Viele IT-Organisationen stehen aktuell vor derselben Herausforderung:
Alle reden über NIS2 – doch intern ist oft unklar, wer was bis wann liefern muss. Die Folge: hektische Meetings, hoher Druck aus der Geschäftsführung und wenig Struktur.
Dieser Beitrag gibt dir keinen theoretischen Gesetzeskommentar, sondern einen sofort anwendbaren 7-Punkte-Plan, mit dem du NIS2 pragmatisch und steuerbar umsetzt.
Wer?
CISO, IT-Leitung, Compliance oder Rechtsabteilung.
Was?
Prüfen, ob euer Unternehmen nach Branche und Größe unter die NIS2-Richtlinie fällt.
Wie?
Sektor prüfen (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur, Fertigung)
Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme)
Dienstleistungen und Standorte in der EU bewerten
Offizielles BSI-Tool zur Betroffenheitsprüfung nutzen:
https://betroffenheitspruefung-nis-2.bsi.de/
Wann?
Sofort. Ohne diese Klarheit ist jede weitere Planung blind.
Wer?
Geschäftsführung.
Was?
Die Rolle „NIS2-Owner“ festlegen, der intern die Fäden in der Hand hält.
Wie?
Klare Aufgaben definieren
Berichtslinien festlegen
Zeitbudget und Entscheidungsbefugnisse offiziell zusichern
Wann?
In den nächsten 1–2 Wochen. Ohne klare Verantwortung verzettelt sich die Organisation.
Wer?
NIS2-Owner, IT-Security, Fachbereiche, optional externer Berater.
Was?
Eine kompakte Bestandsaufnahme der aktuell erfüllten und fehlenden Anforderungen.
Wie?
Checkliste statt Mammut-Audit
Bereiche bewerten: Organisation, Technik, Prozesse
Status in „Grün / Gelb / Rot“ einteilen
Zu jedem roten Punkt notieren, was genau fehlt
Wann?
5 Tage Zeitbox.
Perfektion ist später – jetzt zählt Transparenz.
Wer?
IT-Betrieb, Architektur, Fachbereiche.
Was?
Identifizieren, welche Services und Systeme tatsächlich „kritisch“ sind.
Wie?
Fachbereiche fragen: „Welche IT darf nicht ausfallen – und warum?“
CMDB/Asset-Listen nutzen und aktualisieren
Services priorisieren (P1, P2, P3)
Wann?
Innerhalb von 3–4 Wochen sollten die Top-Services sauber dokumentiert sein.
Wer?
IT-Security, Service Desk, Incident Manager, Rechtsabteilung, Kommunikation.
Was?
Regeln festlegen, wann ein Vorfall meldepflichtig ist – und wie ihr reagiert.
Wie?
Incident-Kategorien erweitern
Playbooks für typische Vorfälle schreiben
Meldeketten definieren (Service Desk → On-Call → NIS2-Owner → Management)
Kommunikationswege intern & extern klären
Wann?
Innerhalb der nächsten 4–6 Wochen definieren und testen.
Wer?
NIS2-Owner, CISO, IT-Leitung, CFO, Geschäftsführung.
Was?
Eine priorisierte Roadmap mit Umsetzungsmaßnahmen und Kosten.
Wie?
Maßnahmen als kurze Aufgaben formulieren
Aufwand bewerten (S/M/L)
Kombination aus technischen & organisatorischen Maßnahmen
Priorisieren nach Risiko vs. Aufwand
Planung ins Kanban- oder Projekt-Tool überführen
Typische Maßnahmen:
MFA flächendeckend einführen
Patch- & Vulnerability-Management verbessern
Backups und Wiederherstellung testen
Netzsegmentierung und Zugriffsrechte anpassen
Awareness-Trainings verpflichtend machen
Wann?
Innerhalb von 6–8 Wochen nach der Gap-Analyse.
Wer?
Einkauf, IT, Rechtsabteilung, Informationssicherheit.
Was?
Prüfen, ob kritische IT-Leistungen durch externe Anbieter ausreichend abgesichert sind.
Wie?
Kritische Dienstleister identifizieren
Sicherheitsanforderungen festlegen
Verträge / SLAs um Sicherheits- und Meldepflichten ergänzen
Notfallpläne für den Ausfall eines Dienstleisters entwickeln
Wann?
Start mit den wichtigsten 5–10 Anbietern. Zeitraum: 3 Monate.
Wenn du die sieben Schritte aus diesem Artikel angehst, hast du:
Klarheit über eure Betroffenheit
Offizielle Verantwortlichkeiten
Transparenz über Risiken und kritische Systeme
Erste, gelebte Prozesse für Vorfälle und Meldungen
Einen Prioritätenplan, der zeigt: „Wir haben das im Griff“
Starte klein, aber starte jetzt.
Jeder strukturierte Schritt heute verhindert hektische Entscheidungen morgen.