NIS2-Checkliste für den Mittelstand
Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 – ohne Übergangsfrist. Diese Checkliste führt in zehn Punkten durch die Pflichten des novellierten BSI-Gesetzes: von der Betroffenheitsanalyse über die BSI-Registrierung bis zum Meldeprozess für Sicherheitsvorfälle. Praxisnah, ohne Juristendeutsch.
Stand: Juli 2026 · ca. 6 Min. Lesezeit · HUNARI Redaktion
Das Wichtigste in Kürze
Betroffen sind Unternehmen aus 18 regulierten Sektoren ab 50 Mitarbeitenden oder mehr als 10 Mio. € Umsatz und Bilanzsumme. Kernpflichten: Registrierung beim BSI, Risikomanagement nach § 30 BSIG, Meldung erheblicher Vorfälle binnen 24 Stunden und Sicherheit der Lieferkette. Bei Verstößen drohen Bußgelder bis 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes. Ob Sie betroffen sind, zeigt der kostenlose NIS2 Betroffenheits-Check.
Die 10-Punkte-NIS2-Checkliste
Arbeiten Sie die Punkte in dieser Reihenfolge ab – sie bauen aufeinander auf. Wer die ersten vier erledigt hat, kennt seine Pflichten und seine Lücken; der Rest ist priorisierte Umsetzung.
- 1
Betroffenheit klären
Prüfen Sie, ob Ihr Unternehmen in einem der 18 regulierten Sektoren tätig ist und die Größenschwellen überschreitet: ab 50 Mitarbeitenden oder mehr als 10 Mio. € Umsatz und Bilanzsumme sind Sie im regulierten Sektor mindestens eine wichtige Einrichtung. Betreiber kritischer Anlagen sind unabhängig von der Größe erfasst. Dokumentieren Sie das Ergebnis – auch ein begründetes „nicht betroffen“ ist wertvoll, wenn Kunden oder Versicherer nachfragen.
- 2
BSI-Registrierung durchführen
Betroffene Einrichtungen müssen sich innerhalb von drei Monaten über das BSI-Portal registrieren und eine erreichbare Kontaktstelle benennen. Für Unternehmen, die seit Inkrafttreten am 6. Dezember 2025 betroffen sind, ist die Frist bereits abgelaufen – die Registrierung sollte dann unverzüglich nachgeholt werden, denn ihr Unterlassen ist bußgeldbewehrt.
- 3
Geschäftsleitung einbinden
NIS2 macht Cybersicherheit zur Chefsache: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Legen Sie Verantwortlichkeiten schriftlich fest und etablieren Sie ein regelmäßiges Berichtsformat an die Geschäftsführung.
- 4
IT-Bestandsaufnahme und Risikoanalyse
Ohne vollständiges Bild keine Compliance: Inventarisieren Sie Systeme, Anwendungen, Datenflüsse und Zugänge, und bewerten Sie die Risiken. Das Ergebnis ist die Grundlage für alle weiteren Maßnahmen – und der erste Nachweis, den Prüfer sehen wollen.
- 5
Technische Basismaßnahmen umsetzen
Der Kern des § 30 BSIG: eine aktuelle Firewall mit Netzwerksegmentierung, Multi-Faktor-Authentifizierung, konsequentes Patch-Management, Verschlüsselung und ein sauberes Berechtigungskonzept. Diese Maßnahmen decken zugleich die größten realen Angriffsflächen im Mittelstand ab.
- 6
Backup und Notfallpläne härten
NIS2 fordert Betriebskontinuität: ein Backup-Konzept mit unveränderlichen (immutable) Sicherungen, getesteten Wiederherstellungen und dokumentierten Notfallplänen. Ein Backup, dessen Wiederherstellung nie geprobt wurde, ist kein Backup – sondern eine Hoffnung.
- 7
Monitoring und Angriffserkennung etablieren
Die 24-Stunden-Meldefrist beginnt mit der Kenntnis des Vorfalls – wer keine Überwachung hat, erkennt Vorfälle oft erst nach Tagen. Ein 24/7-Monitoring mit definierten Alarmketten ist deshalb die praktische Voraussetzung, um die Meldepflichten überhaupt erfüllen zu können.
- 8
Meldeprozess definieren und proben
Legen Sie fest, wer einen erheblichen Vorfall bewertet, wer die Erstmeldung (24 h), die Folgemeldung (72 h) und den Abschlussbericht (1 Monat) an das BSI übermittelt – und wie das auch nachts und am Wochenende funktioniert. Eine kurze Übung deckt Lücken auf, bevor der Ernstfall es tut.
- 9
Lieferkette absichern
Bewerten Sie Ihre IT-Dienstleister und kritischen Zulieferer: Welche Zugriffe haben sie, welche Sicherheitsstandards weisen sie nach? Verankern Sie Mindestanforderungen vertraglich. Umgekehrt gilt: Wenn Ihre Kunden unter NIS2 fallen, werden diese Fragen bald an Sie gestellt.
- 10
Dokumentieren und Wirksamkeit prüfen
Alle Maßnahmen, Prozesse und Schulungen gehören revisionssicher dokumentiert. Planen Sie regelmäßige Wirksamkeitsprüfungen ein – etwa jährliche Security-Audits und Mitarbeiterschulungen. NIS2 ist kein Projekt mit Enddatum, sondern ein laufender Betriebszustand.
Warum jetzt handeln? Fristen und Bußgelder
Anders als bei der DSGVO gab es bei NIS2 keine Schonfrist: Die Pflichten gelten seit Inkrafttreten am 6. Dezember 2025, die dreimonatige Registrierungsfrist beim BSI ist für von Beginn an betroffene Unternehmen im März 2026 abgelaufen. Das Gesetz staffelt die Bußgelder deutlich: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen – und bereits Formalverstöße wie eine unterlassene Registrierung können sechsstellige Bußgelder auslösen.
Hinzu kommt die persönliche Verantwortung der Geschäftsleitung: Sie muss die Maßnahmen billigen und überwachen und kann bei Pflichtverletzungen nach den allgemeinen gesellschaftsrechtlichen Regeln gegenüber dem eigenen Unternehmen haften. Der beste Schutz ist ein dokumentierter, laufender Umsetzungsprozess – genau dabei unterstützt unsere NIS2-Beratung für den Mittelstand mit Betroffenheitsanalyse, Gap-Assessment und Umsetzung. Die technische Basis liefern unsere Leistungen IT-Security, Backup & Recovery und 24/7-Monitoring.
Häufige Fragen zur NIS2-Checkliste
Für wen ist die NIS2-Checkliste gedacht?
Für Geschäftsführer und IT-Verantwortliche in mittelständischen Unternehmen, die klären wollen, ob und wie sie das NIS2-Umsetzungsgesetz betrifft. Die zehn Punkte decken die Kernpflichten des novellierten BSI-Gesetzes ab – von der Betroffenheitsanalyse über die BSI-Registrierung bis zum Meldeprozess für Sicherheitsvorfälle.
Gibt es eine Übergangsfrist für die NIS2-Umsetzung?
Nein. Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Die Pflichten gelten seitdem unmittelbar. Die dreimonatige Registrierungsfrist beim BSI ist für von Beginn an betroffene Unternehmen bereits im März 2026 abgelaufen – wer noch nicht registriert ist, sollte das umgehend nachholen.
Was ist der wichtigste erste Schritt?
Die Betroffenheitsanalyse: erst wenn klar ist, ob Ihr Unternehmen als wichtige oder besonders wichtige Einrichtung eingestuft wird, lassen sich Pflichten, Fristen und Budget sauber planen. Eine erste Einschätzung liefert der kostenlose NIS2 Betroffenheits-Check von HUNARI in rund drei Minuten.
Reicht eine gute Firewall für die NIS2-Compliance?
Nein. Die Firewall ist ein wichtiger Baustein, aber § 30 BSIG verlangt ein ganzes Maßnahmenpaket: Risikoanalysen, Backup- und Wiederherstellungskonzepte, Monitoring, Zugriffskontrolle, Multi-Faktor-Authentifizierung, Lieferkettensicherheit und dokumentierte Prozesse. Entscheidend ist das Zusammenspiel – und der Nachweis, dass die Maßnahmen wirken.
Wie schnell muss ein Sicherheitsvorfall gemeldet werden?
Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden als Erstmeldung angezeigt werden, gefolgt von einer bewertenden Folgemeldung nach 72 Stunden und einem Abschlussbericht spätestens einen Monat nach dem Vorfall. Ohne funktionierendes Monitoring ist die 24-Stunden-Frist in der Praxis kaum einzuhalten.
Wie viele Punkte haben Sie schon abgehakt?
Starten Sie mit dem kostenlosen Betroffenheits-Check – oder lassen Sie Ihre offenen Punkte in einer kostenlosen Erstberatung vom IT-Systemhaus HUNARI in Düsseldorf priorisieren.
Unverbindlich und kostenlos. Antwort innerhalb von 24 Stunden.
Weiterführend: NIS2-Beratung · Firewall-Lösungen · IT-Security-Audit
