NIS2-Checkliste: 10 Maßnahmen nach §30 BSIG

Das NIS2UmsuCG verpflichtet rund 29.500 Unternehmen zu zehn konkreten Sicherheitsmaßnahmen. Diese Checkliste zeigt, was jede Maßnahme fordert — und wie Sie sie umsetzen.

NIS2-Betroffenheit prüfen Readiness-Check
§30 BSIG / Art. 21 NIS2

Zehn Pflichtmaßnahmen — keine Übergangsfrist

Seit dem 6. Dezember 2025 gilt das NIS2UmsuCG. Rund 29.500 Unternehmen in Deutschland sind betroffen — besonders wichtige und wichtige Einrichtungen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR. Eine Übergangsfrist gibt es nicht: Die zehn Maßnahmen nach §30 Abs. 2 BSIG müssen sofort umgesetzt werden.

Die Geschäftsleitung haftet nach §38 BSIG persönlich für die Umsetzung und muss selbst an Cybersicherheitsschulungen teilnehmen. Bei Sicherheitsvorfällen greift die 24h-Meldepflicht. Bei Verstößen drohen Bußgelder von bis zu 10 Mio. EUR (bei Großunternehmen mit über 500 Mio. EUR Umsatz: bis zu 2 % des weltweiten Jahresumsatzes).

(a) Maßnahme 1 von 10

Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik

Unternehmen müssen ein dokumentiertes Risiko-Framework etablieren, das alle IT-Systeme, Prozesse und Komponenten systematisch erfasst, Bedrohungen identifiziert und bewertet. Die Risikoanalyse muss den gefahrenübergreifenden Ansatz berücksichtigen und jährlich überprüft werden.

Umsetzungsschritte

  • Risiko-Framework nach ISO 27005 oder BSI 200-3 einführen und dokumentieren
  • Alle kritischen Assets (IT-Systeme, Daten, Prozesse) inventarisieren und klassifizieren
  • Bedrohungs- und Schwachstellenanalyse durchführen, Risikobehandlungspläne erstellen
  • Jährliche Überprüfung und Management-Freigabe der Risikoakzeptanz sicherstellen
(b) Maßnahme 2 von 10

Bewältigung von Sicherheitsvorfällen

Es muss ein vollständiger Incident-Response-Zyklus etabliert sein: Erkennung, Analyse, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung. Dazu gehören Meldeketten zum BSI (24h Erstmeldung, 72h Detailmeldung, 30 Tage Abschlussbericht nach §32 BSIG).

Umsetzungsschritte

  • Incident-Response-Plan mit definierten Rollen, Eskalationswegen und Kontaktlisten erstellen
  • Meldeprozess nach §32 BSIG implementieren: 24h-Erstmeldung an das BSI sicherstellen
  • Technische Erkennung aufbauen (SIEM, Logging, Monitoring)
  • Regelmäßige IR-Übungen (Tabletop-Exercises) durchführen und dokumentieren
(c) Maßnahme 3 von 10

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement

Unternehmen müssen Business-Continuity- und Disaster-Recovery-Pläne vorhalten, die regelmäßig getestet werden. Backup-Konzepte müssen die Wiederherstellung kritischer Systeme in definierten Zeitfenstern sicherstellen.

Umsetzungsschritte

  • Business-Impact-Analyse (BIA) durchführen: kritische Geschäftsprozesse und deren RTO/RPO definieren
  • Backup-Konzept mit 3-2-1-Regel implementieren, Wiederherstellungstests dokumentieren
  • Notfallplan (DR-Plan) und Krisenmanagement-Handbuch erstellen
  • Mindestens jährlich Notfallübungen durchführen und Ergebnisse auswerten
(d) Maßnahme 4 von 10

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern

Sicherheitsanforderungen müssen vertraglich mit allen Anbietern und Dienstleistern vereinbart werden. Lieferanten sind hinsichtlich ihrer Cybersicherheitspraktiken zu bewerten und fortlaufend zu überwachen.

Umsetzungsschritte

  • Verzeichnis aller IT-Lieferanten und Dienstleister mit Kontaktpunkten pflegen
  • Vertragliche Sicherheitsanforderungen und SLAs mit Lieferanten vereinbaren
  • Regelmäßige Bewertung der Cybersicherheitspraktiken von Anbietern durchführen
  • Prozess für den Umgang mit Sicherheitsvorfällen in der Lieferkette definieren
(e) Maßnahme 5 von 10

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen

IT-Systeme müssen über ihren gesamten Lebenszyklus sicher konfiguriert, gewartet und auf Schwachstellen geprüft werden. Dazu gehören Patch-Management, sichere Entwicklungsstandards und ein Verfahren zur verantwortungsvollen Offenlegung von Schwachstellen.

Umsetzungsschritte

  • Patch-Management-Prozess mit definierten Fristen für kritische Updates einführen
  • Sichere Entwicklungsrichtlinien (Secure SDLC) und Code-Reviews etablieren
  • Regelmäßige Schwachstellen-Scans und Penetrationstests durchführen
  • security.txt nach RFC 9116 veröffentlichen und Offenlegungsprozess definieren
(f) Maßnahme 6 von 10

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Die Wirksamkeit aller umgesetzten Sicherheitsmaßnahmen muss regelmäßig überprüft und dokumentiert werden. Interne Audits, unabhängige Reviews und Management-Reporting sind dafür erforderlich.

Umsetzungsschritte

  • Internes Audit-Programm etablieren, das alle Sicherheitsmaßnahmen periodisch überprüft
  • KPIs und Metriken für die IT-Sicherheit definieren und regelmäßig an die Geschäftsleitung berichten
  • Unabhängige Bewertungen (z.B. externe Audits, Penetrationstests) beauftragen
  • Ergebnisse dokumentieren und Verbesserungsmaßnahmen nachverfolgen
(g) Maßnahme 7 von 10

Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Alle Mitarbeitenden, einschließlich der Geschäftsleitung, müssen regelmäßig in IT-Sicherheit geschult werden. Die Geschäftsleitung trägt nach §38 BSIG eine persönliche Überwachungspflicht und muss selbst an Schulungen teilnehmen.

Umsetzungsschritte

  • Awareness-Programm mit regelmäßigen Schulungen für alle Mitarbeitenden einführen
  • Geschäftsleitung muss an Cybersicherheitsschulungen teilnehmen (§38 BSIG)
  • Phishing-Simulationen und praxisnahe Übungen durchführen
  • Schulungsteilnahme dokumentieren und Wirksamkeit evaluieren
(h) Maßnahme 8 von 10

Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren

Es muss eine Kryptografie-Richtlinie existieren, die festlegt, welche Protokolle, Algorithmen und Schlüssellängen eingesetzt werden. Der Stand der Technik (z.B. BSI TR-02102) muss berücksichtigt und regelmäßig überprüft werden.

Umsetzungsschritte

  • Kryptografie-Richtlinie erstellen: erlaubte Protokolle, Algorithmen und Mindest-Schlüssellängen definieren
  • TLS 1.2+ auf allen externen und internen Schnittstellen erzwingen
  • Verschlüsselung ruhender Daten (Data at Rest) in Datenbanken und Backups sicherstellen
  • Key-Management-Prozess etablieren: Schlüsselgenerierung, -rotation und -vernichtung dokumentieren
(i) Maßnahme 9 von 10

Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen

Zugriffsberechtigungen müssen nach dem Least-Privilege-Prinzip vergeben und regelmäßig überprüft werden. Dazu gehören Identitätsmanagement, privilegierte Konten-Verwaltung und ein vollständiges Asset-Management aller IKT-Systeme.

Umsetzungsschritte

  • Zugriffskontrollrichtlinie nach Least-Privilege-Prinzip implementieren
  • Identitäts- und Berechtigungsmanagement (IAM) einführen: Vergabe, Änderung, Entzug dokumentieren
  • Privilegierte Konten gesondert verwalten, MFA für alle Administratoren erzwingen
  • Vollständiges Verzeichnis aller IKT-Systeme, -Produkte und -Prozesse führen (Asset-Management)
(j) Maßnahme 10 von 10

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Für den Zugang zu kritischen Systemen muss MFA eingesetzt werden. Die interne und externe Kommunikation muss über gesicherte Kanäle erfolgen — inklusive Notfallkommunikation, wenn reguläre Kanäle ausfallen.

Umsetzungsschritte

  • MFA für alle Remote-Zugänge, VPNs und administrativen Schnittstellen aktivieren
  • Ende-zu-Ende-verschlüsselte Kommunikationskanäle für sensible Informationen einsetzen
  • E-Mail-Sicherheit durch SPF, DKIM, DMARC und MTA-STS absichern
  • Gesicherte Notfallkommunikationssysteme definieren und testen (Out-of-Band-Kanäle)
Transparenz

Was Wolf-Agents abdeckt — und was nicht

Kein einzelnes Tool deckt alle zehn NIS2-Maßnahmen ab. Wir kommunizieren transparent, wo unsere Scanner einen echten Beitrag leisten.

Technisch geprüft

  • (e) Sicherheit bei Erwerb, Entwicklung und Wartung — Security Headers, TLS, DNS, API-Härtung
  • (h) Kryptografie — TLS-Versionen, Cipher Suites, Zertifikatsketten, HSTS, DANE
  • (j) Gesicherte Kommunikation — SPF, DKIM, DMARC, MTA-STS, DANE, TLS-RPT

Datenbeitrag

  • (f) Wirksamkeitsbewertung — Score-Historien und Trend-Analysen als Datenpunkt für interne Audits

Nicht abgedeckt

  • (a) Risikoanalyse — erfordert dokumentiertes Risiko-Framework
  • (b) Sicherheitsvorfälle — erfordert IR-Pläne, Meldeketten
  • (c) Betriebskontinuität — erfordert Backup/DR-Pläne
  • (d) Lieferkettensicherheit — erfordert Lieferantenbewertung
  • (g) Schulungen — erfordert Awareness-Programme
  • (i) Zugriffskontrolle — erfordert IAM, Berechtigungsprüfung

Für vollständige NIS2-Compliance benötigen Sie ein Informationssicherheits-Managementsystem (ISMS), regelmäßige Audits und organisatorische Prozesse. Wolf-Agents deckt die technisch prüfbaren Aspekte ab und liefert belastbare Nachweise für Audits.

Wie steht Ihr Unternehmen bei den 10 Maßnahmen?

Prüfen Sie mit dem NIS2-Readiness-Check Ihren Reifegrad in allen zehn Maßnahmenbereichen — oder klären Sie zuerst, ob Ihr Unternehmen überhaupt betroffen ist.

Readiness prüfen Betroffenheit prüfen