NIS-2-Checkliste: Die 10 Pflichtmaßnahmen nach § 30 BSIG

NIS-2 klingt im Gesetzestext sperrig, verlangt im Kern aber solides IT-Handwerk. § 30 des BSIG nennt zehn Bereiche, die jedes betroffene Unternehmen abdecken muss.[1] Hier sind sie, ohne Juristendeutsch und mit dem Blick darauf, was sie für ein KMU praktisch bedeuten.

1. Risikomanagement und Sicherheitskonzept

Der Ausgangspunkt für alles Weitere. Sie sollten wissen, welche Systeme und Daten für Ihren Betrieb kritisch sind und welche Gefahren ihnen drohen. Daraus leiten Sie ab, wo Sie zuerst ansetzen. Das muss kein dickes Handbuch sein, aber es sollte schriftlich und nachvollziehbar sein.

2. Umgang mit Sicherheitsvorfällen

Wenn etwas passiert, brauchen Sie einen Plan: Wer wird informiert, wer entscheidet, wie wird der Vorfall eingedämmt und dokumentiert? Für direkt betroffene Unternehmen kommt die gesetzliche Meldepflicht hinzu, die eine erste Meldung innerhalb von 24 Stunden verlangt.[2]

3. Backups und Notfallwiederherstellung

Regelmäßige Backups, die auch wirklich funktionieren. Der häufigste Fehler ist nicht das fehlende Backup, sondern das ungetestete. Probieren Sie mindestens einmal aus, ob sich Ihre Daten im Ernstfall zurückspielen lassen, und halten Sie fest, wie lange das dauert.

4. Sicherheit in der Lieferkette

Sie sind nicht nur für Ihre eigene IT verantwortlich, sondern auch für die Risiken, die über Ihre Dienstleister und Zulieferer hereinkommen. Das heißt: die wichtigsten Partner kennen, ihre Sicherheit einschätzen und im Vertrag das Nötige regeln.

5. Sichere Beschaffung, Entwicklung und Wartung

Sicherheit beginnt beim Einkauf. Neue Software und Geräte sollten aktuell und gepflegt sein, und Schwachstellen müssen zeitnah geschlossen werden. Ein geordnetes Update- und Patch-Management deckt einen großen Teil dieses Punktes ab.

6. Überprüfung der Wirksamkeit

Maßnahmen, die niemand kontrolliert, verlieren mit der Zeit ihre Wirkung. Sie sollten in festen Abständen prüfen, ob das, was Sie eingeführt haben, noch greift, und nachsteuern, wo es hakt.

7. Schulung und Cyberhygiene

Die meisten Vorfälle beginnen mit einem Klick. Regelmäßige, verständliche Schulungen zu Themen wie Phishing und Passwörtern bringen oft mehr Sicherheit als teure Technik. Wichtig ist, dass alle mitgenommen werden, von der Buchhaltung bis zur Geschäftsführung.

8. Verschlüsselung

Sensible Daten sollten verschlüsselt sein, sowohl bei der Übertragung als auch auf den Geräten. Festplattenverschlüsselung auf Laptops und verschlüsselte Verbindungen sind heute Standard und in vielen Systemen mit wenigen Klicks aktiviert.

9. Zugriffskontrolle und Personalsicherheit

Jeder sollte nur auf das zugreifen können, was er für seine Arbeit braucht. Dazu gehört, Berechtigungen sauber zu vergeben, sie beim Ausscheiden von Mitarbeitern wieder zu entziehen und einen Überblick zu behalten, welche Geräte und Konten überhaupt existieren.

10. Mehr-Faktor-Authentifizierung und sichere Kommunikation

Ein Passwort allein reicht nicht mehr. Mehr-Faktor-Anmeldung für wichtige Zugänge ist eine der wirksamsten Einzelmaßnahmen überhaupt. Dazu kommt eine gesicherte Kommunikation und ein Weg, im Notfall erreichbar zu bleiben, auch wenn die normalen Systeme ausfallen.

Wie Sie damit anfangen

Sie müssen nicht alle zehn Punkte auf einmal stemmen. Sinnvoll ist eine ehrliche Bestandsaufnahme: Was haben Sie schon, wo sind die Lücken, und welche davon sind am riskantesten? Aus dieser Liste wird eine Reihenfolge, die zu Ihrem Betrieb passt. Vieles ist schneller erledigt, als es auf dieser Liste aussieht.

Häufige Fragen

Muss ich alle zehn Punkte vollständig erfüllen? Ja, die Maßnahmen gelten als Mindeststandard. Wie aufwendig die Umsetzung ist, hängt aber stark davon ab, wie gut Sie heute schon aufgestellt sind. Viele KMU erfüllen mehrere Punkte bereits, ohne es zu wissen.

Brauche ich für jeden Punkt teure Software? Meistens nicht. Ein großer Teil lässt sich mit Bordmitteln und sauberen Abläufen abdecken. Geld kostet eher das, was wirklich fehlt, und das zeigt eine Bestandsaufnahme.

Was ist mit der 24-Stunden-Meldepflicht? Sie gilt für direkt betroffene Unternehmen und verlangt, einen erheblichen Sicherheitsvorfall sehr schnell ans BSI zu melden. Ein vorbereiteter Meldeprozess sorgt dafür, dass Sie diese Frist im Ernstfall einhalten.

Wollen Sie wissen, wo Ihr Unternehmen bei diesen zehn Punkten steht? Im Betroffenheits-Check klären wir Ihre Situation und Sie erhalten eine priorisierte Empfehlung.