NIS-2 Checkliste 2026: 10 Fragen zur Compliance

Key Takeaways

• NIS-2 gilt seit Oktober 2024 verbindlich für rund 30.000 bis 40.000 deutsche Unternehmen
• Die 10-Fragen-Checkliste zeigt Ihnen in 20 Minuten, wo Ihr größtes Compliance-Risiko liegt
• Geschäftsführer haften persönlich — nicht nur das Unternehmen
• Weniger als 8 Ja-Antworten bedeuten konkretes Bußgeldrisiko
• Technisches Monitoring ist Pflicht, nicht Kür — ein SIEM oder managed SOC deckt mehrere Anforderungen gleichzeitig ab

---

Warum diese Checkliste jetzt relevant ist

Das BSI hat angekündigt, die Umsetzung von NIS-2 ab 2026 aktiv zu überprüfen. Stichprobenkontrollen laufen bereits; die ersten förmlichen Verfahren gegen Unternehmen wurden eingeleitet. Wer jetzt noch auf „Wir schauen mal"-Kurs fährt, riskiert nicht nur Bußgelder, sondern auch Betriebsunterbrechungen, wenn das BSI Nachbesserungsfristen setzt.

Laut Bitkom-Studie 2024 hatten 72 % der betroffenen deutschen Unternehmen zum Stichtag noch keine vollständige Risikoanalyse abgeschlossen. Das ist der Ausgangspunkt dieser Checkliste: nicht akademischer Selbstzweck, sondern Frühwarnsystem.

Die folgenden 10 Fragen entsprechen exakt den Pflichtbereichen des NIS2UmsuCG. Für jede Frage finden Sie eine kurze Erläuterung, was eine Ja-Antwort konkret bedeutet — und was bei Nein zu tun ist.

---

Die 10 Fragen im Detail

Frage 1: Ist Ihr Unternehmen beim BSI registriert?

Warum entscheidend: Die BSI-Registrierung ist formale Pflicht für alle wesentlichen und wichtigen Einrichtungen. Ohne Registrierung können Sie keine Meldepflichten erfüllen und haben keinen offiziellen Ansprechpartner.

Was Ja bedeutet: Sie haben die Registrierung über die BSI-Meldeplattform abgeschlossen, Ihre Kontaktdaten sind aktuell, und Sie erhalten BSI-Warnmeldungen.

Was bei Nein zu tun ist: Registrierung umgehend nachholen unter bsi.bund.de. Dauer: ca. 30 Minuten.

---

Frage 2: Haben Sie eine dokumentierte, aktuelle Risikoanalyse?

Warum entscheidend: Ohne Risikoanalyse können Sie keine priorisierten Schutzmaßnahmen ableiten. Das BSI erwartet eine methodisch saubere Analyse, nicht ein generisches Template.

Was Ja bedeutet: Eine Risikoanalyse nach ISO 27005 oder BSI-Grundschutz liegt vor, ist nicht älter als 12 Monate und wurde bei wesentlichen Änderungen der IT-Landschaft aktualisiert.

Was bei Nein zu tun ist: Beauftragen Sie eine Gap-Analyse durch einen NIS-2-erfahrenen Berater. Vyrex bietet eine strukturierte NIS-2-Beratung als Einstieg an.

---

Frage 3: Existiert ein schriftlicher Incident-Response-Plan?

Warum entscheidend: NIS-2 schreibt eine 24-Stunden-Erstmeldepflicht bei erheblichen Sicherheitsvorfällen vor. Ohne definierten Prozess vergehen wertvolle Stunden mit der Frage, wer überhaupt zuständig ist.

Was Ja bedeutet: Ein Incident-Response-Plan liegt schriftlich vor, benennt Rollen und Verantwortlichkeiten, definiert Eskalationsstufen und enthält die BSI-Kontaktdaten sowie interne Meldewege.

Was bei Nein zu tun ist: Vorlage nach NIST SP 800-61 anpassen, mit Rechtsabteilung und CISO abstimmen, einmal jährlich testen (Tabletop-Übung).

---

Frage 4: Ist kontinuierliches IT-Monitoring im Betrieb?

Warum entscheidend: Sicherheitsvorfälle erkennen Sie nur, wenn Sie aktiv überwachen. Ein einmal im Jahr beauftragter Pentest ersetzt kein Echtzeit-Monitoring. Das BSI bewertet die Erkennungsfähigkeit als Kernpflicht.

Was Ja bedeutet: Ein SIEM oder ein beauftragter Managed-SOC-Dienst überwacht Ihre Systeme rund um die Uhr. Logs werden zentral gesammelt, korreliert und auf Anomalien geprüft.

Was bei Nein zu tun ist: Entweder SIEM selbst einrichten (hoher Personalaufwand) oder auf einen Managed-Service zurückgreifen. Vyrex stellt ein Managed SIEM ab 299 €/Monat bereit, betrieben in deutschen Rechenzentren (Hetzner Falkenstein/Nürnberg).

---

Frage 5: Ist Multi-Faktor-Authentifizierung für privilegierte Zugänge aktiv?

Warum entscheidend: Laut IBM Cost of Data Breach Report 2024 sind kompromittierte Zugangsdaten der häufigste Einstiegsvektor — verantwortlich für 16 % aller Sicherheitsvorfälle. MFA ist die wirksamste Einzelmaßnahme gegen diesen Angriffsweg.

Was Ja bedeutet: Alle Konten mit Administratorrechten, alle Remote-Zugänge (VPN, RDP, SSH) und alle Cloud-Management-Konsolen sind durch MFA geschützt. TOTP oder FIDO2 gelten als sicher; SMS-basierte MFA wird zunehmend als unzureichend eingestuft.

Was bei Nein zu tun ist: Beginnen Sie mit den exponiertesten Konten (Domain-Admins, Azure/AWS-Konsolen, E-Mail-Admin). Ausrollen von MFA über Microsoft Entra ID oder ein Open-Source-Pendant dauert typischerweise eine Woche.

---

Frage 6: Existiert ein dokumentiertes Patch-Management mit definierten SLAs?

Warum entscheidend: Ungepatchte Schwachstellen sind der zweithäufigste Angriffsvektor. NIS-2 fordert ein nachweisbares Schwachstellenmanagement mit definierten Behebungsfristen.

Was Ja bedeutet: Jede neue Schwachstelle wird bewertet (CVSS-Score), nach Kritikalität priorisiert und innerhalb definierter Fristen behoben — z. B. kritische CVEs (CVSS ≥ 9.0) innerhalb von 24 Stunden, hohe (CVSS 7.0–8.9) innerhalb von 7 Tagen.

Was bei Nein zu tun ist: Vulnerability-Scanner einführen (z. B. OpenVAS), SLA-Tabelle schriftlich festhalten, monatlichen Patch-Review als Pflichttermin im Kalender verankern.

---

Frage 7: Sind Sicherheitsanforderungen in Ihren IT-Dienstleisterverträgen verankert?

Warum entscheidend: NIS-2 macht Sie für die Sicherheit Ihrer gesamten Lieferkette mitverantwortlich. Wenn ein externer Dienstleister Ihr Einfallstor ist, kann das BSI trotzdem Sie in die Pflicht nehmen.

Was Ja bedeutet: Alle IT-Dienstleisterverträge enthalten eine Sicherheitsklausel, die Mindestandards definiert, ein Recht auf Auditierung vorsieht und Meldepflichten bei Vorfällen beim Dienstleister regelt.

Was bei Nein zu tun ist: Rechtsabteilung oder externer Anwalt für IT-Recht überarbeitet Ihre Standardverträge. Neue Verträge sollten eine solche Klausel standardmäßig enthalten.

---

Frage 8: Wurden alle Mitarbeiter im laufenden Jahr zu IT-Sicherheit geschult?

Warum entscheidend: 82 % aller Sicherheitsvorfälle haben laut Verizon DBIR 2024 eine menschliche Komponente. Phishing, Social Engineering und versehentliche Datenweitergabe sind durch Schulungen signifikant reduzierbar.

Was Ja bedeutet: Alle Mitarbeiter haben im laufenden Geschäftsjahr eine nachweisliche Sicherheitsschulung absolviert — dokumentiert mit Datum, Inhalt und Bestätigungsunterschrift oder digitalem Nachweis. Führungskräfte haben zusätzlich eine spezifische Schulung zu ihrer persönlichen Haftung erhalten.

Was bei Nein zu tun ist: E-Learning-Plattformen (z. B. KnowBe4, Awarego) ermöglichen skalierbare Schulungen mit Nachweis. Ergänzen Sie die Schulung mit simulierten Phishing-Tests — mehr dazu in unserem Artikel Phishing-Awareness: Wie Sie Ihre Mitarbeiter wirklich schulen.

---

Frage 9: Werden Ihre Backups regelmäßig auf Wiederherstellbarkeit getestet?

Warum entscheidend: Backup ohne Restore-Test ist kein Backup. Ransomware-Angreifer zielen gezielt auf Backups — verschlüsselte oder beschädigte Backups wurden in mehreren deutschen KMU-Fällen erst im Ernstfall entdeckt.

Was Ja bedeutet: Backups werden mindestens vierteljährlich auf einem isolierten System wiederhergestellt, die Wiederherstellungszeit (RTO) und der Datenverlust (RPO) werden gemessen und dokumentiert.

Was bei Nein zu tun ist: Nächsten Restore-Test im Kalender eintragen, Ergebnis dokumentieren. Ohne diesen Nachweis ist Ihre Business-Continuity-Erklärung nicht belastbar.

---

Frage 10: Haben Sie Ihre IT-Assets vollständig inventarisiert?

Warum entscheidend: Sie können nur schützen, was Sie kennen. Unbekannte Assets — Shadow-IT, vergessene Server, private Geräte im Firmennetz — sind häufige Einstiegspunkte für Angreifer.

Was Ja bedeutet: Ein aktuelles Asset-Inventar umfasst alle Hardware, Softwarelizenzen, Cloud-Dienste und externen Zugangspunkte. Das Inventar wird bei Änderungen aktualisiert und ist Teil der Risikoanalyse.

Was bei Nein zu tun ist: Network-Discovery-Tools (z. B. Nmap, Lansweeper) scannen Ihr Netz automatisch. Vyrex Node-Agents liefern als Nebenprodukt ein kontinuierlich aktuelles Asset-Inventar — mehr unter /products/node.

---

Auswertung: Wo stehen Sie?

Ergebnis	Bewertung	Empfehlung
9–10 × Ja	Gut aufgestellt	Regelmäßige Überprüfung, Dokumentation aktuell halten
7–8 × Ja	Solide Basis, Lücken schließen	1–2 konkrete Maßnahmen priorisieren, intern umsetzbar
5–6 × Ja	Erheblicher Handlungsbedarf	Externe Unterstützung empfehlenswert, 90-Tage-Plan erstellen
3–4 × Ja	Kritisches Compliance-Risiko	Sofortmaßnahmen einleiten, BSI-Registrierung prüfen
0–2 × Ja	Akutes Bußgeldrisiko	Umgehend externe Beratung beauftragen

Die häufigsten Schwachstellen in deutschen KMU sind laut unserer Erfahrung aus Kundenprojekten: fehlendes Echtzeit-Monitoring (Frage 4), lückenhafte Dienstleisterverträge (Frage 7) und mangelnde Backup-Tests (Frage 9). Wenn Sie genau diese drei Punkte priorisieren, beseitigen Sie den größten Teil Ihres Risikos.

---

Von der Checkliste zur Umsetzung

Eine Checkliste ist der Anfang, nicht das Ende. NIS-2 ist kein Projekt mit Abschlussdatum, sondern ein dauerhafter Betriebszustand. Die Herausforderung für KMU ohne eigene Sicherheitsabteilung besteht darin, dass viele Anforderungen — besonders Monitoring, Patch-Management und Incident Detection — kontinuierlich betrieben werden müssen.

Managed-Security-Dienste wie Vyrex SOC as a Service bilden dabei häufig den pragmatischsten Weg: Sie kaufen ein betriebsfertiges Monitoring, das mehrere Checklisten-Punkte gleichzeitig abdeckt, ohne eigenes Personal aufbauen zu müssen.

Wenn Sie die Schritte von der Checkliste zur vollständigen NIS-2-Compliance begleitet haben möchten, bietet Vyrex eine strukturierte NIS-2-Beratung an — von der Gap-Analyse über die technische Umsetzung bis zum Abschlussbericht für das BSI.

Weiterführend: ISO 27001 vs. NIS-2: Was Sie wissen müssen — viele Unternehmen fragen sich, ob sie beide Frameworks gleichzeitig adressieren können.

---

FAQ

Wie viele Fragen der NIS-2-Checkliste muss ich mit Ja beantworten? Mindestens 8 von 10 Fragen sollten Sie mit Ja beantworten können. 5 bis 7 Ja-Antworten signalisieren erheblichen Handlungsbedarf; unter 5 besteht dringender Nachholbedarf mit Bußgeldrisiko.

Was kostet ein NIS-2-Verstoß mein Unternehmen konkret? Für wesentliche Einrichtungen drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es 7 Mio. Euro oder 1,4 % des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung.

Muss ich NIS-2 auch umsetzen, wenn ich kein IT-Unternehmen bin? Ja. NIS-2 gilt branchenübergreifend für Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 regulierten Sektoren, darunter Maschinenbau, Lebensmittelproduktion, Logistik und Gesundheitswesen.

Reicht ein einmaliger Audit für NIS-2-Compliance? Nein. NIS-2 fordert kontinuierliche Maßnahmen: regelmäßige Risikoanalysen, laufendes Patch-Management, jährliche Mitarbeiterschulungen und ein dauerhaft betriebenes Monitoring. Ein einmaliger Audit ist Ausgangspunkt, nicht Abschluss.

Wie schnell kann ich NIS-2-Compliance erreichen? Mit fokussiertem Einsatz und externer Unterstützung sind die grundlegenden technischen Maßnahmen in 3 Monaten umsetzbar. Vollständige Compliance inklusive Dokumentation, Prozessen und Mitarbeiterschulungen erfordert typischerweise 4 bis 6 Monate.

---

Haben Sie unter 8 Fragen mit Ja beantwortet? Fordern Sie jetzt Ihren kostenlosen NIS-2-Schnellcheck an oder sprechen Sie direkt mit unserem Team.