NIS-2-Checkliste für KMU: Die 12 Muss-Punkte vor dem BSI-Audit

Die NIS-2-Richtlinie ist in deutsches Recht überführt, die Registrierungsfrist beim BSI liegt bereits hinter uns – und viele betroffene Unternehmen haben die konkrete Umsetzung noch vor sich. Wer jetzt strukturiert vorgeht, vermeidet nicht nur drohende Bußgelder, sondern baut echte Widerstandsfähigkeit gegen Cyberangriffe auf.

Das Problem in der Praxis: Die gesetzlichen Texte sind abstrakt, die Beratungsangebote teuer und der Zeitdruck real. Was fehlt, ist eine klare, abarbeitbare Liste. Genau die liefert dieser Guide. Die folgenden zwölf Punkte decken die zentralen technischen und organisatorischen Anforderungen ab, die das BSI im Rahmen einer Prüfung erwartet.

Wichtiger Hinweis: Diese Checkliste ersetzt keine individuelle Rechts- oder Sicherheitsberatung. Sie dient der strukturierten Vorbereitung. Ob und in welchem Umfang Ihr Unternehmen als "wesentlich" oder "wichtig" eingestuft ist, klären Sie vorab über den NIS-2-Betroffenheitscheck.

Inhaltsverzeichnis

• Vorab: Sind Sie überhaupt betroffen?
• Die 12 Muss-Punkte
• Praxisbeispiel: 80-Mitarbeiter-Betrieb
• Zusammenfassung
• FAQ

Vorab: Sind Sie überhaupt betroffen? {#betroffenheit}

NIS-2 betrifft "wesentliche" und "wichtige" Einrichtungen in 18 Sektoren – von Energie über Gesundheit und Verkehr bis zur verarbeitenden Industrie. Die grobe Schwelle liegt bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, mit branchenspezifischen Sonderregeln und einer Sonderrolle für Zulieferer kritischer Infrastruktur.

Bevor Sie diese Checkliste abarbeiten, sollte die Betroffenheit zweifelsfrei geklärt sein. Ein Unternehmen, das nicht unter NIS-2 fällt, profitiert von den Maßnahmen zwar trotzdem – die formale Audit-Vorbereitung wäre dann aber nicht zwingend.

Die 12 Muss-Punkte {#die-12-punkte}

Punkt 1: Informationssicherheits-Managementsystem (ISMS) aufbauen

Was es ist: Ein ISMS ist der organisatorische Rahmen, der festlegt, wie Ihr Unternehmen Informationssicherheit steuert – Rollen, Prozesse, Dokumentation. Es ist das Fundament aller weiteren Maßnahmen.

Was konkret zu tun ist: Orientieren Sie sich an einem etablierten Standard (ISO 27001 oder BSI IT-Grundschutz). Definieren Sie Verantwortlichkeiten, einen Geltungsbereich und einen jährlichen Überprüfungszyklus.

Praxis-Tipp: Sie müssen nicht sofort zertifizieren. Ein dokumentiertes, gelebtes ISMS reicht für die NIS-2-Konformität – die Zertifizierung ist die Kür.

• ☐ ISMS-Rahmenwerk gewählt und dokumentiert

Punkt 2: Risikomanagement etablieren

Was es ist: Eine systematische Erfassung und Bewertung der Risiken für Ihre IT-Systeme und Daten, inklusive Maßnahmen zur Risikominderung.

Was konkret zu tun ist: Erstellen Sie ein Risikoinventar: Welche Systeme sind kritisch? Welche Bedrohungen bestehen? Wie hoch sind Eintrittswahrscheinlichkeit und Schaden? Leiten Sie pro relevantem Risiko eine Maßnahme ab.

Praxis-Tipp: Eine strukturierte Excel-Tabelle genügt für den Start. Wichtig ist die regelmäßige Aktualisierung, mindestens einmal jährlich.

• ☐ Risikoinventar erstellt und bewertet

Punkt 3: 24-Stunden-Meldeprozess für Vorfälle

Was es ist: NIS-2 verlangt eine gestufte Meldung erheblicher Sicherheitsvorfälle an das BSI – eine Erstmeldung innerhalb von 24 Stunden, eine Folgemeldung nach 72 Stunden, ein Abschlussbericht später.

Was konkret zu tun ist: Legen Sie einen verbindlichen Meldeprozess fest: Wer entscheidet, wer meldet, über welchen Kanal, mit welchen Inhalten. Halten Sie die BSI-Meldewege bereit.

Praxis-Tipp: Üben Sie den Ablauf einmal im Trockenlauf durch. Im echten Vorfall fehlt die Zeit, den Prozess erst zu suchen.

• ☐ Meldeprozess dokumentiert und getestet

Punkt 4: Erreichbare 24/7-Kontaktstelle

Was es ist: Eine benannte Stelle, die rund um die Uhr für sicherheitsrelevante Kommunikation erreichbar ist.

Was konkret zu tun ist: Definieren Sie eine Kontaktstelle mit Vertretungsregelung. Bei kleineren Unternehmen kann das ein Bereitschaftsdienst oder ein externer Dienstleister sein.

• ☐ 24/7-Kontaktstelle benannt und hinterlegt

Punkt 5: Schulung der Geschäftsleitung

Was es ist: NIS-2 nimmt die Geschäftsleitung ausdrücklich in die Pflicht – sie muss die Risikomanagementmaßnahmen genehmigen, überwachen und sich schulen lassen. Die Verantwortung ist nicht delegierbar.

Was konkret zu tun ist: Dokumentieren Sie eine Cybersicherheits-Schulung für die Geschäftsführung. Diese ist explizit gefordert und wird im Audit geprüft.

Praxis-Tipp: Die Geschäftsleitung haftet persönlich. Diese Schulung ist kein Formalismus, sondern direkter Eigenschutz.

• ☐ Geschäftsleitung geschult, Nachweis dokumentiert

Punkt 6: Lieferanten- und Vertragsklauseln

Was es ist: Die Sicherheit Ihrer Lieferkette ist Teil Ihrer eigenen Pflicht. Risiken durch IT-Dienstleister und Zulieferer müssen bewertet und vertraglich adressiert werden.

Was konkret zu tun ist: Prüfen Sie kritische Lieferantenverträge auf Sicherheitsklauseln. Verlangen Sie von relevanten Dienstleistern Nachweise über deren Sicherheitsniveau.

• ☐ Kritische Lieferanten bewertet, Klauseln ergänzt

Punkt 7: Backup- und Wiederherstellungskonzept

Was es ist: Ein erprobtes Konzept, das im Ernstfall – etwa nach einem Ransomware-Angriff – den Betrieb wiederherstellt.

Was konkret zu tun ist: Setzen Sie die 3-2-1-Regel um: drei Kopien, zwei Medien, eine davon offline oder geografisch getrennt. Entscheidend ist der regelmäßige Wiederherstellungstest, nicht nur das Backup selbst.

Praxis-Tipp: Ein nie getestetes Backup ist im Ernstfall oft wertlos. Testen Sie mindestens vierteljährlich.

• ☐ Backup-Konzept implementiert und Restore getestet

Punkt 8: Mehr-Faktor-Authentifizierung (MFA)

Was es ist: Eine zweite Sicherheitsebene über das Passwort hinaus – ein wesentlicher Schutz gegen kompromittierte Zugangsdaten.

Was konkret zu tun ist: Aktivieren Sie MFA für alle administrativen Zugänge, Cloud-Dienste und den Fernzugriff. Idealerweise unternehmensweit.

• ☐ MFA für kritische Zugänge aktiviert

Punkt 9: Patch- und Update-Management

Was es ist: Ein geregelter Prozess, der Sicherheitslücken zeitnah schließt.

Was konkret zu tun ist: Definieren Sie, wer für Updates verantwortlich ist und in welchem Zeitfenster kritische Patches eingespielt werden. Führen Sie ein Inventar Ihrer Systeme und deren Versionsstände.

• ☐ Patch-Prozess definiert, Systeminventar gepflegt

Punkt 10: Vorfallserkennung und Monitoring

Was es ist: Die Fähigkeit, einen Angriff überhaupt zu bemerken – idealerweise bevor Schaden entsteht.

Was konkret zu tun ist: Richten Sie ein Monitoring kritischer Systeme ein, protokollieren Sie sicherheitsrelevante Ereignisse und werten Sie diese regelmäßig aus. Für KMU kommen hier oft verwaltete Dienste in Frage.

• ☐ Monitoring und Protokollierung aktiv

Punkt 11: Notfall- und Krisenmanagementplan

Was es ist: Ein dokumentierter Plan, der im Sicherheitsvorfall Handlungssicherheit gibt – Wer macht was, in welcher Reihenfolge?

Was konkret zu tun ist: Erstellen Sie einen Business-Continuity-Plan mit klaren Rollen, Eskalationswegen und Kontaktlisten. Üben Sie ihn mindestens jährlich.

• ☐ Notfallplan erstellt und geübt

Punkt 12: Lückenlose Dokumentation

Was es ist: Im Audit gilt der Grundsatz: Was nicht dokumentiert ist, gilt als nicht getan.

Was konkret zu tun ist: Führen Sie alle Maßnahmen, Entscheidungen, Schulungen und Tests nachvollziehbar zusammen. Halten Sie die Dokumentation aktuell und zentral abrufbar.

Praxis-Tipp: Eine zentrale, gepflegte Dokumentation ist im Audit oft entscheidender als einzelne Hochglanz-Maßnahmen.

• ☐ Dokumentation vollständig und aktuell

Praxisbeispiel: 80-Mitarbeiter-Betrieb {#praxisbeispiel}

Ein mittelständischer Zulieferer der verarbeitenden Industrie mit 80 Beschäftigten stellte über den Betroffenheitscheck fest, dass er als "wichtige Einrichtung" gilt. Die Ausgangslage: ein funktionierendes Backup, aber kein dokumentiertes ISMS, keine MFA, kein Meldeprozess.

Vorgehen: Das Unternehmen priorisierte zunächst die schnell umsetzbaren Punkte mit hoher Wirkung – MFA flächendeckend (Punkt 8), Geschäftsleitungs-Schulung (Punkt 5) und einen schriftlichen Meldeprozess (Punkt 3). Parallel begann der Aufbau des ISMS auf Basis des BSI IT-Grundschutzes.

Ergebnis: Nach rund vier Monaten waren die organisatorischen Punkte dokumentiert, die technischen Maßnahmen umgesetzt. Die Geschäftsführung berichtete, dass vor allem der Risikomanagement-Prozess "blinde Flecken" sichtbar gemacht habe, die zuvor niemand auf dem Schirm hatte.

Lessons Learned: Die größte Hürde war nicht die Technik, sondern die Dokumentation. Wer von Anfang an strukturiert festhält, spart sich am Ende wochenlange Nacharbeit.

Zusammenfassung {#zusammenfassung}

Die wichtigsten Erkenntnisse:

• NIS-2-Konformität ist kein einzelnes Tool, sondern ein Bündel aus zwölf organisatorischen und technischen Maßnahmen.
• Die Geschäftsleitung steht persönlich in der Pflicht – Schulung und Genehmigung sind nicht delegierbar.
• Dokumentation entscheidet im Audit. Was nicht belegt ist, zählt nicht.
• Viele Maßnahmen (MFA, Backup-Tests, Patch-Management) sind auch ohne NIS-2 schlicht gute Sicherheitspraxis.

Ihre nächsten Schritte:

1. Betroffenheit final klären (wesentlich / wichtig / nicht betroffen).
2. Diese Checkliste als Gap-Analyse nutzen: Was ist vorhanden, was fehlt?
3. Schnell wirksame Maßnahmen (MFA, Schulung, Meldeprozess) zuerst umsetzen.
4. ISMS und Dokumentation parallel und kontinuierlich aufbauen.

Weiterführende Inhalte auf DigitalChecker.de:

• NIS-2-Pflicht-Check: Bin ich betroffen?
• BSI-Registrierung NIS-2 schrittweise erklärt
• Phishing-Awareness-Training für KMU im Tool-Check

FAQ {#faq}

Müssen wir uns nach ISO 27001 zertifizieren lassen?

Nein. NIS-2 verlangt ein wirksames Informationssicherheits-Management, nicht zwingend ein Zertifikat. Ein dokumentiertes und gelebtes ISMS genügt. Eine Zertifizierung kann den Nachweis erleichtern, ist aber keine Pflicht.

Was passiert, wenn wir die Frist verpasst haben?

Die Pflichten gelten unabhängig vom Friststatus weiter. Versäumte Registrierungen sollten umgehend nachgeholt werden. Untätigkeit kann Bußgelder nach sich ziehen, eine nachträgliche, ernsthafte Umsetzung wird hingegen positiv gewertet.

Können wir die Umsetzung komplett auslagern?

Technische Maßnahmen lassen sich an Dienstleister übergeben. Die Verantwortung der Geschäftsleitung bleibt jedoch beim Unternehmen – sie ist gesetzlich nicht delegierbar.

Wie viel Zeit sollten wir einplanen?

Für einen mittelgroßen Betrieb ohne Vorarbeiten sind drei bis sechs Monate realistisch, je nach Ausgangsniveau und verfügbaren Ressourcen.

Reicht eine einmalige Umsetzung?

Nein. NIS-2 verlangt einen fortlaufenden Prozess. Risiken, Schulungen, Backups und der Notfallplan gehören mindestens jährlich auf den Prüfstand.

Stand: Juni 2026. Compliance-Anforderungen können sich durch neue Verordnungen oder BSI-Vorgaben ändern. Prüfen Sie den aktuellen Stand vor verbindlichen Entscheidungen.