NIS-2-Checkliste für Unternehmen: Vollständig, prüfbar, abarbeitbar

nis 2 Checkliste

Diese NIS-2-Checkliste dient als konkretes Arbeits-, Umsetzungs- und Prüfwerkzeug für Unternehmen und Organisationen, die die Anforderungen der NIS-2-Richtlinie strukturiert umsetzen und nachvollziehbar dokumentieren müssen.

Sie ist so aufgebaut, dass jeder Punkt systematisch abgearbeitet, intern geprüft und als Nachweis für Audits, Kontrollen und interne Reviews genutzt werden kann, unabhängig davon, ob Sie sich noch in der Planung oder bereits in der Umsetzung befinden.

1. Governance, Verantwortlichkeiten & Steuerung

  • Verantwortliche Stelle für NIS-2 / Informationssicherheit schriftlich benannt
  • Aufgaben, Befugnisse und Vertretungsregelungen klar definiert und dokumentiert
  • Verantwortung und Einbindung der Geschäftsführung formal festgelegt
  • Regelmäßige Berichterstattung an die Geschäftsführung zeitlich definiert und dokumentiert
  • Sicherheitsziele und -anforderungen unternehmensweit verbindlich kommuniziert
  • Interne Richtlinien zur Sicherheit der Informationstechnik verabschiedet und veröffentlicht
  • Eskalations- und Entscheidungswege für Sicherheitsvorfälle klar geregelt

2. Risikomanagement & Wirksamkeitsbewertung

  • Vollständige Risikoanalyse aller relevanten IT- und Network-Systeme durchgeführt
  • Kritische Geschäftsprozesse identifiziert und dokumentiert
  • Bedrohungen, Schwachstellen und Auswirkungen systematisch bewertet
  • Risiken klassifiziert und akzeptierte Restrisiken festgehalten
  • Geeignete Sicherheitsmaßnahmen je Risiko festgelegt
  • Wirksamkeit der Risikomanagementmaßnahmen bewertet und dokumentiert
  • Regelmäßige Aktualisierung der Risikoanalyse terminlich festgelegt
  • Ergebnisse revisionssicher dokumentiert

3. Technische Sicherheitsmaßnahmen

Zugriff & Identitäten

  • Multi-Faktor-Authentifizierung für relevante Systeme implementiert
  • Rollen- und Berechtigungskonzepte definiert und dokumentiert
  • Regelmäßige Überprüfung und Bereinigung von Benutzerrechten durchgeführt
  • Schutz privilegierter Konten technisch umgesetzt

Netzwerk & Infrastruktur

  • Netzwerksegmentierung implementiert und dokumentiert
  • Firewall-, Monitoring- und Detektionssysteme aktiv eingerichtet
  • Sicherheitsrelevante Ereignisse protokolliert und ausgewertet
  • Externe und Remote-Zugriffe angemessen abgesichert

Systeme & Endgeräte

  • Patch- und Update-Management verbindlich geregelt
  • Schutzmaßnahmen gegen Malware und Cyberangriffe implementiert
  • Systemhärtung nach anerkannten Standards durchgeführt
  • Sicherer Betrieb von Cloud- und On-Prem-Systemen nachweisbar gewährleistet

4. Datensicherung & Wiederherstellung

  • Backup-Strategie definiert und dokumentiert
  • Regelmäßige Datensicherungen durchgeführt
  • Schutz der Backups vor Manipulation und Verschlüsselung sichergestellt
  • Wiederherstellung nach Notfällen regelmäßig getestet
  • Testergebnisse dokumentiert und ausgewertet

5. rganisatorische Sicherheitsmaßnahmen

  • Verbindliche IT-Sicherheitsrichtlinien eingeführt und kommuniziert
  • Incident-Response-Prozesse definiert und dokumentiert
  • Notfall- und Krisenhandbuch erstellt und gepflegt
  • Kommunikationspläne für Sicherheitsvorfälle festgelegt
  • Organisatorische Maßnahmen vollständig dokumentiert
  • Maßnahmen zur Sicherstellung der betrieblichen Resilienz umgesetzt

6. Mitarbeitende & Schulung

  • Regelmäßige Schulungen zur Cybersicherheit für Mitarbeitende durchgeführt
  • Schulungsinhalte rollen- und verantwortungsspezifisch ausgestaltet
  • Neue Mitarbeitende werden zeitnah im Rahmen des Onboardings geschult
  • Awareness-Maßnahmen (z. B. Phishing-Simulationen, Security-Awareness-Kampagnen) implementiert
  • Verpflichtende NIS-2-Geschäftsleitungsschulung gemäß § 38 Abs. 3 BSIG durchgeführt (orientiert an der Handreichung des BSI)
  • Teilnahme, Inhalte und Durchführungszeitpunkte der Schulungen sind nachvollziehbar dokumentiert und nachweisbar

7. Meldepflichten & Incident Handling

  • Prozesse zur Erkennung von Sicherheitsvorfällen festgelegt
  • Interne Meldewege klar definiert und bekannt
  • Meldung an Behörden innerhalb von 24 Stunden organisatorisch sichergestellt
  • Vollständige Folgemeldungen vorbereitet
  • Ursachenanalyse nach Sicherheitsvorfällen verpflichtend vorgesehen
  • Verbesserungsmaßnahmen abgeleitet und dokumentiert

8. Lieferkette & Dienstleister

  • Kritische Lieferanten und Dienstleister identifiziert
  • Sicherheitsanforderungen vertraglich geregelt
  • Risiken in der Lieferkette bewertet und dokumentiert
  • Regelmäßige Überprüfung von Lieferanten durchgeführt
  • Vorgehen bei Sicherheitsvorfällen von Lieferanten festgelegt

9. Entwicklung, Wartung & Betrieb

  • Sicherheitsanforderungen in Entwicklungsprozessen verankert
  • Secure-by-Design- und Secure-by-Default-Prinzipien berücksichtigt
  • Trennung von Entwicklungs-, Test- und Produktivsystemen umgesetzt
  • Regelmäßige Sicherheitsprüfungen durchgeführt
  • Wartungsprozesse klar dokumentiert

10. Audits, Überwachung & Nachweisführung

  • Interne Audits zur NIS-2-Umsetzung geplant und durchgeführt
  • Abweichungen dokumentiert und behandelt
  • Laufende Überwachung der Maßnahmen sichergestellt
  • Alle Nachweise aktuell, vollständig und prüfbar
  • Vorbereitung auf Kontrollen durch das Bundesamt für Sicherheit in der Informationstechnik abgeschlossen

11. Bußgeld- & Haftungsprävention

  • Verantwortlichkeiten bei Verstößen klar geregelt
  • Regelmäßige Statusberichte an die Geschäftsführung durchgeführt
  • Maßnahmenplan zur Schließung identifizierter Lücken definiert
  • Dokumentation zur Haftungsabsicherung der Geschäftsführung vollständig
  • Vorbereitung auf mögliche Bußgelder bis 10 Millionen Euro erfolgt

Unterstützung bei der Umsetzung

Die vollständige Abarbeitung dieser NIS-2-Checkliste erfordert technisches, organisatorisches und regulatorisches Know-how.

Die keepbit unterstützt Sie bei Strukturierung, Priorisierung, Umsetzung und Nachweisführung – von der ersten Gap-Analyse bis zur dauerhaften Compliance.