NIS2 Compliance Checkliste
Eine praxisnahe NIS2 Checkliste auf Basis des veröffentlichten Richtlinientexts und des deutschen Umsetzungsgesetzes. Prüfen Sie Ihre Betroffenheit, gehen Sie die Anforderungen nach Artikel 21 der NIS2-Richtlinie (Paragraf 30 BSIG) durch und bereiten Sie Ihre NIS2 Umsetzung vor. Die Checkliste dient Ihrer eigenen Einschätzung, nicht als verbindliche Feststellung der Compliance.
NIS2 ist in Kraft
In Deutschland gilt seit dem 6. Dezember 2025 das NIS2-Umsetzungsgesetz (NIS2UmsuCG); die Pflichten gelten ohne Übergangsfrist. Zuständige Behörde ist das BSI.
NIS2 kurz erklärt
NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Richtlinie (EU) 2022/2555). In Deutschland wird sie über das NIS2-Umsetzungsgesetz und das BSI-Gesetz (BSIG) umgesetzt. Sie gilt in der Regel für mittlere und große Unternehmen (ab 50 Beschäftigten oder 10 Mio. EUR Umsatz) in regulierten Sektoren nach Anlage 1 und Anlage 2 sowie für deren Lieferketten; bestimmte Einrichtungen sind unabhängig von der Größe betroffen. In Deutschland sind rund 30.000 Unternehmen betroffen.
- Energie
- Verkehr
- Bankwesen
- Gesundheit
- Wasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum
Anlage 1
- Verarbeitendes Gewerbe
- Chemie
- Lebensmittel
- Post- und Kurierdienste
- Abfallwirtschaft
- Digitale Dienste
- Forschung
Anlage 2
Beide müssen dieselben Sicherheitsanforderungen nach Paragraf 30 BSIG erfüllen.
Lieferkette
Auch wenn Sie nicht direkt betroffen sind, müssen betroffene Kunden ihre Lieferkette absichern, sodass Sie als Zulieferer vertragliche Sicherheitsanforderungen erfüllen müssen.
Nutzen Sie die Checkliste zur Selbsteinschätzung. Die verbindlichen Schwellenwerte ergeben sich aus dem nationalen Recht.
Wie Mondoo die NIS2 Umsetzung erleichtert
NIS2 belohnt keine längeren Mängellisten. Gefordert sind ein kontinuierliches Schwachstellenmanagement (Artikel 21.2.e / Paragraf 30 BSIG) und der Nachweis, dass Ihre Maßnahmen wirksam sind (Artikel 21.2.f). Beides verlangt fortlaufendes Erkennen, Beheben und einen belastbaren Nachweis, kein einmaliges Dokument. Genau das leistet Mondoo. (Auch das BSI betont: Schwachstellenmanagement ist eine kontinuierliche Aufgabe, kein einzelner Scan.)
Zwei Wege zur Umsetzung
Selbst umsetzen.
Nutzen Sie die Mondoo-Plattform für kontinuierliche Bewertung, die Zuordnung von Controls zu NIS2 und 30+ weiteren Frameworks und für auditfertige Berichte mit Ihrem eigenen Team.
Mondoo übernehmen lassen.
Unser Managed Vulnerability Service arbeitet als Erweiterung Ihres Teams, priorisiert und behebt Lücken und hält die Nachweise zwischen Audits aktuell, während Sie die volle Kontrolle behalten und jede Änderung freigeben.
Mehr über den Managed Vulnerability ServiceWarum Unternehmen bei NIS2 auf Mondoo setzen
Finden und beheben, nicht nur melden. Die meisten Tools liefern eine Liste. Mondoo schließt den Kreis bis zum verifizierten Fix, was Artikel 21.2.e verlangt.
Ein durchgängiger Audit-Nachweis. Nachweise entstehen laufend, sodass der Wirksamkeitsnachweis nach Artikel 21.2.f ein Bericht ist, keine Hauruckaktion.
Ein Control, viele Frameworks. NIS2 überschneidet sich stark mit ISO 27001. Mondoo bildet ein Control auf 30+ Frameworks ab.
Den vollständigen NIS2-Leitfaden erhalten
Für die komplette Darstellung, inklusive der Zuordnung von NIS2 zu ISO/IEC 27001:2022 und detaillierter Sektortabellen, laden Sie unseren ausführlichen NIS2-Leitfaden herunter.
Häufige Fragen zu NIS2
Was ist NIS2?
NIS2 ist die Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit. Sie aktualisiert die NIS-Richtlinie von 2016, erweitert die betroffenen Sektoren und Einrichtungen, führt die Verantwortung der Geschäftsleitung ein und vereinheitlicht die Meldepflichten.
Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?
Das NIS2-Umsetzungsgesetz setzt die NIS2-Richtlinie in deutsches Recht um und ändert das BSI-Gesetz (BSIG). Es ist seit dem 6. Dezember 2025 in Kraft; die Pflichten gelten ohne Übergangsfrist.
Wer ist von NIS2 betroffen?
Betroffen sind mittlere und große Unternehmen in den regulierten Sektoren nach Anlage 1 und Anlage 2 (z. B. Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken, Verwaltung, sowie Hersteller, Chemie, Lebensmittel, Post, Abfall, Anbieter digitaler Dienste, Forschung) sowie deren Lieferketten. Unternehmen müssen ihre Betroffenheit selbst prüfen; die Schwellenwerte ergeben sich aus dem BSIG (Paragraf 28).
Was sind die NIS2-Anforderungen?
Paragraf 30 BSIG (Artikel 21 der Richtlinie) nennt die Mindestmaßnahmen: Risikomanagement und Sicherheitsrichtlinien, Vorfallbehandlung, Business Continuity, Lieferkettensicherheit, sichere Beschaffung und Entwicklung inkl. Schwachstellenmanagement, Wirksamkeitsprüfung der Maßnahmen, Cyberhygiene und Schulungen, Kryptografie, Zugriffskontrolle und Asset-Management sowie Multi-Faktor-Authentifizierung. Artikel 23 / Paragraf 32 BSIG regelt die Meldepflichten.
Welche Meldefristen gelten bei einem Vorfall?
Erhebliche Vorfälle sind dem BSI innerhalb von 24 Stunden zu melden (Erstmeldung), eine Bewertung folgt innerhalb von 72 Stunden, der Abschlussbericht innerhalb eines Monats.
Muss ich mein Unternehmen beim BSI registrieren?
Betroffene Einrichtungen müssen sich gemäß Paragraf 33 BSIG über das BSI-Portal registrieren. Die gesetzliche Registrierungsfrist ist bereits abgelaufen; noch nicht registrierte Unternehmen sollten dies umgehend nachholen.
Welche Strafen drohen bei Verstößen?
Besonders wichtigen Einrichtungen drohen Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. EUR oder 1,4%. Die Geschäftsleitung kann persönlich verantwortlich gemacht werden. Die konkreten Beträge ergeben sich aus dem BSIG.
Die Anforderungen beruhen auf dem veröffentlichten Text der NIS2-Richtlinie (Richtlinie (EU) 2022/2555), insbesondere Artikel 21 und 23, sowie auf dem deutschen BSI-Gesetz (BSIG).
- Volltext der Richtlinie: eur-lex.europa.eu/eli/dir/2022/2555/oj
- Nationale Vorgaben: BSI (bsi.bund.de).
Dies ist eine informative Übersicht auf Basis des veröffentlichten Richtlinientexts und des BSIG. Sie ist keine Rechtsberatung und stellt keine verbindliche Feststellung der NIS2-Compliance dar. Bitte bestätigen Sie die für Sie geltenden Vorgaben mit der zuständigen Behörde und einer qualifizierten Beratung.