NIS2 betrifft mich – was jetzt?
Sie haben erfahren, dass Ihr Unternehmen unter NIS2 fällt. Hier ist ein konkreter 4-Wochen-Plan, der Sie von null auf einen soliden Grundstein bringt.
Das Wichtigste vorweg
Sie müssen nicht alles gleichzeitig erledigen und Sie müssen nicht perfekt sein. Das BSI bewertet Fortschritt und guten Glauben. Aber Sie müssen jetzt anfangen – die Pflichten gelten seit Dezember 2025, und "Wir wussten es nicht" schützt nicht vor Bußgeldern.
Die ersten vier Wochen entscheiden darüber, ob Sie einen nachvollziehbaren Umsetzungsplan haben oder ob Sie bei einer Prüfung mit leeren Händen dastehen. Dieser Plan fokussiert auf die Maßnahmen mit dem höchsten Compliance-Wert pro Arbeitsstunde.
Der 4-Wochen-Schnellstart
Jede Woche hat ein klares Ziel. Die Reihenfolge ist bewusst gewählt: Zuerst die sichtbarsten Pflichten, dann die Grundlagen für alles Weitere.
- ELSTER-Organisationszertifikat prüfen (falls nicht vorhanden: sofort beantragen, 1–2 Wochen Vorlauf)
- BSI-Registrierung über das MUK-Portal abschließen (muk.bsi.bund.de) – braucht ca. 30–45 Minuten
- Kontaktstelle für Sicherheitsvorfälle benennen (Name, E-Mail, Telefon – auch außerhalb der Geschäftszeiten erreichbar)
- Geschäftsführung informieren: Persönliche Haftung nach §38 BSIG, Budgetfreigabe, formale Billigung des Cybersicherheitsansatzes
- Internen Compliance-Verantwortlichen benennen – muss nicht Vollzeit sein, aber klar benannt
- Alle IT-Systeme auflisten, die Ihre wesentlichen/wichtigen Dienste unterstützen (ERP, Produktionssysteme, Cloud-Dienste, Netzwerk)
- Für jedes System notieren: Was tut es? Wer betreibt es (intern oder Dienstleister)? Was passiert bei 24h Ausfall?
- Identische Assets gruppieren (Grundschutz erlaubt das: '45 Standard-Laptops' = 1 Eintrag, nicht 45)
- Ergebnis: Typischerweise 10 bis 15 Asset-Gruppen für ein Unternehmen mit 50–250 Mitarbeitern
- Lieferanten identifizieren, die Zugang zu kritischen Systemen haben
- Risikobewertungsmethodik festlegen (Eintrittswahrscheinlichkeit x Auswirkung, 3- oder 5-stufige Skala)
- Für jedes Asset die drei bis fünf relevantesten Bedrohungen bewerten (Ransomware, Datenverlust, Hardwareausfall, Lieferantenausfall)
- Risikobehandlung festlegen: akzeptieren, mindern, übertragen oder vermeiden – mit Begründung
- Vorfallmeldeprozess definieren: Wer entscheidet? Wer meldet ans BSI? Wie erreichen wir diese Person nachts?
- Risikoregister und Meldeprozess dokumentieren – diese beiden Dokumente sind Ihre wichtigsten Compliance-Artefakte
- MFA für alle Adminzugänge und Fernzugriffe einführen (oft der größte Sicherheitsgewinn für den geringsten Aufwand)
- Veraltete Benutzerkonten deaktivieren – ehemalige Mitarbeiter, Testaccounts, gemeinsam genutzte Passwörter eliminieren
- Backup-Strategie prüfen: Werden Backups getestet? Gibt es eine Offline-Kopie?
- Geschäftsleitungsschulung nach §38 BSIG terminieren (nicht delegierbar – die Geschäftsführung muss selbst teilnehmen)
- Umsetzungsplan für die verbleibenden Maßnahmen erstellen, mit Zeitplan und Verantwortlichkeiten
Abwarten und hoffen
"Das wird schon nicht so schlimm" oder "Das BSI hat bestimmt keine Kapazität für Kontrollen" – gefährliche Annahmen. Das BSIG gilt seit Dezember 2025. Unternehmen ohne erkennbare Compliance-Bemühungen haben bei einer Prüfung keine Argumentationsgrundlage. Schon ein dokumentierter Umsetzungsplan zeigt guten Willen.
Übertreiben beim Umfang
Ein 80-Personen-Unternehmen braucht kein Security Operations Center, keinen eigenen CISO und keine zertifizierte ISO-27001-Umgebung. Das BSIG verlangt „angemessene und verhältnismäßige“ Maßnahmen. Dokumentierte Prozesse, regelmäßige Reviews und ein klarer Meldeprozess reichen für den Anfang.
Keinen Verantwortlichen benennen
Wenn niemand zuständig ist, passiert nichts. Benennen Sie eine konkrete Person als NIS2-Verantwortlichen – mit Zeitbudget und Rückendeckung der Geschäftsführung. Das muss keine Vollzeitstelle sein, aber es muss klar sein, wer den Hut aufhat.
Perfekte Dokumente anstreben
Ein 3-seitiges Risikoregister, das alle Assets abdeckt, ist unendlich wertvoller als ein 50-seitiges Konzeptpapier, das nie fertig wird. Beginnen Sie einfach, iterieren Sie. Das BSI will sehen, dass Sie einen funktionierenden Prozess haben – nicht, dass Ihre Dokumente hübsch formatiert sind.
Häufig gestellte Fragen
Brauche ich einen externen Berater?
Nicht zwingend. Ein Unternehmen mit 50 bis 150 Mitarbeitern und einer kompetenten IT-Leitung kann die Grundlagen selbst erarbeiten. Ein Berater lohnt sich, wenn Sie keine interne IT-Kompetenz haben, bei der Risikobewertung unsicher sind oder eine externe Validierung für die Geschäftsführung brauchen. Rechnen Sie mit 5.000 bis 20.000 EUR für eine begleitete Ersteinrichtung.
Wir haben bereits ISO 27001 – müssen wir trotzdem etwas tun?
Ja, aber deutlich weniger. ISO 27001 deckt etwa 70 bis 80 Prozent der NIS2-Anforderungen ab. Was fehlt: die BSI-Registrierung (§33), die Meldepflichten mit den spezifischen Fristen (§32), die persönliche Geschäftsführerhaftung (§38) und einige NIS2-spezifische Anforderungen an Lieferkettensicherheit. Ihre bestehende Dokumentation ist eine hervorragende Grundlage.
Wie viel Arbeitszeit muss ich einplanen?
Für die ersten vier Wochen: circa 4 bis 8 Stunden pro Woche für den Compliance-Verantwortlichen, plus 2 bis 3 Stunden für die Geschäftsführung (Briefing, Freigaben, Schulung). Danach sinkt der Aufwand auf circa 2 bis 4 Stunden pro Woche für laufende Pflege. Die größte Zeitinvestition ist die initiale Risikobewertung.
Was ist, wenn wir die Registrierung verpasst haben?
Sofort nachholen. Die Registrierungsfrist war der 17. März 2025, aber eine verspätete Registrierung ist immer besser als keine. Das BSI berücksichtigt bei der Bußgeldbemessung, ob ein Unternehmen kooperiert und Versäumnisse eigenständig korrigiert. Dokumentieren Sie den Zeitpunkt der Nachregistrierung.
Reichen vier Wochen für NIS2-Compliance?
Nein, vier Wochen reichen nicht für die vollständige Compliance. Aber vier Wochen reichen, um die Grundlagen zu legen: Registrierung, Asset-Inventar, Risikoregister, Meldeprozess und die wichtigsten Quick Wins. Das ist Ihr Fundament, auf dem Sie in den folgenden Monaten aufbauen. Vollständige Compliance dauert typischerweise 3 bis 6 Monate.