Viele Unternehmen wissen, dass sie unter NIS2 fallen, doch die praktische Umsetzung überfordert sie. Der ENISA Technical Implementation Guide ist umfangreich, technisch und wenig handlungsleitend. Eine strukturierte Checkliste übersetzt die Anforderungen in prüfbare Fragen und ermöglicht systematische Selbsteinschätzung: vom aktuellen Reifegrad über Priorisierung bis zur verbindlichen Umsetzungsplanung.
Viele Unternehmen sind von der NIS2-Umsetzung überfordert. Eine strukturierte Checkliste übersetzt die ENISA-Anforderungen in prüfbare Schritte und ermöglicht die systematische Selbsteinschätzung.
Mit der NIS2-Richtlinie hat die Europäische Union die Anforderungen an Cybersicherheit deutlich ausgeweitet. Neben einer Verschärfung der Pflichten wurde auch der Kreis der betroffenen Unternehmen erheblich vergrößert. In Deutschland unterscheidet der Gesetzgeber dabei zwischen sehr wichtigen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities).
Wesentlich ist jedoch: Unabhängig von dieser Einstufung gelten für beide Kategorien im Kern die gleichen inhaltlichen Anforderungen an das Cyber-Risiko- und Sicherheitsmanagement. Unterschiede bestehen vor allem bei Aufsicht, Prüfungsintensität und Sanktionsrahmen. Für die betroffenen Unternehmen bedeutet das: Die Komplexität der Umsetzung ist hoch – unabhängig davon, ob sie als „wichtig“ oder „sehr wichtig“ eingestuft sind. Damit ist der rechtliche Rahmen zwar definiert, die eigentliche Herausforderung beginnt jedoch erst mit der praktischen Umsetzung.
Zwischen Regulierung und Realität: Überforderung in der Praxis
In vielen Unternehmen zeigt sich derzeit ein ähnliches Bild. Man weiß, dass man unter NIS2 fällt oder zumindest potenziell betroffen ist. Man kennt die grundlegenden Anforderungen und hat vielleicht bereits einzelne Sicherheitsmaßnahmen implementiert. Was jedoch häufig fehlt, ist eine klare Struktur für das weitere Vorgehen. Die Anforderungen der NIS2 sind nicht als einzelnes Projekt zu verstehen, sondern als kontinuierlicher Reifegradprozess. Es geht um Richtlinien, Prozesse, Rollen, technische Maßnahmen, Dokumentation und regelmäßige Überprüfung. Ohne klare Priorisierung und Orientierung führt das schnell zu Überforderung.
Typische Fragen lauten dann: Wo fangen wir an? Was ist zuerst zu tun? Was ist bereits ausreichend umgesetzt und wo bestehen Lücken?
Gerade mittelständische Unternehmen stehen hier vor erheblichen Herausforderungen, da regulatorische Texte häufig abstrakt formuliert sind und im Tagesgeschäft kaum unmittelbar handlungsleitend wirken.
Orientierung durch ENISA, aber mit praktischen Hürden
Um Unternehmen bei der Umsetzung der NIS2-Richtlinie zu unterstützen, hat die ENISA (European Union Agency for Cybersecurity) einen Technical Implementation Guide veröffentlicht. Die ENISA ist die Cybersicherheitsagentur der Europäischen Union und unterstützt Mitgliedstaaten sowie Organisationen bei der praktischen Umsetzung europäischer Cybersicherheitsvorgaben. Der Technical Implementation Guide übersetzt die rechtlichen Anforderungen der NIS2 in konkrete technische und organisatorische Themenfelder. Er deckt unter anderem Risikomanagement, Vorfallbehandlung, Geschäftskontinuität, Zugriffskontrolle, Lieferkettensicherheit sowie Schulungs- und Sensibilisierungsmaßnahmen ab. Damit stellt er eine fachlich fundierte Grundlage dar, um die abstrakten Vorgaben der Richtlinie greifbarer zu machen. In der Praxis zeigt sich jedoch, dass dieser Leitfaden viele Unternehmen vor neue Hürden stellt. Der Umfang ist beträchtlich, die Inhalte sind stark technisch geprägt und die vollständige Veröffentlichung liegt ausschließlich in englischer Sprache vor. Zudem ist der Leitfaden als Referenzdokument konzipiert, nicht als klarer Umsetzungsfahrplan. Für viele Organisationen bleibt damit unklar, wie sie strukturiert starten und welche Schritte in welcher Reihenfolge sinnvoll sind.
Vereinfachung durch Struktur: Die NIS2-Checkliste zur Selbsteinschätzung
NIS2-Checkliste zur Selbsteinschätzung.
(Bild: XSOC)
Um diese Lücke zwischen regulatorischer Vorgabe und operativer Umsetzung zu schließen, hat XSOC auf Basis des ENISA Technical Implementation Guide eine NIS2-Checkliste zur Selbsteinschätzung entwickelt. Ziel war es, die umfangreichen und technisch formulierten Anforderungen in eine Form zu bringen, die im Unternehmensalltag unmittelbar anwendbar ist. Die Checkliste bündelt die Inhalte des ENISA-Leitfadens thematisch und übersetzt sie in klar formulierte, nachvollziehbare Fragestellungen. Statt direkt mit einzelnen technischen Maßnahmen zu beginnen, ermöglicht sie Unternehmen zunächst eine strukturierte Selbsteinschätzung ihres aktuellen Reifegrads. Dabei werden bestehende Richtlinien, Prozesse, Rollen und Verantwortlichkeiten ebenso betrachtet wie potenzielle Lücken in Umsetzung und Dokumentation.
Übersicht der Ergebnisse nach Selbsteinschätzung.
(Bild: XSOC)
Der Mehrwert liegt in der klaren Systematik. Die NIS2-Checkliste zur Selbsteinschätzung orientiert sich am ENISA Technical Implementation Guide und reduziert den Aufwand, Anforderungen selbst aus einem umfangreichen Referenzdokument herauszulesen und in prüfbare Einzelfragen zu übersetzen. Dadurch entsteht Transparenz darüber, wo Anforderungen bereits erfüllt sind und wo konkreter Handlungsbedarf besteht. So wird aus einem umfangreichen technischen Referenzdokument ein praxisnahes Instrument für den Einstieg in die NIS2-Umsetzung. Die NIS2-Checkliste ersetzt keine formale Prüfung oder Zertifizierung, sondern dient als strukturierte Grundlage für eine fundierte Selbsteinschätzung und Priorisierung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Als Leserinnen und Leser von Security-Insider können Sie die Checkliste ganz einfach per E-Mail anfordern.
Schrittweise Umsetzung mit der NIS2-Checkliste zur Selbsteinschätzung
Die Checkliste ist dabei nicht nur eine Sammlung einzelner Fragen, sondern Teil eines klaren Vorgehensmodells:
Schritt 1
Schritt 2
Schritt 3
Schritt 4
Phase
Initiale Selbsteinschätzung
Priorisierung der Handlungsfelder
Festlegung der Korrekturfristen
Kontinuierliche Umsetzung & Pflege
Ziel
Vollständiger Überblick über den aktuellen Compliance-Status
Entscheidung, welche Themen zuerst angegangen werden
Verbindliche zeitliche Planung
Nachhaltige Schließung der Lücken
Vorgehen
Alle Fragen der NIS2-Checkliste werden einmal vollständig durchgearbeitet und je Anforderung als „nicht“, „teilweise“ oder „vollständig compliant“ bewertet.
Die Ergebnisse der Selbsteinschätzung werden risikoorientiert ausgewertet, um kritische Lücken und dringende Handlungsfelder zu identifizieren.
Für priorisierte Anforderungen werden konkrete Korrekturfristen definiert, um die Umsetzung verbindlich zu planen.
Die identifizierten Lücken werden schrittweise behoben. Die Checkliste wird fortlaufend aktualisiert, um Fortschritte zu dokumentieren und den Reifegrad kontinuierlich zu erhöhen.
(Quelle: XSOC)
Aggregierte Auswertungen und Visualisierungen – wie in den Beispielen dargestellt – helfen dabei, den Umsetzungsstand transparent darzustellen und Fortschritte messbar zu machen.
NIS2 scheitert in der Praxis selten am fehlenden Willen, sondern häufig an Komplexität und fehlender Struktur. Der Technical Implementation Guide der ENISA liefert die fachliche Grundlage. Die strukturierte NIS2-Checkliste zur Selbsteinschätzung von XSOC übersetzt diese Anforderungen in ein nachvollziehbares Vorgehen und ermöglicht Unternehmen, ihre NIS2-Umsetzung systematisch, priorisiert und nachhaltig voranzubringen.
Über den Autor: Günther Wirrer ist Geschäftsführer der XSOC GmbH. XSOC ist ein deutsches Cybersecurity-Unternehmen mit klarem Fokus auf Security Operations Center (SOC) Services, Incident Response, Schwachstellenmanagement sowie Penetrationstests. XSOC ist Teil der Unternehmensgruppe der XNET Solutions, die seit über 20 Jahren Erfahrung im Aufbau, Betrieb und der Weiterentwicklung komplexer IT- und Sicherheitsumgebungen verfügt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/65/3d65dcec21534995555cc3e6d1162102/0129290787v1.jpeg "Mit mehr als 180.000 Besuchern in 2025 ist die VivaTech eines der größten Start-up- und Tech-Event Europas. Der Veranstalter, Viva Technology, gibt jedes Jahr vorab eine internationale Umfrage in Auftrag. (Bild: VivaTech)")
:quality(80)/p7i.vogel.de/wcms/fb/db/fbdb7ae5374bb8b949fb34cbc1893470/0129820973v1.jpeg "„Wir haben allein durch diese Lösung Finnland zu einem unrentablen Ziel für Kriminelle gemacht“, sagt Kati Nyman, Executive Vice President bei Elisa, über die patentierte Anti-Scam-Lösung des Telco-Anbieters. (Bild: Elisa)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/3c/463c5e6652bc38681a5cd467c57edb65/0129737222v1.jpeg "Microsoft-CEO Satya Nadella bei der Eröffnungs-Keynote der AI Tour in München. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/c7/3dc7db4913400b59cbec945b73c616bd/0129828020v2.jpeg "Viele Unternehmen sind von der NIS2-Umsetzung überfordert. Eine strukturierte Checkliste übersetzt die ENISA-Anforderungen in prüfbare Schritte und ermöglicht die systematische Selbsteinschätzung. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/a7/5ea7a3d83d2a9e42c95c46a7f8281969/0129603326v2.jpeg "Für die Erstellung der Backdoor nutzen die Angreifer erbeutete Anmeldedaten, um legitime RMM-Zugriffstoken zu generieren und dauerhaften Zugriff auf die Systeme der Opfer über eine manipulierte Datei zu erlangen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/45/96/4596d2bb47d7e50fb1261cfa87688992/0125812908v2.jpeg "Mit den NIS-2-Infopaketen gibt das BSI Unternehmen und Organisationen Hilfestellungen an die Hand, um die angekündigten Vorgaben umzusetzen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/1c/a3/1ca34b6e6f9b0710240f45c11b018270/0128704560v1.jpeg "So sieht das BSI-Portal aus, dass seit dem 6. Januar freigeschaltet ist. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/a8/d3a8e5d0c386e216cb80a9f86adf71c1/0129257881v2.jpeg "Für die Umsetzung der NIS2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")