+ 49 (0) 40 236 138 0

Kontakt
Startseite » Glossar » NIS2 Checkliste & Beratung
NIS2-Checkliste-Beratung

NIS2 Checkliste & Beratung

NIS2 Checkliste & Beratung für KMUs. Das NIS2 Gesetz beutet eine verbindliche Vereinbarung um Kriminellen den Zugang möglichst zu verwehren. In Deutschland ist NIS2 seit dem 07.12.2025 in Kraft. Es betrifft ca. 30.000 Unternehmen aus den verschiedensten Bereichen.

Unser Kooperationspartner Herr Wenderlich hat einen sehr guten und leicht verständlichen Rahmen erstellt. Damit sind Sie auch ohne komplizierte Fremdwörter in der Lage zu verstehen wie NIS2 umgesetzt werden sollte. Es geht darum Richtlinien mit Struktur aufzubauen. So sparen Sie Zeit und viel Geld, denn die Vorgehensweise ist sehr zielorientiert.

Als MSP (Managed Services Provider) unterstützen wir selbstverständlich auch die NIS2 Umsetzung und helfen Ihnen gerne wenn es Fragen gibt.

🎯 1. Zweck und Ziel

  • 1.1 Zweck: Warum gibt es diese Richtlinie? Welches strategische Ziel wird verfolgt?
  • 1.2 Zielgruppe: An wen richtet sich die Richtlinie?
  • Sicherstellung eines wirksamen Cybersicherheits-Risikomanagements (NIS-2 Art. 21)
  • Erfüllung der Meldepflichten bei erheblichen Vorfällen innerhalb 24 h / 72 h (NIS-2 Art. 23)
  • Schutz von Lieferketten und Dienstleistern (NIS-2 Art. 21 Abs. 2 lit. d)

🔍 2. Geltungsbereich (Scope)

  • 2.1 Anwendungsbereich: Für welche Systeme, Prozesse oder Daten gilt die Richtlinie?
  • 2.2 Ausnahmen: Was ist explizit ausgenommen?
  • Alle Systeme & Prozesse des Unternehmens, die als „wesentliche“ oder „wichtige“ Dienste einzustufen sind (NIS-2 Art. 3 u. 4)
  • Einbezug kritischer Lieferanten / Cloud-Services (NIS-2 Art. 21 Abs. 2 lit. d)
  • Ausnahmen nur, wenn keine Relevanz für die in NIS-2 Art. 21 genannten Risikomaßnahmen besteht

⚖️ 3. Grundlagen und Referenzen

  • Gesetze und Verordnungen (z.B. NIS-2, DSGVO)
  • Normen und Standards (z.B. ISO 27001:2022, ISO 27003:2013)
  • Übergeordnete Unternehmensrichtlinien
  • EU-Richtlinie 2022/2555 (NIS-2)
  • ISO 27001:2022, ISO 27003:2017
  • Nationale Umsetzungs-/Aufsichtsgesetze (NIS-2 Art. 32 ff.)

👨‍🏫 4. Rollen und Verantwortlichkeiten

  • Richtlinien-Eigner/Owner (Accountable): Wer ist ultimativ verantwortlich?
  • Umsetzungsverantwortliche (Responsible): Wer führt die Tätigkeiten aus?
  • Prüfinstanz: Wer überwacht die Einhaltung?
  • Geschäftsführung genehmigt und überwacht alle Maßnahmen (NIS-2 Art. 20)
  • Kontaktstelle / single point of contact für Behörden & CSIRT (NIS-2 Art. 26)
  • IT-Sicherheitsbeauftragte:r koordiniert Risikomanagement (NIS-2 Art. 21)
  • Incident-Response-Team führt Meldungen durch (NIS-2 Art. 23)

📝 5. Grundsätze und Anforderungen

  • Der Kern der Richtlinie: die verbindlichen Regeln.
  • Klar formuliert mit „MUSS„, „SOLL„, „DARF NICHT„.
  • Aufgeteilt in thematische Unterpunkte für bessere Lesbarkeit.
  • Implementierung von Maßnahmen gemäß NIS-2 Art. 21 Abs. 2 a–h:
    ➛ Risikoanalyse, BCM, Backup, Zugangs- und Zugriffskontrollen, Verschlüsselung, Schwachstellen-Management, Schulungen, Lieferkettensicherheit
  • Dokumentations- und Nachweispflicht gegenüber Behörde (NIS-2 Art. 30)

📈 6. Ziele und Messgrößen (KPIs)

  • Beschreibung: Hier wird definiert, wie der Erfolg und die Wirksamkeit der Richtlinie gemessen werden (entspricht „Key Outcomes“ aus ISO 27003:2017).
  • KPI-Definitionen: Konkrete Kennzahlen zur Erfolgsmessung (z.B. MTTR, MTTD, Service-Verfügbarkeit, False-Positive-Rate).
  • Zielwerte: Definierte Zielgrößen für jede KPI.
  • MTTD ≤ 15 min & MTTR ≤ 1 h für kritische Services – Basis für 24 h Erstmeldung (NIS-2 Art. 23 Abs. 1)
  • 100% Monitoring-Coverage aller als „wesentlich/­wichtig“ eingestuften Assets (NIS-2 Art. 21 Abs. 2 lit. a)
  • ≤ 10% False-Positive-Rate, um wirksame Detektion sicherzustellen (NIS-2 Art. 21 Abs. 2 lit. c)

⚙️ 7. Prozesse und Verfahren

  • Die praktische Umsetzung: „Wie wird es gemacht?“
  • Schritt-für-Schritt-Anleitungen oder Verweise auf separate Prozessdokumentationen.
  • Beschreibung der technischen und organisatorischen Abläufe.
  • Standard-Incident-Prozess mit Erstmeldung <24 h, Zwischenbericht <72 h, Abschlussbericht <1 Monat (NIS-2 Art. 23 u. 24)
  • Regelmäßige Schwachstellen-Scans & Patch-Management-Zyklus (NIS-2 Art. 21 Abs. 2 lit. c)
  • Lieferanten-Onboarding-Checkliste inkl. Sicherheitskriterien (NIS-2 Art. 21 Abs. 2 lit. d)

⚠️ 8. Durchsetzung und Konsequenzen

  • Überwachung: Wie wird die Einhaltung kontrolliert? (z.B. durch Audits, technische Checks)
  • Konsequenzen bei Verstößen: Was passiert bei Nichteinhaltung?
  • Interne Kontrollen & Audits; Berichtsweg an Geschäftsführung (NIS-2 Art. 32)
  • Meldung schwerwiegender Verstöße an Aufsichtsbehörde (NIS-2 Art. 30)
  • Disziplinarische Maßnahmen bis hin zu Bußgeld-Haftung (NIS-2 Art. 34)

‼️ 9. Ausnahmeregelungen

  • Der formalisierte Prozess, um eine Ausnahme zu beantragen.
  • Kriterien für die Bewertung und Genehmigung von Ausnahmen.
  • Anforderung zur Dokumentation aller genehmigten Ausnahmen.
  • Ausnahme nur zulässig, wenn gleichwertige Sicherheit anderweitig gewährleistet wird – Genehmigung durch GF (NIS-2 Art. 20 Abs. 2)
  • Dokumentation jeder Ausnahme, jährliche Review (NIS-2 Art. 30)

♾️ 10. Kontinuierliche Verbesserung

  • Überprüfungszyklus: Wann und wie oft werden die Richtlinie und die KPIs (aus Abschnitt 6) überprüft?
  • Feedback-Prozess: Wie können Mitarbeitende Vorschläge zur Verbesserung einreichen?
  • Jährliche Bewertung der Wirksamkeit der Maßnahmen & KPIs (NIS-2 Art. 21 Abs. 2 lit. g)
  • Lessons-Learned nach jedem erheblichen Vorfall (NIS-2 Art. 23 Abs. 5)

🖇️ 11. Anhänge

  • Glossar: Definition wichtiger Fachbegriffe.
  • Verweise: Links zu Checklisten, Formularen, technischen Diagrammen und anderen relevanten Dokumenten.
  • Meldeformulare gem. NIS-2 Art. 23/24 (Vorfall-Erst- & Zwischenmeldung)
  • Kontaktliste Behörde/CSIRT (NIS-2 Art. 26)
  • Aktuelles Netzwerk-/Architekturdiagramm (Pflichtnachweis für Risikomanagement, NIS-2 Art. 21)

Eine vereinfachte Darstellung, finden Sie direkt auf der Seite unseres Kooperationspartners wie die Erstellung einer Richtlinie aussehen kann für (NIS2 Checkliste und Themen der Beratung). Man beachte, dass die Richtlinie eines ISMS nach ISO 27001 immer periodisch überprüft werden muss, insbesondere auf deren Bekanntheit und Sinnhaftigkeit. Die Grafik verdeutlicht auch, dass alle Beteiligten einer bestimmten Thematik den passenden Content liefern müssen. Folglich ist eine Richtlinie nicht in der Hand von einer Person (was leider öfters passiert), sondern eines Teams.

Um die Qualität einer Richtlinie zu erhöhen, sind ergänzende Informationen aus Quellen wie z.B. der ISO 27002 oder auch internationale Best Practices ratsam. Besonders wenn Fragestellungen zu Themen wie z.B. einer Passwort-Richtlinie geklärt werden müssen. Doch auch hier gilt: Immer die eigenen Bedürfnisse des Unternehmens berücksichtigen.


Merke: Ein ISMS nach ISO 27001 passt sich dem Unternehmen an, nicht umgekehrt!

NIS2 Checkliste & Beratung für KMUs bietet eine sehr gute Grundlage um zu verstehen wie man NIS2 kostengünstig implementieren sollte. Unser Kooperationspartner Gray-Hat IT-Security Consulting steht Ihnen sicher gerne zur Verfügung.

Wenn sie mehr erfahren wollen, dann ist die NIS-2-Beratung für Unternehmen sicher für Sie von Interesse.

Nehmen Sie jetzt Kontakt auf um Ihre NIS2 Umsetzung effizient zu gestalten.