NIS 2 Dokumente: Pflicht-Liste nach Richtlinie + CIR 2024/2690
Die Dokumente und Aufzeichnungen, die NIS 2 und die Durchführungsverordnung 2024/2690 verlangen — eins zu eins zur Regulierung, ohne Beratungs-Bloat.
Diese Seite listet die Dokumente und Aufzeichnungen, die NIS 2 (Richtlinie (EU) 2022/2555) und die Durchführungsverordnung (EU) 2024/2690 verlangen. Quelle für die Benennung und Verweise: die Verordnungstexte selbst — nicht ein Berater-Toolkit.
Bewusst kompakt: Beratungs-Toolkits zerlegen jede Anforderung in Verfahren + Formular + Anhang und kommen so auf 60+ Dokumente. Die Verordnung verlangt das nicht. Eine Anforderung = ein Dokument oder eine Aufzeichnung. Die fünf Stufen der Meldekaskade nach Artikel 23 sind ein Vorfall, der fünf Statusphasen durchläuft, nicht fünf separate Dokumente.
Letzte Spalte: das genaue nisd2.eu-Modul, in dem das Dokument bzw. der Nachweis aus Ihren Daten lebt — versionsfest, mit Audit-Trail, jederzeit exportierbar. Klicken Sie auf das Modul, um direkt zur Live-Ansicht zu springen. So entsteht keine eingefrorene Word-Vorlage, sondern eine durchgehende Compliance-Posture.
42 Dokumente in 14 Themenbereichen — 40 davon nativ in der Plattform abgedeckt.
Quellen
- Richtlinie (EU) 2022/2555 (NIS 2) — Artikel 20, 21(2)(a-j), 23, 27
- Durchführungsverordnung (EU) 2024/2690 — Annex Abschnitte 1-13
- BSIG (deutsche Umsetzung) — §§ 30, 32, 33, 38
- BSI TR-02102 (Kryptografie), TR-03107 (Authentifizierung) — wo einschlägig
Einrichtungsregistrierung
1 Dokument
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Einrichtungsregistrierung bei der zuständigen Behörde | Art. 27, §33 BSIG — | Registrierungsdaten an die nationale zuständige Behörde: Rechtsform, Sektor, Kontaktstellen, Dienste, EU-Präsenz. | REG/organization Organisations-Modul — Registrierungsdaten mit versionierten Snapshots für Audits. |
Governance & übergeordnete Richtlinie
2 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Richtlinie zur Sicherheit der Netz- und Informationssysteme | Art. 21(2)(a) CIR Annex 1 | Übergeordnete, vom Management genehmigte Richtlinie, die Richtung, Geltungsbereich, Rollen und Verantwortlichkeiten der Cybersicherheit festlegt und regelmäßig überprüft wird. | GOV/policies Policy-Editor (GOV 1.2) mit Geschäftsführungs-Sign-Off und Versionshistorie. |
| Nachweis der Geschäftsleitungs-Genehmigung | Art. 20(1) CIR Annex 1.1 | Nachweis, dass die Geschäftsleitung die Cybersicherheits-Risikomanagementmaßnahmen genehmigt hat und ihre Umsetzung überwacht. | GOV/policies Sign-Off-Historie (GOV 1.3, 1.4) — eIDAS-AES-Signatur mit Prüfsummen-Snapshot. |
Risikomanagement
3 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Rahmenwerk für das Risikomanagement | Art. 21(2)(a) CIR 2.1 | Legt fest, wie Risiken identifiziert, analysiert, bewertet, behandelt, akzeptiert und überprüft werden — einschließlich der Kriterien zur Risikoakzeptanz. | RSK/compliance/risk-management Methodik-Editor (RSK 2.1) — Skalen für Eintrittswahrscheinlichkeit/Auswirkung und Akzeptanzschwellen. |
| Risikoregister und Behandlungsplan | Art. 21(1) CIR 2.1.1, 2.1.2 | Liste der identifizierten Risiken mit Eintrittswahrscheinlichkeit, Auswirkung, Verantwortlichem, Behandlungsoption (vermindern / akzeptieren / übertragen / vermeiden), geplanten Maßnahmen und Fristen. | RSK/risks Risiko-Modul (RSK 2.3) — Register verknüpft mit Assets, Behandlungsstatus, Restrisiko-Akzeptanz. |
| Restrisiko-Akzeptanz | Art. 20(1) CIR 2.1.1 | Formale Genehmigung der Geschäftsleitung für Risiken, die akzeptiert statt behandelt werden, mit Begründung. | RSK/risks Pro Risiko Felder acceptedBy / acceptedAt mit Geschäftsführungs-Sign-Off. |
Asset-Management
3 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Asset-Verzeichnis | Art. 21(2)(i) CIR 12 | Vollständiges Verzeichnis der IKT-Assets — Verantwortlicher, Klassifizierung, Kritikalität, Standort, Betriebszustand. Grundlage für Risikoanalyse und Notfallplan. | RSK/assets Asset-Tabelle mit 30+ Feldern — referenziert von 7+ Anforderungen in 5 Kategorien. |
| Verfahren zur Asset-Klassifizierung und -Handhabung | Art. 21(2)(i) CIR 12 | Wie Assets nach Sensibilität und Kritikalität klassifiziert werden, und die Handhabungsregeln je Klassifizierungsstufe. | RSK/assets asset.isCritical + Klassifizierungs-Felder + RSK-2.2-Klassifizierungsmethodik. |
| Richtlinie zur sicheren Entsorgung und Vernichtung | Art. 21(2)(i) CIR 12 | Wie Datenträger und Geräte am Lebensende gelöscht oder vernichtet werden, sodass Daten nicht rekonstruierbar sind. | Nicht nativ Policy-Upload über das Asset-Modul — noch kein eigener Außerbetriebnahme-Workflow. |
Vorfallsbearbeitung
3 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Richtlinie zur Reaktion auf Sicherheitsvorfälle | Art. 21(2)(b) CIR 3.1 | Legt fest, wie Sicherheitsvorfälle erkannt, nach Schweregrad klassifiziert, eingedämmt, behoben, wiederhergestellt und nachbereitet werden. | INC/incidents Policy-Editor (INC 3.1) plus Vorfalls-Lebenszyklus-Modul. |
| Vorfallsregister | Art. 21(2)(b) CIR 3.4 | Chronologisches Verzeichnis aller Vorfälle und Beinahe-Vorfälle mit Zeitstrahl, Klassifizierung, Reaktionsmaßnahmen und Erkenntnissen. | INC/incidents Vorfalls-Tabelle ist das Register — Ursachen, Gegen- und Präventivmaßnahmen je Datensatz erfasst. |
| Nachbereitung von Vorfällen | Art. 21(2)(b) CIR 3.5 | Lessons-Learned-Analyse nach einem erheblichen Vorfall: was versagt hat, was funktioniert hat, welche Maßnahmen oder Prozesse angepasst werden müssen. | INC/incidents Felder rootCause + preventiveMeasures je Vorfall, fließen in die Managementbewertung ein. |
Meldepflicht (Art. 23)
5 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Frühwarnung an CSIRT (innerhalb 24h) | Art. 23(4)(a) CIR 3.5 | Erstmeldung an das CSIRT oder die zuständige Behörde mit Hinweis, ob der Vorfall mutmaßlich böswillig ist oder grenzüberschreitende Auswirkungen hat. | INC/incidents Ein Vorfalls-Datensatz durchläuft die Meldephasen — 24h-Feld mit Fristen-Tracker. |
| Vorfallsmeldung (innerhalb 72h) | Art. 23(4)(b) CIR 3.5 | Erste Bewertung von Schweregrad, Auswirkung und Kompromittierungs-Indikatoren, innerhalb 72 Stunden an das CSIRT. | INC/incidents Selber Datensatz, 72h-Status — Eskalations-Engine erinnert und eskaliert bei Fristverletzung. |
| Zwischenbericht | Art. 23(4)(c) CIR 3.5 | Statusbericht auf Anforderung des CSIRT oder der zuständigen Behörde während der Reaktionsphase. | INC/incidents Selber Datensatz, Zwischenstatus — jederzeit vor Abschlussbericht ausfüllbar. |
| Abschlussbericht (innerhalb 1 Monat) | Art. 23(4)(d) CIR 3.5 | Detaillierte Beschreibung des Vorfalls: Schweregrad und Auswirkung, Bedrohungsart, Ursache, getroffene Maßnahmen und ggf. grenzüberschreitende Auswirkungen. | INC/incidents Selber Datensatz, Abschlussberichts-Status — bezieht resolvedAt und Ursachen-Felder automatisch ein. |
| Benachrichtigung der Empfänger der Dienste | Art. 23(1), Art. 23(2) CIR 3.6 | Kommunikation an Kunden/Nutzer, die von einem erheblichen Vorfall oder einer Cyber-Bedrohung betroffen sein könnten — einschließlich möglicher Gegenmaßnahmen. | INC/incidents Kunden-Broadcast (broadcastStatus / broadcastSentAt) je Vorfall. |
Notfall & Wiederanlauf
5 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Business Impact Analyse | Art. 21(2)(c) CIR 4.1 | Identifiziert kritische Aktivitäten, deren Abhängigkeiten, Wiederanlauf-Ziele (RTO/RPO) und die Auswirkungen einer Unterbrechung über die Zeit. | BCP/assets Pro Asset RTO/RPO mit Kritikalitäts-Klassifizierung — fließt in den Notfallplan ein. |
| Notfallplan | Art. 21(2)(c) CIR 4.1 | Wie der Geschäftsbetrieb bei Störungen aufrechterhalten wird — Ausweichstandorte, Rückfallverfahren, Kommunikation, Entscheidungsbefugnisse. | BCP/policies Policy-Editor (BCP 4.1) plus Übungs-/Test-Plan mit Nachbereitungsberichten. |
| Wiederherstellungsplan | Art. 21(2)(c) CIR 4.1 | Technische Verfahren zur Wiederherstellung von IT-Systemen und Diensten nach einem Ausfall, mit RTO/RPO-Zielen je kritischem Asset. | BCP/policies Policy-Editor (BCP 4.3) — pro System Wiederherstellungsverfahren, mit Asset-Verzeichnis verknüpft. |
| Datensicherungsrichtlinie | Art. 21(2)(c) CIR 4.2 | Was wie häufig gesichert wird, wo Backups gespeichert werden, Aufbewahrungsfristen, Verschlüsselung, und wie Wiederherstellungen getestet werden. | BCP/policies Pro Asset Backup-Felder (Frequenz, Ort, letzter Test) plus BCP 4.4 Richtlinie. |
| Krisenmanagementplan | Art. 21(2)(c) CIR 4.3 | Entscheidungsprozess und Kommunikationsstruktur in einer Krise, die die Organisation betrifft — Eskalation, Stab, interne/externe Kommunikation. | BCP/policies BCP-Policy-Editor (Krisen-Abschnitt) + Modul Schlüsselkontakte + Eskalationskette. |
Lieferkettensicherheit
3 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Lieferantensicherheitsrichtlinie | Art. 21(2)(d) CIR 5.1-5.2 | Sicherheitsanforderungen an direkte Lieferanten und Dienstleister, Prüfprozess, laufende Überwachungspflichten. | SUP/suppliers Policy-Editor (SUP 5.1) plus Lieferantenregister mit Sicherheitsklausel-Flags. |
| Lieferantenverzeichnis | Art. 21(2)(d) CIR 5.3 | Vollständiges Verzeichnis der Lieferanten und Dienstleister mit Kritikalität, bezogenen Leistungen, vereinbarten Sicherheitsklauseln und Risikostatus. | SUP/suppliers Lieferanten-Tabelle — Kritikalität, hasSecurityClauses, hasIncidentNotificationClause, hasAuditRights je Lieferant. |
| Lieferanten-Risikobewertung | Art. 21(3) CIR 5.4 | Lieferantenbezogene Risikobewertung unter Berücksichtigung lieferantenspezifischer Schwachstellen und der Sicherheitspraktiken ihrer Entwicklungsprozesse. | SUP/suppliers Lieferanten-Risiko-Score verknüpft mit Risikoregister; Lieferantenportal-Fragebogen sammelt Nachweise. |
Beschaffung, Entwicklung & Wartung
4 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Richtlinie für Beschaffung, Entwicklung und Wartung | Art. 21(2)(e) CIR 6.1-6.3 | Sicherheitsanforderungen über den IKT-Lebenszyklus — Beschaffungskriterien, sichere Entwicklung, Schwachstellenoffenlegung, Außerbetriebnahme. | PRO/policies Policy-Editor (PRO 6.1) — deckt Beschaffung, Entwicklung und Wartung in einem Dokument ab. |
| Verfahren zum Änderungsmanagement | Art. 21(2)(e) CIR 6.4 | Wie Änderungen an IKT-Systemen beantragt, risikoanalysiert, genehmigt, getestet, eingespielt und ggf. zurückgenommen werden. | PRO/changes Change-Request-Modul mit Genehmigungs-Workflow und Rollback-Notizen. |
| Verfahren zum Schwachstellen- und Patch-Management | Art. 21(2)(e) CIR 6.5, 6.10 | Wie Schwachstellen erkannt, nach Schweregrad klassifiziert, priorisiert, behoben und verfolgt werden — mit SLAs je Schweregrad. | PRO/vulnerabilities Schwachstellen- und Patch-Record-Tabellen mit Schweregrad, Verantwortlichem und Frist. |
| Konfigurations- und Härtungsstandards | Art. 21(2)(e) CIR 6.6 | Sichere Standardkonfiguration für IKT-Systeme — was aktiviert, was deaktiviert ist, Umgang mit Standard-Zugangsdaten, Logging-Baselines. | PRO/policies Härtungs-Referenzfelder je Asset-Klasse plus PRO 6.4 Richtlinie. |
Kryptografie
2 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Kryptografie-Richtlinie | Art. 21(2)(h) CIR 9.1 | Zugelassene Algorithmen und Schlüssellängen, wo Verschlüsselung verpflichtend ist (Speicherung, Übertragung, Backups), Schlüssel-Lebenszyklus-Management. | CRY/policies Policy-Editor mit Algorithmus-/Schlüssellängen-Registry (Abgleich mit BSI TR-02102). |
| Verfahren zum Schlüsselmanagement | Art. 21(2)(h) CIR 9.2-9.3 | Wie kryptografische Schlüssel erzeugt, verteilt, gespeichert, rotiert, archiviert und vernichtet werden. | CRY/policies Schlüsselmanagement-Abschnitt im Kryptografie-Policy-Editor. |
Personal & Zugriffskontrolle
3 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Richtlinie zur Personalsicherheit | Art. 21(2)(i) CIR 10 | Hintergrundprüfungen, Eintritt, Rollenwechsel, Austritt und Vertraulichkeitspflichten über den gesamten Beschäftigungszyklus. | ACC/policies Policy-Editor (ACC 10.1) — Onboarding-/Offboarding-Checklisten, an User-Lebenszyklus geknüpft. |
| Zugriffskontrollrichtlinie | Art. 21(2)(i) CIR 11.1, 11.2, 11.3 | Regeln zur Vergabe, Überprüfung und Entziehung von Zugriffsrechten — Need-to-know, Funktionstrennung, privilegierter Zugang, regelmäßige Rezertifizierung. | ACC/policies RBAC-Editor + Workflow zur Zugriffsüberprüfung je System. |
| Richtlinie zur physischen und Umgebungssicherheit | Art. 21(2)(i) CIR 13 | Physische Zugangskontrollen für Gebäude, Serverräume und Rechenzentren; Schutz vor Umgebungsrisiken (Brand, Wasser, Strom). | Nicht nativ Policy-Upload über das GOV-Modul — noch kein eigenes Modul. |
Authentifizierung & sichere Kommunikation
2 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Authentifizierungsrichtlinie | Art. 21(2)(j) CIR 11.6 | MFA-Anforderungen, Passwortregeln, Sitzungssteuerung, Umgang mit Service-Konten, ggf. Abgleich mit BSI TR-03107. | AUT/policies Policy-Editor (AUT 11.3) plus MFA-Status-Feld je System. |
| Richtlinie für sichere Sprach-, Video- und Notfallkommunikation | Art. 21(2)(j) CIR 11.7 | Zugelassene Werkzeuge und Kanäle für sensible Kommunikation, mit expliziten Regeln für die Notfallkommunikation bei Ausfall regulärer Kanäle. | AUT/policies Policy-Editor (AUT 11.1) — erfasst Kanäle, Rückfallverfahren, Schlüsselkontakte. |
Cyber-Hygiene & Schulung
2 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Programm für Cyber-Hygiene und Schulung | Art. 21(2)(g) CIR 8.1 | Schulungsthemen je Zielgruppe (alle Mitarbeitenden, IT, Sicherheitsrollen, Geschäftsleitung), Frequenz, Vermittlungsform und Erfolgskontrolle. | TRN/training training_record-Modul + Kurskatalog + Nachverfolgung der Abschlüsse je Mitarbeitendem. |
| Schulungsnachweis Geschäftsleitung | Art. 20(2) CIR 8.2 | Nachweis, dass die Geschäftsleitung ausreichende Cybersicherheitsschulung erhalten hat, um Risiken und Managementpraktiken zu beurteilen. | TRN/training/nis2-ceo Dedizierter Geschäftsführerkurs (§38(3) BSIG) mit Abschlusszertifikat. |
Wirksamkeit, Audit & Bewertung
4 Dokumente
| Dokument | Verweis | Beschreibung | nisd2.eu |
|---|---|---|---|
| Programm zur Wirksamkeitsmessung | Art. 21(2)(f) CIR 7.1 | KPIs, Frequenz, Datenquellen und Berichtsformat zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen. | EFF/kpis KPI-Mess-Modul mit Zielwerten, regelmäßiger Erfassung und Trend-Anzeige. |
| Unabhängige Prüfung / Bericht des internen Audits | Art. 21(2)(f) CIR 7.2 | Regelmäßige unabhängige Prüfung der Cybersicherheitsmaßnahmen, mit Befunden (Nichtkonformitäten, Beobachtungen) und Schweregrad. | EFF/internal-audits internal_audit + audit_finding-Tabellen — Geltungsbereich, Checkliste, Befunde verknüpft mit Korrekturmaßnahmen. |
| Managementbewertung | Art. 20(1), Art. 21(2)(f) CIR 7.3 | Regelmäßige Bewertung der Cybersicherheits-Leistung durch die Geschäftsleitung — KPI-Bericht, Audit-Befunde, Vorfälle, Entscheidungen und zugewiesene Maßnahmen. | EFF/management-reviews management_review-Datensatz — Teilnehmer, Eingaben, Entscheidungen, Maßnahmen, Protokoll. |
| Register der Korrekturmaßnahmen | Art. 21(4) CIR 7.4 | Nachverfolgung aller Korrekturmaßnahmen aus Vorfällen, Audits oder Bewertungen — Ursache, Verantwortlicher, Frist, Verifizierung. | EFF/improvements improvement_item-Tabelle verknüpft mit Quelle (Vorfall / Audit-Befund / Bewertung). |
Diese Dokumente nicht von Hand pflegen
nisd2.eu erzeugt diese Dokumente und Nachweise aus Ihren Daten — Risiken, Lieferanten, Vorfälle, Schulungen, Audits — mit dauerhaftem Audit-Trail. Kostenlos, ohne Lock-in.
Diese Liste wird gepflegt, ersetzt aber keine juristische Prüfung. Verbindlich sind die Originaltexte der Richtlinie 2022/2555, der CIR 2024/2690 und des BSIG.