Checkliste · NIS2

NIS2-Readiness-Checkliste

Selbstbewertung entlang der Pflichten aus der NIS2-Richtlinie (EU) 2022/2555 und ihrer Umsetzung in Deutschland (NIS2UmsuCG/BSIG, in Kraft seit 6.12.2025) und Österreich (NISG 2026, in Kraft ab 1.10.2026). Stand: 07/2026.

Organisation: ______________________
Datum: ______________________
Ausgefüllt von: ______________________
Einstufung: ☐ wesentlich/besonders wichtig   ☐ wichtig   ☐ offen

1. Betroffenheit & Registrierung

2. Governance & Schulung

3. Risikomanagement: die zehn Mindestmaßnahmen

Art. 21 Abs. 2 NIS2 · § 30 Abs. 2 BSIG · § 32 Abs. 4 NISG 2026 — Status: ✔ umgesetzt · ◐ teilweise · ✘ offen

MaßnahmenbereichStatusNachweis / Dokument
1. Konzepte für Risikoanalyse & Informationssicherheitz. B. ISMS-Leitlinie
2. Bewältigung von Sicherheitsvorfällen (Incident Handling)z. B. Incident-Response-Plan
3. Betriebsaufrechterhaltung: Backup, Wiederanlauf, Krisenmanagementz. B. BCM-Plan, Notfallhandbuch
4. Sicherheit der Lieferkettez. B. Dienstleister-Register
5. Sicherheit in Beschaffung, Entwicklung & Wartung inkl. Schwachstellenmanagement
6. Bewertung der Wirksamkeit der Maßnahmenz. B. Übungs-/Testprogramm, After-Action-Reports
7. Cyberhygiene & Schulungenz. B. Schulungsnachweise
8. Kryptografie & Verschlüsselung
9. Personalsicherheit, Zugriffskontrolle, Asset-Management
10. MFA / kontinuierliche Authentifizierung, gesicherte (Notfall-)Kommunikation

4. Meldekette für erhebliche Sicherheitsvorfälle

StufeFristEmpfängerVorbereitet?
Frühwarnung / Erstmeldung24 h nach KenntnisDE: Meldestelle BSI/BBK (§ 32 BSIG) · AT: zuständiges CSIRT (§ 34 NISG)
Meldung mit Erstbewertung72 h nach Kenntnisdito
Zwischenberichtauf Ersuchendito
Abschlussbericht1 Monat nach Meldungdito

5. Nachweis & Übung

Fristen-Merker: Deutschland — Pflichten gelten seit 6.12.2025, Registrierung binnen 3 Monaten ab Betroffenheit. Österreich — Inkrafttreten 1.10.2026, Registrierung bis 31.12.2026, Selbstdeklaration bis 30.9.2027. Verstöße gegen Registrierungspflichten: DE bis 500.000 € (§ 65 BSIG), AT bis 50.000/100.000 € (§ 45 NISG 2026).

Quellen

Diese Checkliste ist eine redaktionelle Arbeitshilfe und keine Rechtsberatung. Maßgeblich sind die verlinkten Originaltexte.

SecDrills · Auditierbare Tabletop Exercises — secdrills.com/wissen/nis2/
Kostenlose Vorlage · Stand 07/2026