NIS-2-Check

Fällt Ihr Unternehmen unter NIS-2?

Dieser interaktive NIS-2-Check hilft Unternehmen, SaaS-/Cloud-Anbietern, IT-Dienstleistern, Plattformen, kritischen Lieferanten und digitalen Geschäftsmodellen bei der ersten redaktionellen Einordnung von Betroffenheit, Risikostufe, Registrierungs-, Management-, Melde- und Nachweispflichten.

NIS2 / BSIG Cybersecurity Incident Response Lieferkette

Worum es bei NIS-2 praktisch geht

NIS-2 ist in Deutschland seit dem 06.12.2025 über das Umsetzungsgesetz im BSIG verankert. Entscheidend sind nicht nur Branche und Größe, sondern auch Einrichtungstyp, Konzernstruktur, kritische Lieferketten, IT-Abhängigkeiten, Incident-Prozesse und die Verantwortlichkeit der Geschäftsleitung.

Vorläufige Einordnung als wichtige oder besonders wichtige Einrichtung
Prüfung von Registrierung, Risikomanagement, Managementpflichten und Meldewegen
Abgleich mit DSGVO, DORA, CRA, KRITIS, Cloud-/SaaS- und Lieferkettenanforderungen

Interaktives NIS-2-Command-Center

Scope, Readiness und Meldeuhr auf einen Blick

Dieses Modul verändert sich während des Fragebogens. Es zeigt, ob ein NIS-2-Scope naheliegt, welche Einrichtungskategorie zu prüfen ist, wie belastbar die vorhandenen Maßnahmen wirken und ob eine Incident-Meldeuhr aktiviert werden muss.

Scopenoch offen

Kategorienoch offen

Readiness0 %

Meldedruckpräventiv

Scope-Scanner

Die Balken markieren, welche Scope-Signale bereits erkennbar sind.

Sektor

Größe / Rolle

Kritikalität

Prüfdruck

Incident-Meldeuhr

präventiv keine Meldeuhr aktiv

24h Frühwarnung prüfen 72h Meldung prüfen 1 Monat Abschlussbericht prüfen

Readiness-Barometer

Je mehr belastbare Bausteine vorhanden sind, desto stärker füllt sich das Barometer.

ISMS Leitung Incident BCM Lieferkette IAM Monitoring

Orientierung

So arbeitet der Check

Sektor bestimmen

Zuordnung zu NIS-2-/BSIG-Sektoren, digitalen Diensten, öffentlicher Verwaltung, kritischer Infrastruktur oder Lieferkettenrolle.

Größe und Sonderrolle prüfen

Schwellenwerte, Sondertatbestände, Konzernstruktur, öffentliche Einrichtung, KRITIS- oder Spezialregulierung werden berücksichtigt.

Kritikalität bewerten

Ausfallfolgen, sensible Daten, grenzüberschreitende Dienste, Cloud-/MSP-Abhängigkeiten und DORA-/CRA-/DSGVO-Schnittstellen fließen ein.

Readiness einordnen

Der Check fragt Governance, Risikoanalyse, Incident Response, BCM, Lieferkette, Zugriffsschutz, Monitoring, Schulungen und Nachweise ab.

Priorität ableiten

Am Ende erhalten Sie eine vorläufige redaktionelle Risikostufe, Gründe, Prüfpunkte, Unterlagenliste und einen kopierbaren Kurzüberblick für die Anfrage.

Einordnung

Was dieser Check leistet

Der Check ersetzt keine Einzelfallprüfung. Er strukturiert die typischen Fragen, die bei NIS-2-/BSIG-Betroffenheit, Registrierung, Cybersecurity-Risikomanagement, Geschäftsleitungsverantwortung, Lieferkettensteuerung und Incident-Meldung relevant werden.

Welche Unternehmen können betroffen sein?

Betroffenheit kann insbesondere bei Energie, Transport, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitaler Infrastruktur, Managed Services, Cloud, Rechenzentren, öffentlicher Verwaltung, Weltraum, Produktion, Chemie, Lebensmittel, Abfall, Post/Kurier, Forschung und bestimmten digitalen Anbietern relevant werden. Größe, Rolle, Sondertatbestände und verbundene Unternehmen sind gesondert zu prüfen.

Welche Pflichten stehen typischerweise im Mittelpunkt?

Typisch sind Risikoanalyse, Sicherheitskonzept, Incident Response, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Beschaffung, Zugriffsschutz, Kryptografie, Schulungen, Geschäftsleitungsüberwachung, Registrierung, Nachweise und Meldeprozesse für erhebliche Sicherheitsvorfälle.

Was gilt bei Sicherheitsvorfällen?

Bei erheblichen Sicherheitsvorfällen ist eine zeitkritische Bewertung erforderlich. Die NIS-2-Meldelogik arbeitet mit früher Erstmeldung, Meldung binnen 72 Stunden und Abschlussmeldung regelmäßig innerhalb eines Monats. Nationale Portale, Detailanforderungen und parallele DSGVO-, DORA-, CRA- oder Kundenpflichten müssen im Einzelfall abgeglichen werden.

Wo liegen die Grenzen der Erstorientierung?

Der Check kann die konkrete rechtliche Einordnung, technische Prüfung, Konzernzurechnung, Behördenkommunikation, Nachweisführung und Vertragsanalyse nicht ersetzen. Gerade bei KRITIS, DORA, Cloud-/MSP-Rollen, öffentlichen Auftraggebern, internationalen Gruppen und akuten Vorfällen ist eine vertiefte Prüfung erforderlich.

Interaktiver Fragebogen

NIS-2-Betroffenheit vorläufig prüfen

Bitte beantworten Sie die Fragen so konkret wie möglich. Das Command-Center oberhalb dieses Fragebogens aktualisiert sich anhand Ihrer Antworten.

1 von 5 Schritten

1. Welcher Sektor beschreibt Ihr Unternehmen am besten?

Wählen Sie den Schwerpunkt, der Ihre Hauptleistung oder regulierungsrelevante Rolle am besten beschreibt.

Energie, Verkehr, Finanzen, Gesundheit, Wasser oder kritische VersorgungTypische Sektoren mit hoher Relevanz für besonders wichtige oder wichtige Einrichtungen. Digitale Infrastruktur, Cloud, Rechenzentrum, DNS, TLD, CDN oder VertrauensdiensteDigitale Infrastruktur und bestimmte Dienste sind für NIS-2 regelmäßig besonders sensibel. Managed IT, MSP, MSSP, IT-Outsourcing oder B2B-IT-BetriebIT-Dienstleister können sowohl direkt als auch über Kundenanforderungen betroffen sein. Öffentliche Verwaltung, öffentliche Einrichtung oder Weltraum/SatellitÖffentliche und staatsnahe Funktionen benötigen eine gesonderte Einordnung. Produktion, Chemie, Lebensmittel, Abfall, Post/Kurier oder ForschungWeitere Sektoren können als wichtige Einrichtungen oder in Lieferketten relevant sein. Online-Marktplatz, Suchmaschine, soziale Plattform oder digitaler DienstPlattform- und Digitaldienstmodelle können NIS-2-, DSA-, Datenschutz- und Sicherheitsfragen verbinden. Lieferant für regulierte Kunden oder kritische ProjekteAuch ohne klare direkte Betroffenheit können vertragliche und praktische Cyberpflichten entstehen. Anderer oder noch unklarer SektorKeine eindeutige Zuordnung; eine mittelbare Betroffenheit bleibt möglich.

2. Welche Größe oder Sonderrolle trifft zu?

Die Einstufung hängt häufig von Größe, Einrichtungstyp und Sondertatbeständen ab.

Sonderrolle: DNS, TLD, Vertrauensdienst, öffentliche elektronische Kommunikation oder KRITISBestimmte Dienste und kritische Rollen können unabhängig oder teilweise unabhängig von Standardgrößen besonders relevant sein. Großes UnternehmenAb etwa 250 Beschäftigten oder oberhalb typischer großer Umsatz-/Bilanzschwellen. Mittleres UnternehmenAb etwa 50 Beschäftigten oder entsprechender wirtschaftlicher Größe. Kleineres Unternehmen, aber kritischer Lieferant oder IT-DienstleisterUnterhalb der Schwellen, aber mit Sicherheitsanforderungen von Kunden, Konzern, Versicherern oder Auftraggebern. Öffentliche Verwaltung oder öffentlich-rechtliche StrukturBehörde, kommunale Einrichtung, Körperschaft, ausgelagerte öffentliche Funktion oder staatsnahe IT. Unklar: Konzernstruktur, Schwellenwerte oder Zurechnung offenMitarbeiter, Umsatz, Bilanzsumme oder verbundene Unternehmen müssen noch geklärt werden.

3. Welche Kritikalitäts- und Risikosignale treffen zu?

Mehrfachauswahl ist möglich.

Ausfall hätte erhebliche Folgen für Kunden, Versorgung, Patienten, Bürger oder BetriebDer Dienst ist wesentlich für Geschäftsprozesse, Versorgung oder öffentliche Abläufe. EU-weit, grenzüberschreitend oder konzernweit tätigDienste, Nutzer, Standorte, Kunden oder Datenflüsse betreffen mehrere Länder. Sensible Daten, Betriebsgeheimnisse, Zugangsdaten oder InfrastrukturdatenSchutzbedarf ist wegen Datenart, Kundenkreis oder Systemzugang erhöht. Kritische Lieferkette, Cloud, MSP, SaaS oder Outsourcing-AbhängigkeitAndere regulierte Einrichtungen hängen von Ihrer Leistung oder Ihren Dienstleistern ab. Schnittstelle zu DORA, CRA, KRITIS, DSGVO, TKG oder SpezialaufsichtMehrere Cyber-, Datenschutz-, Produkt- oder Resilienzregime können parallel greifen. Keine besondere Kritikalität erkennbarDer Dienst hat nach Ihrer Einschätzung nur begrenzte Außenwirkung.

4. Welche Sicherheits- und Governance-Bausteine sind belastbar umgesetzt?

Bitte nur auswählen, was dokumentiert, zuständig und praktisch nutzbar ist.

ISMS, Risikoanalyse, Sicherheitskonzept oder BSI-/ISO-orientiertes KontrollsystemRisiken, Controls, Verantwortlichkeiten und Nachweise sind dokumentiert. Geschäftsleitungs-Governance, Berichtslinien und SchulungenLeitungsorgan, CISO/IT, Legal/Compliance und Eskalationen sind geregelt. Incident-Response-Prozess mit Melde- und KommunikationswegenRollen, 24h-/72h-/1-Monat-Logik, Forensik, Krisenstab und Kundenkommunikation sind vorbereitet. Business Continuity, Backup, Restore-Tests und WiederanlaufBCM, Notfallpläne, RTO/RPO, Ausweichprozesse und Tests sind vorhanden. Lieferketten-, Cloud-, MSP- und SaaS-SteuerungSecurity Annex, Meldepflichten, Auditrechte, Subunternehmer, Exit und Nachweise sind geregelt. IAM, MFA, Rechtekonzept, Admin-Schutz und Joiner/Mover/LeaverZugriffsrechte sind rollenbasiert, geprüft und technisch abgesichert. Logging, Monitoring, Schwachstellen-, Patch- und Asset-ManagementErkennung, Priorisierung, Behandlung und Nachweis von Sicherheitsrisiken sind etabliert. Noch kein strukturierter NIS-2-/Cyber-Readiness-StandEinzelmaßnahmen existieren vielleicht, aber kein belastbares Gesamtbild.

5. Gibt es akuten oder kurzfristigen Handlungsdruck?

Mehrfachauswahl ist möglich.

Aktueller Sicherheitsvorfall, Ransomware, Ausfall, Datenabfluss oder LieferkettenvorfallEine erhebliche Störung oder ein Angriff wird gerade untersucht. Kenntnisnahme vor weniger als 24 StundenEine frühe Erstmeldung und Triage können zeitkritisch sein. Kenntnisnahme vor 24 bis 72 Stunden oder längerDie 72-Stunden-Meldelogik und Abschlussmeldung sollten geprüft werden. Registrierung, Selbsteinstufung oder Kontaktstelle ist noch ungeklärtBetroffenheit, Kategorie, Meldewege und Behördenkontakt sind nicht dokumentiert. Kunde, Konzern, Versicherung, Auditor oder Ausschreibung verlangt NachweiseFragebogen, Vertragsklauseln, Security Annex oder Audit stehen im Raum. Go-live, Produktlaunch, Migration, Outsourcing oder Vertragsabschluss steht bevorCybersecurity und Nachweise sind kurzfristig entscheidungsrelevant. Präventive Prüfung ohne akuten VorfallBetroffenheit, Lücken und nächste Schritte sollen strukturiert geklärt werden.

Fristen und Risiken

Typische NIS-2-/Cybersecurity-Prüfpunkte

Prüfpunkt	Typischer Auslöser	Maßnahme	Priorität
Betroffenheitsprüfung	NIS-2-/BSIG-Sektor, Größenkriterium, Sonderrolle, Konzernstruktur oder kritische Lieferkette	Sektor, Einrichtungstyp, Größe, verbundene Unternehmen und Kundenanforderungen dokumentieren	Sofort
Registrierung und Kontaktstellen	Direkte Betroffenheit als wichtige oder besonders wichtige Einrichtung	Selbsteinstufung, Kontaktdaten, interne Zuständigkeiten und Meldewege festlegen	Kurzfristig
Geschäftsleitung	NIS-2-/BSIG-Managementpflichten	Risikomanagement billigen, überwachen, Schulungen dokumentieren und Berichtslinien etablieren	Sofort bis 30 Tage
Incident-Meldung	Erheblicher Sicherheitsvorfall oder Verdacht auf erhebliche Auswirkungen	Frühe Meldung, 72-Stunden-Meldung, Zwischen-/Abschlussbericht, Forensik und Beweissicherung prüfen	Akut
Lieferkette und Outsourcing	Cloud, MSP, SaaS, Subunternehmer oder kritischer IT-Dienstleister	Security Annex, Meldepflichten, Auditrechte, Exit, Subunternehmer und Nachweise prüfen	30 bis 90 Tage
Schnittstellen	DSGVO-Datenpanne, DORA, CRA, KRITIS, TKG, Produktsicherheit oder Kunden-Audit	Parallelpflichten, Meldefristen, Nachweisdokumentation und Kommunikation synchronisieren	Einzelfallabhängig

Nächste sinnvolle Schritte

NIS-2-Betroffenheit rechtlich und technisch strukturiert klären

Wenn Ihr Unternehmen in einem NIS-2-Sektor tätig ist, kritische IT-Dienste betreibt, Kunden- oder Auditdruck hat oder ein Sicherheitsvorfall vorliegt, sollte die Einordnung zügig dokumentiert werden. Hilfreich sind Sektorbeschreibung, Größenangaben, Dienstleisterliste, Sicherheitsdokumentation, Incident-Runbooks, Kundenfragebögen und vorhandene Verträge.

Anfrage an ITMR vorbereiten

Rechtlicher Orientierungshinweis

Dieser NIS-2-Check liefert eine strukturierte Erstorientierung und ersetzt keine Rechtsberatung im Einzelfall. Ob eine wichtige oder besonders wichtige Einrichtung vorliegt, welche Registrierungs-, Management-, Melde-, Nachweis- und Sicherheitsmaßnahmen konkret gelten und wie nationale Detailvorgaben umzusetzen sind, muss anhand der konkreten Organisation, Dienste, Kunden, Konzernstruktur, technischen Systeme und laufenden Behördenpraxis geprüft werden.