NIS2-Compliance ist kein IT-Projekt. Es ist eine Geschäftsführer-Pflicht. Hier sind die 10 Punkte, die Sie persönlich verantworten — ohne Juristendeutsch, mit konkreten Konsequenzen.
Die meisten NIS2-Checklisten sind von Anwälten für Anwälte geschrieben. Diese nicht. Jeder Punkt beantwortet drei Fragen: Was verlangt das Gesetz? Wie prüfen Sie, ob Sie compliant sind? Was passiert, wenn nicht?
1. BSI-Registrierung
Was: Jedes Unternehmen, das unter NIS2 fällt, muss sich beim BSI registrieren. Frist war der 6. März 2026.
Prüfung: Haben Sie eine Bestätigung der BSI-Registrierung? Ja oder nein.
Wenn nicht: Sie verstoßen bereits gegen geltendes Recht. Jeder Tag ohne Registrierung ist ein Tag dokumentierter Non-Compliance. Bußgeld: bis zu 500.000 Euro allein für die verspätete Registrierung.
2. Risikomanagement-Maßnahmen (§30 BSIG)
Was: Sie müssen ein systematisches Risikomanagement für Ihre IT-Sicherheit implementieren. Nicht "wir passen auf", sondern dokumentierte Prozesse zur Identifikation, Bewertung und Behandlung von Risiken.
Prüfung: Gibt es ein aktuelles Risikoinventar? Werden Risiken regelmäßig bewertet? Gibt es definierte Maßnahmen für jedes identifizierte Risiko?
Wenn nicht: §30 BSIG ist der Kern der NIS2-Umsetzung. Ohne dokumentiertes Risikomanagement können Sie Compliance nicht nachweisen — egal was sonst vorhanden ist.
3. Geschäftsführer-Schulung
Was: Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen. Alle drei Jahre. Persönlich. Nicht delegierbar.
Prüfung: Haben Sie als Geschäftsführer eine NIS2-konforme Cybersicherheitsschulung absolviert? Gibt es einen Nachweis?
Wenn nicht: Die persönliche Schulungspflicht ist nicht delegierbar. Wenn das BSI prüft und Sie keinen Schulungsnachweis vorlegen können, ist das ein direkter Compliance-Verstoß — der auf Sie persönlich zurückfällt.
4. Incident Response Plan
Was: Ein dokumentierter Plan, der beschreibt, was bei einem Sicherheitsvorfall passiert. Wer wird informiert? In welcher Reihenfolge? Welche Sofortmaßnahmen werden ergriffen? Wer entscheidet was?
Prüfung: Gibt es einen schriftlichen Incident Response Plan? Wurde er in den letzten 12 Monaten getestet? Kennen alle relevanten Personen ihre Rolle?
Wenn nicht: Ohne Incident Response Plan handeln Sie im Ernstfall chaotisch. Die Detektionszeit ohne dediziertes Team liegt bei 2-5 Tagen (AlphaSense). In dieser Zeit richtet ein Angreifer irreversiblen Schaden an.
5. Business Continuity und Backup
Was: Maßnahmen, die sicherstellen, dass Ihr Unternehmen nach einem Sicherheitsvorfall weiterlaufen kann. Regelmäßige Backups, getestete Wiederherstellungsprozesse, definierte Recovery Time Objectives.
Prüfung: Werden Backups regelmäßig erstellt und getestet? Können Sie Ihre Systeme innerhalb definierter Zeitrahmen wiederherstellen? Gibt es einen Business Continuity Plan?
Wenn nicht: Ein Ransomware-Angriff ohne funktionierendes Backup bedeutet Totalverlust. Der durchschnittliche Schaden: rund 560.000 Dollar pro Vorfall (TD Cowen).
6. Supply Chain Security
Was: Sie müssen die Cybersicherheit Ihrer Zulieferer und Dienstleister überprüfen und sicherstellen. Das schließt Ihren IT-Dienstleister ein.
Prüfung: Haben Sie eine Liste aller kritischen Zulieferer? Haben Sie deren Sicherheitsmaßnahmen überprüft? Gibt es vertragliche Regelungen zur Cybersicherheit?
Wenn nicht: Die Lieferketten-Verpflichtung ist einer der am meisten unterschätzten Aspekte von NIS2. Wenn ein Zulieferer gehackt wird und Ihre Daten betroffen sind, tragen Sie die Verantwortung.
7. Multi-Faktor-Authentifizierung und Zugriffsmanagement
Was: Alle kritischen Systeme müssen mit MFA gesichert sein. Zugriffsrechte müssen nach dem Prinzip der minimalen Berechtigung vergeben werden. Ex-Mitarbeiter müssen sofort deaktiviert werden.
Prüfung: Ist MFA auf allen Systemen aktiviert? Wie viele Ex-Mitarbeiter haben noch aktive Accounts? Gibt es ein Prozess für sofortiges Offboarding?
Wenn nicht: 73% aller Mittelständler haben mindestens einen Ex-Mitarbeiter mit aktivem Account. Das ist nicht nur ein Sicherheitsrisiko — es ist ein dokumentierter NIS2-Verstoß.
8. Vulnerability Management
Was: Regelmäßige Scans Ihrer IT-Infrastruktur auf bekannte Schwachstellen. Dokumentierte Prozesse zur Behebung gefundener Schwachstellen. Zeitrahmen für Patches.
Prüfung: Werden regelmäßig Vulnerability Scans durchgeführt? Gibt es einen definierten Prozess zur Priorisierung und Behebung? Wie schnell werden kritische Patches eingespielt?
Wenn nicht: Veraltete Software und fehlende Patches sind das häufigste Einfallstor für Cyberangriffe. 40-50% der Cyber-Versicherer fordern inzwischen Vulnerability Scanning als Voraussetzung für eine Police.
9. Meldepflichten (24h / 72h / 30 Tage)
Was: Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Erstmeldung an das BSI absetzen. Innerhalb von 72 Stunden folgt eine detaillierte Meldung. Innerhalb von 30 Tagen der Abschlussbericht.
Prüfung: Wissen Sie, was ein "erheblicher Sicherheitsvorfall" ist? Kennen Sie die BSI-Meldeportale? Gibt es einen Prozess, der die Fristen sicherstellt?
Wenn nicht: Verspätete oder unterlassene Meldungen sind eigenständige Ordnungswidrigkeiten — unabhängig vom eigentlichen Vorfall. Sie werden separat geahndet.
10. Dokumentation und Nachweis
Was: Compliance ohne Nachweis ist keine Compliance. Alle Maßnahmen, Schulungen, Assessments, Incident-Response-Tests und Risikobewertungen müssen dokumentiert sein.
Prüfung: Könnten Sie morgen einem BSI-Prüfer alle neun vorherigen Punkte mit Dokumenten nachweisen?
Wenn nicht: Wenn das BSI klopft — und das wird es — müssen Sie Unterlagen vorlegen. Keine Unterlagen = keine Compliance. So einfach ist das.
Die Realität
Von diesen 10 Punkten erfüllen die meisten Mittelständler bestenfalls 2-3. Die Registrierung fehlt. Der Incident Response Plan existiert nicht. MFA ist nicht flächendeckend. Die Dokumentation ist ein Ordner im Regal, der am Tag nach dem letzten Audit veraltet war.
Kengo erledigt 8 von 10 Punkten automatisch. Die anderen zwei überwachen wir. Kengo prüft Ihre IT in 60 Minuten. Kostenlos.
Bereit, Ihr Unternehmen autonom zu betreiben?
15 Minuten. Keine Verpflichtung. Kein Verkaufsdruck.
Gespräch vereinbaren →