Seit Oktober 2024 ist die NIS2-Richtlinie in Deutschland umgesetzt. Wer unter die „wichtigen” oder „besonders wichtigen” Einrichtungen fällt, hat seither nachweisbare Pflichten — und die meisten Mittelständler haben sie noch nicht vollständig erfüllt. Diese Checkliste kondensiert die §30-Anforderungen des NIS2UmsuCG auf zwölf konkrete Punkte, die du abarbeiten kannst, ohne einen sechsstelligen Beratervertrag abzuschließen.
1. Geltungsbereich klären
Bevor du irgendetwas umsetzt: Fallt ihr wirklich unter NIS2? Die BSI-Sektoren-Matrix gibt die Antwort. Ab 50 Mitarbeitern oder 10 Mio € Umsatz in 18 Sektoren (Energie, Gesundheit, digitale Infrastruktur, …) bist du pflichtig. Dokumentiere diese Einordnung schriftlich — ein Auditor will sie sehen.
2. Risiko-Assessment
NIS2 verlangt ein „angemessenes Risikomanagement”. In der Praxis bedeutet das: dokumentierte Bewertung deiner IT-Assets, Threat-Model, Business-Impact-Analyse. Kein 200-Seiten-Werk — 20 klare Seiten reichen, wenn sie konkret sind.
3. Asset-Inventar
Du kannst nur schützen, was du kennst. Ein aktuelles Inventar aus Servern, Cloud-Ressourcen, SaaS-Accounts und kritischen Dependencies ist Pflicht. Automatisierte Discovery-Tools helfen, aber ein Excel-Sheet, das jeden Monat aktualisiert wird, genügt für den Start.
4. Zugriffskontrollen
MFA überall, wo es geht. Least-Privilege als Default. Quartalsweise Access-Reviews. Joiner-Mover-Leaver-Prozess dokumentiert.
5. Supply-Chain-Security
Das ist für viele Mittelständler der Schock-Punkt: Ihr seid auch für die Sicherheit eurer Lieferanten verantwortlich. Mindestens: SBOM für eingesetzte Software, Sicherheitsfragebögen für kritische Lieferanten, dokumentierter Umgang mit Dritt-Country-Risiken.
6. Incident-Response-Plan
Wer macht was im Angriffsfall? Erreichbarkeits-Matrix, Kommunikationsvorlagen, Eskalationspfade. Wichtig: Meldepflichten unter NIS2 sind hart — Early Warning an das BSI innerhalb von 24 Stunden, Incident Notification innerhalb von 72 Stunden.
7. Business Continuity
Wiederanlaufpläne für kritische Services. Recovery Time Objective (RTO) und Recovery Point Objective (RPO) pro System definiert. Mindestens einmal jährlich ein Tabletop-Test.
8. Verschlüsselung
At-rest und in-transit. TLS 1.2+ als Untergrenze. Key-Management dokumentiert. Ablage von Verschlüsselungsschlüsseln nicht im selben System wie die Daten.
9. Mitarbeiter-Awareness
Jährliche Schulung, dokumentiert. Phishing-Tests mindestens halbjährlich. Onboarding-Modul für Neueinsteiger. Der Auditor will Teilnehmer-Listen und Ergebnisse sehen.
10. Patch- und Vulnerability-Management
Klarer Prozess: Wer scannt? Wie schnell werden Critical-CVEs gepatcht? (NIS2-Erwartung: Critical unter 7 Tagen, High unter 30 Tagen.) Dokumentierte Ausnahmen mit Begründung.
11. Logging und Monitoring
Zentrales Log-Management, Korrelations-Regeln für die häufigsten Angriffsmuster, Alerting auf ungewöhnliche Aktivitäten. SOC oder SIEM muss nicht intern sein — Managed-Service geht, aber das Vertragsverhältnis muss stehen.
12. Governance
Geschäftsführung ist persönlich haftbar. Die Geschäftsleitung muss NIS2-Schulungen erhalten, Risiko-Entscheidungen schriftlich treffen, Kenntnis der eigenen IT-Landschaft nachweisen. Das ist kein CISO-Thema mehr — das ist Chefsache.
Die stille Wahrheit
NIS2 ist nicht schwer umzusetzen. Sie ist schwer nachzuweisen. 80 % dieser Punkte haben ernsthaft betriebene Unternehmen ohnehin irgendwie am Start — aber nicht sauber dokumentiert, nicht periodisch aktualisiert, nicht im Audit-Format. Genau das ist die Arbeit, die bei einer Erstprüfung in fünfstelligen Stundenaufwänden steckt.
Wenn du an dieser Stelle stehst und dich über einen konkreten Fall austauschen willst — ob ihr überhaupt unter NIS2 fallt, wie eure Evidence-Schicht aussehen müsste, welche Tools im Mittelstand gerade tatsächlich etwas taugen — schreib uns gern eine Mail an hello@solustainable.com. Keine Verbindlichkeit, kein Sales-Funnel; wir sammeln selbst gerade Erfahrungsberichte.