NIS2-Einhaltung-Checkliste: 14 Schritte für EU-Unternehmen im Geltungsbereich

Geschrieben vonHubSecure Redaktionsteam

Praktische Anleitungen für sichere Client-Portale, RBAC, Onboarding und regulierte Client-Operationen.

Bewertet vonHubSecure Security & Einhaltung Review

Bewertet für Sicherheitspositionierung, Workflow Genauigkeit und Implementierung Klarheit.

Letzte AktualisierungMay 7, 2026

Geprüft gegen die aktuelle HubSecure Marketing-Website und Produktpositionierung.

Die Richtlinie über Netz- und Informationssicherheit 2 (NIS2, Richtlinie 2022/2555/EU) ersetzte die NIS1 im Jahr 2022 und forderte die Umsetzung der Mitgliedstaaten bis zum Oktober 2024. Es erweiterte den Umfang erheblich — die Hinzufügung neuer Sektoren, die Senkung der Schwelle für "wesentliche" und "wichtige" Unternehmen und die Einführung einer direkten persönlichen Haftung für Senior Management für Einhaltung-Versagen.

Wenn Ihre Organisation in Reichweite ist, ist hier die praktische Einhaltung-Checkliste, die das abdeckt, was NIS2-Betreuer inspizieren.

Verwandte HubSecure Kaufpfad

AML/KYC & Onboarding Anleitung Client onboarding Software AML/KYC Modul Sumsub Vergleich AML/KYC Einhaltung Software Guide Library Buche einen Workflow Demo

Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance

Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Einhaltung-Workflows, geregelter KI-Betreiber.

Verwandter Anwendungsfall

Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.

Sind Sie in Reichweite?

NIS2 gilt für Organisationen in 18 Sektoren, die als „wesentlich“ oder „wichtig“ eingestuft sind. Wenn Ihr Unternehmen mehr als 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Millionen US-Dollar hat und in einem dieser Sektoren tätig ist, gehören Sie wahrscheinlich zu den folgenden Bereichen:

• Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
• Transport (Luft, Schiene, Wasser, Straße)
• Bank- und Finanzmarktinfrastruktur
• Gesundheit (Krankenhäuser, Labore, Pharma, medizinische Geräte)
• Wasser (Trinkwasser, Abwasser)
• Digitale Infrastruktur (DNS, Cloud, Rechenzentren, CDN, TSPs)
• IKT-Service-Management (MSPs, MSSPs)
• Öffentliche Verwaltung
• Raum
• Post- und Kurierdienste
• Abfallmanagement
• Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung

Die 14-stufige NIS2 Einhaltung Checkliste

1. 1 Registrieren Sie sich bei Ihrer nationalen NCA. Die meisten Mitgliedstaaten verlangen, dass sich die betreffenden Unternehmen bei der zuständigen nationalen Behörde (NCA) registrieren lassen. Die Frist variiert je nach Land – überprüfen Sie Ihre nationale Umsetzung.
2. 2 Benennen Sie ein verantwortliches Leitungsorgan. Gemäß NIS2 Artikel 20 muss die Geschäftsleitung Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen und persönlich für Einhaltung-Verstöße haften. Ein benannter CISO oder eine gleichwertige Person ist erforderlich.
3. 3 Führen Sie eine Cybersicherheitsrisikobewertung durch. Dokumentieren Sie Ihre Informationsbestände, Bedrohungen, Schwachstellen und bestehenden Kontrollen. Dies muss mindestens jährlich überprüft werden.
4. 4 Implementieren Sie eine Cybersicherheitsrichtlinie. Eine schriftliche Richtlinie, die Risikomanagement, Reaktion auf Vorfälle, Zugriffskontrolle, Verschlüsselung und Geschäftskontinuität umfasst. Muss auf Vorstands-/Führungsebene genehmigt werden.
5. 5 Richten Sie die Erkennung und Protokollierung von Vorfällen ein. Sie müssen in der Lage sein, Sicherheitsvorfälle zu erkennen, zu protokollieren und zu untersuchen. SIEM, EDR oder gleichwertige Tools entsprechend Ihrer Größe. Protokolle müssen aufbewahrt werden (normalerweise 12+ Monate).
6. 6 Erstellen Sie einen Plan zur Reaktion auf Vorfälle. Dokumentiertes Verfahren zur Reaktion auf einen Cybersicherheitsvorfall: Erkennung → Eindämmung → Beseitigung → Wiederherstellung → Überprüfung nach dem Vorfall. Testen Sie es jährlich.
7. 7 Richten Sie den 24-Stunden-Erstbenachrichtigungsprozess ein. Bei schwerwiegenden Vorfällen müssen Sie Ihre NCA innerhalb von 24 Stunden nach Kenntniserlangung benachrichtigen. „Erheblich“ bedeutet: Unterbrechung der Dienste, finanzieller Verlust oberhalb der Schwellenwerte oder Datenschutzverletzung, die andere Unternehmen betrifft. Wer sendet diese Benachrichtigung und wie?
8. 8 Erstellen Sie den detaillierten 72-Stunden-Berichtsprozess. Ein umfassenderer Vorfallbericht innerhalb von 72 Stunden, der Schweregrad, Auswirkungen, Gefährdungsindikatoren und erste Abhilfemaßnahmen abdeckt. Wer schreibt das? Welche Daten benötigen sie?
9. 9 Bewerten und verwalten Sie das Risiko der Lieferkette. NIS2 fordert ausdrücklich eine Risikobewertung direkter Lieferanten und Dienstleister. Kritische IKT-Lieferanten benötigen Sicherheitsbewertungen. Dies ist einer der am stärksten unterfinanzierten Bereiche in aktuellen Einhaltung-Programmen.
10. 10 Implementieren Sie Zugriffskontrolle und privilegierte Zugriffsverwaltung. Für alle kritischen Systemzugriffe ist eine Multi-Faktor-Authentifizierung (MFA) erforderlich. Anwendung des Least-Privilege-Prinzips. Privilegierte Konten werden vierteljährlich überprüft.
11. 11 Verschlüsseln Sie sensible Daten im Ruhezustand und während der Übertragung. Datenverschlüsselungsrichtlinien dokumentiert. Angegebene Verschlüsselungsstandards (mindestens AES-256 im Ruhezustand, TLS 1.2+ bei der Übertragung). Wichtige Managementprozesse definiert.
12. 12 Implementieren Sie Geschäftskontinuität und Backup. Backup-Strategie dokumentiert und getestet. Für kritische Systeme definierte Wiederherstellungszeitziele (RTOs). Regelmäßige Überprüfung der Backup-Integrität.
13. 13 Schulen Sie alle Mitarbeiter zum Thema Cybersicherheit. Jährliche obligatorische Sensibilisierungsschulung für Cybersicherheit. Spezifische Schulung für Mitarbeiter mit privilegiertem Zugang. Managementschulung zur persönlichen Haftung nach NIS2.
14. 14 Dokumentieren Sie alles. NIS2-Aufseher erwarten Beweise, keine Behauptungen. Führen Sie eine Dokumentation von: Risikobewertungen (mit Datum), Richtlinienüberprüfungen, Schulungsabschlüssen, Vorfallprotokollen, Lieferantenbewertungen und Auditergebnissen. Dieses Beweispaket sollte innerhalb von 48 Stunden nach einer Anfrage der Aufsichtsbehörde vorzulegen sein.

Welche Supervisoren suchen

Basierend auf frühen Aufsichtsaktivitäten in allen EU-Mitgliedstaaten konzentrieren sich NIS2-Audits vor allem auf die Fähigkeit zur Meldung von Vorfällen (können Sie tatsächlich innerhalb von 24 Stunden einen Bericht veröffentlichen?), die Risikobewertung der Lieferkette (die meisten Organisationen haben dies nicht rigoros durchgeführt) und die Rechenschaftspflicht der Geschäftsleitung (kennen Vorstandsmitglieder ihre persönliche Haftung?).

Die Strafe für die Nichteinhaltung reicht von 7 Millionen US-Dollar oder 1,4 % des weltweiten Jahresumsatzes (wichtige Unternehmen) bis zu 10 Millionen US-Dollar oder 2 % des weltweiten Jahresumsatzes (wesentliche Unternehmen) – zuzüglich persönlicher Haftung des Managements.

Wann ist NIS2 in Kraft getreten?

NIS2 (Richtlinie 2022/2555/EU) wurde im Dezember 2022 veröffentlicht. Die Mitgliedstaaten waren verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Es gelten nun Verpflichtungen – die Durchsetzungsfristen variieren jedoch je nach Mitgliedstaat.

Gilt NIS2 für Finanzdienstleistungsunternehmen?

Ja – Banken- und Finanzmarktinfrastruktur sind ausdrücklich im Umfang der wesentlichen Einheiten von NIS2 enthalten. Finanzunternehmen müssen auch DORA (Digital Operational Resilience Act) berücksichtigen, das spezifische Anforderungen an das IKT-Risikomanagement stellt. Wenn beides zutrifft, hat DORA für Finanzunternehmen Vorrang.

Offizielle Quellen und weiterführende Literatur

Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.

• NIST Cybersecurity Framework
• ENISA-Leitfaden zur Cybersicherheit
• Übersicht über ISO 27001

Hinweise zur Glaubwürdigkeit

Dieser Leitfaden dient der Produkt- und Betriebsbewertung und stellt keine Rechtsberatung dar. Bestätigen Sie bei Einhaltung-Verpflichtungen die Anforderungen mit einem qualifizierten Berater oder der zuständigen Aufsichtsbehörde.

Verwandte HubSecure Referenzen: Sicherheit · DPA · Subprozessoren · AML/KYC Glossar · RBAC Glossar

Bewertet für regulierte Teams

Gefertigt durch das redaktionelle Team HubSecure für Operatoren, Einhaltung-Führer und IT-Bewerter, die eine sichere Client-Betriebssoftware bewerten.

Autoren · Reviewer · Redaktion