How long does NIS2 compliance take?

For a medium-sized organisation starting from scratch, a realistic NIS2 compliance timeline is 6–12 months. Phase 1 (governance) takes 2–4 weeks. Phase 2 (risk assessment) takes 4–8 weeks. Phase 3 (implementing Article 21 measures) is the longest phase at 3–6 months, depending on existing security maturity and the number of gaps. Organisations with ISO 27001 certification already have 60–70% of controls in place and can typically complete NIS2 compliance in 3–4 months. Using pre-built NIS2 document templates rather than drafting all documentation from scratch can reduce the timeline by 30–50%.

Do I need to register with my national NIS2 authority?

Yes. Article 27 of NIS2 requires essential and important entities to register with their national competent authority. Registration procedures vary by Member State — some have online portals, others are still setting up processes. Deadlines are set in national transposition law. Check your national NIS2 authority's website for current registration requirements. Failure to register can trigger enforcement action separately from any Article 21 compliance issues.

What is the first step to NIS2 compliance?

The first step is confirming your scope — whether NIS2 applies and whether you are essential or important. Many organisations assume their classification without verifying against the Annex I/II sector lists and size thresholds. After confirming scope, obtain formal management commitment and dedicated budget (Phase 1). No compliance programme survives without board-level buy-in and ring-fenced resources.

Can ISO 27001 certification be used as evidence of NIS2 compliance?

ISO 27001 provides significant overlap — ENISA's Technical Implementation Guidance maps ISO 27001 controls to each CIR 2024/2690 measure. However, ISO 27001 alone is not sufficient. Key NIS2-specific gaps include: the 24h/72h/1-month incident notification process, supply chain security requirements (more explicit in NIS2 than ISO 27001), and management body personal accountability under Article 20. Use ISO 27001 certification as a strong baseline, then complete a gap analysis against NIS2-specific requirements.

NIS2-Compliance-Checkliste: Ihr vollständiger Schritt-für-Schritt-Leitfaden - NIS2-Richtlinie.com

Q: What documentation does NIS2 require?

NIS2 does not publish a fixed document list, but supervisory inspections typically expect evidence for each Article 21 measure. At minimum: Information Security Policy, Risk Assessment and Treatment Plan, Incident Response Plan, Business Continuity Plan, Disaster Recovery Plan, Backup Policy, Supply Chain Security Policy, Asset Register, Access Control Policy, Cryptography Policy, Training Records, and management approval records. The NIS2 compliance templates at nis-2-templates.com cover all of these.

NIS2-Compliance-Checkliste: Ihr vollständiger Schritt-für-Schritt-Leitfaden (2026)

Zuletzt aktualisiert: März 2026. Diese Checkliste berücksichtigt die NIS2-Richtlinie (2022/2555), die seit dem 18. Oktober 2024 durchsetzbar ist, sowie die Durchführungsverordnung der Kommission (EU) CIR 2024/2690. Sie gilt für wesentliche und wichtige Einrichtungen gleichermaßen.

Die NIS2-Umsetzungsfrist ist abgelaufen, und die Durchsetzung läuft EU-weit an. Ob Sie Ihr Umsetzungsprogramm gerade erst starten oder bereits durchgeführte Maßnahmen einem Stresstest unterziehen – eine strukturierte NIS2-Compliance-Checkliste ist der entscheidende Unterschied zwischen einer verteidigungsfähigen Compliance-Position und einem lückenhaften Programm, das einer Aufsichtsprüfung nicht standhalten wird.

Dieser Leitfaden gliedert die NIS2-Umsetzung in sieben aufeinanderfolgende Phasen, die alle Anforderungen abdecken – von der initialen Governance-Einrichtung über fortlaufende Tests bis hin zur kontinuierlichen Verbesserung. Jede Phase enthält spezifische, umsetzbare Checklisten-Punkte mit direkten Verweisen auf die Maßnahmen nach Article 21, die Kapitel der CIR 2024/2690 und die NIS2-Compliance-Dokumentvorlagen, die als Nachweise für die jeweiligen Kontrollen dienen. Alle 59 Punkte sind rechtlichen Anforderungen der Richtlinie selbst zugeordnet.

Dies ist die umfassendste kostenlose NIS2-Compliance-Checkliste, die verfügbar ist. Die herunterladbare PDF-Version – formatiert für den Ausdruck und die Nutzung im Team – finden Sie am Ende dieses Leitfadens.

Für wen dieser Leitfaden bestimmt ist: Compliance-Beauftragte, CISOs und NIS2-Projektverantwortliche bei wesentlichen oder wichtigen Einrichtungen. Arbeiten Sie jede Phase der Reihe nach durch. Halten Sie für jeden abgeschlossenen Punkt das entsprechende Nachweisdokument in Ihrem Compliance-Register fest: den Richtliniennamen, den Systemnamen, das Testdatum oder die Referenz des Prüfberichts. NIS2-Aufsichtsbehörden prüfen die Dokumentation – „das machen wir bereits“ ohne einen dokumentarischen Nachweis ist keine verteidigungsfähige Position.

Vor dem Start: Gilt NIS2 für Ihre Organisation?

Bevor Sie ein Compliance-Programm aufbauen, bestätigen Sie Ihren NIS2-Status. Die nachfolgende Checkliste geht davon aus, dass Sie bereits im Anwendungsbereich liegen – wenn Sie dies noch nicht formal überprüft haben, nutzen Sie zunächst die nachstehende Kurzübersicht. Eine falsche Einstufung (wesentliche vs. wichtige Einrichtung) lenkt erhebliche Ressourcen in die falsche Richtung.

Kurzcheck zur NIS2-Anwendbarkeit

Ist Ihre Organisation in einem Sektor gemäß Annex I oder Annex II tätig?
Annex I: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement (B2B), öffentliche Verwaltung, Weltraum.
Annex II: Post-/Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschungseinrichtungen.
→ Wenn keiner dieser Sektoren zutrifft: NIS2 gilt nicht unmittelbar. Als Lieferant von Einrichtungen im Anwendungsbereich können jedoch mittelbare Verpflichtungen bestehen.
Hat Ihre Organisation 50 oder mehr Beschäftigte ODER einen Jahresumsatz/eine Jahresbilanzsumme von mehr als 10 Mio. €?
→ Wenn beide Schwellenwerte unterschritten werden: grundsätzlich ausgenommen, es sei denn, Sie sind Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namensregistrierung oder Anbieter öffentlicher elektronischer Kommunikationsnetze (unabhängig von der Größe im Anwendungsbereich).
Wie lautet Ihre Einrichtungsklassifizierung?
Große Einrichtung (250+ Beschäftigte oder 50 Mio. €+ Umsatz) in einem Sektor gemäß Annex I → wahrscheinlich wesentliche Einrichtung.
Mittlere Einrichtung (50–249 Beschäftigte) in Annex I oder II → wahrscheinlich wichtige Einrichtung.
Große Einrichtung in Annex II → wahrscheinlich wichtige Einrichtung.

Ihre Einstufung ist entscheidend: Wesentliche Einrichtungen unterliegen proaktiven Aufsichtsinspektionen und Bußgeldern von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen unterliegen einer reaktiven Aufsicht mit Bußgeldern von bis zu 7 Mio. € oder 1,4 %. Den vollständigen NIS2-Anwendungsbereichsleitfaden mit sektorspezifischer Analyse und nationalen Registrierungsanforderungen finden Sie hier. Einzelheiten zur Durchsetzung entnehmen Sie dem NIS2-Leitfaden zu Sanktionen.

Anwendung dieser NIS2-Compliance-Checkliste

Arbeiten Sie jede Phase der Reihe nach durch. Halten Sie für jeden abgeschlossenen Checklisten-Punkt das entsprechende Nachweisdokument in Ihrem Compliance-Register fest: den Richtliniennamen, den Systemnamen, das Testdatum oder die Referenz des Prüfberichts. Jeder Punkt weist auf die relevante Maßnahme nach Article 21 (a–j), das entsprechende Kapitel der CIR 2024/2690 sowie einen Link zur zugehörigen Dokumentvorlage hin. Die Phasen sind darauf ausgelegt, in der vorgegebenen Reihenfolge abgeschlossen zu werden – die Ergebnisse aus Phase 2 (Risikobeurteilung) fließen unmittelbar in Phase 3 (Umsetzung) ein.

Phase 1: Governance und Projektaufbau

Compliance entsteht nicht ohne organisatorisches Engagement. Phase 1 schafft die Governance-Grundlage – Management-Commitment, definierte Zuständigkeiten, ein klar abgegrenztes Projekt und eine Governance-Struktur. Diese Punkte sind Voraussetzung für alles Weitere. Programme, die Phase 1 überspringen, geraten regelmäßig in der Mitte von Phase 3 ins Stocken, wenn das Budget aufgebraucht ist oder Verantwortlichkeiten unklar werden.

Artikelreferenz: Alle Maßnahmen (Voraussetzung). Article 20 (Verantwortlichkeit des Managements). Geschätzter Zeitaufwand: 2–4 Wochen.

Formelles Management-Commitment und ein dediziertes NIS2-Compliance-Budget einholen. Die Genehmigung durch das Leitungsgremium ist nach Article 20 erforderlich – nicht nur eine bloße Kenntnisnahme, sondern eine formelle Freigabe. Dokumentieren Sie die Genehmigungsentscheidung (Vorstandsbeschluss oder Freigabe durch die Geschäftsführung). Ohne ein zweckgebundenes Budget können die nachfolgenden Phasen nicht ausreichend ausgestattet werden. Dokument: NIS2-Projektauftrag
Einen NIS2-Beauftragten oder CISO mit definierten Aufgaben und Befugnissen benennen. Jemand muss das Compliance-Programm mit klarer Verantwortlichkeit leiten. Legen Sie die Rolle schriftlich fest: Befugnisumfang, Eskalationsrechte, Berichtslinie zum Leitungsgremium und Genehmigungsschwelle für Budgetentscheidungen. Dokument: NIS2-RACI-Matrix
Compliance-Umfang definieren: juristische Personen, abgedeckte Dienste und relevante Systeme. Legen Sie genau fest, welche Geschäftsbereiche, Dienste und Systeme unter NIS2 fallen. Dokumentieren Sie die Umfangsgrenze – was einbezogen ist, was nicht und warum. Umfangsveränderungen während des Programms sind kostspielig; Unklarheiten über den Anwendungsbereich gehören zu den häufigsten Programmfehlern. Dokument: NIS2-Umfangsdefinitionsdokument
Einen Projektplan mit Phasen, Meilensteinen, Fristen und zugewiesenen Verantwortlichen erstellen. Ein Compliance-Programm ohne Plan ist bloße Hoffnung. Erstellen Sie einen meilensteinbasierten Plan, der alle sieben Phasen abdeckt. Setzen Sie realistische Fristen, weisen Sie jeder Phase einen Verantwortlichen zu und etablieren Sie einen Governance-Rhythmus (zweiwöchentliche Steuerungsmeetings werden empfohlen). Dokument: NIS2-Projektplan
Eine Security-Governance-Struktur mit Berichtslinien zum Leitungsgremium etablieren. Legen Sie fest, wer Cybersicherheitsberichte erhält, in welcher Häufigkeit und welche Entscheidungen eine Eskalation an das Leitungsgremium erfordern. Richten Sie einen Cybersicherheits-Lenkungsausschuss ein, sofern noch keiner besteht. Etablieren Sie einen regelmäßigen Turnus für Management-Berichte zum Cybersicherheitsstatus und zum Programmfortschritt. Dokument: Security-Governance-Framework

✅ Phase 1 abgeschlossen, wenn: Benannter NIS2-Verantwortlicher mit Befugnissen und bestätigtem Budget, genehmigtes Umfangsdokument, vorhandener Projektplan und etablierte Governance-Struktur mit Einbindung des Leitungsgremiums.

Phase 2: Risikobeurteilung

Article 21(a) verlangt einen risikobasierten Ansatz: Alle Cybersicherheitsmaßnahmen müssen den tatsächlichen Risiken, denen Ihre Organisation ausgesetzt ist, „angemessen und verhältnismäßig“ sein. Phase 2 etabliert das Risikomanagement-Framework und erstellt die Risikobeurteilung, die die Umsetzungsprioritäten für Article 21 bestimmt. Ohne diese Grundlage implementieren Sie Kontrollen, ohne zu wissen, ob sie Ihre tatsächliche Risikoexposition adressieren – ein Compliance-durch-Abhaken-Ansatz, den NIS2 gezielt verhindern soll.

Eine detaillierte Methodik finden Sie im NIS2-Leitfaden zur Risikobeurteilung.

Article 21-Referenz: (a) Risikoanalyse und Informationssicherheitsrichtlinien. CIR 2024/2690: Kapitel 2. Geschätzter Zeitaufwand: 4–8 Wochen, abhängig von der organisatorischen Komplexität.

Eine Risikomanagement-Methodik auf Basis eines anerkannten Frameworks etablieren. Dokumentieren Sie die von Ihnen verwendete Methodik – ISO 27005, den empfohlenen ENISA-Ansatz oder ein gleichwertiges Verfahren. Definieren Sie Risikobewertungskriterien (Eintrittswahrscheinlichkeit, Auswirkung, Risikobereitschaftsschwellenwerte). Holen Sie die Genehmigung des Managements für die Methodik ein, bevor Sie mit der Beurteilung beginnen. Dokument: Risikomanagement-Framework
Alle Informationswerte identifizieren und klassifizieren (IT, OT, Cloud-Dienste und Daten). Erstellen Sie ein vollständiges Asset-Inventar, das Hardware, Software, Cloud-Dienste, Daten-Repositories und – soweit zutreffend – OT-Systeme (Operational Technology) umfasst. Klassifizieren Sie die Assets nach Kritikalität und Schutzbedarf. Dieses Inventar erfüllt zugleich die Asset-Management-Anforderungen nach Article 21(i). Dokument: Asset-Register
Eine Risikobeurteilung für alle relevanten IT- und OT-Umgebungen durchführen. Identifizieren Sie Bedrohungen und Schwachstellen für jeden kritischen Asset, bewerten Sie Eintrittswahrscheinlichkeit und Auswirkung und berechnen Sie Risikoscores. Berücksichtigen Sie Lieferkettenrisiken (Article 21(d)), menschliche Faktoren und die sektorspezifische Bedrohungslandschaft Ihrer Organisation. Dokument: Risikobeurteilungstabelle
Einen Risikobehandlungsplan erstellen, der identifizierte Risiken den Kontrollen nach Article 21 zuordnet. Legen Sie für jedes hohe und kritische Risiko die Behandlungsoption (mindern, akzeptieren, transferieren oder vermeiden) und die spezifische Maßnahme nach Article 21 fest, die es adressiert. Dieser Plan bestimmt die Umsetzungsreihenfolge in Phase 3 – die Lücken mit dem höchsten Risiko werden zuerst geschlossen. Dokument: Risikobehandlungsplan
Dokumentierte Management-Akzeptanz für Restrisiken einholen. Nach der Behandlung verbleibt ein gewisses Restrisiko. Das Management muss diese Risiken formell akzeptieren – nicht nur darüber informiert werden. Dokumentieren Sie diese Akzeptanz mit Unterschriften und Datum. Dies ist sowohl eine gesetzliche Anforderung als auch Ihr primärer Due-Diligence-Nachweis im Rahmen der Durchsetzung. Dokument: Risikoakzeptanzregister

✅ Phase 2 abgeschlossen, wenn: Genehmigte und dokumentierte Risikobewertungsmethodik vorhanden, vollständiges Asset-Inventar erstellt, Risikoscores zugewiesen, Risikobehandlungsplan mit Maßnahmen nach Article 21 verknüpft und Management-Freigabe für Restrisiken eingeholt.

Phase 3: Umsetzung der Maßnahmen nach Article 21

Dies ist der Kern der NIS2-Compliance. Article 21 legt 10 Cybersicherheits-Risikomanagementmaßnahmen fest, die alle wesentlichen und wichtigen Einrichtungen umsetzen müssen. Die nachfolgende Checkliste enthält spezifische Maßnahmen für jede dieser Anforderungen, mit Verweisen auf Dokumentvorlagen und Links zu den Kapiteln der CIR 2024/2690 für detaillierte technische Anforderungen.

Nutzen Sie Ihren Risikobehandlungsplan aus Phase 2, um zu priorisieren, welche Maßnahmen zuerst angegangen werden sollen. Wenn Ihre Risikobeurteilung Incident Handling und die Lieferkette als die Bereiche mit dem höchsten Risiko identifiziert hat – der häufigste Befund bei Organisationen, die NIS2 neu umsetzen – beginnen Sie mit den Maßnahmen (b) und (d).

(a) Risikoanalyse und Informationssicherheitsrichtlinien – Art. 21(a)

CIR 2024/2690: Kapitel 1 (NIS-Richtlinie) + Kapitel 2 (Risikomanagement)

Eine dokumentierte Informationssicherheitsrichtlinie entwerfen und genehmigen lassen, die NIS2-Umfang, Sicherheitsziele, Rollen und Verantwortlichkeiten abdeckt. Genehmigung durch das Leitungsgremium einholen. Jährliche Überprüfung festschreiben. Dokument: Informationssicherheitsrichtlinie
Einen formellen jährlichen Risikoanalyseprozess etablieren, der die Methodik aus Phase 2 verwendet. Ersten Überprüfungstermin festlegen. Den Prozess dokumentieren – wer ihn durchführt, welche Eingaben er verwendet und wie die Ergebnisse in den Risikobehandlungsplan zurückfließen. Dokument: Risikomanagementverfahren
Messbare Sicherheitsziele definieren, die auf Ihre Risikobereitschaft abgestimmt sind. Ziele sollten spezifisch und verantwortlich zugewiesen sein (z. B. „kritische Schwachstellen innerhalb von 72 Stunden beheben“), namentlich benannten Verantwortlichen zugeordnet und vierteljährlich auf Managementebene überprüft werden. Dokument: Sicherheitszielregister

(b) Incident Handling – Art. 21(b)

CIR 2024/2690: Kapitel 3 (Incident Management). Siehe auch Phase 4 und den NIS2-Leitfaden zur Vorfallmeldung.

Einen Incident-Response-Plan (IRP) entwickeln und genehmigen lassen, der den vollständigen Lebenszyklus abdeckt: Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung. Definieren Sie, was in Ihrer Organisation gemäß Article 23 als „erheblicher Sicherheitsvorfall“ gilt. Dokument: Incident-Response-Plan
Kriterien zur Klassifizierung des Schweregrads von Vorfällen definieren, die der NIS2-Definition des „erheblichen Sicherheitsvorfalls“ entsprechen (schwerwiegende Betriebsstörung, finanzieller Verlust, Schaden für Dritte). Diese Schwellenwerte lösen den 24-Stunden-Meldeworkflow aus. Dokument: Schweregradklassifizierungsmatrix für Vorfälle
Den 24-Stunden/72-Stunden/1-Monat-Meldeworkflow einrichten, mit namentlich benannten Verantwortlichen und vorbereiteten Meldevorlagen. Siehe Phase 4 für die vollständige Einrichtung des Incident Managements. Dokument: Vorfall-Meldeformulare
Den Incident-Response-Plan mit mindestens einer Tischübung (Tabletop Exercise) testen. Datum, Szenario, Erkenntnisse und Korrekturmaßnahmen der Übung dokumentieren. Dokument: Tabletop-Exercise-Bericht

(c) Business Continuity und Krisenmanagement – Art. 21(c)

CIR 2024/2690: Kapitel 4 (Business Continuity & Krisenmanagement)

Einen dokumentierten Business-Continuity-Plan (BCP) erstellen mit definierten Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) für kritische Dienste. Dokument: Business-Continuity-Plan
Backup-Management implementieren, das regelmäßige Sicherungen, getestete Wiederherstellungen, externe/offline Kopien und unveränderliche Backups zur Ransomware-Resilienz umfasst. Backup-Zeitpläne und Aufbewahrungsfristen dokumentieren. Dokument: Backup-Richtlinie
Einen Disaster-Recovery-Plan dokumentieren mit spezifischen technischen Wiederherstellungsverfahren und RTO-Zielvorgaben für jedes kritische System. Manuelle Ausweichverfahren für längere Ausfälle einbeziehen. Dokument: Disaster-Recovery-Plan
BCP und DR-Pläne mindestens jährlich testen durch Tischübungen, Simulationen oder Live-Failover-Tests. Ergebnisse dokumentieren und Pläne auf Basis der Erkenntnisse aktualisieren. Dokument: BCP/DR-Testbericht

(d) Sicherheit in der Lieferkette – Art. 21(d)

CIR 2024/2690: Kapitel 5 (Lieferkettensicherheit). Vollständige Lieferketten-Checkliste siehe Phase 5.

Alle kritischen Drittlieferanten und Dienstleister erfassen und dokumentieren, die Ihre NIS2-relevanten Dienste beeinflussen könnten: Cloud-Anbieter, Managed-Service-Provider, Softwareanbieter und Logistikpartner. Dokument: Lieferantenregister
Sicherheitsbewertungen kritischer Lieferanten durchführen mithilfe von Fragebögen oder durch Prüfung ihrer Sicherheitszertifizierungen (ISO 27001, SOC 2, Cyber Essentials Plus). Jedem Lieferanten eine Risikoeinstufung zuweisen. Dokument: Sicherheitsbewertungsfragebogen für Lieferanten
NIS2-konforme Sicherheitsklauseln in Lieferantenverträge aufnehmen: Pflicht zur Vorfallmeldung, Prüfungsrecht, Sicherheitsanforderungen und Kündigungsrechte bei wesentlichen Sicherheitsverstößen. Sofort in neue Verträge aufnehmen, bei bestehenden Verträgen bei der nächsten Verlängerung einbeziehen. Dokument: Sicherheits-Nachtrag zum Lieferantenvertrag

(e

Phase 7: Testen und kontinuierliche Verbesserung

NIS2-Konformität ist kein einmaliges Projekt — sie ist ein fortlaufendes Managementsystem. Phase 7 etabliert die Prozesse, die Ihre Compliance-Position aktuell halten, wenn sich Bedrohungen weiterentwickeln, Systeme sich ändern und das regulatorische Umfeld sich weiterentwickelt. Diese Phase ist es auch, die eine Compliance-Übung in eine echte Sicherheitsverbesserung verwandelt: die Rückkopplungsschleifen, die Ihr Programm messbar verbessern.

Article 21 Referenz: (f) Wirksamkeitsbewertung. Alle Maßnahmen zur kontinuierlichen Verbesserung. CIR 2024/2690: Kapitel 6. Geschätzter Zeitaufwand: Fortlaufend; initiale Einrichtung 2–4 Wochen.

Regelmäßige Risikoüberprüfungen planen — mindestens jährlich und nach auslösenden Ereignissen. Die Risikobewertung aus Phase 2 ist nicht statisch. Planen Sie eine jährliche Gesamtüberprüfung und definieren Sie auslösende Ereignisse, die eine Ad-hoc-Überprüfung veranlassen: bedeutende Vorfälle, wesentliche Systemänderungen, neue Bedrohungsinformationen, materielle Änderungen Ihres Geschäftsbetriebs oder regulatorische Aktualisierungen. Dokumentieren Sie jeden Überprüfungszyklus. Dokument: Risikoüberprüfungsplan, aktualisierte Risikobewertungstabelle
BC/DR-Tabletop- und Live-Übungen mindestens jährlich planen und durchführen. Testen Sie Ihre Business-Continuity- und Disaster-Recovery-Fähigkeiten in der Praxis, nicht nur auf dem Papier. Eskalieren Sie von Tabletop-Übungen (diskussionsbasiert, geringere Kosten) zu Simulations- oder Live-Failover-Übungen, wenn der Reifegrad steigt. Halten Sie alle Übungen, Erkenntnisse und Planaktualisierungen fest. Dokument: BCP/DR-Testbericht, Tabletop-Übungsbericht
Ein KPI-Mess- und Management-Berichtsprogramm einrichten. Berichten Sie dem Leitungsgremium mindestens vierteljährlich über Cybersicherheitskennzahlen. Berücksichtigen Sie die in Phase 3(f) definierten KPIs: Patch-Compliance-Rate, mittlere Erkennungszeit, mittlere Reaktionszeit, Schulungsabschlussrate, offene kritische Schwachstellen und Abschlussrate von Audit-Feststellungen. Nutzen Sie Kennzahlen, um die Programmwirksamkeit nachzuweisen und frühzeitige Verschlechterungen zu erkennen. Dokument: Security-KPI-Dashboard
Ein internes Auditprogramm für die NIS2-Konformität einrichten. Führen Sie mindestens jährliche interne Audits gegen alle Article 21-Maßnahmen durch. Nutzen Sie Audit-Feststellungen, um Lücken zu identifizieren, Abhilfemaßnahmen zu verfolgen und gegenüber Aufsichtsbehörden Nachweise für Ihr kontinuierliches Verbesserungsprogramm zu erbringen. Externe Audits durch qualifizierte Dritte verleihen zusätzliche Glaubwürdigkeit. Dokument: Internes Auditprogramm, Audit-Checkliste
Lessons Learned und Korrekturmaßnahmen aus Vorfällen, Übungen und Audits dokumentieren. Jeder Vorfall, jede Tabletop-Übung und jede Audit-Feststellung ist eine Verbesserungsmöglichkeit. Weisen Sie Korrekturmaßnahmen namentlich benannten Verantwortlichen mit Fertigstellungsterminen zu. Verfolgen Sie offene Maßnahmen als Einträge im Risikoregister. Schließen Sie den Regelkreis — ein Programm mit vielen offenen Korrekturmaßnahmen und ohne Fertigstellungstermine signalisiert systematische Nicht-Konformität. Dokument: Korrekturmaßnahmenregister

✅ Phase 7 abgeschlossen, wenn: Jährliche Risikoüberprüfung geplant und Rhythmus etabliert, BC/DR-Übung abgeschlossen und dokumentiert, KPI-Berichtszyklus läuft, internes Auditprogramm aktiv und Korrekturmaßnahmen-Tracking mit namentlich benannten Verantwortlichen eingerichtet.

📝 Kostenlose NIS2-Compliance-Checkliste als PDF

Die oben aufgeführte siebenphasige Checkliste mit 59 Punkten ist als kostenlos herunterladbares PDF verfügbar — druckfertig formatiert und konzipiert für den Einsatz in Workshops, Management-Präsentationen und Compliance-Register-Reviews.

Das PDF enthält:

Alle 59 Checklisten-Punkte über sieben Phasen, formatiert mit druckbaren Kontrollkästchen
Article 21- und CIR 2024/2690-Kapitelreferenzen für jeden Punkt
Eine Compliance-Register-Spalte (Verantwortlicher, Nachweisdokument, Fertigstellungsdatum)
Phasenweise “Abgeschlossen wenn”-Kriterien zur Verfolgung von Programmmeilensteinen
Links zur vollständigen NIS2-Dokumentvorlagenbibliothek (52 sofort einsetzbare Richtlinien- und Verfahrensvorlagen)

Geben Sie unten Ihre E-Mail-Adresse ein, um das PDF zu erhalten. Wir benachrichtigen Sie außerdem, wenn die Checkliste nach den geplanten NIS2-Änderungen 2026 aktualisiert wird.

[E-Mail-Opt-in-Formular]

Häufig gestellte Fragen

Wie lange dauert die NIS2-Konformität?

Für eine mittelgroße Organisation, die von Grund auf beginnt, sollten Sie mit 6–12 Monaten für ein vollständiges NIS2-Compliance-Programm rechnen. Phase 1–2 (Governance und Risikobewertung) dauern in der Regel 6–12 Wochen. Phase 3 (Umsetzung aller 10 Article 21-Maßnahmen) ist die längste Phase mit 3–6 Monaten, abhängig vom vorhandenen Sicherheitsreifegrad. Organisationen mit ISO 27001-Zertifizierung haben bereits 60–70 % der Kontrollen implementiert und können die NIS2-Konformität typischerweise in 3–4 Monaten abschließen. Die Verwendung vorgefertigter NIS2-Compliance-Vorlagen anstelle der vollständigen Neuerstellung der Dokumentation kann den Zeitrahmen um 30–50 % verkürzen.

Muss ich mich bei meiner nationalen NIS2-Behörde registrieren?

Ja. Article 27 verpflichtet wesentliche und wichtige Einrichtungen, sich bei ihrer nationalen zuständigen Behörde zu registrieren. Die Registrierungsverfahren variieren je nach Mitgliedstaat — einige verfügen über Online-Portale, andere sind noch dabei, Prozesse einzurichten. Prüfen Sie die Website Ihrer nationalen NIS2-Behörde auf aktuelle Registrierungsfristen und -anforderungen. Das Versäumnis der Registrierung kann unabhängig von etwaigen Article 21-Konformitätsproblemen Durchsetzungsmaßnahmen auslösen.

Welche Dokumentation verlangt NIS2?

NIS2 gibt keine feste Dokumentenliste vor, aber Aufsichtsinspektionen überprüfen in der Regel Nachweise für jede Article 21-Maßnahme. Mindestens: Informationssicherheitsrichtlinie, Risikobewertungs- und Behandlungsplan, Incident-Response-Plan, Business-Continuity-Plan, Disaster-Recovery-Plan, Backup-Richtlinie, Lieferkettensicherheitsrichtlinie, Anlagenregister, Zugangskontrollrichtlinie, Kryptografierichtlinie, Personalsicherheitsrichtlinie, Schulungsnachweise und Managementgenehmigungsunterlagen. Die NIS2-Dokumentvorlagenbibliothek stellt einsatzbereite Versionen aller 52 erforderlichen Dokumente bereit.

Was ist der erste Schritt zur NIS2-Konformität?

Bestätigen Sie Ihren Anwendungsbereich — ob NIS2 gilt und ob Sie als wesentliche oder wichtige Einrichtung eingestuft sind. Viele Organisationen gehen auf Basis von Annahmen vor, anstatt ihre Einstufung anhand der Annex I/II-Sektorlisten und Größenschwellenwerte zu verifizieren. Holen Sie nach der Bestätigung des Anwendungsbereichs eine formale Managementverpflichtung und ein dediziertes Compliance-Budget ein (Phase 1 dieser Checkliste). Kein Compliance-Programm überlebt ohne Unterstützung auf Vorstandsebene. Weitere Informationen finden Sie im NIS2-Anwendungsbereichsleitfaden für eine vollständige Anwendbarkeitsbewertung.

Kann eine ISO 27001-Zertifizierung zur NIS2-Konformität beitragen?

ISO 27001 bietet erhebliche Überschneidungen — der technische Implementierungsleitfaden von ENISA ordnet ISO 27001-Kontrollen jeder CIR 2024/2690-Maßnahme zu. ISO 27001 allein ist jedoch nicht ausreichend für die vollständige NIS2-Konformität. Wesentliche Lücken: der spezifische 24h/72h/1-Monats-Vorfallmeldeprozess (NIS2-spezifisch), Anforderungen an die Lieferkettensicherheit (in NIS2 expliziter) und die persönliche Verantwortlichkeit des Leitungsgremiums gemäß Article 20 (kein direktes ISO 27001-Äquivalent). Nutzen Sie ISO 27001 als solide Ausgangsbasis und führen Sie anschließend eine Lückenanalyse gegenüber den NIS2-spezifischen Anforderungen durch.

Diese Checkliste dient ausschließlich der allgemeinen Orientierung und stellt keine Rechts- oder Regulierungsberatung dar. NIS2-Anforderungen variieren je nach Rechtsordnung und Sektor. Konsultieren Sie einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten für eine auf Ihre Organisation zugeschnittene Beratung.

Quellen

“Directive (EU) 2022/2555 (NIS2) — Offizieller Text” — EUR-Lex, Vollständiger Text
“Commission Implementing Regulation (EU) 2024/2690 — Offizieller Text” — EUR-Lex, Vollständiger Text
“NIS2 Technical Implementation Guidance” — ENISA, Publikationsseite
“NIS2 Directive Articles 20, 21, 23, 27” — nis-2-directive.com
“ENISA NIS Investments 2024 Report” — ENISA, Publikationsseite

NIS2-Compliance-Checkliste: Ihr vollständiger Schritt-für-Schritt-Leitfaden