NIS2 in der Praxis: 7 Dinge, die du jetzt tun musst

von |

Viele IT-Organisationen stehen aktuell vor derselben Herausforderung:
Alle reden über NIS2 – doch intern ist oft unklar, wer was bis wann liefern muss. Die Folge: hektische Meetings, hoher Druck aus der Geschäftsführung und wenig Struktur.

Dieser Beitrag gibt dir keinen theoretischen Gesetzeskommentar, sondern einen sofort anwendbaren 7-Punkte-Plan, mit dem du NIS2 pragmatisch und steuerbar umsetzt.

1. Klären, ob euer Unternehmen unter NIS2 fällt

Wer?
CISO, IT-Leitung, Compliance oder Rechtsabteilung.

Was?
Prüfen, ob euer Unternehmen nach Branche und Größe unter die NIS2-Richtlinie fällt.

Wie?

  • Sektor prüfen (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur, Fertigung)

  • Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme)

  • Dienstleistungen und Standorte in der EU bewerten

  • Offizielles BSI-Tool zur Betroffenheitsprüfung nutzen:
     https://betroffenheitspruefung-nis-2.bsi.de/

Wann?
Sofort. Ohne diese Klarheit ist jede weitere Planung blind.

2. Einen offiziellen NIS2-Verantwortlichen benennen

Wer?
Geschäftsführung.

Was?
Die Rolle „NIS2-Owner“ festlegen, der intern die Fäden in der Hand hält.

Wie?

  • Klare Aufgaben definieren

  • Berichtslinien festlegen

  • Zeitbudget und Entscheidungsbefugnisse offiziell zusichern

Wann?
In den nächsten 1–2 Wochen. Ohne klare Verantwortung verzettelt sich die Organisation.

3. Eine schnelle NIS2-Gap-Analyse durchführen

Wer?
NIS2-Owner, IT-Security, Fachbereiche, optional externer Berater.

Was?
Eine kompakte Bestandsaufnahme der aktuell erfüllten und fehlenden Anforderungen.

Wie?

  • Checkliste statt Mammut-Audit

  • Bereiche bewerten: Organisation, Technik, Prozesse

  • Status in „Grün / Gelb / Rot“ einteilen

  • Zu jedem roten Punkt notieren, was genau fehlt

Wann?
5 Tage Zeitbox.
Perfektion ist später – jetzt zählt Transparenz.

4. Kritische Services und Systeme inventarisieren

Wer?
IT-Betrieb, Architektur, Fachbereiche.

Was?
Identifizieren, welche Services und Systeme tatsächlich „kritisch“ sind.

Wie?

  • Fachbereiche fragen: „Welche IT darf nicht ausfallen – und warum?“

  • CMDB/Asset-Listen nutzen und aktualisieren

  • Services priorisieren (P1, P2, P3)

Wann?
Innerhalb von 3–4 Wochen sollten die Top-Services sauber dokumentiert sein.

5. Incident- und Meldeprozesse an NIS2 anpassen

Wer?
IT-Security, Service Desk, Incident Manager, Rechtsabteilung, Kommunikation.

Was?
Regeln festlegen, wann ein Vorfall meldepflichtig ist – und wie ihr reagiert.

Wie?

  • Incident-Kategorien erweitern

  • Playbooks für typische Vorfälle schreiben

  • Meldeketten definieren (Service Desk → On-Call → NIS2-Owner → Management)

  • Kommunikationswege intern & extern klären

Wann?
Innerhalb der nächsten 4–6 Wochen definieren und testen.

6. Konkreten Maßnahmenplan mit Budget erstellen

Wer?
NIS2-Owner, CISO, IT-Leitung, CFO, Geschäftsführung.

Was?
Eine priorisierte Roadmap mit Umsetzungsmaßnahmen und Kosten.

Wie?

  • Maßnahmen als kurze Aufgaben formulieren

  • Aufwand bewerten (S/M/L)

  • Kombination aus technischen & organisatorischen Maßnahmen

  • Priorisieren nach Risiko vs. Aufwand

  • Planung ins Kanban- oder Projekt-Tool überführen

Typische Maßnahmen:

  • MFA flächendeckend einführen

  • Patch- & Vulnerability-Management verbessern

  • Backups und Wiederherstellung testen

  • Netzsegmentierung und Zugriffsrechte anpassen

  • Awareness-Trainings verpflichtend machen

Wann?
Innerhalb von 6–8 Wochen nach der Gap-Analyse.

7. Lieferanten und Partner in die Pflicht nehmen

Wer?
Einkauf, IT, Rechtsabteilung, Informationssicherheit.

Was?
Prüfen, ob kritische IT-Leistungen durch externe Anbieter ausreichend abgesichert sind.

Wie?

  • Kritische Dienstleister identifizieren

  • Sicherheitsanforderungen festlegen

  • Verträge / SLAs um Sicherheits- und Meldepflichten ergänzen

  • Notfallpläne für den Ausfall eines Dienstleisters entwickeln

Wann?
Start mit den wichtigsten 5–10 Anbietern. Zeitraum: 3 Monate.

Häufige Fehler bei NIS2 – und wie du sie vermeidest

  • „Wir warten erst mal ab.“
    NIS2 ist bereits Realität. Viele Grundlagen lassen sich sofort umsetzen.
  • Technik kaufen, Organisation ignorieren
    Tools lösen nichts, wenn Rollen und Prozesse fehlen.
  • IT soll alles allein lösen
    NIS2 ist ein Unternehmensprojekt – Fachbereiche, Rechtsabteilung und Management müssen eingebunden sein.

Fazit: Mach NIS2 zu einem strukturierten Projekt – nicht zu einem Feuerwehr-Einsatz

Wenn du die sieben Schritte aus diesem Artikel angehst, hast du:

  • Klarheit über eure Betroffenheit

  • Offizielle Verantwortlichkeiten

  • Transparenz über Risiken und kritische Systeme

  • Erste, gelebte Prozesse für Vorfälle und Meldungen

  • Einen Prioritätenplan, der zeigt: „Wir haben das im Griff“

Starte klein, aber starte jetzt.
Jeder strukturierte Schritt heute verhindert hektische Entscheidungen morgen.
Tags: , , ,
Back to Blog

Related Articles