SaaSFort
nis2 compliance checkliste kmu bsi deutschland cybersecurity

NIS2-Checkliste: 10 Schritte für deutsche KMU (2026)

NIS2-Compliance-Checkliste für deutsche KMU: BSI-Registrierung, Art. 21 Maßnahmen, Fristen, Bußgelder und automatisierte Nachweise — ohne CISO.

ST
SaaSFort Team
· 6 min read · 1,029 words

Die BSI-Registrierungsfrist für NIS2 ist am 6. März 2026 abgelaufen. 18.500 von 29.000 betroffenen Unternehmen haben sie verpasst. Vollständige Durchsetzung: Oktober 2026 — sieben Monate ab jetzt.

Diese Checkliste zeigt Ihnen die 10 konkreten Schritte zur NIS2-Konformität. Jeder Schritt ist einer Art. 21(2)-Maßnahme zugeordnet. Kein Berater nötig — starten Sie heute.

Wer ist betroffen?

NIS2 gilt, wenn Ihr Unternehmen beide Bedingungen erfüllt:

  1. Größenschwelle: 50+ Mitarbeiter ODER €10M+ Jahresumsatz
  2. Sektor: einer von 18 regulierten Branchen (Energie, Transport, Gesundheit, digitale Infrastruktur, Fertigung, Lebensmittel, Chemie u.a.)

Auch unterhalb dieser Schwellen: NIS2-Pflichten kaskadieren durch Lieferketten. Wenn Sie SaaS oder IT-Dienste an ein betroffenes Unternehmen liefern, wird dessen Einkaufsabteilung Ihre Sicherheitslage prüfen.

KategorieSchwelleMaximales Bußgeld
Besonders wichtige Einrichtungen250+ MA oder €50M+ Umsatz€10M oder 2% des Weltumsatzes
Wichtige Einrichtungen50+ MA oder €10M+ Umsatz€7M oder 1,4% des Weltumsatzes

Die 10-Schritte-NIS2-Checkliste

Schritt 1: Betroffenheit prüfen und beim BSI registrieren

§33-34 BSIG | Aufwand: 1-2 Stunden

Prüfen Sie Ihre Mitarbeiterzahl, Ihren Umsatz und Ihren NACE-Sektorcode. Falls betroffen und noch nicht registriert: sofort nachholen. Verspätete Registrierung wird akzeptiert — besser spät als gar nicht.

  • NACE-Code beim Statistischen Bundesamt prüfen
  • Über das BSI-Portal registrieren
  • Ansprechperson für BSI-Kommunikation benennen
  • Betroffenheitsbewertung dokumentieren (Auditoren fragen danach)

Schritt 2: Externe Sicherheitsbaseline scannen

Art. 21(2)(e) + (h) | Aufwand: 5 Minuten

Bevor Sie Richtlinien schreiben: Prüfen Sie, was von außen sichtbar ist. TLS-Fehler, fehlende Security-Header, DNS-Probleme, exponierte Dienste — alles mappt direkt auf Art. 21-Anforderungen.

Kostenloser SaaSFort-Scan: 60 Checks in 60 Sekunden. Sie sehen Ihre Note und die Top-3-Probleme sofort. E-Mail eingeben für den vollständigen Report. Ergebnisse als NIS2-Compliance-PDF exportieren — alle 10 Art. 21(2)-Maßnahmen gemappt.

Schritt 3: Informationssicherheitsrichtlinie erstellen

Art. 21(2)(a) | Aufwand: 4-8 Stunden

BSI-Auditoren erwarten ein formelles, schriftliches Sicherheitskonzept mit Geschäftsführer-Unterschrift. 5-10 Seiten reichen.

Mindestinhalt: Sicherheitsziele und -umfang, Rollen und Verantwortlichkeiten, Risikobewertungsmethodik, Nutzungsregeln, Prüfzyklus (mindestens jährlich). Ein ehrliches 8-Seiten-Dokument schlägt ein 60-Seiten-Dokument, das niemand liest.

Schritt 4: Incident-Response-Plan aufstellen

Art. 21(2)(b) | Aufwand: 4-6 Stunden

NIS2 hat nicht verhandelbare Meldefristen:

FristAnforderung
24 StundenFrühwarnung an BSI nach Bekanntwerden eines erheblichen Vorfalls
72 StundenVollständige Meldung mit erster Bewertung
1 MonatAbschlussbericht mit Ursachenanalyse und Abhilfemaßnahmen

Eskalationsmatrix erstellen, Meldevorlagen vorbereiten, mindestens eine Tabletop-Übung vor Oktober 2026 durchführen.

Schritt 5: Business Continuity dokumentieren

Art. 21(2)(c) | Aufwand: 3-5 Stunden

Auditoren wollen konkrete Zahlen. Definieren Sie RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für jedes kritische System. Backup-Frequenz, Aufbewahrung, Verschlüsselung dokumentieren. Wiederherstellung testen — nicht nur planen.

Schritt 6: Lieferkette bewerten

Art. 21(2)(d) | Aufwand: 4-8 Stunden

NIS2 verlangt die Bewertung der Sicherheitslage Ihrer Zulieferer — jeder SaaS-Dienst, Cloud-Anbieter und Zahlungsdienstleister, der Ihre Daten oder Infrastruktur berührt.

Inventar aller Drittanbieter erstellen, nach Datenzugriffsebene klassifizieren, Sicherheitsnachweise von kritischen Lieferanten anfordern. Für den detaillierten Leitfaden: NIS2 Lieferkettensicherheit für SaaS-Anbieter.

Schritt 7: MFA durchsetzen

Art. 21(2)(j) | Aufwand: 2-4 Stunden

MFA auf allen Admin- und privilegierten Konten — Cloud, E-Mail, Code-Repos, Infrastruktur. SMS-basierte MFA gilt als schwach. TOTP-Apps oder Hardware-Keys verwenden.

Schritt 8: Schwachstellenmanagement einrichten

Art. 21(2)(f) | Aufwand: 3-6 Stunden Setup, dann laufend

Dokumentierter Prozess für Erkennung, Triage und Behebung. Empfohlene SLAs: Kritisch (CVSS 9.0+) = 24 Stunden, Hoch = 7 Tage, Mittel = 30 Tage, Niedrig = 90 Tage. security.txt nach RFC 9116 veröffentlichen, Responsible-Disclosure-Seite einrichten.

Schritt 9: Team schulen

Art. 21(2)(g) + Art. 20 | Aufwand: 2-3 Stunden Setup

NIS2 verlangt dokumentierte Schulungen — und explizit müssen Geschäftsführer selbst Cybersicherheitsschulungen absolvieren (Art. 20). Jährliche Awareness-Schulungen für alle Mitarbeiter, vierteljährliche Phishing-Simulationen, rollenspezifische Trainings für Entwickler.

Schulungsnachweise aufbewahren — Auditoren prüfen diese. Mehr zur persönlichen Haftung der Geschäftsführung.

Schritt 10: Kontinuierliches Monitoring aufsetzen

Art. 21(2)(a), (e), (f) | Aufwand: 1-2 Stunden Setup

Jährliche Audits reichen nicht. Das BSI erwartet kontinuierliches Risikomanagement mit zeitgestempelten Nachweisen.

Automatisierte Scans mindestens wöchentlich einrichten. Alerts für Zertifikatsablauf, TLS-Änderungen und Header-Modifikationen konfigurieren. SaaSForts CI/CD-Integration scannt bei jedem Deployment automatisch — für lückenlosen Nachweistrail.

Zeitplan: Was wann erledigen

ZeitraumPrioritäten
Jetzt (März 2026)BSI-Registrierung (falls nicht geschehen). Baseline-Scan. Sicherheitsrichtlinie starten.
April-Mai 2026Incident-Response-Plan. Business Continuity. Lieferkettenbewertung.
Juni-Juli 2026MFA durchsetzen. Schwachstellenmanagement. Team schulen.
August-September 2026Monitoring aktivieren. Tabletop-Übung. Nachweispaket zusammenstellen.
Oktober 2026Vollständige Compliance erforderlich. BSI-Prüfungen beginnen.

Kosten: Berater vs. Eigenregie vs. Automatisiert

AnsatzKostenZeit bis ComplianceLaufender Aufwand
Externer Berater€15.000-€50.0003-6 MonateJährliche Nachbeauftragung
Interner CISO€80.000-€120.000/Jahr2-4 MonateVollzeit-Rolle
Automatisiertes Scanning + eigene Policies€9-€29/Monat2-4 Wochen2-3 Stunden/Monat

Der neue BSI Grundschutz++ reduziert den Compliance-Aufwand um 85% gegenüber dem klassischen Kompendium — ideal für KMU ohne eigenen CISO.

FAQ

Kann ich mich noch beim BSI registrieren?

Ja. Verspätete Registrierung wird akzeptiert und vom BSI empfohlen. Sie zeigt Handlungswillen und reduziert das Sanktionsrisiko. Registrieren Sie sich sofort und konzentrieren Sie sich auf die Art. 21-Maßnahmen — das ist es, was Auditoren prüfen.

Brauche ich ISO 27001 für NIS2?

Nein. ISO 27001 ist nicht gesetzlich vorgeschrieben, hilft aber erheblich — 70-80% Kontrollüberschneidung. Details im ISO 27001 Zertifizierungsleitfaden. Alternativ deckt BSI Grundschutz++ rund 85% der NIS2-Anforderungen ab — zum Bruchteil der ISO-27001-Kosten.

Haftet die Geschäftsführung persönlich?

Ja. Unter §38 BSIG müssen Geschäftsführer die Cybersicherheitsmaßnahmen persönlich genehmigen, deren Umsetzung überwachen und selbst Cybersicherheitsschulungen absolvieren. Bei Verstößen droht persönliche Haftung — D&O-Versicherungen decken NIS2-Bußgelder oft nicht ab.

Reicht ein kostenloser Scan als NIS2-Nachweis?

Ein einzelner Scan ist ein Startpunkt. NIS2 verlangt kontinuierliches Risikomanagement. Ihr Erstscanbericht dokumentiert Ihre Baseline — genau das, was Prüfer als ersten Schritt sehen wollen. Kombinieren Sie ihn mit regelmäßigen automatisierten Scans und dem NIS2-PDF-Export für den fortlaufenden Nachweistrail.

Was prüfen BSI-Auditoren konkret?

Schriftliche Sicherheitsrichtlinien mit GF-Unterschrift, Incident-Response-Pläne mit dokumentierten Tests, Scan-Reports als kontinuierlicher Nachweis, Backup-Wiederherstellungstests, MFA-Nachweise, Schulungsprotokolle, Lieferkettenbewertungen. Zeitgestempelte, automatisierte Nachweise wiegen schwerer als manuelle Tabellen. Details im NIS2-Audit-Vorbereitungsleitfaden.

NIS2-Compliance braucht kein sechsstelliges Budget. Kostenloser Scan starten — 60 Checks, NIS2-Mapping, audit-fähige Reports ab €9/Monat. Für das vollständige Framework: SaaS Security Playbook 2026 herunterladen.

Share LinkedIn

Ready to put this into practice?

Run a free OWASP scan on your domain. First results in under 10 seconds — no signup required.

Start Free Scan

Continue reading

bsigrundschutz++

BSI Grundschutz++ 2026: 85% weniger Aufwand für SaaS-KMU

BSI Grundschutz++ ersetzt 6.567 Anforderungen durch 985 in 19 Practices. OSCAL-basiert, maschinenlesbar, NIS2-kompatibel für SaaS-KMU.

Read article
bsigrundschutz

BSI IT-Grundschutz for SaaS Vendors: NIS2 Path

BSI Grundschutz maps to 85% of NIS2 Article 21. How SaaS vendors use it for supply chain compliance — vs ISO 27001.

Read article
NIS2compliance

NIS2 Compliance Guide for German SMBs (2026)

NIS2 guide for German SMBs: BSI registration, Article 21 requirements, and how to prove compliance without a security team.

Read article
Back to all articles