Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
NIS2 Checkliste: In 10 Schritten zur Compliance | vsca
NIS2Zuletzt aktualisiert: 2026-06-23

NIS2 Checkliste: In 10 Schritten zur Compliance

Zuletzt aktualisiert: 23.06.2026

NIS2 ist in Deutschland seit dem 6. Dezember 2025 in Kraft – ohne allgemeine Übergangsfrist. Viele Geschäftsleitungen wissen inzwischen, dass sie betroffen sind, aber nicht, wo sie anfangen sollen. Genau dafür ist diese Checkliste gemacht: Sie führt Sie in 10 nachvollziehbaren Schritten von der Betroffenheitsfrage bis zum belastbaren Nachweis – aus Governance- und Haftungssicht, nicht als reine IT-Aufgabe. Denn NIS2 macht die Geschäftsleitung persönlich verantwortlich. Laden Sie die Checkliste kostenlos herunter und verschaffen Sie sich einen strukturierten Fahrplan, mit dem Sie Lücken systematisch schließen und Ihre Sorgfaltspflicht dokumentieren.

Checkliste herunterladen · oder direkt Fragen mit uns klären.

Warum diese NIS2 Checkliste jetzt zählt – und Chefsache ist

NIS2 ist kein reines IT-Thema. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verpflichtet die Leitungsorgane ausdrücklich, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen – verbunden mit einer persönlichen Haftung der Geschäftsleitung und einer Schulungspflicht für die Leitung. Eine Delegation „nach unten" entlastet rechtlich nicht. Deshalb ist eine NIS2 Checkliste, die mit der Governance beginnt und nicht beim Firewall-Regelwerk, kein Detail, sondern der entscheidende Unterschied.

Der Druck ist real und die Uhr läuft bereits:

  • In Kraft seit dem 6. Dezember 2025 – ohne allgemeine Übergangsfrist (NIS2UmsuCG, BGBl. 2025).
  • Selbstprüfungspflicht statt Bescheid: Es gibt keine Behörde, die Ihnen Ihre Betroffenheit mitteilt. Sie müssen sie selbst feststellen, dokumentieren und handeln.
  • BSI-Registrierungsfrist 6. März 2026 – bereits abgelaufen: Bis dahin waren laut BDO erst rund 11.500 der etwa 29.500 betroffenen Einrichtungen registriert (BDO 2026). Die Pflicht besteht fort.
  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Wert.

Der Anwendungsbereich ist deutlich gewachsen: von rund 4.500 auf etwa 29.500 Einrichtungen in 18 Sektoren, mit einer Schwelle grundsätzlich ab 50 Mitarbeitenden oder 10 Mio. € Umsatz (BSI/NIS2UmsuCG 2025/2026). Viele dieser Unternehmen haben sich nie als „kritische Infrastruktur" verstanden – vom Maschinenbauer über den IT-Dienstleister bis zum Lebensmittelbetrieb. Wer hier strukturiert vorgeht, begrenzt nicht nur das Bußgeldrisiko, sondern vor allem die persönliche Verantwortung der Leitung.

Was die Checkliste leistet

Die NIS2-10-Schritte-Checkliste ist eine kommentierte Arbeitsvorlage, kein abstrakter Paragrafen-Auszug. Sie übersetzt die NIS2-Pflichten in eine Reihenfolge, die Sie tatsächlich abarbeiten können:

  • Vollständiger Fahrplan von der Betroffenheit bis zum Nachweis – in einer logischen, priorisierten Reihenfolge.
  • Governance- und Haftungssicht: Jeder Schritt benennt, was die Geschäftsleitung verantworten und dokumentieren muss.
  • Statusspalten zum Abhaken – damit Sie jederzeit sehen, wo Sie stehen und was als Nächstes ansteht.
  • Anschlussfähig an ein ISMS: Die Checkliste zeigt, wo ein ISMS nach ISO/IEC 27001:2022 als Gerüst dient und Nachweise erleichtert.
  • Kostenlos und unverbindlich – als Selbsteinschätzung und als Gesprächsgrundlage für eine vertiefte Prüfung.

Wichtig: Die Checkliste ist eine sorgfältig erstellte Arbeitshilfe und ein hervorragender Startpunkt – sie ersetzt keine rechtliche Einzelfallprüfung. Sektor, Größe, Konzernstruktur und Lieferkettenposition machen den Unterschied. Bei der belastbaren Einordnung und Umsetzung unterstützen wir Sie gern.

Die 10 Schritte zur NIS2-Compliance im Überblick

Schritt 1 – Betroffenheit feststellen. Klären Sie zuerst das Ob: Fällt Ihr Unternehmen in einen der 18 Sektoren und überschreiten Sie die Schwelle (grundsätzlich ab 50 Mitarbeitenden oder 10 Mio. € Umsatz)? Und wenn ja – als „wesentliche" oder „wichtige" Einrichtung? Da NIS2 keinen Bescheid kennt, ist die dokumentierte Selbsteinschätzung selbst Teil Ihrer Pflicht. Eine schnelle Ersteinordnung liefert unsere NIS2-Betroffenheitsanalyse.

Schritt 2 – Scope & Assets bestimmen. Legen Sie fest, welche Standorte, Systeme, Dienste und Daten in den Geltungsbereich fallen. Erstellen Sie ein belastbares Inventar Ihrer wesentlichen Informationswerte und Netz-/Informationssysteme – ohne diese Bestandsaufnahme bleibt jede Maßnahme Stückwerk.

Schritt 3 – Gap-Analyse. Stellen Sie Soll und Ist gegenüber: Welche der nach Art. 21 geforderten Maßnahmen haben Sie bereits, wo klaffen Lücken? Das Ergebnis ist Ihre priorisierte Maßnahmenliste – risikobasiert, nicht formalistisch.

Schritt 4 – Risikomanagementmaßnahmen nach Art. 21 aufbauen. Das Herzstück. Dazu zählen u. a. Risikoanalyse und Sicherheitskonzepte, Vorfallbehandlung, Business Continuity und Krisenmanagement, Sicherheit der Lieferkette, Zugriffskontrolle, Kryptografie/Verschlüsselung, Asset-Management und Schulungen. Die Maßnahmen müssen angemessen und am Stand der Technik orientiert sein.

Schritt 5 – Lieferkettensicherheit verankern. NIS2 verlangt ausdrücklich, die Sicherheit Ihrer Lieferkette und Ihrer direkten Dienstleister zu bewerten und vertraglich abzusichern. Umgekehrt geben betroffene Kund:innen ihre Anforderungen weiter – so werden auch formal nicht betroffene Unternehmen mittelbar in die Pflicht genommen.

Schritt 6 – Melde- und Eskalationsprozesse einrichten. Definieren Sie, wie erhebliche Sicherheitsvorfälle erkannt, intern eskaliert und fristgerecht an das BSI gemeldet werden. NIS2 sieht gestaffelte Meldefristen vor – Sie brauchen einen eingeübten Prozess mit klaren Zuständigkeiten, bevor der Ernstfall eintritt, nicht erst danach.

Schritt 7 – Business Continuity & Krisenmanagement. Sorgen Sie für Backup-Management, Wiederherstellung und Notfallpläne, damit Ihr Betrieb auch nach einem Vorfall handlungsfähig bleibt. BCM ist in Art. 21 ausdrücklich genannt und zugleich Ihr bester Schutz vor dem teuersten Schaden: dem Ausfall.

Schritt 8 – Geschäftsleitung schulen & Governance dokumentieren. Die Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen – das ist die direkte Antwort auf die persönliche Haftung. Halten Sie Billigungsbeschlüsse, Verantwortlichkeiten und Schulungsnachweise nachvollziehbar fest.

Schritt 9 – Registrierung beim BSI. Holen Sie die Registrierung Ihrer Einrichtung beim BSI nach. Die Frist vom 6. März 2026 ist abgelaufen, die Pflicht besteht fort (BSI 2026). Eine Nachregistrierung begrenzt das Risiko und zeigt, dass Sie Ihrer Sorgfaltspflicht nachkommen.

Schritt 10 – Nachweis & laufende Dokumentation. NIS2 ist kein Projekt mit Enddatum, sondern ein Dauerzustand. Dokumentieren Sie Maßnahmen, Entscheidungen und Überprüfungen so, dass Sie sie im Aufsichts- oder Schadensfall belegen können – und richten Sie einen Zyklus zur regelmäßigen Überprüfung ein.

ISMS und ISO 27001 als Gerüst – wie die Schritte zusammenpassen

Die zehn Schritte wirken zunächst nach viel. In der Praxis lassen sie sich am besten in einem Information Security Management System (ISMS) bündeln. Ein ISMS nach ISO/IEC 27001:2022 ist kein automatischer NIS2-Nachweis, deckt aber einen Großteil der nach Art. 21 geforderten Maßnahmen ab – von Risikomanagement über Zugriffskontrolle und Kryptografie bis zu Business Continuity – und liefert genau die strukturierte Dokumentation, die Schritt 10 verlangt.

Der Vorteil: Statt Einzelmaßnahmen nebeneinander zu betreiben, erhalten Sie einen managementgetriebenen, prüfbaren Rahmen mit klaren Verantwortlichkeiten und einem kontinuierlichen Verbesserungszyklus. Das entlastet die Geschäftsleitung doppelt – inhaltlich und beim Nachweis. Wie Sie ein ISMS schlank und passgenau aufsetzen, lesen Sie auf unserer Seite zur ISO-27001-Beratung. Welche Lücken in Ihrem konkreten Fall zu schließen sind, ermitteln wir in der NIS2-Beratung.

NIS2-10-Schritte-Checkliste kostenlos anfordern {#checkliste-formular}

Tragen Sie Ihre Daten ein und Sie erhalten die NIS2-10-Schritte-Checkliste umgehend per E-Mail. Kostenlos, unverbindlich und sofort einsetzbar.

  • Name
  • Unternehmen
  • Geschäftliche E-Mail-Adresse
  • (optional) Sektor / Unternehmensgröße (Auswahl)

Checkliste herunterladen

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegt die Checkliste direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

Nach dem Download: So wird aus der Checkliste gelebte Compliance

Eine abgehakte Checkliste ist der erste Schritt – die belastbare Umsetzung der zweite. Wir gehen sie mit Ihnen nach dem Baukastenprinzip an, risikobasiert statt formalistisch:

  1. Status besprechen: Im kostenlosen Erstgespräch ordnen wir Ihre Selbsteinschätzung ein und klären die kritischen Lücken.
  2. Bausteine zusammenstellen: Von der Gap-Analyse über den Aufbau der Art.-21-Maßnahmen und Meldeprozesse bis zur BSI-Registrierung – Sie wählen, was Ihr Reifegrad erfordert.
  3. Nachweis sichern: Wir verankern die Dokumentation so, dass Ihre Geschäftsleitung ihre Sorgfaltspflicht belegen kann.

Wenn Sie zunächst tiefer in Definition, Fristen und Pflichten einsteigen möchten, finden Sie alles Wichtige auf unserer Themenseite NIS2. Den Einstieg ins Ob liefert die NIS2-Betroffenheitsanalyse.

Häufige Fragen zur NIS2 Checkliste

Was muss eine NIS2 Checkliste mindestens enthalten? Sie sollte die NIS2-Pflichten in eine abarbeitbare Reihenfolge bringen: Betroffenheit feststellen, Scope und Assets bestimmen, Gap-Analyse, Risikomanagementmaßnahmen nach Art. 21, Lieferkettensicherheit, Melde- und Eskalationsprozesse, Business Continuity, Schulung und Governance der Geschäftsleitung, BSI-Registrierung sowie laufender Nachweis und Dokumentation. Entscheidend ist, dass sie die Governance- und Haftungssicht abbildet und nicht nur die technische IT-Sicht. Genau diese zehn Schritte deckt unsere Checkliste ab.

Ist NIS2 nur ein IT-Thema? Nein. NIS2 verpflichtet ausdrücklich die Leitungsorgane, die Maßnahmen zu billigen und ihre Umsetzung zu überwachen, und sieht eine persönliche Haftung sowie eine Schulungspflicht der Geschäftsleitung vor (NIS2UmsuCG 2025). Technische Maßnahmen sind notwendig, aber die Verantwortung lässt sich nicht „nach unten" delegieren. Deshalb beginnt eine gute Checkliste bei der Governance.

Wir haben die BSI-Registrierungsfrist verpasst – was nun? Die Registrierungsfrist lief am 6. März 2026 ab; bis dahin waren laut BDO erst rund 11.500 der etwa 29.500 Einrichtungen registriert (BDO 2026). Die Pflicht besteht fort. Klären Sie zuerst Ihre Betroffenheit, holen Sie dann die Registrierung nach und arbeiten Sie die übrigen Schritte ab. Wir unterstützen Sie dabei und begrenzen so das Haftungsrisiko der Geschäftsleitung – Details auf der Seite zur NIS2-Beratung.

Reicht ein ISMS nach ISO 27001 für NIS2 aus? Ein ISMS nach ISO/IEC 27001:2022 ist kein automatischer NIS2-Nachweis, deckt aber viele der nach Art. 21 geforderten Maßnahmen ab und erleichtert die Dokumentation erheblich. Es ist das anerkannte Gerüst für die NIS2-Umsetzung. Welche NIS2-spezifischen Lücken zusätzlich zu schließen sind, klären wir im Rahmen der ISO-27001-Beratung und der NIS2-Beratung.

Welche Bußgelder drohen bei Verstößen gegen NIS2? Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Wert (NIS2UmsuCG 2025). Hinzu kommt die persönliche Verantwortung der Geschäftsleitung. Eine strukturierte, dokumentierte Umsetzung ist der wirksamste Weg, dieses Risiko zu senken.

Was kostet die Checkliste? Nichts. Die NIS2-10-Schritte-Checkliste ist kostenlos und unverbindlich. Sie erhalten sie nach Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in). Kosten entstehen erst, wenn Sie konkrete Umsetzungsbausteine beauftragen – passgenau und ohne Langfristbindung.

Jetzt Checkliste sichern – und auf Wunsch gemeinsam umsetzen {#kontakt}

Laden Sie die NIS2-10-Schritte-Checkliste herunter und verschaffen Sie sich heute einen klaren Fahrplan zur Compliance. Möchten Sie die Schritte belastbar umsetzen und den Nachweis Ihrer Sorgfaltspflicht sichern, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Checkliste herunterladen

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: NIS2 – Definition, Fristen, Pflichten · NIS2-Beratung für den Mittelstand · Bin ich betroffen? Zur NIS2-Betroffenheitsanalyse

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Die Checkliste liefert eine erste Orientierung und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.