norppa.io
Leitfäden

NIS2-Leitfaden · 10 Min.

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

NIS2 ist keine Checkliste, die man einmal abhakt. Es ist eine fortlaufende Pflicht, gestützt auf die Haftung der Leitung und die behördliche Durchsetzung. Aber der Weg zur Konformität ist klar umrissen. Dieser Leitfaden legt die Schritte in der richtigen Reihenfolge dar: klären, ob Sie in den Anwendungsbereich fallen, sich bei Ihrer Behörde registrieren, die Leitung formell in die Pflicht nehmen, die Risikomanagementmaßnahmen umsetzen, Ihre Lieferkette absichern, die Vorfallmeldung aufbauen und alles über die Zeit nachweisbar halten. Jeder Schritt verweist auf einen tiefergehenden Leitfaden, wo Sie ihn brauchen.

Die wichtigsten Punkte

  • NIS2 (Richtlinie (EU) 2022/2555) war bis zum 17. Oktober 2024 in nationales Recht umzusetzen; die Pflichten gelten über das Umsetzungsgesetz des jeweiligen Mitgliedstaats.
  • Die Konformität folgt einer klaren Abfolge: Anwendungsbereich → Registrierung → Governance → Art.-21-Maßnahmen → Lieferkette → Vorfallmeldung → fortlaufende Absicherung.
  • Sie ist fortlaufend, nicht einmalig. Die Leitung ist verantwortlich (Art. 20) und Aufsichtsbehörden können prüfen, Behebung anordnen und Bußgelder verhängen (Art. 34).

Was „NIS2-Konformität“ wirklich bedeutet

NIS2 ist eine EU-Richtlinie und gilt daher über das nationale Recht, das jeder Mitgliedstaat zu ihrer Umsetzung erlassen hat (die Umsetzungsfrist war der 17. Oktober 2024; einige Staaten waren spät dran). Sie setzt eine Grundlage an Cybersicherheits-Risikomanagementmaßnahmen (Art. 21), Vorfallmeldung (Art. 23), Governance und Verantwortlichkeit (Art. 20) sowie Registrierung bei einer zuständigen Behörde, durchgesetzt durch Prüfungen und Sanktionen (Art. 34).

Entscheidend: Es ist ein Managementsystem, kein Zertifikat. Man „besteht“ NIS2 nicht einmalig; die Maßnahmen werden fortlaufend betrieben, belegt und verbessert, und Ihre Leitung ist dafür persönlich verantwortlich. Die folgenden Schritte bringen Sie auf eine vertretbare Grundlage und halten Sie dort.

Wer erfüllen muss

Wesentliche und wichtige Einrichtungen: mittlere und große Organisationen in den Sektoren der Anhänge I/II (Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, verarbeitendes Gewerbe und mehr). Bestätigen Sie Ihre Stufe mit dem Leitfaden „Wer fällt unter NIS2“.

Indirekt einbezogen

Auch ohne Benennung erreicht Sie die Lieferkettenpflicht: Einrichtungen im Anwendungsbereich müssen ihre Lieferanten bewerten (Art. 21 Abs. 2 Buchst. d), daher begegnen Ihnen Fragebögen, Nachweisanforderungen und kontinuierliches Monitoring über Ihre Verträge.

Der Fahrplan, Schritt für Schritt

Sieben Schritte in der richtigen Reihenfolge. Jeder baut auf dem vorigen auf.

Schritt 1

Anwendungsbereich und Stufe bestätigen. Stellen Sie anhand der Sektoren der Anhänge I/II und der Größenschwellen fest, ob Sie eine wesentliche oder wichtige Einrichtung sind, und ordnen Sie ein, wo Ihre eigenen Lieferanten stehen.

Schritt 2

Bei Ihrer zuständigen Behörde registrieren. Die meisten Mitgliedstaaten verlangen von Einrichtungen im Anwendungsbereich eine Registrierung (Name, Sektor, Kontakte, IP-Bereiche) nach ihrem Umsetzungsgesetz.

Schritt 3

Die Leitung in die Pflicht nehmen. Das Leitungsorgan muss die Risikomanagementmaßnahmen billigen, beaufsichtigen und geschult werden (Art. 20), und kann haftbar gemacht werden.

Schritt 4

Die Maßnahmen nach Art. 21 Abs. 2 umsetzen: die zehn Grundmaßnahmen, verhältnismäßig zu Ihrem Risiko angewandt (siehe Liste unten).

Schritt 5

Ihre Lieferkette absichern. Bewerten und überwachen Sie das Cyberrisiko Ihrer Lieferanten (Art. 21 Abs. 2 Buchst. d) mit Einstufung, Fragebögen und kontinuierlichen Nachweisen, keine einmalige Prüfung.

Schritt 6

Die Vorfallmeldung aufbauen. Stellen Sie sicher, dass Sie die 24-Stunden-Frühwarnung, die 72-Stunden-Meldung und den Abschlussbericht nach einem Monat an Ihr CSIRT senden können (Art. 23).

Schritt 7

Machen Sie es fortlaufend und nachweisbar. Überwachen, testen, dokumentieren und überprüfen Sie, sodass Sie auf Anfrage zeigen können, dass die Maßnahmen wirken.

Die Maßnahmen nach Artikel 21 Abs. 2

Schritt 4 im Detail. NIS2 verlangt verhältnismäßig mindestens:

  • (a) Risikoanalyse und Sicherheitskonzepte für Informationssysteme.
  • (b) Bewältigung von Vorfällen: Erkennung, Reaktion und Wiederherstellung.
  • (c) Aufrechterhaltung des Betriebs: Backups, Notfallwiederherstellung und Krisenmanagement.
  • (d) Sicherheit der Lieferkette, einschließlich der Sicherheit der Beziehungen zu direkten Anbietern und Dienstleistern.
  • (e) Sicherheit bei Erwerb, Entwicklung und Wartung, einschließlich Schwachstellenbehandlung und -offenlegung.
  • (f) Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen.
  • (g) Grundlegende Cyberhygiene und Sicherheitsschulungen.
  • (h) Kryptografie und gegebenenfalls Verschlüsselung.
  • (i) Personalsicherheit, Konzepte für die Zugriffskontrolle und Anlagenverwaltung.
  • (j) Multi-Faktor-Authentifizierung, gesicherte Sprach-/Video-/Textkommunikation und gesicherte Notfallkommunikation.

Warum es nie wirklich „endet“

Die Maßnahmen sind kein Projekt mit Ziellinie. NIS2 erwartet, dass Sie ihre Wirksamkeit bewerten (Art. 21 Abs. 2 Buchst. f), und Aufsichtsbehörden können Prüfungen durchführen, Nachweise verlangen, verbindliche Anweisungen erteilen und Bußgelder verhängen (Art. 34): bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auch die Leitung kann persönlich verantwortlich gemacht werden.

Deshalb ist der letzte Schritt der wichtigste: Die Lücke zwischen „wir haben eine Richtlinie geschrieben“ und „wir können heute zeigen, dass sie wirkt“ ist genau das, was ein Prüfer, oder die Sorgfaltsprüfung eines Kunden, von Ihnen schließen lässt. Kontinuierliches Monitoring und aufbewahrte Nachweise machen aus einem einmaligen Aufwand eine vertretbare, wiederholbare Position.

NIS2 gilt über nationales Recht, und die Details (Registrierungsmechanik, Fristen, Sektorspezifika, Bußgeldhöhen) variieren je Mitgliedstaat. Bestätigen Sie die Einzelheiten bei Ihrer nationalen zuständigen Behörde.

Wo fangen Sie an?

Ihr erster Schritt hängt von Ihrer Lage ab:

Sie fallen eindeutig in den Anwendungsbereich (wesentlich oder wichtig)

Beginnen Sie bei Schritt 1, um Ihre Stufe zu bestätigen, registrieren Sie sich dann und briefen Sie die Leitung. Nutzen Sie den Leitfaden zur Verantwortung der Leitung, um den Vorstand früh einzubinden.

Sie sind unsicher, ob Sie in den Anwendungsbereich fallen

Beginnen Sie mit dem Leitfaden „Wer fällt unter NIS2“, Sektoren und Größenschwellen, bevor Sie in Kontrollen investieren. Gehen Sie nicht von einer Ausnahme aus; die Lieferkette kann Sie dennoch erfassen.

Sie sind Lieferant von Einrichtungen im Anwendungsbereich

Auch ohne eigene Benennung sind Lieferantenfragebögen und Monitoring zu erwarten. Die Leitfäden zu Fragebogen und Checkliste zeigen, was Sie nachweisen müssen.

Sie haben bereits ISO 27001

Vieles aus Schritt 4 ist übertragbar: gesetzliche Vorfallmeldung, Registrierung und Haftung der Leitung jedoch nicht. Der ISO-27001-Leitfaden zeigt, was übrig bleibt.

Quellen: Richtlinie (EU) 2022/2555 (NIS2) und Ihr nationales Umsetzungsgesetz. NIS2 gilt über nationales Recht; bestätigen Sie Registrierungsmechanik, Fristen und Bußgeldhöhen bei Ihrer zuständigen Behörde.

Wie norppa.io hilft

norppa.io ist für die Schritte 5 und 7 gebaut, die Lieferketten- und Dauernachweis-Teile, die den meisten Teams am schwersten fallen. Es überwacht jede Lieferanten-Domain täglich an mehr als hundert Kontrollpunkten (die zeitkritischen alle sechs Stunden), ordnet jeden Befund dem betroffenen NIS2-Artikel zu und führt einen datierten, exportierbaren Nachweis für Ihre Lieferantenakte.

Selbstbewertungsfragebögen erfassen die Prozess- und Vertragskontrollen, und jede Antwort wird neben das aktuelle technische Profil gestellt: sodass Sie, wenn ein Prüfer oder ein Kunde verlangt, die tatsächliche Funktion der Lieferkettensicherheit zu zeigen, aktuelle, bestätigte Nachweise haben statt einer Tabelle vom letzten Frühjahr.

Fortlaufende Nachweise für Schritt 5 und 7

Sehen Sie sich einen Beispiel-Lieferantenbericht an (Befunde, NIS2-Artikelzuordnung und Nachweise) in etwa zwei Minuten.

Beispielbericht ansehen
Beispiel-Dashboard ansehen

Verwandte Leitfäden

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.