NIS 2

So bereiten Sie Ihre Organisation auf die NIS2-Konformität vor

NIS2 wird 2026 durchgesetzt. Hier ist der praktische, direkte Fahrplan ohne Umschweife, um Ihre Organisation konform zu machen; ohne im Papierkram zu versinken oder Monate mit Theorie zu verschwenden.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 Min. Lesezeit
How to Prepare Your Organization for NIS2 Compliance

Die meisten Organisationen sind für NIS2 bereits im Rückstand. Nicht weil NIS2 kompliziert wäre, sondern weil sie den Umfang der Veränderung unterschätzen.

NIS2 ist kein Cybersecurity-Upgrade. Es ist eine grundlegende Governance-Reform, die Ihr Vorstand, Ihre Lieferanten, Ihr Incident Response, Ihre Kontinuitätspläne, Ihr Logging, Ihr Risikoprogramm und Ihre Nachweise betrifft.

The question isn't “Are we compliant?” Sondern: “Can we prove maturity when the regulator knocks?”

Hier ist die klare Roadmap.

Die Vorbereitung auf NIS2 bedeutet nicht, ein Tool zu kaufen oder ein paar Richtlinien zu schreiben. Es geht darum, den Behörden zu zeigen, dass Ihre Cybersecurity:

  • dokumentiert
  • umgesetzt
  • gemessen
  • getestet
  • nachgewiesen
  • gesteuert
  • von der Führungsebene verantwortet wird

Genau diesen Teil überspringen die meisten Unternehmen; und genau diesen Teil prüfen die Behörden zuerst.

Kommen wir zu den praktischen Schritten.

1. Beginnen Sie mit einer NIS2-Gap-Analyse (pragmatisch, nicht akademisch)

Ihr erster Schritt besteht nicht darin, Controls einzuführen, sondern zu wissen, wo Sie stehen.

Fokussieren Sie sich auf 5 Bereiche:

  • Governance & Richtlinien
  • Risikomanagement
  • Incident Response
  • Business Continuity & DR
  • Lieferanten- & Cloud-Risiken

Das muss kein 100-seitiges Dokument sein. Eine klare, 10 bis 15 Seiten umfassende Bewertung auf Führungsebene mit Nachweisreferenzen reicht als Ausgangspunkt.

Tipp: Verwenden Sie ein Reifegradmodell nach ISO 27001-Art (1–5). Behörden erwarten eine strukturierte Bewertung, keine subjektiven Einschätzungen.

Warnung: Wer die Gap-Analyse überspringt, verliert später das Zehnfache an Zeit.

2. Bauen Sie ein echtes Governance- und Verantwortlichkeitsmodell auf (unter NIS2 verpflichtend)

NIS2 verpflichtet den Vorstand zur persönlichen Verantwortung. Das bedeutet: Sie müssen Governance formalisieren.

Was Sie benötigen:

  • von der Führungsebene genehmigte Cybersecurity-Strategie
  • klar definierte Rollen und Verantwortlichkeiten
  • dokumentierte Entscheidungsprotokolle
  • Berichtsstruktur auf Vorstandsebene
  • regelmäßiger CISO-Berichtszyklus an den Vorstand
  • Schulung der Führungskräfte (verpflichtend)

Bei konsequenter Umsetzung lässt sich das in zwei Meetings einrichten.

Tipp: Stellen Sie NIS2 als regulatorische Verpflichtung, not a “security initiative”. Führungskräfte nehmen es erst ernst, wenn die Haftung explizit benannt ist.

3. Implementieren Sie ein solides Risikomanagement-Framework

Your risk management cannot be a list of “high/medium/low” ratings. Behörden erwarten einen Ansatz nach ISO 27005/31000.

Sie benötigen:

  • definierte Risikomethodologie
  • bedrohungsbasierte Identifikation
  • Auswirkungskriterien
  • Behandlungspläne
  • Dokumentation der Risikoakzeptanz
  • regelmäßige Neubewertung
  • Verknüpfung mit Controls
  • Verknüpfung mit Lieferanten

Ohne diese Grundlage hält nichts anderes einer Prüfung stand.

Tipp: Starten Sie klein: 15 bis 25 Kernrisiken reichen für die NIS2-Readiness.

4. Aktualisieren Sie Ihren Incident Response Plan (IRP) für die NIS2-Fristen

NIS2 verlangt eine mehrstufige Meldepflicht:

  • 24 Stunden → Frühwarnung
  • 72 Stunden → vollständige Vorfallsmeldung
  • 1 Monat → Abschlussbericht

Ihr IRP muss diese Schritte explizit integrieren.

  • Klassifizierung der Vorfallsschwere
  • regulatorische Meldeschwellen
  • Kommunikationsfluss (intern und gegenüber der Behörde)
  • Vorlagen für 24h/72h-Meldungen
  • Eskalationspfade für SaaS-/Cloud-Anbieter
  • Kontaktrahmen für CSIRT
  • rechtliche Prüfungsschritte
  • Plan zur Beweissicherung

Testen Sie ihn. Eine Tabletop-Übung ist verpflichtend, um die Readiness nachzuweisen.

5. Formalisieren Sie Business Continuity & Disaster Recovery (BC/DR)

NIS2 verlangt operative Resilienz, keine theoretischen Pläne.

Erforderliche Dokumente:

  • Business Impact Analysis (BIA)
  • Kontinuitätspläne
  • DR-Pläne
  • Failover- und Backup-Strategie
  • Testberichte
  • Krisenkommunikationsplan

Bei den meisten Unternehmen existiert BC/DR nur auf dem Papier. NIS2 verlangt Testnachweise; das ist der entscheidende Unterschied.

6. Beheben Sie die Lücken im Lieferanten- und Cloud-Risikomanagement (die häufigste Schwachstelle)

NIS2 verpflichtet Sie rechtlich, kritische Lieferanten zu steuern.

Sie müssen:

  • kritische Lieferanten identifizieren
  • sie einer Risikobewertung unterziehen
  • vertragliche Sicherheitsklauseln implementieren
  • Transparenz bei Unterauftragsverarbeitern einfordern
  • Cloud-Abhängigkeiten bewerten
  • deren Incident-Handling-Fähigkeiten validieren
  • Exit-Strategien entwickeln

Ein einfaches Vendor-Risk-Tiering-System löst 80 % davon.

Tipp: Keine Überstrukturierung. Beginnen Sie mit drei Stufen: Kritisch / Wichtig / Basis.

7. Stärken Sie Logging, Monitoring & Detection (Mindestanforderung)

Behörden erwarten:

  • Event-Logs
  • Aufbewahrungsrichtlinien
  • zentralisiertes Monitoring
  • Anomalieerkennung
  • MDR/SOC für kleinere Unternehmen
  • Nachweise, dass die Detection funktioniert

Ohne Logging-Strategie sind Sie nicht NIS2-ready. Mit Logging, aber ohne Monitoring: dasselbe Ergebnis.

Ein kleiner MDR-Anbieter kann dieses Problem für KMU sofort lösen.

8. Bauen Sie eine strukturierte Nachweisbibliothek auf (Ihr Rettungsanker im Audit)

NIS2-Compliance steht und fällt mit den Nachweisen. Richtlinien allein bedeuten Nichtkonformität.

Ihre Nachweisbibliothek muss enthalten:

  • versionierte Richtlinien und Verfahren
  • Risikobewertungen
  • Vorfallsprotokolle
  • Lieferantenbewertungen
  • Schulungsnachweise
  • Audit-Trails
  • Vorstandsprotokolle
  • Entscheidungsprotokolle
  • Monitoring-Outputs

Bewährte Tools:

  • Eramba (bestes Preis-Leistungs-Verhältnis)
  • CISO Assistant (schlank & NIS2-freundlich)
  • OneTrust / ServiceNow (Enterprise)
  • Drata/Vanta (für Mid-Market-Automatisierung)

Ohne Nachweise haben Sie nichts.

9. Bereiten Sie Ihren Vorstand vor (und dokumentieren Sie es)

Das ist verpflichtend und prüfbar.

Führungskräfte müssen:

  • Cybersecurity-Schulungen erhalten
  • die Strategie genehmigen
  • Risiken reviewen
  • Risiken formal akzeptieren
  • Budget bereitstellen
  • wesentliche Entscheidungen freigeben

Dokumentieren Sie alles. Wer keine Executive-Oversight nachweisen kann, ist nicht konform.

10. Führen Sie ein internes Audit oder eine Readiness-Bewertung durch

Führen Sie 2026 ein Probe-Audit durch, das folgende Bereiche abdeckt:

  • Governance
  • Risiko
  • IRP
  • BC/DR
  • Lieferantenaufsicht
  • Controls
  • Nachweise

Das zeigt verbleibende Lücken und bereitet Sie auf Behördenprüfungen vor.

Abschließende Überlegung

Bei NIS2 geht es nicht darum, Technologie zu kaufen. Es geht darum, nachzuweisen, dass Cybersecurity:

  • gesteuert
  • dokumentiert
  • getestet
  • nachgewiesen
  • verantwortet
  • resilient ist

Wer das demonstrieren kann, ist NIS2-ready. Wer nicht, den kann am Prüfungstag kein Tool und kein Berater retten.

NIS2 verlangt Reife, keine Perfektion. Starten Sie früh, gehen Sie Schritt für Schritt vor und dokumentieren Sie alles.

Wenn Sie eine vollständige Schritt-für-Schritt-Methode zur NIS2-Compliance suchen, die Governance, Risiko, Lieferanten, IRP, BC/DR und Nachweise abdeckt, ist das genau das, was wir in der Cyber Academy NIS2 Lead Implementer-Schulung vermitteln. Nehmen Sie an der nächsten Session teil und seien Sie lange vor 2026 vorbereitet.

← Zurück zu allen ArtikelnMehr zu NIS 2

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.

Newsletter abonnierenBack to articles