Die Frage klingt einfach, ist aber tückisch. Denn "NIS-2-konform" ist kein hübsches Zertifikat, das man einmal kauft und dann abhakt. NIS-2 ist ein gesetzlicher Pflichtenkatalog. In Deutschland ist das Thema seit dem 6. Dezember 2025 nicht mehr Zukunftsmusik, sondern geltendes Recht. Das BSI beschreibt inzwischen sehr konkret, was betroffene Unternehmen tun müssen: sich registrieren, erhebliche Sicherheitsvorfälle melden sowie Risikomanagementmaßnahmen implementieren und dokumentieren.
Die kurze Antwort
Wenn Sie NIS-2-konform werden wollen, brauchen Sie keinen Magietrick, sondern einen sauberen Ablauf. In der Praxis läuft das meist auf fünf Kernfragen hinaus:
- Sind wir überhaupt betroffen?
- Wer trägt intern die Verantwortung?
- Welche Pflichten treffen uns konkret?
- Welche Risikomanagementmaßnahmen fehlen noch?
- Können wir Vorfälle und Registrierung praktisch abwickeln?
Genau so stellt das BSI das Thema auch auf: Betroffenheit prüfen, Pflichten verstehen, Maßnahmen aufbauen und die Melde- und Registrierungspflichten über das BSI-Portal erfüllen.
Schritt 1: Erst prüfen, ob Sie überhaupt betroffen sind
Der erste sinnvolle Schritt ist nicht Aktionismus, sondern saubere Einordnung. Das BSI bietet dafür eine Betroffenheitsprüfung und einen Entscheidungsbaum an. Wichtig ist: Die Online-Prüfung hilft, ersetzt aber keine belastbare juristische Einordnung in jedem Grenzfall. Wer guten Gewissens sagen will "betrifft uns nicht", sollte das nicht aus dem Bauch heraus entscheiden.
Schritt 2: Die Geschäftsleitung ins Boot holen
NIS-2 ist kein Thema, das man einfach an die IT delegiert. BSIG stellt ausdrücklich klar, dass die Verantwortung für Umsetzung und Überwachung der Risikomanagementmaßnahmen bei der Geschäftsleitung liegt. Gleichzeitig gibt es für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen eine Schulungspflicht. Wer also NIS-2 ernsthaft umsetzen will, braucht nicht nur Fachleute, sondern sichtbare Führung von oben.
Schritt 3: Verstehen, was NIS-2 konkret verlangt
Viele Unternehmen suchen nach einer festen NIS-2-Checkliste. Die gibt es in dieser simplen Form nicht. Für einige bestimmte Unternehmen gilt die EU-Durchführungsverordnung 2024/2690, die in Anhang 2 schon sehr präzise ist - und selbstverständlich dürfen auch andere Unternehmen als die in der Einleitung genannten diese Richtlinie umsetzen. Sie ist aber für alle nicht explizit genannten Unternehmensarten nicht verpflichtend.
Schritt 4: Risikomanagementmaßnahmen aufbauen
Hier entscheidet sich, ob NIS-2 in Ihrem Unternehmen nur ein Rechtsbegriff bleibt oder tatsächlich in die Praxis kommt. ENISA beschreibt in ihrer technischen Leitlinie unter anderem diese Themenfelder als zentral: Sicherheitsrichtlinie für Netz- und Informationssysteme, Risikomanagement-Policy, Incident Handling, Business Continuity und Krisenmanagement, Lieferkettensicherheit, Asset Management, Zugangskontrolle, Kryptografie, sichere Entwicklung und Wirksamkeitsbewertung. Das ist deutlich breiter als "wir härten ein paar Systeme".
Schritt 5: Vorfallmanagement wirklich vorbereiten
"Wir melden dann halt, wenn etwas passiert" ist keine belastbare Strategie. Für erhebliche Sicherheitsvorfälle gelten frühe Meldepflichten. Das BSI stellt für die Erstmeldung auf 24 Stunden nach Kenntniserlangung ab. Wer dann erst anfängt zu klären, wer entscheidet, wer meldet und wie ein Vorfall eingestuft wird, ist praktisch schon zu spät. NIS-2-Konformität heißt deshalb auch: Meldeweg, Rollen, Bewertung und Kommunikation müssen vorher stehen.
Schritt 6: Registrierung nicht vergessen
Betroffene Einrichtungen müssen sich beim BSI registrieren. Das läuft inzwischen praktisch über einen zweistufigen Prozess: erst Anmeldung über Mein Unternehmenskonto, dann Registrierung im BSI-Portal. Wer betroffen ist, sollte die Anmeldung zügig durchführen.
Schritt 7: Dokumentation von Anfang an mitdenken
Ein häufiger Fehler ist, Maßnahmen erst dann aufzuschreiben, wenn jemand fragt. Genau dann ist es zu spät. Das BSI formuliert ausdrücklich, dass Risikomanagementmaßnahmen nicht nur umzusetzen, sondern auch zu dokumentieren sind. Das betrifft nicht nur Policies, sondern auch Verantwortlichkeiten, Vorfallwege, Entscheidungen, Schulungen und Nachweise. Wenn Aufsicht, Kunden oder Versicherer später wissen wollen, was wirklich geregelt und umgesetzt war, hilft improvisiertes Nachschreiben nur begrenzt.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "NIS-2-konform werden heißt, ein paar Dokumente zu schreiben." Das ist zu kurz gedacht. Es geht nicht um Dokumente, sondern um einen funktionierenden Satz technischer und organisatorischer Maßnahmen geht. Also um Steuerung, Rollen, Reaktion, Lieferanten, Resilienz und Wirksamkeit - nicht nur um Textproduktion.
Wie kann ich nachweisen, dass ich NIS-2-konform bin?
Die Anforderungen aus NIS-2 sind sehr nah dran an denen der internationalen Norm ISO 27001. Und für die kann man von unabhängiger Stelle ein Zertifikat erhalten.
FAQ
Gemeint ist praktisch, dass ein betroffenes Unternehmen die gesetzlichen Pflichten aus dem NIS-2-Rahmen erfüllt: Registrierung, Vorfallmeldung sowie angemessene, dokumentierte Risikomanagementmaßnahmen.
Mit der Betroffenheitsprüfung. Erst wenn klar ist, ob Ihr Unternehmen überhaupt unter den NIS-2-Rahmen fällt, ergibt der weitere Aufwand Sinn.
Nein. Das BSI betont ausdrücklich die Verantwortung der Geschäftsleitung für Umsetzung und Überwachung der Maßnahmen.
Wenn Ihr Unternehmen betroffen ist, ja. Das BSI verlangt die Registrierung über das BSI-Portal. Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS-2-betroffen sind, registrieren.
Es gibt keinen einzelnen Minimalzettel, aber ENISA nennt in ihrer technischen Leitlinie unter anderem Risk Management Policy, Incident Handling, Business Continuity, Supply Chain Security, Asset Management, Zugangskontrolle und sichere Entwicklung.
Eigentlich nie ganz. NIS-2-Konformität ist kein Einmalprojekt, sondern ein laufender Zustand aus Pflichten, Steuerung, Dokumentation und Verbesserung. Das ergibt sich schon aus der Logik der Risikomanagementmaßnahmen und der Meldepflichten.
Unser Tipp
NIS-2-konform wird man nicht durch einen Trick, sondern durch einen sauberen Weg: Betroffenheit prüfen, Geschäftsleitung einbinden, Pflichten verstehen, Risikomanagementmaßnahmen aufbauen, Vorfallmanagement vorbereiten, Registrierung erledigen und alles belastbar dokumentieren. Die gute Nachricht ist: Das ist machbar. Die schlechte Nachricht ist: Es wird nicht besser, wenn man es verdrängt.
Interesse geweckt?
Ist Ihr Unternehmen von NIS-2 betroffen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!