NIS2 Compliance Checkliste für KMU - Was Mittelständler jetzt konkret tun müssen

Die EU-NIS2-Richtlinie gilt seit Januar 2023, die Umsetzungsfrist für die Mitgliedsstaaten endete im Oktober 2024. In Deutschland ist das nationale Umsetzungsgesetz NIS2UmsuCG seit dem 6. Dezember 2025 in Kraft. Viele KMU wissen noch nicht genau, ob sie betroffen sind und was konkret zu tun ist. Verstöße können teuer werden: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sind möglich.

Diese Checkliste gibt einen strukturierten Überblick über die wichtigsten Pflichten und zeigt, wie der Einstieg gelingt.

---

Bin ich überhaupt von NIS2 betroffen?

Bevor es an die Umsetzung geht, steht die Frage der Betroffenheit. NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen - strengere Anforderungen, höhere Bußgelder:

• Unternehmen ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz
• In kritischen Sektoren: Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, Finanzwesen

Wichtige Einrichtungen - ebenfalls NIS2-pflichtig:

• Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz
• In weiteren Sektoren: Post, Chemie, Lebensmittel, Produktion, digitale Dienste

Auch kleinere Unternehmen können betroffen sein, zum Beispiel wenn sie Teil einer kritischen Lieferkette sind oder digitale Dienste erbringen.

Noch unsicher? Jetzt kostenlos prüfen - NIS2-Betroffenheitscheck in 2 Minuten

---

NIS2 Compliance Checkliste - 10 Punkte

1. Betroffenheit prüfen und dokumentieren

Der erste Schritt ist die formale Feststellung ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt. Diese Einschätzung sollte schriftlich festgehalten werden, als Grundlage für alle weiteren Maßnahmen.

Was zu tun ist:

• Mitarbeiterzahl und Umsatz prüfen
• Branchenzuordnung klären
• Ergebnis dokumentieren und intern kommunizieren

---

2. Verantwortlichen für IT-Sicherheit benennen

NIS2 verlangt, dass die Geschäftsführung persönlich für IT-Sicherheitsmaßnahmen verantwortlich ist. Eine dedizierte Person oder Stelle für IT-Sicherheit ist Pflicht, intern oder als externer ISB.

Was zu tun ist:

• Verantwortlichen benennen und dokumentieren
• Aufgaben und Befugnisse schriftlich festhalten
• Geschäftsführung über Haftungsrisiken informieren

---

3. Risikoanalyse durchführen

Eine strukturierte Bewertung der IT-Risiken ist Kernpflicht unter NIS2. Welche Systeme sind kritisch? Welche Bedrohungen bestehen? Was wäre der Schaden bei einem Ausfall?

Was zu tun ist:

• Kritische Systeme und Prozesse identifizieren
• Bedrohungsszenarien bewerten (Ransomware, Phishing, Ausfälle)
• Risiken priorisieren und dokumentieren
• Regelmäßige Wiederholung einplanen

---

4. Technische Schutzmaßnahmen implementieren

NIS2 schreibt konkrete technische Maßnahmen vor. Dazu gehören unter anderem Multi-Faktor-Authentifizierung, Verschlüsselung, sichere Konfiguration und regelmäßige Updates.

Was zu tun ist:

• MFA für alle kritischen Systeme und Remote-Zugriffe aktivieren
• Patch-Management-Prozess einrichten
• Netzwerksegmentierung prüfen
• Endpoint-Schutz sicherstellen
• Backup-Strategie nach 3-2-1-Regel umsetzen

---

5. Incident-Response-Plan erstellen

Was passiert wenn es zu einem Sicherheitsvorfall kommt? NIS2 verlangt einen definierten Prozess: von der Erkennung über die Eindämmung bis zur Meldung.

Was zu tun ist:

• Incident-Response-Plan erstellen und dokumentieren
• Verantwortlichkeiten und Eskalationswege festlegen
• Kontakte zu BSI und zuständigen Behörden hinterlegen
• Plan regelmäßig testen und aktualisieren

---

6. Meldeprozess für Sicherheitsvorfälle definieren

Bei erheblichen Sicherheitsvorfällen gilt unter NIS2 eine Meldepflicht gegenüber den zuständigen Behörden. Die Fristen sind eng: Erstmeldung innerhalb von 24 Stunden, Detailbericht innerhalb von 72 Stunden.

Was zu tun ist:

• Kriterien für "erhebliche Vorfälle" intern definieren
• Meldeprozess und Zuständigkeiten dokumentieren
• Vorlage für Meldungen vorbereiten
• Zuständige Behörde identifizieren (in Deutschland: BSI)

---

7. Lieferantensicherheit bewerten

NIS2 erstreckt sich auf die gesamte Lieferkette. IT-Dienstleister, Cloud-Anbieter und andere Dritte müssen auf Sicherheitsanforderungen geprüft werden.

Was zu tun ist:

• Kritische Lieferanten und IT-Dienstleister identifizieren
• AVVs und Sicherheitsnachweise einfordern
• Lieferanten-Fragebögen versenden
• Regelmäßige Reviews einplanen

---

8. Mitarbeiter schulen (Security Awareness)

Der Mensch bleibt das größte Sicherheitsrisiko. NIS2 verlangt nachweisbare Schulungsmaßnahmen für alle Mitarbeitenden.

Was zu tun ist:

• Security-Awareness-Schulung für alle Mitarbeiter durchführen
• Phishing-Simulationen einsetzen
• Schulungsnachweise dokumentieren
• Regelmäßige Wiederholungen einplanen (mind. jährlich)

---

9. Nachweise und Dokumentation aufbauen

NIS2-Compliance muss nachweisbar sein, nicht nur intern, sondern auch gegenüber Behörden, Kunden und Auftraggebern. Wer keine Nachweise hat, hat im Zweifelsfall auch keine Compliance.

Was zu tun ist:

• Alle Maßnahmen mit Datum und Verantwortlichem dokumentieren
• Richtlinien schriftlich festhalten und freigeben lassen
• Nachweise für technische Maßnahmen sammeln
• Audit-fähige Dokumentation aufbauen

---

10. Regelmäßige Reviews einplanen

NIS2-Compliance ist kein einmaliges Projekt. Die Bedrohungslage ändert sich, Systeme entwickeln sich weiter, Mitarbeiter wechseln. Regelmäßige Reviews sind Pflicht.

Was zu tun ist:

• Jährlichen Review-Termin festlegen
• Risikoanalyse regelmäßig aktualisieren
• Schulungen wiederholen
• Neue Anforderungen und BSI-Empfehlungen verfolgen

---

Wie CompliantDesk bei NIS2 hilft

Der Aufbau einer NIS2-konformen Dokumentation ist ohne strukturierte Unterstützung aufwändig. CompliantDesk automatisiert wesentliche Teile des Prozesses:

• NIS2-Vertiefungs-Check: 55 gezielte Fragen, aus den Antworten entstehen automatisch Maßnahmen, Richtlinien-Empfehlungen und Nachweisaufgaben
• Maßnahmenplan: Automatisch priorisiert nach Kritikalität, mit Frist und Verantwortlichkeit
• Richtlinien-Generator: Incident-Response-Richtlinie, Passwort-Richtlinie, Remote-Work-Richtlinie in Minuten erstellt
• Lieferanten-Hub: AVV-Tracking, Fragebögen versenden, Ablauf-Warnungen
• Management-Report: Compliance-Status auf Knopfdruck, für Geschäftsführung und Prüfer

Kostenlos testen - 14 Tage, keine Kreditkarte

---

Häufige Fragen zu NIS2

Wann gilt NIS2 in Deutschland? Die EU-Richtlinie NIS2 ist seit Januar 2023 in Kraft, die Umsetzungsfrist für Mitgliedsstaaten endete im Oktober 2024. Das deutsche Umsetzungsgesetz NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Registrierungs-, Melde- und Risikomanagementpflichten gelten ab sofort.

Was passiert bei Verstößen gegen NIS2? Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent des Umsatzes. Zusätzlich kann die Geschäftsführung persönlich haftbar gemacht werden.

Gilt NIS2 auch für kleine Unternehmen unter 50 Mitarbeitern? In der Regel nicht direkt, aber indirekt: Wenn Ihr Unternehmen Teil der Lieferkette einer betroffenen Einrichtung ist, können Kunden NIS2-konforme Nachweise von Ihnen fordern.

Wie lange dauert die NIS2-Umsetzung? Je nach Ausgangslage 3 bis 12 Monate. Wer früh beginnt, hat mehr Zeit für eine strukturierte Umsetzung statt eines hektischen Last-Minute-Projekts.

Muss ich mich bei einer Behörde registrieren? Wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren. Die genauen Anforderungen werden mit dem nationalen Umsetzungsgesetz konkretisiert.

---

Fazit

NIS2 ist keine Option. Für betroffene Unternehmen ist die Umsetzung Pflicht. Die gute Nachricht: Wer strukturiert vorgeht, kann die Anforderungen in überschaubaren Schritten erfüllen.

Die 10 Punkte dieser Checkliste sind der richtige Einstieg. Der nächste Schritt ist die Prüfung der konkreten Betroffenheit.

Kostenloser NIS2-Betroffenheitscheck - jetzt in 2 Minuten prüfen

---

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Die finale Betroffenheit und konkrete Pflichten hängen vom Einzelfall ab.