NIS2-Roadmap für Geschäftsführer

Schwellenwerte (Beschäftigte, Umsatz, Sektor) prüfen, um zu klären, ob Ihre Einrichtung als „besonders wichtig“ oder „wichtig“ gilt.

Rechtsgrundlage:

§28 BSIG

Verantwortlich:

Geschäftsführer

Aufwand:

2 Minuten

Frist:

sofort

Sie registrieren sich bei der NIS2-Behörde jedes EU-Mitgliedstaats, in dem Sie tätig sind — nicht nur in Deutschland. Tätig sein heißt hier: physische Niederlassung — eigene Gesellschaft, Zweigstelle, Büro oder eigene Mitarbeiter vor Ort in diesem Land. Reiner grenzüberschreitender Vertrieb zählt nicht. Beispiel: GmbH in Köln plus Standort in Wien → Registrierung beim BSI (DE) und bei der NIS-Stelle (AT).

Rechtsgrundlage:

NIS2 Art. 27 · §33 BSIG (DE)

Verantwortlich:

IT-Leitung füllt aus, Geschäftsführer zeichnet

Aufwand:

~1 Stunde pro Land + nationale Identitätsverfahren (z. B. ELSTER in DE: 5–10 Werktage)

Frist:

Nationale Fristen gelten — DE: 06.03.2026 abgelaufen, Pflicht besteht weiter

Vollständige Liste der Systeme, Anwendungen und Daten, von denen Ihr Betrieb abhängt — und die zugehörigen Risiken. Beides ist die Grundlage für alle weiteren NIS2-Pflichten und der erste Punkt, den ein Auditor sehen will. In der NISD2-Plattform legen Ihre IT-Leitung und der CISO Inventar und Risiken an, halten sie aktuell und ziehen den Vorfallsmeldungsprozess (24 h / 72 h / 1 Monat nach §32 BSIG) automatisch in den Compliance-Nachweis ein.

Rechtsgrundlage:

§30 Abs. 2 BSIG · NIS2 Art. 21(2)(a)

Verantwortlich:

IT-Leitung erstellt, Geschäftsführer zeichnet (§38 Abs. 1 BSIG)

Aufwand:

~1 Tag Erstaufnahme · laufend pflegen, jährlich freigeben

Frist:

Quartal 1

Verzeichnis der direkten Lieferanten, gekoppelt an Ihr Asset-Inventar (welcher Lieferant betreibt welches System). Kontinuierliches Cybersicherheits-Risiko-Management statt einmaliger Fragebogen: Sicherheitsstatus pro Lieferant, Vorfallsmeldungen aus deren Lieferantenportal, Risikobewertung. Die Plattform stellt den auf NIS2 verankerten Standardfragebogen bereit (Open Source, MIT + CC BY 4.0) und führt das Verzeichnis fort.

Rechtsgrundlage:

§30 Abs. 2 Nr. 4 BSIG · NIS2 Art. 21(2)(d)

Verantwortlich:

Einkauf / IT erstellt, Geschäftsführer zeichnet

Aufwand:

~½ Tag Erstaufnahme · laufend pflegen

Frist:

Quartal 1–2

Die zehn Maßnahmenbereiche aus Art. 21 NIS2 — Vorfallsbearbeitung, Geschäftskontinuität (Backups, Wiederanlauf), Schulungen, Zugangskontrolle, Kryptografie, Schwachstellen- und Patch-Management, Netzwerksicherheit, Monitoring, Lieferantenverträge, Kommunikation. Die Plattform deckt alle zehn Bereiche mit Vorlagen, automatischen Nachweisen und einem Audit-Trail ab; Sie als Geschäftsführer zeichnen jährlich die Übersicht ab.

Rechtsgrundlage:

§30 Abs. 2 Nr. 1–10 BSIG · NIS2 Art. 21

Verantwortlich:

IT-Leitung / CISO setzt um, Geschäftsführer zeichnet jährlich

Aufwand:

laufend, parallel zur IT-Arbeit

Frist:

Quartal 2 ff.