Checkliste zur NIS-2-Compliance

1. Betroffenheit prüfen

• Selbstbewertung, ob das Unternehmen unter NIS‑2 fällt.
• Registrierung jeder juristischen Einheit bei der Cybersicherheitsbehörde.

2. Risikomanagement aufbauen

• Dokumentierte Risikomanagement- und Sicherheitsprozesse implementieren.
• Regelmäßige Risikoanalyse und Schwachstellenbewertung durchführen.

3. Sicherheitsmaßnahmen implementieren

• Technische und organisatorische Maßnahmen für Vertraulichkeit, Integrität, Verfügbarkeit.
• Backup, Notfallpläne, Incident Response und Monitoring einrichten.

4. Meldepflichten sicherstellen

• Prozesse für Vorfallmeldungen innerhalb von 24 Stunden implementieren.
• Follow-Up Berichte und Reportingstruktur etablieren.

5. Lieferketten überprüfen

• Sicherheitsanforderungen entlang der gesamten Lieferkette nachweisen.
• Verträge und Audits mit Zulieferern prüfen und anpassen.

6. Dokumentation und Reporting

• Maßnahmen, Prozesse, Risiken und Vorfälle kontinuierlich dokumentieren.
• Fristgerechte Berichte an die Cybersicherheitsbehörde vorbereiten.

7. Aus- und Weiterbildungen sowie ISO Standards nutzen

• Qualifikationen wie Information Security Manager (CISM, CISSP) oder ISO 27001 Lead Implementer/Auditor fördern Fachwissen.
• Viele NIS‑2-Anforderungen wie Sicherheitsrichtlinien, Notfallpläne und Lieferkettenmanagement sind in ISO 27001 und vergleichbaren Standards enthalten.
• Bestehende Management- und Risikostrukturen lassen sich direkt auf NIS‑2 übertragen, Prozesse wie Risikomanagement, Auditierung und Compliance sind bereits teilweise abgedeckt.