MUSTERPLAN · EXEMPLARISCHE ÜBERSICHT

NIS2-konformer Cybersecurity-Strategieplan

Wie ein strukturiertes NIS2-Compliance-Programm aussieht — von der Betroffenheitsprüfung bis zum prüfungsfesten Wirksamkeitsnachweis. Dargestellt am Beispiel eines anonymisierten Musterunternehmens.

Grundlage: NIS2UmsuCG In Kraft seit 06.12.2025 Laufzeit Musterplan: 7 Phasen Methodik: Evidence-Based Assurance
Regulatorischer Ausgangspunkt · Stand Juni 2026

Die NIS2-Pflichten gelten bereits — es geht um Tempo, nicht ums „Ob"

Für betroffene Unternehmen ist NIS2 kein Vorbereitungs-, sondern ein Remediations- und Nachweisprogramm gegen rechtsverbindliche Anforderungen. Das verschiebt die strategische Priorität klar auf die Schließung akuter Lücken.

Was seit Inkrafttreten gilt

  • Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist.
  • Die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen; eine verspätete Registrierung über das BSI-Portal (MUK) bleibt möglich und ratsam.
  • Sofort-Pflichten: Registrierung, Meldepflichten und Risikomanagement nach § 30 BSIG.
  • Sanktionsrahmen: bis €10 Mio. oder 2 % des weltweiten Jahresumsatzes — zzgl. persönlicher Geschäftsleiterhaftung (§ 38 BSIG).
Compliance-Framework · § 30 BSIG

Die zehn Maßnahmenbereiche als strategische Säulen

Inhaltlich bilden die NIS2-Pflichten das Inhaltsverzeichnis eines ISMS. Sie strukturieren den gesamten Plan — jede Säule erzeugt prüffähige Evidenz mit Paragrafenbezug.

01

Risikoanalyse & Sicherheitskonzepte

Systematische Bewertung der Informationssysteme.

02

Bewältigung von Sicherheitsvorfällen

Incident Handling mit definierten Meldewegen.

03

Aufrechterhaltung des Betriebs

Backup, Disaster Recovery, Krisenmanagement.

04

Sicherheit der Lieferkette

Risikobewertung kritischer Dienstleister.

05

Sichere Beschaffung & Entwicklung

Security in IKT-Beschaffung, Entwicklung, Wartung.

06

Wirksamkeitsbewertung

Messung der Risikomanagement-Maßnahmen.

07

Cyberhygiene & Schulungen

Grundlegende Hygiene und Awareness-Programme.

08

Kryptografie & Verschlüsselung

Daten in Ruhe und im Transit absichern.

09

Zugriffskontrolle & Assets

Personalsicherheit und Asset-Management.

10

MFA & gesicherte Kommunikation

Multi-Faktor-Auth. und sichere Kanäle.

Operative Umsetzung · Juli 2026 – Januar 2027

Die Roadmap: von der Sofortmaßnahme zum Wirksamkeitsnachweis

Methodik je Phase: Interpret → Collect → Measure → Validate → Communicate. Der Plan strukturiert die Umsetzung von der Sofortmaßnahme bis zum prüfungsfesten Nachweis.

PHASE 0 · SofortmaßnahmenJuli 2026 · KW 27

Akute Haftungs- und Bußgeldrisiken adressieren

Betroffenheit klären, Registrierung sichern, Meldekette scharfschalten.
  • Betroffenheitsprüfung (§ 28): Sektor & Schwellenwerte (≥ 50 MA oder > €10 Mio.)
  • BSI-Registrierung nachholen (MUK-Portal), falls offen
  • 24h-Frühwarnung organisatorisch sicherstellen
PHASE 1 · Gap & GovernanceJuli – Aug 2026

Vollständige Bestandsaufnahme der Compliance-Lücken

Assessment gegen die zehn Maßnahmenbereiche, Governance-Board, Policy.
  • NIS2-Compliance-Assessment mit Paragrafenbezug
  • Einrichtung des Cybersecurity-Governance-Boards
  • Vorfallmeldeprozesse formalisieren (§ 32)
PHASE 2 · RisikomanagementSeptember 2026

NIS2-konforme Risikobewertung und -behandlung

Asset-Inventar, Bedrohungsanalyse, Schwachstellen, Risikomatrix.
  • Vollständige Erfassung kritischer IKT-Systeme
  • Kontinuierliche Vulnerability Assessments
  • Risikoregister + dokumentierte Behandlungspläne
PHASE 3 · Technische MaßnahmenSep – Okt 2026

Grundlegende Cyberhygiene implementieren

MFA, Verschlüsselung, Segmentierung, Backup, EDR-Monitoring.
  • Unternehmensweite Multi-Faktor-Authentifizierung
  • Air-gapped Backups für Business Continuity
  • Technische Audits + Penetrationstests
PHASE 4 · Incident Response & BCOkt – Nov 2026

Vorfallbehandlung und Geschäftskontinuität

Meldekette mit den drei NIS2-Fristen, Crisis Team, BCP/DR.
  • 24h Frühwarnung · 72h Erstmeldung · 1 Monat Endbericht (BSI)
  • RTO/RPO-Definitionen für kritische Prozesse
  • Tabletop-Simulation eines meldepflichtigen Vorfalls
PHASE 5 · LieferketteNov – Dez 2026

NIS2-konforme Lieferkettensicherheit

Vendor-Assessment, vertragliche Anforderungen, Monitoring.
  • Cybersecurity-Bewertung kritischer Dienstleister
  • NIS2-Klauseln (C5 / ISO 27001 als Mindestnachweis Cloud)
  • 100 % kritischer Lieferanten bewertet
PHASE 6 · Nachweis & KVPab Dezember 2026

Prüfungsfeste Wirksamkeit & kontinuierliche Konformität

Schulungen, Geschäftsleitungs-Pflichtschulung (§ 38), internes Audit.
  • Rollenbasierte Awareness + quartalsweise Phishing-Simulationen
  • KPIs für alle Maßnahmenbereiche
  • Internes Audit zur Vorbereitung auf BSI-Prüfung
Governance-Modell

Drei Ebenen, klare Verantwortung

Strategisch

Steuerung & Haftung

  • Geschäftsführung: Gesamtverantwortung (§ 38 BSIG)
  • Cybersecurity-Board: monatliche Entscheidungen
  • CISO: operative Strategieleitung
Operativ

Betrieb & Überwachung

  • Security Operations: Monitoring & Response
  • Risk Management Office: laufende Bewertung
  • Compliance Officer: BSI-Berichterstattung
Unterstützend

Umsetzung & Enablement

  • IT-Operations: technische Umsetzung
  • HR & Legal: Schulung, Verträge
  • Externe Beratung: Gap, Governance, Nachweis
Right-Sizing · Prinzip

Vollständig und prüffest — ohne Gold-Plating

Jede Phase wird auf das tatsächlich Erforderliche zugeschnitten: nicht mehr, nicht weniger, als die regulatorischen Anforderungen verlangen. So entsteht belastbare Konformität statt überdimensionierter Aufwand.

Erfolgsmessung · KPIs

Woran sich Konformität messen lässt

24h
Frühwarnung an das BSI bei erheblichen Vorfällen
>95%
kritischer Assets erfasst & bewertet
<15min
Mean Time to Detection (MTTD)
100%
kritischer Lieferanten NIS2-bewertet
Beratung & Kontakt

NIS2-Betroffenheit klären — und das Programm right-sizen

Dieser Musterplan zeigt die Struktur. Für die konkrete Übertragung auf Ihre Organisation — Betroffenheit, Lückenanalyse und prüfungsfester Nachweis — sprechen wir am besten direkt. Vendor-neutral, fixer Scope, kein Shelfware.

BSI Trusted ISO 42001 Lead Auditor ISO 27001 NIS2 · CRA