Um Compliance mit der NIS2-Richtlinie zu erreichen, benötigen Unternehmen einen konkreten Projektplan. Wir erklären Ihnen, wie Sie systematisch von der Erhebung des Ist-Zustands über die Projektplanung und konkrete Umsetzung bis zur rechtssicheren Dokumentation gelangen. Inklusive praktischer Tipps aus unserer Beratungspraxis für Ihren NIS2-Projektplan.
Wie sieht ein strukturierter NIS2-Projektplan aus?
NIS2-Compliance ist kein Projekt, das sich an die IT-Abteilung delegieren lässt. Die NIS2-Richtlinie und das dadurch geänderte BSI-Gesetz (BSIG) verpflichten Unternehmen zu konkreten Risikomanagementmaßnahmen und machen die Geschäftsleitung persönlich verantwortlich. Ein konkreter Plan unter Einbeziehung aller Verantwortlichen ist geboten.
NIS2-Compliance ist auch kein Sprint, sondern ein Prozess mit mehreren Phasen. Wer versucht, alles auf einmal umzusetzen, verliert schnell den Überblick. Ein strukturierter Projektplan hilft dabei, Verantwortlichkeiten zu klären, Maßnahmen zu priorisieren und den Fortschritt nachvollziehbar zu dokumentieren.
In unserer Beratungspraxis mit Kunden verschiedener Branchen hat sich die folgend dargestellte Abfolge bewährt. Die Reihenfolge ist dabei nicht zufällig. Jede Phase baut auf der vorherigen auf. Wer beispielsweise mit der Umsetzung beginnt, bevor die Gap-Analyse abgeschlossen ist, riskiert, Ressourcen in die falschen Bereiche zu stecken.
Ist eine NIS2-Betroffenheitsanalyse positiv ausgefallen, gliedert sich ein bewährter NIS2-Projektplan in folgende Phasen:
- Internen Projektverantwortlichen benennen und Verantwortlichkeiten klären
- Registrierungspflicht beim BSI erfüllen (§ 33 BSIG)
- Risikobewertung und NIS2-Gap-Analyse durchführen
- Umsetzungsplan beschließen und budgetieren
- Geschäftsleitung zu NIS2 schulen (§ 38 Abs. 3 BSIG)
- Incident-Response-Plan erstellen und testen
- Lieferkettensicherheit und Drittanbieter prüfen
- Dokumentation laufend aktualisieren und Nachweise sichern
Tipp: Die Registrierungspflicht nach § 33 BSIG wird in der Praxis oft übersehen. Von NIS2 betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten der Pflicht beim BSI registrieren.
Das BSIG trat am 3. Dezember 2025 in Kraft; die Registrierungsfrist lief damit am 3. März 2026 ab.
Unternehmen, die dies bisher versäumt haben oder die durch interne Änderungen zu einem späteren Zeitpunkt unter NIS2-Richtlinie fallen, sollten die Registrierung dringend nachholen.
Warum ist die NIS2-Gap-Analyse der notwendige Ausgangspunkt?
Die NIS2-Gap-Analyse ist der erste und wichtigste Schritt auf dem Weg zur NIS2-Compliance. Sie vergleicht den Ist-Zustand Ihrer Informationssicherheit mit den zehn Anforderungsbereichen aus § 30 Abs. 2 BSIG und zeigt, wo konkret Handlungsbedarf besteht.
In der Praxis hat sich ein schrittweises Vorgehen bewährt. Zunächst klären Sie intern, wer das Vorhaben koordiniert und verantwortet. Dann folgt die eigentliche Risikobewertung:
- Welche Systeme, Prozesse und Daten sind unternehmenskritisch?
- Welche Bedrohungsszenarien sind realistisch?
Auf dieser Grundlage erstellen Sie einen priorisierten Maßnahmenkatalog, den die Geschäftsleitung formal beschließt. Das ist kein optionaler Schritt: § 38 BSIG verpflichtet die Unternehmensleitung ausdrücklich zur Billigung und Überwachung der Risikomanagementmaßnahmen.
Tipp: Lesen Sie auch, in welchem Umfang die Geschäftsführung unter NIS2 persönlich für Cybersicherheit haftet.
Praxiserfahrung: In unserer Beratungspraxis erleben wir es regelmäßig, dass Unternehmen, die sich (etwa durch ein bestehendes ISO-27001-Zertifikat) gut aufgestellt glauben, bei der NIS2-Gap-Analyse Überraschungen entdecken. Die häufigsten Ursachen: Fehlende Zuständigkeiten, veraltete Backup-Konzepte oder Lieferantenbeziehungen, die nie auf Sicherheitsanforderungen geprüft wurden.
Die NIS2-Gap-Analyse ist oftmals der erste ehrliche Blick darauf, wie es um die eigene IT-Sicherheit aktuell wirklich steht.
Welche Maßnahmen verlangt NIS2 konkret?
§ 30 BSIG definiert einen verbindlichen Mindestmaßnahmenkatalog. Anders als etwa Art. 32 DSGVO, der lediglich mögliche Maßnahmen benennt, handelt es sich hier um konkrete Pflichtbereiche. Wesentlich bleibt dabei das Verhältnismäßigkeitsprinzip: Die Maßnahmen müssen geeignet, erforderlich und angemessen sein, gemessen an Größe und Risikoprofil des Unternehmens.
Zu den zentralen Pflichtbereichen zählen:
- Risikoanalyse und Informationssicherheitskonzepte
- Business Continuity Management, Backup und Krisenmanagement
- Sicherheit in der Lieferkette
- Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA)
- Verschlüsselung sensibler Daten
- Sichere Beschaffung von Hard- und Software
- Meldeverfahren für Sicherheitsvorfälle
Tipp: Wer bereits ein ISMS (Informationssicherheits-Managementsystem) nach ISO 27001 betreibt, hat für NIS2 einen echten Vorsprung. Die Strukturen sind da, das Risikomanagement ist etabliert. Dennoch müssen Sie prüfen, ob die spezifischen NIS2-Anforderungen vollständig abgebildet sind. Typische Lücken liegen bei Meldeprozessen, Lieferkettensicherheit und der Schulung der Geschäftsleitung.
Lesen Sie dazu auch unseren Vergleich von ISO 27001 und NIS2, sowie die Anleitung, wie Sie Ihr ISMS für NIS2 erweitern.
Wie priorisieren Sie die NIS2-Umsetzung realistisch?
Nicht alle Maßnahmen lassen sich gleichzeitig umsetzen. Entscheidend ist eine Priorisierung nach Risiko und Umsetzungsaufwand. Maßnahmen mit hohem Schutzeffekt und geringem Aufwand sollten Sie zuerst umsetzen. Welche Maßnahmen das konkret sind, hängt vom Ergebnis der NIS2-Gap-Analyse ab. Erfahrungsgemäß liegen die größten Lücken aber nicht im technischen Kernbereich, sondern bei der Dokumentation von Zuständigkeiten, klaren Meldeprozessen und der Einbindung der Geschäftsleitung.
Wichtig ist auch, dass die Geschäftsleitung den Umsetzungsplan formal beschließt und das Budget freigibt. NIS2-Compliance ist keine rein operative Aufgabe. Sie erfordert Entscheidungen auf Leitungsebene, die dokumentiert und nachweisbar sein müssen.
Wesentlich ist im Fall einer behördlichen Prüfung (und die kann ohne einen meldepflichtigen Vorfall erfolgen), dass Sie Fortschritte sichtbar machen können. Ein priorisierter Maßnahmenkatalog, in dem bereits erfolgte Umsetzung deutlich wird, ist hierfür unabdingbar.
Wie bauen Sie eine NIS2-Compliance-Dokumentation auf, die im Prüffall standhält?
§ 30 Abs. 1 BSIG schreibt eine eigenständige, bußgeldbewehrte Dokumentationspflicht vor. Entscheidend ist dabei nicht nur, dass Maßnahmen umgesetzt wurden, sondern dass sie belegbar sind.
Folgende Dokumente sollten mindestens vorliegen:
- IT-Sicherheitskonzept und Risikoanalyse-Berichte
- Richtlinien zu Passwortsicherheit, Zugriffsregelungen und Netzwerkarchitektur
- Business-Continuity- und Notfallpläne
- Schulungsplan, Teilnehmerlisten und Zertifikate für die Geschäftsleitung
- Incident-Response-Plan mit definierten Meldeprozessen
- Registrierungsbestätigung beim BSI
Hinweis: Bei besonders wichtigen Einrichtungen kann das BSI gemäß § 61 BSIG jederzeit Audits anordnen und Nachweise anfordern. Bei wichtigen Einrichtungen greift § 62 BSIG, sobald Anhaltspunkte bestehen, dass Pflichten nicht erfüllt werden. Wer dann keine belastbare Dokumentation vorweisen kann, riskiert Sanktionen, unabhängig davon, ob die Maßnahmen tatsächlich umgesetzt wurden.
Praxiserfahrung: Was wir in Prüfsituationen immer wieder sehen: Maßnahmen wurden umgesetzt, aber nicht dokumentiert. Das BSI will im Prüffall nicht hören, dass etwas gemacht wurde. Es will Nachweise sehen. Wer keine hat, steht so da, als hätte er nichts getan.
Was planen Sie, wenn Sie NIS2-Compliance erreicht haben?
Wenn Sie Ihr Unternehmen erfolgreich zur NIS2-Compliance geführt haben und alle NIS2-Nachweise erbringen können, sollte Ihr NIS2-Projektplan jedoch nicht enden und in der Schublade verschwinden. (Informationssicherheits-) Managementsysteme basieren auf dem PDCA-Prinzip (Plan – Do – Check – Act, auch Demingkreis genannt). Dieses erfordert eine kontinuierliche Überprüfung und Verbesserung. Angesichts der sich ständig ändernden Bedrohungen und der regelmäßig angepassten Regulierung ist dies gerade im Bereich der Cybersicherheit auch unbedingt nötig.
Für Ihren NIS2-Projektplan bedeutet dies konkret:
Internes Audit jährlich einplanen
Interne Audits sind (analog zur initialen NIS2-Gap-Analyse) das zentrale Instrument, um das eigene ISMS auf Schwachstellen zu untersuchen und gezielt zu verbessern. Planen Sie mindestens einmal jährlich ein internes Audit ein, das alle Bereiche des § 30 BSIG systematisch überprüft. Halten Sie Termin, Prüfumfang und Ergebnisse schriftlich fest.
Nachweis gegenüber dem BSI im Zwei-Jahres-Rhythmus vorbereiten
Besonders wichtige Einrichtungen müssen die Erfüllung der Risikomanagementanforderungen nach § 34 BSIG dem BSI alle zwei Jahre nachweisen.
Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden. Wer diesen Rhythmus kennt, kann die eigene interne Prüfung gezielt darauf ausrichten und ist im Prüffall nicht überrascht.
Schulungen der Geschäftsleitung wiederholen
Die Schulungspflicht nach § 38 Abs. 3 BSIG ist keine einmalige Pflicht. Laut Gesetzesbegründung und ihr folgend der BSI-Handreichung zur Geschäftsleitungsschulung gilt die Schulung als „regelmäßig”, wenn sie mindestens alle drei Jahre stattfindet. Planen Sie den nächsten Termin also rechtzeitig ein. Dokumentieren Sie Termin, Teilnahme und Inhalte lückenlos.
Lieferanten und Drittanbieter regelmäßig überprüfen
Verträge und Sicherheitsanforderungen gegenüber Dienstleistern veralten schnell. Legen Sie fest, in welchem Turnus Sie Lieferantenbeziehungen auf NIS2-Konformität überprüfen. Entscheidend ist die Kritikalität der jeweiligen Lieferantenbeziehung.
Incident-Response-Plan testen
Ein Plan, der nie getestet wurde, ist im Ernstfall wertlos. Führen Sie mindestens einmal jährlich eine Übung durch, bei der der Ablauf eines Sicherheitsvorfalls simuliert wird. Passen Sie den Plan anschließend an die Erkenntnisse an.
Dokumentation laufend aktualisieren
Jede organisatorische oder technische Änderung – neue Systeme, neue Dienstleister, neue Zuständigkeiten – muss zeitnah in die Dokumentation einfließen. Wer wartet, bis das BSI anklopft, hat in der Regel einen erheblichen Nachholbedarf.
Fazit: Mit dem richtigen Plan zügig zur NIS2-Compliance
Ein strukturierter NIS2-Projektplan ist keine Garantie für sofortige Compliance, aber er ist die Voraussetzung dafür, den Überblick zu behalten und nichts Wesentliches zu vergessen. Die Erfahrung zeigt: Unternehmen, die früh mit der NIS2-Gap-Analyse beginnen, können Maßnahmen realistischer priorisieren und das Budget gezielter einsetzen.
Wichtig ist, dass NIS2-Compliance kein einmaliges Projekt ist. Bedrohungslagen ändern sich, Gesetze werden konkretisiert, und das BSI entwickelt seine Aufsichtspraxis weiter. Wer seine Dokumentation und seinen Projektplan regelmäßig überprüft und aktualisiert, ist langfristig besser aufgestellt als jemand, der einmal einen Haken setzt und das Thema dann nicht mehr anfasst.
Unser Tipp: Fangen Sie mit der Bestandsaufnahme an, solange Sie noch das Tempo selbst bestimmen können. Wer wartet, bis das BSI anklopft, hat deutlich weniger Spielraum.
