All articles
NIS2

NIS2-Checkliste: Die 10 Maßnahmen nach Artikel 21 (2026)

Eine kostenlose Checkliste aller von NIS2 nach Art. 21 geforderten Sicherheitsmaßnahmen, plus Registrierungs- und Meldepflichten. Zum Durcharbeiten.

·KomplyEU

Mit dieser Checkliste sehen Sie in klarer Sprache, was die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verlangt. Kostenlos. Arbeiten Sie sie durch, und prüfen Sie zuerst Ihre Betroffenheit.

Schritt 0: Betroffenheit prüfen

-> NIS2-Betroffenheitsprüfung starten, dann Bin ich von NIS2 betroffen? lesen. Die Maßnahmen gelten für Wesentliche und Wichtige Einrichtungen.

Die 10 Cybersicherheitsmaßnahmen (Art. 21)

Beide Einrichtungstypen müssen alle zehn umsetzen, risikobasiert und an Größe und Gefährdung angepasst.

  • 1. Risikoanalyse und Sicherheitsrichtlinien - dokumentierte Richtlinien auf Basis einer Allgefahren-Risikobewertung.
  • 2. Behandlung von Sicherheitsvorfällen - Erkennung, Reaktion und Wiederherstellung.
  • 3. Business Continuity - Backups, Notfallwiederherstellung und Krisenmanagement.
  • 4. Lieferkettensicherheit - Sicherheit in Beziehungen zu direkten Lieferanten und Dienstleistern.
  • 5. Sicherheit bei Erwerb, Entwicklung und Wartung - inklusive Schwachstellenbehandlung und -offenlegung.
  • 6. Bewertung der Wirksamkeit - Verfahren, um zu messen, ob die Maßnahmen wirken.
  • 7. Cyberhygiene und Schulungen - grundlegende Hygiene und regelmäßige Mitarbeiterschulungen.
  • 8. Kryptografie - Richtlinien zur Nutzung von Kryptografie und gegebenenfalls Verschlüsselung.
  • 9. Personalsicherheit, Zugangskontrolle und Asset-Management - Überprüfung, Least-Privilege-Zugang, Inventar.
  • 10. Multi-Faktor-Authentifizierung und sichere Kommunikation - MFA oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video-, Text- und Notfallkommunikation.

Governance und Meldung (nicht vergessen)

  • Verantwortung der Leitung (Art. 20) - die Geschäftsleitung muss die Maßnahmen genehmigen und überwachen und haftet persönlich. Schulungspflicht für die Leitung.
  • Meldepflicht (Art. 23) - Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats nach einem erheblichen Vorfall.
  • Registrierung - bei der nationalen Behörde registrieren. Fristen variieren je nach Land, einige sind bereits abgelaufen.

Kategorie und Bußgeldgrenze bestimmen

-> NIS2-Betroffenheitsprüfung - Wesentlich oder Wichtig, mit Bußgeldgrenze und Pflichten.

Quelle

Richtlinie (EU) 2022/2555 (NIS2), Artikel 20, 21 und 23

Zuletzt geprüft: 21. Juni 2026.

Verwandte Artikel