluesselung at rest fuer alle sensiblen Daten (AES-256 oder besser)
- TLS 1.2+ in transit ueberall (TLS 1.3 bevorzugt)
- Zertifikatsmanagement zentral, mit Ablaufalarmen
- Schluesselmanagement (KMS, Vault), Rotation dokumentiert
- Kryptographie-Inventur — welche Verfahren wo im Einsatz?
Massnahme 9 — Personalsicherheit und Zugriffsmanagement (lit. i)
- Multi-Faktor-Authentifizierung verpflichtend fuer alle Mitarbeitenden, mindestens fuer privilegierte Accounts
- Least-Privilege-Prinzip dokumentiert und umgesetzt
- Quartalsweise Access Reviews mit Dokumentation
- Offboarding-Checkliste — Zugriff wird innerhalb 24h entzogen
- Hintergrundpruefungen fuer sensible Rollen (soweit nach dt. Recht zulaessig)
- Privileged Access Management (PAM) fuer Administratoren
- Session-Logging fuer privilegierte Zugriffe
Massnahme 10 — Multi-Faktor-Authentifizierung und Kommunikationssicherheit (lit. j)
- MFA auf allen externen Diensten (E-Mail, VPN, SSO, Cloud-Konsolen)
- Sichere Sprach- und Videokommunikation fuer vertrauliche Meetings (verschluesselt)
- Sichere Messaging-Werkzeuge freigegeben, Schatten-IT unterbunden
- Notfallkommunikation (Out-of-Band) fuer Vorfaelle definiert
- DNSSEC und DMARC implementiert (gegen Spoofing)
Zusaetzliche Anforderungen aus dem deutschen Gesetz (NIS2UmsuCG)
Registrierung beim BSI
- Unternehmen registriert beim BSI — fristgerecht nach Feststellung der Betroffenheit
- Kontaktperson benannt fuer BSI-Kommunikation
- Aktualisierungen innerhalb der Fristen gemeldet
Geschaeftsleitungspflichten (§ 38 BSIG-neu)
- Ernennung der sicherheitsverantwortlichen Personen dokumentiert
- Genehmigung der Massnahmen durch Geschaeftsleitung dokumentiert
- Schulung der Geschaeftsleitung zu Cyber-Risiken (jaehrlich empfohlen)
Dokumentation und Audit-Trail
- Versionierte Richtliniendokumentation (Change-History sichtbar)
- Evidenzsammlung zentral (Audit-Trail-Plattform statt Email + Fileshare)
- Jaehrlicher Management-Review mit Unterschrift
- BSI-Audit-Vorbereitung — Artefakt-Pakete auf Abruf bereit
Nachweis-Artefakte (was BSI / Aufsicht sehen will)
Pro Massnahme sollten folgende Artefakte existieren:
| Massnahme | Pflichtartefakt |
|---|---|
| Risikoanalyse | Aktuelles Risiko-Register, Methodendoku, Sign-off GL |
| Incident Response | Plan, Playbooks, letzter Tabletop-Bericht, Incident-Log |
| BCM/DR | BCP, letzter DR-Test-Bericht, Backup-Test-Log |
| Lieferkette | Lieferantenverzeichnis, Vertragsmuster, Audit-Reports |
| Sichere Entwicklung | SDLC-Policy, SAST/DAST-Berichte, Patch-Management-Log |
| Wirksamkeitsbewertung | Aktueller Pentest-Bericht, Schwachstellen-Dashboard |
| Schulung | Training-Completion-Raten, Phishing-Simulation-Ergebnisse |
| Kryptographie | Crypto-Policy, KMS-Konfiguration, Zertifikatsliste |
| Personalsicherheit | Access-Matrix, Review-Protokolle, MFA-Coverage-Report |
| MFA/Kommunikation | MFA-Nachweis pro System, DMARC-Report, freigegebene Tools |
Download: NIS2 Checkliste als PDF
Matproof bietet die vollstaendige NIS2-Checkliste kostenlos als PDF mit Reifegrad-Bewertung und Massnahmen-Empfehlung pro Punkt.
Wie Matproof die Umsetzung beschleunigt
- Alle 42 Punkte als vorkonfigurierte Controls in der Plattform
- Automatisierte Evidenz-Sammlung aus Cloud-Konsolen, SSO, HR-System
- Integrierte Pentest-Komponente fuer Massnahme 6
- Phishing-Simulation-Integrationen fuer Massnahme 7
- BSI-Meldefrist-Tracker fuer Massnahme 2
- Geschaeftsleitungs-Schulungsmodul nach § 38 BSIG-neu
- EU-gehostet (Frankfurt), DSGVO-nativ
Demo anfordern • NIS2-Readiness-Assessment