NIS2-Compliance-Checkliste für IT-Teams: Was Sie 2026 implementieren müssen

Was bedeutet NIS2-Compliance? Kurz erklärt

‍NIS2-Compliance bezeichnet die Einhaltung der Cybersicherheitspflichten aus der Richtlinie (EU) 2022/2555, der überarbeiteten europäischen Richtlinie über die Sicherheit von Netz- und Informationssystemen. Konkret muss eine betroffene Organisation die zehn Risikomanagement-Maßnahmen aus Artikel 21 umsetzen, erhebliche Vorfälle innerhalb strikter Fristen melden (Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats) und nachweisen, dass die Geschäftsleitung die Cybersicherheit aktiv überwacht. Verstöße können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen nach sich ziehen sowie die persönliche Haftung der Führungskräfte.

Dieser Leitfaden richtet sich an diejenigen, die die Umsetzung in der Praxis verantworten: IT-Manager, CIOs, IT-Operations-Teams und Sicherheitsteams. Die meisten NIS2-Inhalte erklären das Gesetz oder verkaufen eine Gap-Analyse. Kaum eines sagt einem IT-Team, was Anwendung für Anwendung konfiguriert werden muss und welche Nachweise für den Prüfer aufzubewahren sind. Genau diese Lücke schließt diese Checkliste.

Jede NIS2-Anforderung wird hier in einen konkreten technischen Kontrollschritt und in den bei einer Aufsicht erforderlichen Nachweis übersetzt. Außerdem weisen wir auf eine Voraussetzung hin, die fast jede andere Checkliste übergeht: Es ist unmöglich, Zugriffe abzusichern, Identitäten zu verwalten oder Assets zu dokumentieren, ohne zuvor vollständige Transparenz über die tatsächlich von Mitarbeitenden genutzten SaaS-Anwendungen zu haben.

Einen übergeordneten Blick darauf, was die Richtlinie für Ihr Unternehmen auf strategischer und budgetärer Ebene bedeutet, bietet unser Begleitartikel zu den Auswirkungen der NIS2-Richtlinie auf Ihr Unternehmen. Diese Seite konzentriert sich auf die Umsetzung.

Gilt die NIS2-Richtlinie für Ihr Unternehmen?

NIS2 gilt für wesentliche und wichtige Einrichtungen, die in einem der 18 kritischen Sektoren tätig sind und die Größenschwellen erfüllen, im Allgemeinen ab 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz. Die Richtlinie unterscheidet zwei Kategorien:

• Wesentliche Einrichtungen: mittelgroße und große Organisationen in hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Infrastruktur der Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung. Sie unterliegen einer proaktiven Aufsicht (regelmäßige Audits, Vor-Ort-Inspektionen).
• Wichtige Einrichtungen: Organisationen in Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Fertigung und digitale Anbieter. Sie unterliegen einer reaktiven Aufsicht (ausgelöst durch einen Vorfall oder Hinweise auf Nicht-Konformität).

Einige praktische Punkte, die IT-Teams nicht übersehen sollten:

• NIS2 wird in nationales Recht umgesetzt. Die Richtlinie setzt den Mindeststandard, aber die verbindlichen Regeln sind die nationalen Umsetzungsgesetze in jedem Mitgliedstaat. In Deutschland ist vor allem das IT-Sicherheitsgesetz 3.0 (BSIG-neu) relevant. Bestätigen Sie Ihre Einstufung bei der zuständigen nationalen Behörde (in Deutschland: BSI).
• Der Anwendungsbereich reicht über Ihre eigene Organisation hinaus. Über die Lieferkettenpflichten können Sie als Lieferant eines betroffenen Kunden erfasst werden, auch wenn Ihre eigene Größe oder Ihr Sektor grenzwertig erscheint.
• Bereits ISO 27001 zertifiziert? Ein zertifiziertes ISMS deckt bereits einen erheblichen Teil von Artikel 21 ab. Die typischen Lücken betreffen die Lieferkettensicherheit, die Managementverantwortung, die Meldefristen und explizite MFA-Anforderungen. Behandeln Sie NIS2 als Mapping-Übung auf Ihren bestehenden Kontrollen. Unser Leitfaden zu ISO 27001 und IAM deckt diese Überschneidungen ausführlich ab.

Die 10 Artikel-21-Maßnahmen für IT-Teams übersetzt

Artikel 21(2) der Richtlinie listet zehn Mindest-Cybersicherheitsmaßnahmen auf, die sowohl wesentliche als auch wichtige Einrichtungen umsetzen müssen. Die Maßnahmen sind bewusst technologieneutral und ergebnisorientiert: Die Richtlinie sagt Ihnen, was erreicht werden muss, nicht welches Produkt Sie kaufen sollen. Das Verhältnismäßigkeitsprinzip aus Artikel 21(1) bedeutet, dass die Tiefe jeder Kontrolle der Risikoexponierung, Größe und dem gesellschaftlichen Auswirkungsgrad eines möglichen Vorfalls entsprechen muss.

Das Problem für ein IT-Team: die Rechtssprache ist abstrakt. Die folgende Tabelle übersetzt jede der zehn Maßnahmen in die betriebliche Realität einer modernen, SaaS-lastigen Umgebung.

Auffällig ist, wie viele dieser Maßnahmen auf Identitäts- und Zugriffsmanagement basieren: Sicherheitsrichtlinien, Lieferkettenzugang, Zugangskontrolle, Asset-Management, Personalsicherheit, MFA. Deshalb schätzen Identity-Spezialisten, dass die Identitätssicherheit etwa die Hälfte der Artikel-21-Maßnahmen abdeckt. Für ein mittelständisches IT-Team bedeutet das: Ihr IAM-Ansatz ist nicht eine Aufgabe unter vielen in der Checkliste. Er ist das Rückgrat des gesamten Programms.

Die NIS2-Compliance-Checkliste für IT-Teams

Nachfolgend die vollständige Checkliste, so organisiert, wie ein IT-Team tatsächlich arbeitet, nicht nach der Reihenfolge der Richtlinie. Jeder Punkt benennt die umzusetzende Maßnahme und den aufzubewahrenden Nachweis für die Aufsicht. Nutzen Sie sie als Gap-Analyse: Haken Sie ab, was bereits vorhanden ist, markieren Sie Lücken und weisen Sie jedem Defizit einen Verantwortlichen zu.

1. Asset- und SaaS-Transparenz (die Voraussetzung, die niemand erwähnt)

Was nicht sichtbar ist, kann nicht geschützt, gesteuert oder gemeldet werden. Artikel 21 verlangt Asset-Management und ein verlässliches Bild Ihrer Netz- und Informationssysteme, doch die meisten Organisationen haben kein zuverlässiges Inventar der tatsächlich genutzten SaaS-Anwendungen. Shadow-IT, also von Mitarbeitenden ohne IT-Freigabe eingesetzte Tools, ist der größte blinde Fleck für die NIS2-Bereitschaft.

Umzusetzen:

• Ein aktuelles Inventar aller SaaS-Anwendungen aufbauen und pflegen, einschließlich nicht sanktionierter Tools, die über Browser-, Finanz- und SSO-Signale erkannt werden.
• Jede Anwendung mit Datensensitivität, Verantwortlichem und den zugriffsberechtigten Identitäten verknüpfen.
• Neue Anwendungen kontinuierlich erkennen, sobald sie auftauchen, statt ein einmaliges Audit durchzuführen, das innerhalb weniger Wochen veraltet ist.

Aufzubewahrender Nachweis: aktuelles Anwendungsregister mit Entdeckungsdaten, Verantwortlichen und Risikoeinstufung.

Corma wurde genau für dieses Problem entwickelt. Unsere SaaS-Management-Lösung zur Vermeidung von Shadow-IT macht jede genutzte Anwendung sichtbar, auch die, die niemand gemeldet hat. Wenn das Thema neu für Sie ist, bietet unser Artikel zu Was ist SaaS-Sprawl, seinen Ursachen, Risiken und Lösungen einen guten Einstieg.

2. Zugriffskontrolle und Identitäts-Governance

Artikel 21(2)(i) nennt explizit Zugangskontrollrichtlinien und Personalsicherheit. Der Prüfer möchte sehen, dass die richtigen Personen den richtigen Zugang haben, dass übermäßige Zugriffsrechte entfernt werden und dass Sie nachweisen können, wer auf was zugreift und warum.

Umzusetzen:

• Least-Privilege- und rollenbasierte Zugangskontrolle (RBAC) auf alle Anwendungen anwenden, nicht nur auf die mit Ihrem Identity Provider verbundenen.
• Regelmäßige User-Access-Reviews durchführen, bei denen Anwendungsverantwortliche bestätigen, wer weiterhin Zugang haben soll.
• Zugang für menschliche und nicht-menschliche Identitäten (Dienstkonten, API-Schlüssel, externe Dienstleister) steuern.

Aufzubewahrender Nachweis: Aufzeichnungen der Zugriffsüberprüfungen mit Prüfer, Datum, Entscheidung und Behebungsstatus.

Manuelle Zugriffsüberprüfungen in Tabellenkalkulationen überstehen keine Prüfung. Corma automatisiert sie über unsere IAM-Lösung für automatisierte und revisionssichere Access Reviews und unsere Funktion Identity Governance liefert eine einzige, vertretbare Sicht auf Zugriffsrechte im gesamten Stack. Die Methodik für rechtssichere Reviews beschreibt unser Artikel zur User Access Reviews Roadmap für ISO-27001-Compliance.

3. User-Provisioning und Deprovisioning

Der schnellste Weg, ein Zugriffs-Audit zu scheitern, sind aktive Accounts eines ausgeschiedenen Mitarbeitenden. NIS2 erwartet, dass Zugang entsprechend dem Mitarbeiter-Lebenszyklus erteilt, geändert und widerrufen wird (das Joiner-Mover-Leaver-Modell).

Umzusetzen:

• Provisioning beim Eintritt oder Stellenwechsel automatisieren, damit der Zugang vom ersten Tag an zur Rolle passt.
• Deprovisioning beim Austritt über alle verbundenen Anwendungen automatisieren, idealerweise am Tag, an dem das HR-System den Austritt erfasst.
• Anwendungen ohne SCIM-, SAML- oder SSO-Unterstützung abdecken, denn dort verstecken sich verwaiste Accounts am häufigsten.

Aufzubewahrender Nachweis: Provisioning- und Deprovisioning-Protokolle verknüpft mit HR-Ereignissen, jeweils mit Zeitstempel.

Cormas IAM-Lösung für automatisiertes Provisioning und Onboarding deckt den gesamten Lebenszyklus ab. Unser Leitfaden zur Identity-Lifecycle-Verwaltung und zum Offboarding für Anwendungen ohne SCIM, SAML oder SSO adressiert den schwierigsten Teil des Problems.

4. Multi-Faktor-Authentifizierung und sicherer Zugang

Artikel 21(2)(j) schreibt ausdrücklich Multi-Faktor- oder kontinuierliche Authentifizierung und gesicherte Kommunikation vor. Das ist eine der häufigsten Lücken in bereits ISO-27001-zertifizierten Organisationen, da ISO 27001 MFA als empfohlene Kontrolle behandelt, während NIS2 sie explizit verlangt.

Umzusetzen:

• MFA auf alle privilegierten und Remote-Zugänge durchsetzen und so weit wie möglich ausweiten.
• Single Sign-On nutzen, um die Authentifizierung zu zentralisieren und Passwort-Wildwuchs zu reduzieren.
• Sicherstellen, dass kritische Anwendungen außerhalb des Identity Providers ebenfalls abgedeckt sind.

Aufzubewahrender Nachweis: MFA-Abdeckungsbericht mit erzwungenen Anwendungen und begründeten Ausnahmen.

Das Verständnis der zugrundeliegenden Protokolle ist hier hilfreich. Unser Artikel zu SCIM vs. SAML: Unterschiede und welches Sie brauchen klärt die Standards hinter modernem Provisioning und SSO.

5. Risikomanagement und Sicherheitsrichtlinien

Artikel 21(2)(a) verlangt Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen. Die Richtlinie erwartet einen lebendigen Risikoprozess, kein einmal verfasstes und abgelegtes Dokument.

Umzusetzen:

• Regelmäßige, dokumentierte Risikoanalysen durchführen, die Ihre Anwendungen, Identitäten und Lieferanten abdecken.
• Ein genehmigtes, kommuniziertes und regelmäßig überprüftes Informationssicherheitsrichtlinien-Set pflegen.
• Identifizierte Risiken mit Verantwortlichen und Behebungsfristen verknüpfen.

Aufzubewahrender Nachweis: datierte Risikoanalysen, genehmigte Richtlinien und ein Risikoregister mit Behandlungsstatus.

6. Erkennung von Vorfällen und Meldepflicht

Artikel 21(2)(b) und die Meldepflichten aus Artikel 23 sind die Stellen, an denen viele Organisationen scheitern. NIS2 setzt harte Fristen: eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.

Umzusetzen:

• Erkennungs-, Triage- und Eskalationsverfahren mit benannten Rollen und Playbooks einrichten.
• Meldeworkflows so vorkonfigurieren, dass die 24- und 72-Stunden-Fristen Sie nicht unvorbereitet treffen.
• Sicherstellen, dass Sie einen Vorfall schnell dem betroffenen Nutzer, Dienst oder Lieferantenzugang zuordnen können, was direkt von der Qualität Ihrer Identitätsdaten abhängt.

Aufzubewahrender Nachweis: Vorfallsaufzeichnungen, Eskalationsprotokolle und Kopien der an Behörden übermittelten Meldungen.

7. Lieferkettensicherheit und Drittanbieterzugang

Artikel 21(2)(d) macht Lieferkettensicherheit zur primären Pflicht und geht über ISO 27001 hinaus, indem es die Sorgfaltspflicht auf Lieferanten jenseits der direkten Vertragspartner ausdehnt. Angreifer zielen zunehmend über Lieferanten-, Auftragnehmer- und Partneridentitäten indirekt auf Unternehmen.

Umzusetzen:

• Ein Lieferantenregister mit Risikoeinstufung, Datum der letzten Bewertung und vertraglichen Sicherheitsverpflichtungen führen.
• Drittanbieterzugänge genauso steuern und überprüfen wie Mitarbeitendenzugänge, mit Ablaufdaten und Rezertifizierung.
• Lieferanten- und Auftragnehmerzugang zügig widerrufen, wenn ein Engagement endet.

Aufzubewahrender Nachweis: Lieferantenrisikoregister, Überprüfungen von Drittanbieterzugängen und Deprovisioning-Aufzeichnungen.

Unsere Seite zur IAM-Lösung für Sicherheitsteams zum Einhalten der Compliance und SaaS-Management zeigt, wie Sicherheitsteams dies im Griff behalten.

8. Geschäftskontinuität und Backup

Artikel 21(2)(c) fordert Geschäftskontinuität einschließlich Backup-Management, Notfallwiederherstellung und Krisenmanagement. Ziel ist es, wesentliche Dienste während und nach einem Vorfall aufrechtzuerhalten.

Umzusetzen:

• Backup- und Wiederherstellungsprozesse mit definierten Recovery-Zeitzielen dokumentieren.
• Wiederherstellung nach einem regelmäßigen Zeitplan testen, nicht nur auf dem Papier.
• Einen Krisenmanagementplan mit klar definierten Rollen pflegen.

Aufzubewahrender Nachweis: Backup-Richtlinie, Ergebnisse der Wiederherstellungstests und dokumentierter Kontinuitätsplan.

9. Kryptografie und Verschlüsselung

Artikel 21(2)(h) nennt Richtlinien zur Verwendung von Kryptografie und Verschlüsselung. Verschlüsseln Sie sensible Daten im Ruhezustand und bei der Übertragung, und bevorzugen Sie SaaS-Anbieter, deren Hosting und Verschlüsselung den europäischen Datenschutzanforderungen entsprechen.

Umzusetzen:

• Sensible Daten im Ruhezustand verschlüsseln und TLS bei der Übertragung erzwingen.
• Ihre Kryptografierichtlinie und Ihren Schlüsselverwaltungsansatz dokumentieren.
• Den Datenspeicherort bei der SaaS-Auswahl berücksichtigen: Eine für Europa konzipierte Richtlinie bevorzugt EU-konformes Hosting.

Aufzubewahrender Nachweis: Kryptografierichtlinie und Inventar der angewandten Verschlüsselung pro System.

10. Audit-Trail und Nachweise

Durch die gesamte Richtlinie hindurch hängt die Aufsicht von Nachweisen ab. Artikel 21(2)(f) verlangt, dass Sie die Wirksamkeit Ihrer Maßnahmen bewerten, und zuständige Behörden erwarten einen prüffähigen Nachweis gemäß den Aufsichtsartikeln.

Umzusetzen:

• Protokolle zu Zugriffsgewährungen, -änderungen, -überprüfungen und -widerrufen zentral zusammenführen.
• Einen manipulationssicheren Nachweis führen, wer wann was über alle Anwendungen hinweg getan hat.
• Nachweise auf Abruf bereitstellen können, da ein Prüfer nicht warten soll, während Sie suchen.

Aufzubewahrender Nachweis: konsolidierte Audit-Protokolle und eine Nachweisbibliothek, indexiert nach den Artikel-21-Maßnahmen.

11. Cyber-Hygiene und Schulungen

Artikel 21(2)(g) verlangt grundlegende Cyber-Hygiene-Praktiken und Cybersicherheitsschulungen. Diese Pflicht erstreckt sich auf das Leitungsorgan, dessen Schulung nun ausdrücklich vorgeschrieben ist.

Umzusetzen:

• Regelmäßige Sicherheitsbewusstseinstraining für alle Mitarbeitenden mit Anwesenheits- und Ergebnisprotokoll durchführen.
• Dedizierte Cybersicherheits-Briefings für das Leitungsorgan anbieten.
• Inhalte aktualisieren, wenn sich die Bedrohungslage und die nationalen NIS2-Regeln weiterentwickeln.

Aufzubewahrender Nachweis: Schulungsprotokolle mit Anwesenheit, Bewertungen und Abschlussdaten, einschließlich für die Führungsebene.

<h3 id="governance">12. Governance und Managementverantwortung</h3>

Artikel 20 führt die persönliche Verantwortung des Leitungsorgans ein. Führungskräfte müssen Cybersicherheitsmaßnahmen genehmigen und überwachen und können bei Versagen sanktioniert werden, unter anderem durch ein Verbot der Ausübung von Führungsfunktionen.

Umzusetzen:

• Die formale Verantwortung für die NIS2-Compliance mit der Befugnis und dem Budget zum Handeln zuweisen.
• Die Cybersicherheitsaufsicht mit dokumentierten Genehmigungen auf die Managementagenda setzen.
• Den Compliance-Status regelmäßig an die Führungsebene berichten.

Aufzubewahrender Nachweis: Governance-Unterlagen, die die Genehmigung und Aufsicht von Sicherheitsmaßnahmen durch die Geschäftsleitung belegen.

Warum SaaS-Transparenz die Grundlage der NIS2 für IT-Teams ist

Hier der rote Faden, der alle obigen Punkte verbindet. Asset-Management, Zugangskontrolle, Provisioning, Vorfallszuordnung und Drittanbieterzugang setzen alle voraus, dass Sie wissen, welche Anwendungen existieren und wer auf sie zugreifen kann. Wenn Ihre Umgebung voller ungeregelter SaaS-Anwendungen ist, die ohne IT-Beteiligung eingeführt wurden, hat jede dieser Kontrollen eine Lücke.

Deshalb beginnt NIS2-Bereitschaft für ein mittelständisches IT-Team mit Sichtbarkeit und nicht mit Richtliniendokumenten. Sobald Sie ein lebendiges Bild Ihrer Anwendungen und Identitäten haben, wird der Rest der Checkliste zu einer Reihe lösbarer, automatisierbarer Aufgaben statt eines offenen Audit-Albtraums.

Genau hier enden die meisten konkurrierenden Checklisten vorzeitig. Sie listen die zehn Artikel-21-Maßnahmen auf und gehen weiter, ohne anzuerkennen, dass es unmöglich ist, den Zugang zu Anwendungen zu steuern, die noch nicht entdeckt wurden. Behandeln Sie SaaS-Transparenz als Punkt null, und die anderen zwölf Punkte fallen an ihren Platz.

Wie Corma IT-Teams bei den NIS2-Anforderungen unterstützt

Corma ist eine europäische Plattform, die SaaS-Management und Identity Access Management (IAM) an einem Ort vereint, entwickelt für IT-Teams in wachsenden Unternehmen. Während andere Tools entweder Kosten oder Identitäten abdecken, deckt Corma beides ab, was fast eins zu eins dem zugangsschweren Kern von Artikel 21 entspricht.

Für NIS2 im Speziellen unterstützt Corma IT-Teams über die gesamte Checkliste:

• Jede Anwendung entdecken, einschließlich Shadow-IT, damit Ihr Asset-Inventar real und aktuell ist.
• Zugriffsüberprüfungen automatisieren, damit die Rezertifizierung prüffähige Nachweise liefert statt veralteter Tabellen.
• Provisioning und Deprovisioning automatisieren über den gesamten Mitarbeiter-Lebenszyklus, auch für Anwendungen ohne SCIM oder SSO, damit verwaiste Accounts aufhören sich anzuhäufen.
• Drittanbieter- und nicht-menschliche Zugänge ebenso steuern wie Mitarbeitendenzugänge.
• Einen zentralen Audit-Trail führen, der auf die Artikel-21-Maßnahmen abgestimmt ist und jederzeit einem Prüfer gezeigt werden kann.

Zwei Differenzierungsmerkmale sind für eine für Europa konzipierte Richtlinie besonders relevant. Corma ist ISO/IEC 27001:2022 zertifiziert, was die Überschneidung zwischen Ihrem bestehenden ISMS und NIS2 beschleunigt. Und Corma bietet EU-Datenspeicherung mit nativer DSGVO-Konformität, anders als viele US-amerikanische Tools, die europäische Regulierung als Zusatzmodul behandeln. Corma ist außerdem im Gartner Magic Quadrant 2025 für SaaS-Management-Plattformen vertreten.

Erkunden Sie die IAM-Lösung für IT-Teams zur Automatisierung von SaaS-Management und Zugriffsmanagement, informieren Sie sich über unsere Sicherheitsarchitektur, oder fordern Sie eine Demo an, um Ihre eigene Umgebung zu besprechen.

Die folgende Fähigkeitstabelle fasst zusammen, wie Corma auf die Checkliste einzahlt.

Häufig gestellte Fragen

Was ist eine NIS2-Compliance-Checkliste für IT-Teams?

Es ist eine praktische Liste der Cybersicherheitskontrollen, die ein IT-Team implementieren muss, um die NIS2-Richtlinie zu erfüllen, gegliedert nach den zehn Risikomanagement-Maßnahmen des Artikels 21 sowie den Meldepflichten und Governance-Anforderungen der Richtlinie. Eine gute Checkliste verknüpft jede Anforderung mit einem konkreten technischen Schritt und dem für die Prüfung erforderlichen Nachweis.

Was sind die 10 NIS2-Anforderungen nach Artikel 21?

Es sind: Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen; Bewältigung von Sicherheitsvorfällen; Aufrechterhaltung des Betriebs und Krisenmanagement; Sicherheit der Lieferkette; Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen; Konzepte zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen; grundlegende Cyber-Hygiene und Schulungen; Kryptografie und Verschlüsselung; Sicherheit des Personals, Konzepte für die Zugangskontrolle und Asset-Management; sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation.

Für wen gilt NIS2?

Für wesentliche und wichtige Einrichtungen in 18 kritischen Sektoren mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz. Kleinere Organisationen können über Lieferkettenverpflichtungen erfasst werden, wenn sie eine betroffene Einrichtung beliefern. Die nationalen Umsetzungsgesetze definieren den genauen Anwendungsbereich in jedem Mitgliedstaat.

Wie lautet die NIS2-Meldefrist bei Sicherheitsvorfällen?

Betroffene Einrichtungen müssen innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls eine Frühwarnung, innerhalb von 72 Stunden eine detaillierte Meldung und innerhalb eines Monats einen Abschlussbericht einreichen. Die schnelle Zuordnung des Vorfalls zum betroffenen Nutzer, Dienst oder Lieferantenzugang ist unabdingbar, um diese Fristen einhalten zu können.

Welche Strafen drohen bei NIS2-Verstößen?

Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden, je nachdem welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. NIS2 führt zudem die persönliche Haftung des Leitungsorgans ein, einschließlich der Möglichkeit, Führungskräften die Ausübung ihrer Funktion zu untersagen.

Deckt ISO 27001 die NIS2-Anforderungen ab?

Ein zertifiziertes ISO-27001-ISMS deckt einen wesentlichen Teil von Artikel 21 ab, da sich beide Rahmenwerke stark überschneiden. NIS2 fügt jedoch Verpflichtungen hinzu, die über ISO 27001 hinausgehen, insbesondere explizite Lieferkettensicherheit, verbindliche Meldefristen, Managementverantwortung und explizite MFA-Anforderungen. Eine Mapping-Übung ist der effiziente Weg, verbleibende Lücken zu schließen.

Wie unterstützt Identitäts- und Zugriffsmanagement die NIS2-Compliance?

IAM bildet die Grundlage für etwa die Hälfte der Artikel-21-Maßnahmen, darunter Zugangskontrolle, Personalsicherheit, Asset-Management und MFA. Robustes IAM ermöglicht es, nachzuweisen, wer auf was zugreift und warum, Zugänge beim Austritt sauber zu entziehen, Lieferantenzugänge zu steuern und Vorfälle schnell zuzuordnen. All das erwartet die Richtlinie von Ihnen.

Wo sollte ein IT-Team mit NIS2 anfangen?

Mit Sichtbarkeit. Bauen Sie ein vollständiges Inventar Ihrer SaaS-Anwendungen und der Identitäten auf, die darauf zugreifen können, einschließlich Shadow-IT. Ohne diese Grundlage haben Asset-Management, Zugangskontrolle, Provisioning und Vorfallszuordnung alle Lücken. Sobald Sie Ihre Umgebung sehen können, wird der Rest der Checkliste zu einem Set automatisierbarer Aufgaben.

Fazit

NIS2 ist kein einmaliges Projekt, sondern ein kontinuierlicher Zyklus aus Risikobewertung, Kontrollumsetzung, Wirksamkeitsprüfung und Anpassung. Für IT-Teams ist die Arbeit am beherrschbarsten, wenn sie von einer einzigen verlässlichen Quelle für Anwendungen und Identitäten ausgeht. Um diese Checkliste in konkrete Maßnahmen umzusetzen, fordern Sie eine Corma-Demo an und sehen Sie, wie SaaS-Management und IAM auf einer Plattform zusammenwirken, um NIS2 zu unterstützen.