NIS-2 Umsetzung: Praxisleitfaden zur rechtssicheren Compliance [inkl. Checkliste]  

Warum die NIS-2-Umsetzung jetzt entscheidend ist

Die NIS-2-Richtlinie ist seit Dezember 2025 in deutsches Recht umgesetzt – und betrifft rund 29.000 Unternehmen. Für viele stellt sich nun weniger die Frage ob, sondern wie die Anforderungen effizient und rechtssicher umgesetzt werden können.

Dieser Leitfaden zeigt Schritt für Schritt, wie Sie NIS-2-Compliance in der Praxis erreichen – von der Betroffenheitsprüfung über die Bestimmung Ihres Sicherheitsreifegrads mit einem Self-Assessment bis hin zu einer strukturierten Übersicht aller gesetzlichen NIS-2-Anforderungen inklusive vollständiger Checkliste.   

Schritt 1: Ist mein Unternehmen NIS-2-pflichtig?

Die Einstufung nach NIS-2 hängt von Unternehmensgröße, Umsatz und Branchenzugehörigkeit ab – die zugrunde liegenden Kriterien sind jedoch komplex. Mithilfe des HvS NIS-2-Betroffenheitschecks auf Basis der nachfolgenden Grafik oder des Online-Tools von SKW Schwarz, lässt sich schnell und strukturiert prüfen, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt. 

Schritt 2: Status Quo ermitteln 

NIS-2-Gap-Analyse: Wo stehen Sie heute?

Um den Handlungsbedarf im Hinblick auf eine NIS-2-Compliance effizient zu ermitteln, bietet sich eine Gap-Analyse an. 

Aus unserer Erfahrung empfiehlt es sich, zunächst zu prüfen, inwieweit bestehende ISMS-Dokumente – etwa Richtlinien und Prozessbeschreibungen – die Anforderungen der NIS-2 bereits abdecken. 

Anschließend sollten die relevanten Unternehmensbereiche (z. B. IT, Personal, Einkauf, Werksschutz) mithilfe strukturierter Interviews und Audits in die Bewertung der praktischen Umsetzung einbezogen werden, um ein realistisches Bild des Status Quo zu erhalten.

Ein zusätzlicher Mehrwert dieser Vorgehensweise liegt darin, dass den Interviewpartnern durch die gezielte Fragetechnik transparent wird, welche Schwerpunkte bei der Etablierung erforderlicher Prozesse und Richtlinien aus Sicht eines Auditors und Beraters maßgeblich sind.

Die identifizierten Abweichungen und Lücken werden in einem Bericht dokumentiert. Darauf aufbauend wird eine konkrete Roadmap erarbeitet, die aufzeigt, welche Maßnahmen erforderlich sind, um die NIS-2-Compliance gezielt und priorisiert herzustellen. 

Alternative: NIS-2-Reifegrad ermitteln dem NIS-2-Self-Assessment-Tool von HvS

Sofern Sie die Ermittlung des Status Quo selbst in die Hand nehmen wollen, haben wir ein kostenloses Self-Assessment Tool entwickelt. Das HvS NIS-2-Self-Assessment-Tool bietet hierfür eine strukturierte Übersicht, wie gut Unternehmen bereits auf die Anforderungen der NIS-2-Richtlinie vorbereitet sind und in welchen Bereichen konkreter Handlungsbedarf besteht.  

Das Tool bewertet bestehende Prozesse und Maßnahmen systematisch entlang der gesetzlichen Anforderungen und unterstützt dabei, Umsetzungsschwerpunkte und Prioritäten klar zu identifizieren. 

Jetzt Reifegrad mit dem NIS-2-Self-Assessment-Tool prüfen

Schritt 3: ISMS gemäß NIS-2 etablieren oder erweitern 

Ein Informationssicherheits-Managementsystem (ISMS) bildet die zentrale Grundlage für die NIS-2-Compliance. Es schafft die organisatorischen und strukturellen Voraussetzungen, um Risiken systematisch zu bewerten und Sicherheitsmaßnahmen wirksam umzusetzen.

Unternehmen, die bereits ein ISMS nach ISO/IEC 27001 oder TISAX® etabliert haben, können in weiten Teilen direkt darauf aufbauen. 
Für alle anderen ist NIS-2 ein geeigneter Anlass, jetzt mit der Einführung eines ISMS gemäß NIS-2 zu beginnen und damit die Basis für eine nachhaltige und prüffähige Umsetzung zu schaffen. 

Schritt 4: Geeignete Maßnahmen gemäß NIS-2 umsetzen

Die NIS-2-Richtlinie (Art. 21) sowie das deutsche NIS2UmsuCG (§ 30) definieren konkrete Anforderungen an betroffene Unternehmen. Die folgenden Punkte geben einen kompakten Überblick über die Mindestanforderungen, die im Rahmen der NIS-2-Compliance umzusetzen sind: 

   Checkliste der NIS-2-Anforderungen

Risikomanagement  

Unternehmen sind verpflichtet, geeignete, wirksame und verhältnismäßige Maßnahmen des Risikomanagements umzusetzen.  

   Ziel ist es, Sicherheitsrisiken systematisch zu identifizieren, zu bewerten und daraus angemessene Maßnahmen abzuleiten.  

In der Praxis zeigt sich jedoch, dass ohne eine klare Methodik schnell umfangreiche Risikoregister mit begrenztem Mehrwert entstehen. Entscheidend ist daher ein fokussiertes, praxisnahes Vorgehen, das Risiken priorisiert und die Umsetzung unterstützt. Mit einer bewährten Methodik lassen sich Sicherheitsrisiken strukturiert bewerten und konkrete, umsetzbare Maßnahmen ableiten.

Incident Management

Unternehmen müssen geeignete Prozesse zur Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen etablieren.  

   Ziel ist es, Vorfälle frühzeitig zu identifizieren, ihre Auswirkungen zu begrenzen und den Betrieb schnellstmöglich wiederherzustellen.

Ein wirksames Incident Management definiert klare Zuständigkeiten, Eskalationswege sowie standardisierte Abläufe für die Behandlung von Sicherheitsvorfällen und bildet die Grundlage für die Einhaltung der NIS-2-Meldepflichten.

So kann HvS-Consulting Sie dabei unterstützen

Sofern Sie selbst nicht über die erforderliche Expertise verfügen, können Sie die Experten von HvS-Consulting professionell unterstützen – zum Beispiel mit unserem Incident Response Retainer oder den HvS Threat Insights, die Unternehmen dabei helfen, die NIS-2-Anforderungen zu erfüllen. Zudem bieten wir einen Incident Readiness Check an, mit dem Sie in nur einem Tag prüfen können, wo Ihr Unternehmen im Bereich Incident Management noch nachlegen sollte.

Business Continuity 

Unternehmen müssen Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs im Krisenfall vorhalten. Dazu zählen insbesondere Backup- und Restore-Konzepte sowie ein strukturiertes Krisenmanagement, um bei schwerwiegenden Sicherheitsvorfällen handlungsfähig zu bleiben.

   Ziel ist es, Ausfallzeiten zu minimieren, kritische Prozesse abzusichern und die zeitnahe Wiederherstellung von Systemen und Diensten sicherzustellen.

Supply Chain Security 

Unternehmen müssen sicherheitsrelevante Lieferanten und Dienstleister identifizieren und angemessene Sicherheitsanforderungen definieren. Diese Anforderungen sind vertraglich zu verankern und ihre Umsetzung regelmäßig zu überprüfen.

   Ziel ist es, Cyberrisiken entlang der Lieferkette zu erkennen, zu bewerten und zu begrenzen, um Abhängigkeiten und potenzielle Schwachstellen wirksam zu kontrollieren.

Secure Development & Betrieb 

Unternehmen müssen angemessene Sicherheitsmaßnahmen für Entwicklung und Betrieb von IT-Systemen umsetzen. Dazu zählen insbesondere ein strukturiertes Patch- und Schwachstellenmanagement, wirksame Schutzmaßnahmen gegen Malware sowie der Einsatz von Multi-Faktor-Authentifizierung.  

   Ziel ist es, bekannte Sicherheitslücken zeitnah zu schließen, Angriffsflächen zu reduzieren und den sicheren Betrieb von Systemen und Anwendungen dauerhaft sicherzustellen.

Wirksamkeitsprüfung 

Unternehmen müssen die Wirksamkeit ihrer Sicherheitsmaßnahmen regelmäßig überprüfen. Dies umfasst unter anderem Audits, den Einsatz geeigneter Kennzahlen (KPIs) sowie technische Prüfungen wie Penetrationstests.  

   Ziel ist es, den tatsächlichen Reifegrad der umgesetzten Maßnahmen zu bewerten, Schwachstellen frühzeitig zu erkennen und die kontinuierliche Verbesserung der Informationssicherheit sicherzustellen.

Security Awareness & Schulungen

Unternehmen müssen regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeitenden sowie für die Geschäftsführung durchführen.   

   Ziel ist es, Sicherheitsrisiken besser erkennbar zu machen und ein angemessenes Sicherheitsbewusstsein auf allen Ebenen der Organisation zu etablieren.  

Dabei kommt der Geschäftsführung eine besondere Rolle zu, da sie für die strategische Steuerung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich ist. 

Kryptografie nach Stand der Technik 

Unternehmen müssen geeignete kryptografische Verfahren nach dem Stand der Technik einsetzen, um Daten und Kommunikationsverbindungen wirksam zu schützen. Dies umfasst insbesondere die sichere Verschlüsselung gespeicherter Daten sowie die Absicherung der Datenübertragung.  

   Ziel ist es, Vertraulichkeit und Integrität sensibler Informationen sicherzustellen und unbefugten Zugriff zu verhindern.

Zugriffskontrolle & Personalprozesse 

Unternehmen müssen angemessene Zugriffskontrollen implementieren, um sicherzustellen, dass nur berechtigte Personen Zugang zu Systemen, Anwendungen und Daten erhalten. Dazu zählen insbesondere rollenbasierte Zugriffskonzepte sowie regelmäßige Überprüfungen von Berechtigungen. Darüber hinaus sind Sicherheitsaspekte in Personalprozesse zu integrieren, etwa bei Eintritt, Rollenwechsel und Austritt von Mitarbeitenden, um Missbrauch und unbefugten Zugriff wirksam zu verhindern.