MATTALNET
Zurück zum Blog
Compliance & Sicherheit

NIS2-Checkliste 2026: Pflichten, Risikomanagement & Audit

MATTALNETVeröffentlicht am 16. Juni 20263 Min. Lesezeit
NIS2ComplianceCybersecurityRisikomanagementAudit

Die NIS2-Richtlinie verschärft die Cybersicherheits-Pflichten für tausende Unternehmen in Deutschland und der EU. Diese NIS2-Checkliste fasst kompakt zusammen, wer betroffen ist, welche Pflichten gelten und wie Sie Ihr Unternehmen Schritt für Schritt auf ein NIS2-Audit vorbereiten.

Was ist NIS2?

NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit (Richtlinie (EU) 2022/2555). Sie löst die ältere NIS-Richtlinie von 2016 ab, erweitert den Kreis der betroffenen Unternehmen deutlich und hebt das geforderte Sicherheitsniveau an. Die Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen; in Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Zuständige Behörde ist das BSI.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen aus rund 18 Sektoren – darunter Energie, Verkehr, Gesundheit, Trinkwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung, Post, Abfall, Chemie, Lebensmittel und das verarbeitende Gewerbe.

Als grobe Faustregel fallen Unternehmen unter NIS2, wenn sie in einem der Sektoren tätig sind und mindestens mittelgroß sind:

  • ab 50 Beschäftigten oder
  • mehr als 10 Mio. € Jahresumsatz bzw. Bilanzsumme.

Einige Einrichtungen (z. B. qualifizierte Vertrauensdiensteanbieter, DNS-Dienste, bestimmte kritische Anlagen) sind unabhängig von ihrer Größe betroffen. Wichtig: Auch wer nicht direkt unter NIS2 fällt, ist als Zulieferer oft mittelbar betroffen, weil betroffene Kunden Sicherheitsanforderungen entlang der Lieferkette weitergeben.

Die NIS2-Checkliste: Pflichten im Überblick

Artikel 21 der Richtlinie verlangt geeignete, verhältnismäßige technische und organisatorische Maßnahmen. Diese NIS2-Checkliste deckt die zehn Pflichtbereiche des Risikomanagements ab:

  1. Risikoanalyse & Sicherheitskonzepte – dokumentierte Bewertung der Risiken für Ihre Informationssysteme und Leitlinien für die Informationssicherheit.
  2. Bewältigung von Sicherheitsvorfällen – Prozesse für Erkennung, Reaktion und Nachbereitung (Incident Response).
  3. Business Continuity – Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement.
  4. Sicherheit der Lieferkette – Sicherheitsanforderungen an Dienstleister und Zulieferer.
  5. Sicherheit bei Beschaffung, Entwicklung & Wartung – inklusive Schwachstellenmanagement und Offenlegung.
  6. Wirksamkeitsmessung – Konzepte und Verfahren zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.
  7. Cyberhygiene & Schulungen – grundlegende Schutzmaßnahmen und regelmäßige Awareness-Trainings.
  8. Kryptografie & Verschlüsselung – Konzepte für den Einsatz von Kryptografie.
  9. Personalsicherheit, Zugriffskontrolle & Asset-Management – klare Berechtigungen und Inventar der Werte.
  10. Multi-Faktor-Authentifizierung & gesicherte Kommunikation – MFA, gesicherte Sprach-/Video-/Textkommunikation und Notfallkommunikation.

Meldepflichten: die 24-72-Stunden-Regel

Erhebliche Sicherheitsvorfälle müssen gestaffelt gemeldet werden (Artikel 23):

  • Innerhalb von 24 Stunden – Frühwarnung an das BSI/CSIRT.
  • Innerhalb von 72 Stunden – detaillierte Meldung des Vorfalls.
  • Innerhalb von 1 Monat – Abschlussbericht mit Ursachen und Maßnahmen.

Haftung der Geschäftsleitung

NIS2 nimmt ausdrücklich die Leitungsebene in die Pflicht: Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen drohen empfindliche Bußgelder und persönliche Verantwortung – Cybersicherheit ist damit endgültig Chefsache.

NIS2-Audit: So bereiten Sie sich vor

Ein NIS2-Audit prüft, ob die Maßnahmen aus Artikel 21 vorhanden, dokumentiert und wirksam sind. Diese Schritte bringen Sie audit-fähig:

  1. Betroffenheit feststellen – Sektor, Größe und Rolle in der Lieferkette einordnen.
  2. Gap-Analyse – Ist-Zustand gegen die zehn Pflichtbereiche abgleichen (NIS2 Audit Checklist).
  3. Maßnahmen umsetzen & dokumentieren – technische Kontrollen, Richtlinien und Nachweise schaffen.
  4. Incident-Response & Meldeketten testen – die 24/72-Stunden-Prozesse üben.
  5. Kontinuierlich überwachen – Wirksamkeit messen und nachsteuern.

Weiterlesen: NIS2-Audit – Ablauf, Checkliste und Vorbereitung.

NIS2 & sichere Software

Viele NIS2-Anforderungen – sichere Entwicklung, Schwachstellenmanagement, Verschlüsselung, MFA, Zugriffskontrolle, revisionssichere Protokollierung – entscheiden sich auf Ebene der eingesetzten Software. Wer Plattformen, SaaS oder interne Systeme betreibt, sollte Sicherheit von Anfang an einbauen statt nachzurüsten. Genau darauf ist MATTALNET spezialisiert: Wir bauen Systeme mit sauberer Architektur, konsequenter Testabdeckung und Sicherheitsmechanismen, die bei einem NIS2-Audit Bestand haben.

Häufige Fragen zur NIS2-Checkliste

Ab wann gilt NIS2 in Deutschland?

Die EU-Frist zur Umsetzung lief am 17. Oktober 2024 ab. In Deutschland regelt das NIS2UmsuCG die nationale Umsetzung; den aktuellen Stand des Gesetzgebungsverfahrens sollten betroffene Unternehmen aktiv verfolgen und sich nicht auf einen Aufschub verlassen.

Was kostet die Nichteinhaltung?

NIS2 sieht empfindliche Bußgelder vor sowie persönliche Verantwortung der Geschäftsleitung. Die genaue Höhe hängt davon ab, ob es sich um eine wesentliche oder wichtige Einrichtung handelt.

Reicht eine DSGVO-Konformität aus?

Nein. DSGVO schützt personenbezogene Daten, NIS2 zielt auf die Cybersicherheit von Netz- und Informationssystemen. Es gibt Überschneidungen, aber NIS2 stellt eigene, technische Anforderungen.

Weiterlesen: NIS2-Risikomanagement – Prozess, Maßnahmen und Nachweise.

Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Für die verbindliche Einordnung Ihrer NIS2-Pflichten ziehen Sie bitte fachkundigen Rat hinzu.

Zurück zum Blog