13. November 2025

NIS-2: Neue Cybersicherheitspflichten treten in Kraft
Checkliste: Ist Ihr Unternehmen gut aufgestellt?

NIS-2-Umsetzungsgesetz in Deutschland

Der Bundestag hat das NIS-2-Umsetzungsgesetz beschlossen – und viele Unternehmen und öffentliche Einrichtungen stehen ab sofort vor deutlich höheren Anforderungen.

Durch die Einführung der Kategorien „besonders wichtiger“ und „wichtiger Einrichtungen“ wurde der Geltungsbereich deutlich ausgeweitet. Viele Organisationen sind daher erstmals betroffen.

Es gibt keine Übergangsfristen – das Gesetz gilt sofort.

Die Neuregelung sieht strengere Mindeststandards vor, sie bestimmt klare Registrierungen und Meldewege für Sicherheitsvorfälle, und sie nimmt die Geschäftsführung persönlich in die Pflicht, Cybersicherheitsmaßnahmen zu billigen, zu überwachen, sich regelmäßig darin schulen zu lassen und auch die Haftung zu übernehmen, wenn diese Pflichten grob verletzt werden.

Für viele Organisationen bedeutet das: Prozesse, Dokumentation und Sicherheitsarchitektur müssen schneller modernisiert werden als bisher geplant – nämlich sofort!

Wir stellen Ihnen hier eine Checkliste bereit, damit Sie eine Einschätzung vornehmen können: Ist Ihr Unternehmen gut vorbereitet?

Betroffenheit

  • Gehört Ihre Organisation zu den „besonders wichtigen“ oder „wichtigen“ Einrichtungen?
  • Fällt sie als KRITIS-Anlage ohnehin unter verschärfte Anforderungen?
  • Ist die Registrierung bei der gemeinsamen Registrierungsstelle von BSI und BBK bereits erfolgt bzw. vorbereitet?

Verantwortung & Governance

  • Ist die Geschäftsführung über ihre persönlichen Pflichten und Haftungsrisiken informiert?
  • Sind Rollen, Verantwortlichkeiten und Eskalationswege für Cyber- und Informationssicherheit klar definiert?
  • Gibt es ein verbindliches ISMS (z. B. orientiert an ISO 27001 oder BSI-Grundschutz)?

Risikomanagement

  • Gibt es ein aktuelles, dokumentiertes IT- und Cyberrisikomanagement?
  • Sind die Risiken bewertet, priorisiert und mit Maßnahmen hinterlegt?
  • Gibt es ein Verfahren zur regelmäßigen Neubewertung der Risiken?

Technische & organisatorische Sicherheitsmaßnahmen

  • Erfüllen die Schutzmaßnahmen mindestens den „Stand der Technik“ gemäß NIS-2?
  • Sind die Sicherheitsrichtlinien aktuell und verbindlich?

Lieferketten- & Dienstleistermanagement

  • Werden die IT-Sicherheitsrisiken der Dienstleister und IT-Lieferanten bewertet?
  • Sind Sicherheitsanforderungen und SLAs vertraglich festgelegt?
  • Wird die Einhaltung dieser Vorgaben regelmäßig geprüft?

Incident Response und Meldewesen

  • Gibt es ein dokumentiertes Notfall- und Incident-Response-Konzept?
  • Ist das Unternehmen, vorbereitet, Sicherheitsvorfälle innerhalb von 24h/72h gemäß NIS-2 an die zuständige Behörde melden?
  • Gibt es ein funktionierendes Monitoring zur Erkennung von Vorfällen?
  • Sind alle relevanten Personen geschult und wissen, was im Ernstfall zu tun ist?

Kontinuität & Krisenmanagement:

  • Liegen dokumentierte und getestete Notfall- und Wiederanlaufpläne (BCM) vor?
  • Sind Notfallprozesse regelmäßig geübt (z. B. Cyberangriff-Simulation)?
  • Wie könnte im Krisenfall den Betrieb aufrechterhalten oder schnell wiederhergestellt werden?

Awareness & Schulungen

  • Erhalten alle Mitarbeitenden regelmäßige Security-Awareness-Schulungen?
  • Gibt es spezielle Trainings für kritische Rollen (Admin, Management, Incident-Team)?
  • Werden die Schulungen dokumentiert und deren Wirksamkeit überprüft?

Dokumentation & Auditfähigkeit

  • Ist die gesamte Sicherheitsorganisation prüfungsfest dokumentiert?
  • Sind Policies, Prozesse, Schulungsnachweise und Risikoanalysen aktuell?
  • Gibt es eine interne Kontrollfunktion oder regelmäßige Audits?

Die Checkliste zum Download.

Unsere Kunden profitieren davon, dass sie von uns in puncto Sicherheit bestens beraten sind und daher NIS-2-konform aufgestellt sind. Profitieren auch Sie – wir unterstützen gerne bei der Umsetzung der technischen und organisatorischen Maßnahmen.
Ein komplexes Thema? Da sind Sie bei uns richtig.