Zum Inhalt springen
Insights

NIS2-Sicherheits-Checkliste

Handlungsorientierte NIS2-Sicherheits-Checkliste für Webplattformen und SaaS-Anbieter.

Zuletzt aktualisiert: 2026-06-23

Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 als deutsches Umsetzungsgesetz (NIS2UmsuCG) in Kraft und definiert zehn Pflichtmaßnahmen nach Artikel 21, die ohne Übergangsfrist gelten. Rund 29.500 Unternehmen in Deutschland ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 Sektoren sind betroffen – darunter auch SaaS-Anbieter und digitale Plattformen. OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland Diese Checkliste übersetzt die rechtlichen Anforderungen in konkrete technische Maßnahmen für Webplattformen.

29.500
betroffene Unternehmen in Deutschland (in 18 Sektoren)
10 Mio. €
maximales Bußgeld für besonders wichtige Einrichtungen
24h
Frist für die Erstmeldung eines Sicherheitsvorfalls beim BSI
~11.500
von 29.500 Unternehmen waren zur BSI-Frist (6.3.2026) registriert

Bin ich betroffen? Der schnelle Scope-Check

Ihr Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz hat und in einem der 18 regulierten Sektoren tätig ist – dazu gehören u.a. digitale Infrastruktur, IT-Dienstleistungen, Cloud Computing und SaaS-Plattformen. Secjur: NIS2-Richtlinie 2026 Auch Zulieferer kritischer Einrichtungen können indirekt betroffen sein, da NIS2 eine Lieferketten-Risikobewertung vorschreibt.

Die 10 Pflichtmaßnahmen nach Artikel 21 – technisch übersetzt

1. Risikoanalyse und Informationssicherheit

  • Asset-Inventar aller Systeme, Datenbanken und Schnittstellen erstellen
  • Formales Threat Modeling für kritische Anwendungspfade durchführen
  • Risikobewertung dokumentieren und mindestens jährlich aktualisieren
  • Informationssicherheitsrichtlinie von der Geschäftsleitung genehmigen lassen

2. Incident Response und Meldepflichten

  • SIEM-System implementieren (z.B. Grafana Loki + Prometheus Alertmanager)
  • Incident-Response-Plan mit klaren Eskalationsstufen dokumentieren
  • BSI-Meldekette einrichten: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht (Folgemeldung) innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats nach der Folgemeldung NIS2-Richtlinie: Artikel 23, Meldepflichten
  • Regelmäßige Incident-Response-Übungen (Tabletop Exercises) durchführen

3. Business Continuity und Krisenmanagement

  • RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für alle kritischen Systeme definieren
  • Automatisierte Backup-Strategie mit verschlüsselten Off-Site-Backups
  • Disaster-Recovery-Runbooks erstellen und mindestens halbjährlich testen
  • Redundante Infrastruktur für geschäftskritische Dienste

4. Lieferkettensicherheit

  • Vendor-Assessment für alle Drittanbieter und Auftragsverarbeiter
  • CLOUD Act-Prüfung: Unterliegt Ihr Cloud-Anbieter US-Jurisdiktion? Wire: CLOUD Act & EU Data Sovereignty
  • Auftragsverarbeitungsverträge (AVV) auf NIS2-Konformität prüfen
  • Software Bill of Materials (SBOM) für alle eingesetzten Komponenten

5. Sichere Entwicklung und Wartung

  • SAST (Static Application Security Testing) in die CI/CD-Pipeline integrieren
  • DAST (Dynamic Application Security Testing) vor jedem Release
  • Automatisiertes Dependency-Scanning (z.B. Dependabot, Snyk)
  • Verpflichtendes Code Review durch mindestens einen weiteren Engineer
  • Sichere Konfigurationsstandards für alle Umgebungen

6. Wirksamkeitsprüfung

  • Penetrationstests mindestens jährlich, für kritische Systeme oder bei erhöhtem Risiko häufiger sowie nach wesentlichen Änderungen Sectricity: NIS2 Penetration Testing 2026
  • Automatisierte Vulnerability-Scans wöchentlich oder monatlich
  • Ergebnisse dokumentieren, Behebung tracken, Retests durchführen
  • Nachweise für Auditoren aufbewahren (nicht nur Berichte, sondern Behebungsnachweise)

7. Cyberhygiene und Schulungen

  • Verpflichtende Security-Awareness-Schulungen für alle Mitarbeiter
  • Regelmäßige Phishing-Simulationen (mindestens quartalsweise)
  • Patch-Management-Prozess mit definierten SLAs (kritisch: 48h, hoch: 7 Tage)
  • Geschäftsführung muss persönlich an Cybersecurity-Schulungen teilnehmen – Delegation an CISO ist nicht ausreichend Greenberg Traurig: NIS2 – Cybersecurity als Board-Level Issue

8. Kryptographie

  • TLS 1.3 für alle externen und internen Verbindungen erzwingen
  • Encryption at Rest für alle personenbezogenen und geschäftskritischen Daten
  • Key-Management-Prozess mit regelmäßiger Schlüsselrotation
  • Zertifikatsmanagement mit automatisierter Erneuerung (Let's Encrypt, cert-manager)

9. Zugriffskontrolle und Asset-Management

  • RBAC (Role-Based Access Control) mit dokumentiertem Rollenkonzept
  • Least-Privilege-Prinzip: Minimale Berechtigungen als Standard
  • MFA-Pflicht für alle administrativen und Remote-Zugänge
  • Regelmäßige Access Reviews (mindestens quartalsweise)
  • Sofortige Deaktivierung bei Ausscheiden von Mitarbeitern

10. Sichere Kommunikation

  • End-to-End-Verschlüsselung für interne Kommunikation mit sensiblen Daten
  • Sichere Kanäle für Notfallkommunikation (auch bei Systemausfall)
  • Verschlüsselte E-Mail für externe Kommunikation mit Partnern
  • Dokumentierte Richtlinie für Kommunikationswege nach Datenklassifizierung

Persönliche Haftung der Geschäftsführung

Die Haftung kann vertraglich nicht ausgeschlossen werden. Cybersecurity-Schulungen für die Geschäftsführung sind Pflicht und müssen alle drei Jahre aufgefrischt werden.

Das besondere Risiko bei vibe-codierten Plattformen

Plattformen, die mit KI-Tools wie Cursor, Lovable oder v0 generiert wurden, scheitern regelmäßig an den Maßnahmen 2, 5, 6 und 9 – Incident Response, sicherer Entwicklung, Wirksamkeitsprüfung und Zugriffskontrolle. Veracode hat nachgewiesen, dass KI-generierter Code in 45% der Fälle Sicherheitslücken enthält. Veracode: GenAI Code Security Report 2025 Konkret fehlen bei vibe-codierten Plattformen regelmäßig:

  • Incident Response fällt aus: Ohne Logging und Alerting bleibt ein Angriff unbemerkt, die 24-Stunden-Meldefrist ist faktisch unerfüllbar
  • Keine Zugriffskontrolle: Fehlende oder unvollständige Authentifizierung und Autorisierung
  • Tests fehlen komplett: Weder Unit- noch Security-Tests laufen in der Pipeline, Regressionen gehen ungeprüft live
  • Hardcoded Secrets: rund 40% mehr exponierte API-Keys in Repositories mit KI-Assistenz (6,4% vs. 4,6%) GitGuardian: GitHub Copilot und das Risiko geleakter Secrets
  • Kein Dependency-Management: Veraltete und verwundbare Abhängigkeiten

Wer eine solche Plattform unter NIS2 betreibt, riskiert bis zu 10 Mio. EUR Bußgeld und – als Geschäftsführer – die persönliche Haftung nach § 38 BSIG. Lücken dieser Art fallen in einem Penetrationstest binnen Stunden auf.

Im kostenlosen Erstgespräch klären wir die NIS2-Relevanz Ihrer Plattform; die Analyse identifiziert anschließend die kritischsten Lücken. Die vollständige Härtung liefern wir im Engagement für €6.000 pro Monat über 6 Monate (€36.000 gesamt). Das Ergebnis ist eine lauffähige App auf EU-souveräner Infrastruktur samt audit-fester Dokumentation – kein Gutachten, das in der Schublade verschwindet.

Häufig gestellte Fragen

Was sind die 10 NIS2-Pflichtmaßnahmen?
Artikel 21 fordert: Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitsprüfung, Cyberhygiene und Schulungen, Kryptographie, Zugriffskontrolle und sichere Kommunikation.
Wie schnell muss ich einen Sicherheitsvorfall melden?
Frühwarnung an das BSI innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht mit Ursachenanalyse innerhalb eines Monats nach der Folgemeldung.
Haftet die Geschäftsführung persönlich?
Ja. §38 BSIG-neu verlangt, dass Geschäftsführer die Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Delegation an den CISO entbindet nicht von der Haftung. Cybersecurity-Schulungen sind Pflicht.
Sind vibe-codierte Plattformen NIS2-konform?
In der Regel nicht. Bei vibe-codierten Plattformen fehlen meist Logging, Zugriffskontrolle und Tests – drei NIS2-Pflichtmaßnahmen. KI-generierter Code enthält zudem in 45% der Fälle Sicherheitslücken.
Wie oft muss ich Penetrationstests durchführen?
Mindestens jährlich, für kritische Systeme oder bei erhöhtem Risiko häufiger. NIS2 schreibt keine feste Frequenz vor, sondern regelmäßige, risikobasierte Tests. Ergebnisse müssen dokumentiert, Behebung getrackt und Retests durchgeführt werden.
Was kostet NIS2-Compliance für eine Webplattform?
Die NIS2-konforme Härtung – Remediation, Verification und audit-feste Dokumentation – ist Teil unseres Engagements (€6.000/Monat über 6 Monate, €36.000 gesamt) und damit eine Größenordnung günstiger als ein Bußgeld von bis zu €10 Millionen; das Erstgespräch ist kostenlos.

Quellen

Bereit loszulegen?

Buchen Sie ein kostenloses Erstgespräch. Wir hören zu und sagen Ihnen ehrlich, was Ihr Projekt braucht.