🛡️ NIS2: Was Unternehmen jetzt konkret umsetzen müssen
Checkliste für ISMS, BCM & Awareness
Die NIS2-Richtlinie ist mehr als eine neue Vorschrift – sie ist ein Weckruf.
Eigentlich sollte sie bis Oktober 2024 verpflichtend in deutsches Recht umgesetzt sein. Aufgrund politischer Verzögerungen wurde dies jedoch verschoben. Die Umsetzung ist weiterhin für Anfang 2026 zu erwarten. Tausende Unternehmen müssen dann beweisen, dass sie Informationssicherheit und Resilienz ernst nehmen. Die gute Nachricht: Mit Systematik und klarem Fokus lässt sich NIS2-Compliance gut vorbereiten.
Wir zeigen, worauf es wirklich ankommt – mit einer kompakten Checkliste für die drei Schlüsselbereiche:
ISMS (Informationssicherheits-Managementsystem), BCM (Business Continuity) und Awareness (Schulung & Kultur).
🔐 1. ISMS – Sicherheit mit System
Ein funktionierendes ISMS ist das Rückgrat der NIS2-Compliance. Es muss nicht sofort ISO-27001-zertifiziert sein – aber strukturiert, dokumentiert und wirksam.
✅ Risikoanalyse & Schutzbedarfe
✅ Rollen & Verantwortlichkeiten (ISB, CISO, IT-Security)
✅ Sicherheitsrichtlinie & Maßnahmenkatalog
✅ Patch- und Schwachstellenmanagement
✅ Managementbewertung & kontinuierliche Verbesserung (PDCA)
🔄 2. BCM – Geschäftsbetrieb absichern
NIS2 verlangt explizit Notfallvorsorge und Wiederanlauf. Dabei geht es nicht nur um IT-Ausfälle – auch Lieferengpässe, Personalengpässe oder Krisenkommunikation sind abzudecken.
✅ Business Impact Analyse (BIA)
✅ Notfall- und Wiederanlaufpläne
✅ Kommunikationsmatrix & Krisenstab
✅ Tests & Übungen (mind. jährlich)
✅ Verknüpfung mit ISMS
🧠 3. Awareness – Sicherheitskultur stärken
Mitarbeitende sind die erste Verteidigungslinie – oder die größte Schwachstelle. NIS2 verlangt regelmäßige, zielgerichtete Schulungen und Sensibilisierungen.
✅ Pflichtschulungen für alle – mindestens jährlich
✅ Rollenspezifische Awareness-Inhalte
✅ Phishing-Simulationen & Tests
✅ Nachweise & Auswertung der Wirksamkeit
✅ Integration ins Onboarding & Veränderungsmanagement
✅ Selbstbewertungs-Checkliste zum Download oder internen Review
Nutzen Sie diese Übersicht, um Ihren eigenen Status zu prüfen:
ISMS (Informationssicherheit)
| Kriterium | Muss vorhanden sein | Erfüllt (✔/✘) |
|---|---|---|
| Risikoanalyse für Geschäftsprozesse | ✅ | |
| Schutzbedarfsfeststellung | ✅ | |
| Sicherheitsleitlinie & Management-Commitment | ✅ | |
| Rollen & Verantwortlichkeiten (ISB, CISO etc.) | ✅ | |
| Dokumentierte Sicherheitsmaßnahmen | ✅ | |
| Asset-Inventar | ✅ | |
| Patch- und Schwachstellenmanagement | ✅ | |
| Berechtigungskonzept / Zugriffskontrolle | ✅ | |
| Kontinuierliche Verbesserung (PDCA-Zyklus) | ✅ | |
| Managementbewertung (jährlich) | ✅ |
BCM (Business Continuity Management)
| Kriterium | Muss vorhanden sein | Erfüllt (✔/✘) |
| Durchführung einer Business Impact Analyse (BIA) | ✅ | |
| Identifikation kritischer Geschäftsprozesse | ✅ | |
| Notfallpläne (IT, Personal, Kommunikation etc.) | ✅ | |
| Wiederanlaufpläne für kritische Systeme | ✅ | |
| Kommunikation im Krisenfall geregelt | ✅ | |
| Krisenstab definiert und geschult | ✅ | |
| Tests & Übungen durchgeführt (mind. jährlich) | ✅ | |
| Lessons Learned dokumentiert und umgesetzt | ✅ |
Awareness & Schulung
| Kriterium | Muss vorhanden sein | Erfüllt (✔/✘) |
| Jährliche Awareness-Schulungen für alle Mitarbeitenden | ✅ | |
| Zielgruppenspezifische Inhalte (z. B. IT, HR, Management) | ✅ | |
| Nachweisführung (z. B. durch LMS, Signaturlisten) | ✅ | |
| Phishing-Simulationen oder vergleichbare Tests | ✅ | |
| Awareness bei Neueinstellungen (Onboarding-Prozess) | ✅ | |
| Interne Ansprechpartner für Sicherheitsfragen benannt | ✅ |
📅 Stand der Liste:
Juli 2025
📚 Rechts- und Quellenbasis:
EU-Richtlinie (NIS2)
Directive (EU) 2022/2555 des Europäischen Parlaments und Rates
Inkrafttreten: 16. Januar 2023
Umsetzungsfrist: 17. Oktober 2024
Deutscher Referentenentwurf zum NIS2UmsuCG (Stand Dezember 2023)
„Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“
Enthält u. a. Schwellenwerte, Zuständigkeiten, Meldepflichten und Bußgeldrahmen
Noch nicht verabschiedet, aber maßgeblich für erwartete Anforderungen in Deutschland
BSI-Leitlinien und Empfehlungen (Stand 2024–2025):
BSI-Kompendium zur Umsetzung von NIS2 (Entwurf und Fachbeiträge 2024)
Empfehlungen zur Umsetzung von ISMS (nach BSI-200-1), BCM (BSI-200-4), Awareness
Bezug auf etablierte Normen wie ISO/IEC 27001, ISO 22301, ISO/IEC 27002:2022
ENISA (European Union Agency for Cybersecurity)
Awareness-Kampagnen, Compliance-Guidelines für NIS2
Fokus auf menschlichen Faktor, Resilienzstrategien, Reporting-Verpflichtungen
🧭 Bewertung:
Die Checkliste wurde erstellt auf Basis:
der Mindestanforderungen laut Artikel 21 der NIS2-Richtlinie
der strukturellen Erwartungshaltung laut BSI-Interpretation
und in Abgleich mit international anerkannten Standards (ISO/BSI-Normen)
Sie bietet eine praxisnahe, aber konservative Auslegung:
✔ geeignet für Unternehmen, die sich absichern wollen
✔ auch hilfreich für GAP-Analysen oder Vorgespräche mit Aufsichtsbehörden
📣 Jetzt handeln, bevor es verpflichtend wird
Die gesetzliche Umsetzung der NIS2-Richtlinie ist in Deutschland aufgeschoben, aber nicht aufgehoben. Wer vorbereitet ist, schützt nicht nur Daten und Systeme – sondern sichert auch Vertrauen, Haftungsminimierung und Resilienz.
📬 Kontaktieren Sie uns für eine kostenfreie Erstberatung zur NIS2-Umsetzung:
👉 markus.wortmann@formigacrew.com
🌍 www.formigacrew.com
