NIS2 Checkliste Header

In 7 Schritten zur Klarheit, ob Ihr Unternehmen von NIS2 betroffen ist. SYSTAG hat die wesentlichen Punkte zusammengefasst und gibt erste Tipps, wie NIS2 erfolgreich umgesetzt wird.

NIS2 Checkliste

2. September 2025 Der aktuelle Regierungsentwurf zur NIS2-Umsetzung (offiziell: „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“) wurde am 30. Juli 2025 vom Bundeskabinett beschlossen. Jetzt läuft das parlamentarische Verfahren; Ziel ist eine Verabschiedung im Jahr 2025. Das Gesetz soll am Tag nach der Verkündung in Kraft treten – Pflichten greifen im Grundsatz sofort, mit einer kurzen Frist (i. d. R. 3 Monate) nur für die Erst-Registrierung beim BSI.

NIS2-Checkliste für Unternehmen

Die NIS2-Richtlinie bringt einen Paradigmenwechsel in der Cybersicherheit. In Deutschland steht die Umsetzung kurz bevor: Das NIS2-Umsetzungsgesetz soll noch 2025 verabschiedet werden. Ab dem Tag der Verkündung gelten die neuen Pflichten unmittelbar – nur für die Registrierung beim BSI gibt es eine kurze Frist von drei Monaten. Unternehmen sollten sich deshalb jetzt vorbereiten.

Unsere Checkliste zeigt die wichtigsten Schritte – und wir nehmen uns selbst, die SYSTAG GmbH, als Beispiel.

1. Bin ich betroffen? – Einstufung des Unternehmens

Die entscheidende Frage zu Beginn lautet: Fällt mein Unternehmen überhaupt unter die NIS2-Pflichten?

Die Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Welche Kategorie zutrifft, hängt von Sektor und Unternehmensgröße ab.

Relevante Sektoren (Auswahl der 18 Branchen)

  • Energie, Transport, Gesundheit, Trinkwasser
  • Finanz- und Versicherungswesen
  • Digitale Infrastruktur (z. B. Cloud-Provider, Rechenzentren)
  • Öffentliche Verwaltung
  • IT-Dienstleistungen und Managed Service Provider

Größenkriterien

  • „Besonders wichtige Einrichtungen“:
    • ≥ 250 Beschäftigte oder
    • ≥ 50 Mio. € Jahresumsatz oder ≥ 43 Mio. € Bilanzsumme
  • „Wichtige Einrichtungen“:
    • ≥ 50 Beschäftigte und ≥ 10 Mio. € Jahresumsatz oder ≥ 10 Mio. € Bilanzsumme

Unterhalb dieser Schwellen greift NIS2 grundsätzlich nicht – außer bei

Kritischen Dienstleistungen / kritischen Kunden

dazu gehören z.B. Rechenzentren oder man hat besondere Relevanz  (z. B. wenn man sicherheitskritische Kunden betreut, eine Schlüsselposition in der Lieferkette hat oder vom BSI als „wesentlich“ eingestuft werdet).

Beispiel SYSTAG:
Als IT-Dienstleister sind wir im Sektor „Digitale Dienste/IT-Dienstleister“ erfasst. Wir fallen in die Kategorie „kritische Dienstleistungen“. Das bedeutet: Registrierung beim BSI, Umsetzung der NIS2-Maßnahmen, Meldepflichten und Nachweispflichten gegenüber der Aufsicht.

2. Registrierung beim BSI vorbereiten

  • Frist: 3 Monate nach Inkrafttreten
  • Bereithalten: Unternehmensdaten, Ansprechpartner für Security & Meldungen
  • Interne Verantwortung klären, wer die Registrierung durchführt

3. Management-Verantwortung verankern

  • Geschäftsführung ist ausdrücklich mitverantwortlich
  • Pflicht zu Fortbildung, Steuerung und Überwachung
  • Delegation an Security-Team möglich, Verantwortung bleibt aber beim Management

4. Technische & organisatorische Maßnahmen umsetzen

  • Risikoanalysen und ISMS etablieren
  • Zugriffs- & Identitätsmanagement stärken
  • Backup- und Wiederanlaufpläne (BCM/DRP) prüfen
  • Lieferkettenrisiken aktiv managen (z. B. Sicherheitsanforderungen in Verträgen)

Beispiel SYSTAG: Neben der Umsetzung der ISO-27001-Zertifizierung, erweitern wir hier unser System um Lieferkettensicherheit und Incident-Response-Übungen. Mehr Informationen zur DIN 27001 Zertifizierung finden Sie hier.

5. Meldepflichten einüben

  • Frühwarnung innerhalb von 24 Stunden
  • Vollmeldung innerhalb von 72 Stunden
  • Abschlussbericht nach 30 Tagen
  • Wichtig: Kommunikationswege (intern/extern) im Vorfeld durchspielen

6. Dokumentation & Nachweise

  • Alle Sicherheitsmaßnahmen müssen dokumentiert und nachweisbar sein
  • Regelmäßige Updates, Audits und Reports
  • Nur so kann man sich gegenüber der Aufsicht absichern

7. Sanktionen kennen

  • Bußgelder bis 10 Mio. € bzw. 2 % Umsatz (wichtige Einrichtungen
  • Bis 20 Mio. € bzw. 4 % Umsatz (besonders wichtige Einrichtungen)
  • Auch persönliche Haftung von Geschäftsführern ist möglich

Beispiel SYSTAG:

Wir haben uns schon vor einiger Zeit dazu entschieden die DIN27001 Zertifizierung zu machen, um unseren eigenen Sicherheitsansprüchen nachzukommen. Die DIN27001 bietet eine gute Basis um viele Pflichten, die NIS2 mit sich bringt zu erfüllen. Vor allem die Punkte 3-6 sind Teil der DIN27001 und sind durch die Zertifizierung und deren regelmäßige Überprüfung immer auf dem neuesten Stand.

Wir empfehlen individuell zu prüfen, ob die DIN27001-Zertifizierung, der passende Weg für das eigene Unternehmen ist. Generell ist die DIN27001 ein guter Weg, um sich auf die Anforderungen von NIS2 vorzubereiten.

Unabhängig von der NIS2-Zertifizierung beinhaltet ein IT-Notfallhandbuch wesentliche Aspekte, die für NIS2 erfüllt werden sollten – was ein IT-Notfallhandbuch ist und wie man das umsetzt haben wir in dem Blogpost „Wie erstelle ich ein IT-Notfallhandbuch“ zusammengefasst.

NIS2 Checkliste

Die nächsten Schritte

Die NIS2-Pflichten kommen ohne lange Übergangszeit – wer betroffen ist, muss ab Tag 1 reagieren. Bitte prüfen Sie mit unserer NIS2 Checkliste, ob Sie in den Anwendungsbereich fallen, und beginnen Sie mit der Umserzung.

Wie NIS2 im Unternehmen umgesetzt wird, haben wir im Blogpost Umsetzung NIS2 näher beschrieben.

Sie möchten wissen, ob Ihr Unternehmen von NIS2 betroffen ist?

SYSTAG unterstützt Sie mit einem NIS2-Quick-Check:

  1. Wir klären Betroffenheit
  2. Ermitteln Ihre Kategorie
    und
  3. Geben Ihnen einen maßgeschneiderten Fahrplan für die Umsetzung an die Hand.

Franka Theis
Strategic Account Managerin Cyber Security

E-Mail: Franka.Theis@systag.com
Telefon: +49 7123 / 92 02 – 16

Nachricht senden
KI datenschutzschkonform im Unternehmen nutzenKI datenschutzkonform
Skip to content