Checkliste · NIS2
NIS2-Readiness-Checkliste
Selbstbewertung entlang der Pflichten aus der NIS2-Richtlinie (EU) 2022/2555 und ihrer
Umsetzung in Deutschland (NIS2UmsuCG/BSIG, in Kraft seit 6.12.2025) und Österreich
(NISG 2026, in Kraft ab 1.10.2026). Stand: 07/2026.
1. Betroffenheit & Registrierung
- Sektor-Zuordnung geprüft (Anhang I/II NIS2 bzw. Anlage 1/2 BSIG/NISG) und dokumentiert
- Größenschwellen geprüft (ab 50 Beschäftigte oder > 10 Mio. € Jahresumsatz und Bilanzsumme)
- Einstufung festgelegt: wesentliche/„besonders wichtige“ oder wichtige Einrichtung
- Registrierung durchgeführt — DE: BSI-Portal, binnen 3 Monaten ab Betroffenheit (§ 33 BSIG) · AT: 1.10.–31.12.2026 via USP (§ 29 NISG 2026)
- Prozess etabliert, um Änderungen der Angaben fristgerecht nachzumelden (DE: 2 Wochen)
- Kontaktstelle für die Behörde benannt und erreichbar (Telefon + E-Mail)
2. Governance & Schulung
- Geschäftsleitung hat die Risikomanagementmaßnahmen förmlich gebilligt
- Überwachung der Umsetzung durch die Leitung ist geregelt (Berichtsweg, Turnus) — § 38 BSIG / § 31 NISG 2026
- Leitungsorgane haben an Cybersicherheitsschulungen teilgenommen (Nachweis abgelegt)
- Mitarbeitenden werden regelmäßig Schulungen angeboten (AT: eigener Straftatbestand bei Verstoß, § 45 Abs. 1 NISG 2026)
- Haftungs- und Sanktionsrahmen ist der Leitung bekannt (bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 % Weltumsatz)
3. Risikomanagement: die zehn Mindestmaßnahmen
Art. 21 Abs. 2 NIS2 · § 30 Abs. 2 BSIG · § 32 Abs. 4 NISG 2026 — Status: ✔ umgesetzt · ◐ teilweise · ✘ offen
| Maßnahmenbereich | Status | Nachweis / Dokument |
| 1. Konzepte für Risikoanalyse & Informationssicherheit | | z. B. ISMS-Leitlinie |
| 2. Bewältigung von Sicherheitsvorfällen (Incident Handling) | | z. B. Incident-Response-Plan |
| 3. Betriebsaufrechterhaltung: Backup, Wiederanlauf, Krisenmanagement | | z. B. BCM-Plan, Notfallhandbuch |
| 4. Sicherheit der Lieferkette | | z. B. Dienstleister-Register |
| 5. Sicherheit in Beschaffung, Entwicklung & Wartung inkl. Schwachstellenmanagement | | |
| 6. Bewertung der Wirksamkeit der Maßnahmen | | z. B. Übungs-/Testprogramm, After-Action-Reports |
| 7. Cyberhygiene & Schulungen | | z. B. Schulungsnachweise |
| 8. Kryptografie & Verschlüsselung | | |
| 9. Personalsicherheit, Zugriffskontrolle, Asset-Management | | |
| 10. MFA / kontinuierliche Authentifizierung, gesicherte (Notfall-)Kommunikation | | |
4. Meldekette für erhebliche Sicherheitsvorfälle
| Stufe | Frist | Empfänger | Vorbereitet? |
| Frühwarnung / Erstmeldung | 24 h nach Kenntnis | DE: Meldestelle BSI/BBK (§ 32 BSIG) · AT: zuständiges CSIRT (§ 34 NISG) | |
| Meldung mit Erstbewertung | 72 h nach Kenntnis | dito | |
| Zwischenbericht | auf Ersuchen | dito | |
| Abschlussbericht | 1 Monat nach Meldung | dito | |
- Zugang zum Meldeweg eingerichtet (DE: BSI-Portal via „Mein Unternehmenskonto“)
- Intern definiert, wer die Erheblichkeit bewertet und wer die Meldung absetzt (inkl. Vertretung)
- Kunden-/Empfänger-Information bei Dienstbeeinträchtigung vorbereitet
- Meldekette in den letzten 12 Monaten unter Zeitdruck geübt
5. Nachweis & Übung
- Übungs-/Testprogramm mit festem Turnus dokumentiert (mind. jährlich, besser quartalsweise)
- Letzte Übung: ______________ · Szenario: ______________________
- After-Action-Report liegt vor; Maßnahmen mit Verantwortlichen und Terminen nachverfolgt
- Dokumentation der Maßnahmen-Umsetzung ist prüffähig abgelegt (§ 30 Abs. 1 BSIG verlangt Dokumentation)
- AT: Selbstdeklaration nach § 33 NISG 2026 vorbereitet (für Bestandsbetroffene bis 30.9.2027)
Fristen-Merker: Deutschland — Pflichten gelten seit 6.12.2025, Registrierung
binnen 3 Monaten ab Betroffenheit. Österreich — Inkrafttreten 1.10.2026, Registrierung bis
31.12.2026, Selbstdeklaration bis 30.9.2027. Verstöße gegen Registrierungspflichten: DE bis
500.000 € (§ 65 BSIG), AT bis 50.000/100.000 € (§ 45 NISG 2026).
Quellen
Diese Checkliste ist eine redaktionelle Arbeitshilfe und keine Rechtsberatung. Maßgeblich sind
die verlinkten Originaltexte.
SecDrills · Auditierbare Tabletop Exercises — secdrills.com/wissen/nis2/
Kostenlose Vorlage · Stand 07/2026