Zum Inhalt springen
Insights

NIS2-Sicherheits-Checkliste

Handlungsorientierte NIS2-Sicherheits-Checkliste für Webplattformen und SaaS-Anbieter.

Zuletzt aktualisiert: 2026-04-03

Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 als deutsches Umsetzungsgesetz (NIS2UmsuCG) in Kraft und definiert zehn Pflichtmaßnahmen nach Artikel 21, die ohne Übergangsfrist gelten. Rund 29.500 Unternehmen in Deutschland ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 Sektoren sind betroffen — darunter auch SaaS-Anbieter und digitale Plattformen. OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland Diese Checkliste übersetzt die rechtlichen Anforderungen in konkrete technische Maßnahmen für Webplattformen.

29.500
betroffene Unternehmen in Deutschland (BSI-Schätzung)
10 Mio. €
maximales Bußgeld für besonders wichtige Einrichtungen
24h
Frist für die Erstmeldung eines Sicherheitsvorfalls beim BSI
38,5%
der Unternehmen haben die Registrierungsfrist am 6.3.2026 eingehalten

Bin ich betroffen? Der schnelle Scope-Check

Ihr Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz hat und in einem der 18 regulierten Sektoren tätig ist — dazu gehören u.a. digitale Infrastruktur, IT-Dienstleistungen, Cloud Computing und SaaS-Plattformen. Secjur: NIS2-Richtlinie 2026 Auch Zulieferer kritischer Einrichtungen können indirekt betroffen sein, da NIS2 eine Lieferketten-Risikobewertung vorschreibt.

Die 10 Pflichtmaßnahmen nach Artikel 21 — technisch übersetzt

1. Risikoanalyse und Informationssicherheit

  • Asset-Inventar aller Systeme, Datenbanken und Schnittstellen erstellen
  • Formales Threat Modeling für kritische Anwendungspfade durchführen
  • Risikobewertung dokumentieren und mindestens jährlich aktualisieren
  • Informationssicherheitsrichtlinie von der Geschäftsleitung genehmigen lassen

2. Incident Response und Meldepflichten

  • SIEM-System implementieren (z.B. Grafana Loki + Prometheus Alertmanager)
  • Incident-Response-Plan mit klaren Eskalationsstufen dokumentieren
  • BSI-Meldekette einrichten: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von 30 Tagen NIS2-Richtlinie: Artikel 23 — Meldepflichten
  • Regelmäßige Incident-Response-Übungen (Tabletop Exercises) durchführen

3. Business Continuity und Krisenmanagement

  • RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für alle kritischen Systeme definieren
  • Automatisierte Backup-Strategie mit verschlüsselten Off-Site-Backups
  • Disaster-Recovery-Runbooks erstellen und mindestens halbjährlich testen
  • Redundante Infrastruktur für geschäftskritische Dienste

4. Lieferkettensicherheit

  • Vendor-Assessment für alle Drittanbieter und Auftragsverarbeiter
  • CLOUD Act-Prüfung: Unterliegt Ihr Cloud-Anbieter US-Jurisdiktion? Wire: CLOUD Act & EU Data Sovereignty
  • Auftragsverarbeitungsverträge (AVV) auf NIS2-Konformität prüfen
  • Software Bill of Materials (SBOM) für alle eingesetzten Komponenten

5. Sichere Entwicklung und Wartung

  • SAST (Static Application Security Testing) in die CI/CD-Pipeline integrieren
  • DAST (Dynamic Application Security Testing) vor jedem Release
  • Automatisiertes Dependency-Scanning (z.B. Dependabot, Snyk)
  • Verpflichtendes Code Review durch mindestens einen weiteren Engineer
  • Sichere Konfigurationsstandards für alle Umgebungen

6. Wirksamkeitsprüfung

  • Penetrationstests mindestens jährlich, für kritische Systeme quartalsweise Sectricity: NIS2 Penetration Testing 2026
  • Automatisierte Vulnerability-Scans wöchentlich oder monatlich
  • Ergebnisse dokumentieren, Behebung tracken, Retests durchführen
  • Nachweise für Auditoren aufbewahren (nicht nur Berichte, sondern Behebungsnachweise)

7. Cyberhygiene und Schulungen

  • Verpflichtende Security-Awareness-Schulungen für alle Mitarbeiter
  • Regelmäßige Phishing-Simulationen (mindestens quartalsweise)
  • Patch-Management-Prozess mit definierten SLAs (kritisch: 48h, hoch: 7 Tage)
  • Geschäftsführung muss persönlich an Cybersecurity-Schulungen teilnehmen — Delegation an CISO ist nicht ausreichend Greenberg Traurig: NIS2 — Cybersecurity als Board-Level Issue

8. Kryptographie

  • TLS 1.3 für alle externen und internen Verbindungen erzwingen
  • Encryption at Rest für alle personenbezogenen und geschäftskritischen Daten
  • Key-Management-Prozess mit regelmäßiger Schlüsselrotation
  • Zertifikatsmanagement mit automatisierter Erneuerung (Let's Encrypt, cert-manager)

9. Zugriffskontrolle und Asset-Management

  • RBAC (Role-Based Access Control) mit dokumentiertem Rollenkonzept
  • Least-Privilege-Prinzip: Minimale Berechtigungen als Standard
  • MFA-Pflicht für alle administrativen und Remote-Zugänge
  • Regelmäßige Access Reviews (mindestens quartalsweise)
  • Sofortige Deaktivierung bei Ausscheiden von Mitarbeitern

10. Sichere Kommunikation

  • End-to-End-Verschlüsselung für interne Kommunikation mit sensiblen Daten
  • Sichere Kanäle für Notfallkommunikation (auch bei Systemausfall)
  • Verschlüsselte E-Mail für externe Kommunikation mit Partnern
  • Dokumentierte Richtlinie für Kommunikationswege nach Datenklassifizierung

Persönliche Haftung der Geschäftsführung

Die Haftung kann vertraglich nicht ausgeschlossen werden. Cybersecurity-Schulungen für die Geschäftsführung sind Pflicht und müssen alle drei Jahre aufgefrischt werden.

Das besondere Risiko bei vibe-codierten Plattformen

Plattformen, die mit KI-Tools wie Cursor, Lovable oder v0 generiert wurden, versagen typischerweise bei der Mehrzahl dieser Maßnahmen. Veracode hat nachgewiesen, dass KI-generierter Code in 45% der Fälle Sicherheitslücken enthält. Veracode: GenAI Code Security Report 2025 Konkret fehlen bei vibe-codierten Plattformen regelmäßig:

  • Kein Incident Response: Keine Logging-Infrastruktur, keine Alerting-Pipelines
  • Keine Zugriffskontrolle: Fehlende oder unvollständige Authentifizierung und Autorisierung
  • Keine Tests: Weder Unit-Tests noch Security-Tests in der CI/CD-Pipeline
  • Hardcoded Secrets: 40% mehr exponierte API-Keys in KI-generierten Projekten SoftwareSeni: AI-Generated Code Security Risks
  • Kein Dependency-Management: Veraltete und verwundbare Abhängigkeiten

Wer eine solche Plattform in der EU betreibt und unter NIS2 fällt, hat ein akutes Compliance-Problem — und als Geschäftsführer ein persönliches Haftungsrisiko.

In einem kostenlosen Erstgespräch bewerten wir Ihre Plattform auf NIS2-Relevanz und identifizieren die kritischsten Lücken. Ab €5.000+ migrieren und härten wir Ihre Plattform — mit einer funktionierenden App auf EU-souveräner Infrastruktur als Ergebnis, nicht nur einem PDF-Report.

Erstgespräch buchen

Quellen

Bereit loszulegen?

Buchen Sie ein kostenloses Erstgespräch. Wir bewerten Ihr Projekt und sagen Ihnen, was es braucht.

Erstgespräch buchen →