NIS2 Checkliste für die Geschäftsführung: 10 Sofortmaßnahmen
Die Geschäftsleitung haftet persönlich für NIS2-Compliance. Diese 10-Punkte-Checkliste zeigt, was Sie als CEO, CIO oder Geschäftsführer jetzt tun müssen.
Seit Dezember 2025 gilt NIS2 in Deutschland. Die Geschäftsleitung haftet persönlich – und diese Pflicht ist nicht delegierbar. Trotzdem haben viele Geschäftsführer keinen klaren Überblick über ihren Handlungsbedarf.
Diese Checkliste gibt Ihnen 10 konkrete Sofortmaßnahmen, die Sie als Geschäftsführer, Vorstand oder CIO priorisieren sollten.
Checkliste: 10 Sofortmaßnahmen
1. Betroffenheit klären
Frage: Fällt Ihr Unternehmen unter NIS2?
Kriterien:
- Tätig in einem der 18 NIS2-Sektoren (Energie, Gesundheit, Transport, Digitale Infrastruktur, etc.)
- Mehr als 50 Mitarbeiter ODER mehr als 10 Mio. EUR Jahresumsatz
Sofortmaßnahme: Prüfen Sie Ihre Betroffenheit mit unserem NIS2-Selbstcheck (10 Minuten).
2. Verantwortlichkeiten definieren
Problem: “Der CISO macht das schon” reicht nicht. NIS2 verlangt, dass die Geschäftsleitung die Cybersicherheitsmaßnahmen persönlich überwacht.
Sofortmaßnahme:
- Definieren Sie einen direkten Berichtspfad vom CISO an die Geschäftsleitung
- Setzen Sie Cybersicherheit als festen Tagesordnungspunkt in der Geschäftsführungssitzung
- Dokumentieren Sie Ihre Beteiligung schriftlich
3. Schulungspflicht erfüllen
NIS2 Art. 20: Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen.
Sofortmaßnahme: Buchen Sie für die gesamte Geschäftsleitung eine Cybersicherheitsschulung. Dokumentieren Sie die Teilnahme. Wiederholen Sie jährlich.
4. Risikomanagement verankern
NIS2 Art. 21: Unternehmen müssen ein umfassendes Risikomanagement für Cybersicherheit implementieren.
Sofortmaßnahme:
- Prüfen Sie, ob Cybersicherheitsrisiken in Ihrem unternehmensweiten Risikomanagement berücksichtigt werden
- Falls nicht: Integrieren Sie Cyberrisiken in den nächsten Risk-Review-Zyklus
5. Incident-Response-Plan prüfen
NIS2-Fristen:
- 24 Stunden: Frühwarnung an das BSI
- 72 Stunden: Vorfallmeldung mit erster Bewertung
- 1 Monat: Abschlussbericht
Sofortmaßnahme: Lassen Sie prüfen, ob Ihr Incident-Response-Plan diese Fristen abbildet. Wer meldet? Über welchen Kanal? Wer entscheidet über die Erstmeldung?
6. Supply Chain Security bewerten
NIS2 Art. 21 Abs. 2d: Sicherheit in der Lieferkette ist explizit gefordert.
Sofortmaßnahme:
- Identifizieren Sie Ihre kritischen IT-Lieferanten (Cloud-Provider, SaaS-Anbieter, Managed Services)
- Prüfen Sie, ob in bestehenden Verträgen Cybersicherheitsanforderungen enthalten sind
- Planen Sie die vertragliche Anpassung bei der nächsten Vertragsverlängerung
7. MFA durchsetzen
Sofortmaßnahme: Multi-Faktor-Authentifizierung für alle Remote-Zugänge und privilegierten Konten. Kein VPN ohne MFA, kein Admin-Zugang ohne MFA. Dies ist eine der einfachsten und wirksamsten Maßnahmen.
8. Notfall-Kontakte aktualisieren
Sofortmaßnahme:
- BSI-Meldestelle: Kennen Sie die Kontaktdaten und den Meldeweg?
- Interne Eskalationskette: Ist dokumentiert, wer wen informiert?
- Externe Partner: Haben Sie einen Incident-Response-Dienstleister unter Vertrag?
9. Business Continuity Plan testen
Frage: Wann wurde Ihr IT-Disaster-Recovery-Plan zuletzt getestet?
Sofortmaßnahme: Planen Sie einen Tabletop-Exercise (Simulationsübung) innerhalb der nächsten 3 Monate. Beteiligen Sie die Geschäftsleitung.
10. Gap-Analyse beauftragen
Sofortmaßnahme: Beauftragen Sie ein professionelles NIS2 Readiness Assessment, um Ihren IST-Stand gegen alle NIS2-Anforderungen zu bewerten. Sie erhalten:
- Gap-Analyse über 10 Anforderungsdomänen
- Priorisierter Maßnahmenplan
- Ergebnisbericht (40-60 Seiten) für Ihre Geschäftsleitung
Zusammenfassung: Prioritäten
| Priorität | Maßnahme | Aufwand |
|---|---|---|
| Sofort | Betroffenheit klären | 1 Stunde |
| Sofort | MFA durchsetzen | 1–2 Wochen |
| Kurzfristig | Verantwortlichkeiten definieren | 1 Tag |
| Kurzfristig | Incident-Response-Plan prüfen | 2–3 Tage |
| Kurzfristig | Schulungspflicht erfüllen | 1 Tag |
| Mittelfristig | Gap-Analyse beauftragen | 3–4 Tage |
| Mittelfristig | Supply Chain Security | 2–4 Wochen |
| Mittelfristig | Business Continuity testen | 1 Tag |
Die Konsequenzen bei Nicht-Handeln
- Bußgeld: Bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung: Geschäftsleitung haftet mit ihrem Privatvermögen
- Reputation: Ein öffentlich bekannter Sicherheitsvorfall bei gleichzeitiger NIS2-Nicht-Compliance ist ein Karriererisiko
Sie möchten Ihren NIS2-Status systematisch bewerten? Unser NIS2 Readiness Assessment prüft 125+ Punkte in 3–4 Tagen und liefert einen priorisierten Maßnahmenplan – zum Festpreis ab 7.500 EUR.