Die NIS2-Richtlinie (EU) 2022/2555 stellt Anforderungen an die Cybersicherheit wesentlicher und wichtiger Einrichtungen. ComplianceScan hilft Ihnen, Ihre NIS2-Pflichten zu erfassen, zu bewerten und zu dokumentieren.
Zuletzt aktualisiert: 2026-06-16
Inhaltsverzeichnis
- Überblick
- Anwendbarkeits-Schnellcheck
- Der Assistent in 8 Schritten
- Maßnahmen-Katalog (Art. 21)
- Asset-Inventar
- Incidents und Meldefristen
- Lieferketten-Sicherheit
- Zusammenfassung und Export
- Kontingente
Überblick
Der NIS2-Assistent ist als ein zusammenhängendes Bewertungsdokument pro Organisation aufgebaut. Er unterstützt Sie bei:
- Anwendbarkeits-Schnellcheck — Fällt Ihr Unternehmen unter NIS2?
- Organisationserfassung — Stammdaten, Sektor, Klassifizierung
- Governance (Art. 20) — Verantwortung der Leitung, Schulungen
- Maßnahmen-Dokumentation (Art. 21) — Status und Reifegrad der zehn Maßnahmenkategorien
- Asset-Inventar — kritische IT-Systeme und Netzwerke
- Incident-Management (Art. 23) — Vorfälle dokumentieren, Meldefristen überwachen
- Lieferketten-Sicherheit — Bewertung von Zulieferern
Ihr Fortschritt wird laufend gespeichert; alle Änderungen werden in einer Änderungshistorie protokolliert.
Anwendbarkeits-Schnellcheck
Der Schnellcheck ermittelt in wenigen Klicks, ob NIS2 für Ihr Unternehmen relevant ist:
- Sektor wählen — eine Kachel aus den NIS2-Sektoren oder „Keiner der obigen".
- Unternehmensgröße — < 50, 50–249 oder ≥ 250 Mitarbeitende (entfällt bei größenunabhängig erfassten Sektoren).
Mögliche Ergebnisse
| Ergebnis | Bedeutung |
|---|---|
| NIS2 gilt nicht | Kein NIS2-kritischer Sektor (kein Anhang I oder II) |
| NIS2 gilt — unabhängig von der Größe | Größenunabhängig erfasste Sektoren (Art. 2 Abs. 2) |
| NIS2 gilt wahrscheinlich nicht | Unter 50 Mitarbeitende (Art. 2 Abs. 1) |
| NIS2 gilt — potenziell wichtige Einrichtung | Anhang I in mittlerer Größe (50–249) oder Anhang II ab mittlerer Größe |
| NIS2 gilt — potenziell wesentliche Einrichtung | Anhang I als Großunternehmen (≥ 250 bzw. > 50 Mio. € Umsatz / > 43 Mio. € Bilanz) sowie größenunabhängig erfasste Zentralverwaltung |
Wesentlich oder wichtig? Die Zuordnung folgt Art. 3 NIS2 und hängt von der Größe ab, nicht allein vom Anhang: Anhang-I-Einrichtungen sind nur als Großunternehmen wesentliche Einrichtungen; mittelgroße Anhang-I-Einrichtungen und alle Anhang-II-Einrichtungen gelten als wichtige Einrichtungen. Hinzu kommen größenunabhängig erfasste Sondertypen (u. a. DNS/TLD-Anbieter, qualifizierte Vertrauensdiensteanbieter, Zentralverwaltung).
Im Anschluss können Sie Assessment starten, Als nicht anwendbar markieren oder Trotzdem ausfüllen. Je nach gewähltem Geltungsbereich (EU-weit, Österreich, Deutschland, Schweiz) werden länderspezifische Rechtshinweise angezeigt.
Sektoren
| Anhang I (Sektoren mit hoher Kritikalität) | Anhang II (sonstige kritische Sektoren) |
|---|---|
| Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Dienstleistungsmanagement (B2B), Öffentliche Verwaltung, Weltraum | Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung |
Der Assistent in 8 Schritten
| Schritt | Bezeichnung | Inhalt |
|---|---|---|
| 1 | Anwendbarkeit | Schnellcheck (siehe oben) |
| 2 | Organisation | Stammdaten, Sektor, Größe, Umsatz, Bilanzsumme |
| 3 | Governance (Art. 20) | Verantwortliche Leitung, Schulungen, ISB |
| 4 | Art. 21 Maßnahmen | Maßnahmen-Katalog (siehe unten) |
| 5 | Asset-Inventar | Kritische IT-Systeme |
| 6 | Incidents (Art. 23) | Sicherheitsvorfälle und Meldefristen |
| 7 | Lieferkette | Bewertung der Zulieferer |
| 8 | Zusammenfassung | Überblick, Änderungshistorie, Export |
Governance (Art. 20)
Hier erfassen Sie unter anderem die verantwortliche Leitung, den Status von Management-Schulungen (durchgeführt, Datum, Anbieter, Nachweis) sowie den Informationssicherheits-Beauftragten (ISB).
Art. 20 Abs. 2 NIS2: Die Mitglieder der Leitungsorgane müssen Cybersicherheits-Schulungen absolvieren und die Einhaltung der Maßnahmen überwachen.
Registrierung und Meldekontakte
Im Rahmen der Organisations- und Meldeangaben dokumentieren Sie außerdem den Registrierungsstatus (inkl. Registriernummer und Frist), die Selbstdeklaration sowie die Meldekontakte: Incident-Kontakt (mit Stellvertreter), CSIRT-Kontakt, nationale Behörde und Meldeportal-URL.
Maßnahmen-Katalog (Art. 21)
Die zehn Maßnahmenkategorien nach Art. 21 Abs. 2 lit. a–j. Für jede Maßnahme hinterlegen Sie einen Umsetzungsstatus und einen Reifegrad:
| Status | Reifegrad (0–5) |
|---|---|
| Nicht umgesetzt | 0 Nicht vorhanden · 1 Initial/Ad-hoc · 2 Wiederholbar |
| Teilweise | 3 Definiert · 4 Gesteuert/Messbar |
| Vollständig | 5 Optimiert |
Die Reifegrad-Skala (0–5) ist eine Bewertungshilfe von ComplianceScan (angelehnt an CMMI- bzw. ISO-Reifegradmodelle) – NIS2 selbst schreibt keine Reifegrade vor. Die Zuordnung von Status zu Reifegrad ist als Orientierung gedacht, keine starre gesetzliche Vorgabe.
Zusätzlich können Sie je Maßnahme Verantwortliche, eine Beschreibung, einen Nachweis (Evidenz) und eine Frist hinterlegen.
| lit. | Maßnahme |
|---|---|
| a | Konzepte für Risikoanalyse und Sicherheit von Informationssystemen |
| b | Bewältigung von Sicherheitsvorfällen |
| c | Aufrechterhaltung des Betriebs (BCM) |
| d | Sicherheit der Lieferkette |
| e | Sicherheit bei Erwerb, Entwicklung und Wartung |
| f | Bewertung der Wirksamkeit von Maßnahmen |
| g | Cyberhygiene und Schulungen |
| h | Kryptographie und ggf. Verschlüsselung |
| i | Personalsicherheit und Zugangskontrollen |
| j | Multi-Faktor-Authentifizierung und sichere Kommunikation |
Asset-Inventar
Erfassen Sie Ihre kritischen IT-Systeme. Aus Kritikalität und Patch-Status ermittelt ComplianceScan automatisch eine Risikoeinstufung (niedrig, mittel, hoch, kritisch).
| Feld | Beschreibung |
|---|---|
| Name | Bezeichnung des Assets |
| Typ | Server, Netzwerk, Anwendung, Datenbank, … |
| Standort | Physischer / Cloud-Standort |
| Kritikalität | niedrig / mittel / hoch / kritisch |
| Verantwortlicher | Zuständige Person |
| Stellvertreter | Vertretung |
| Letzte / nächste Prüfung | Audit-Termine |
| Lieferant | Zugehöriger Lieferant |
| Backup | Backup-Status |
| Patch-Status | aktuell / teilweise / veraltet / unbekannt |
Incidents und Meldefristen
Dokumentieren Sie Sicherheitsvorfälle für die Meldepflicht. Je Vorfall erfassen Sie unter anderem Titel, Schweregrad, Status, die Zeitpunkte der Entdeckung und der einzelnen Meldungen sowie betroffene Systeme, Ursache, Behebung und gewonnene Erkenntnisse.
NIS2-Meldefristen (Art. 23)
Die Fristen laufen ab der Entdeckung des Vorfalls:
| Frist | Aktion |
|---|---|
| 24 Stunden | Frühwarnung an das zuständige CSIRT |
| 72 Stunden | Erstbewertung (Meldung mit erster Bewertung) |
| 1 Monat | Abschlussbericht |
Automatische Erinnerung: ComplianceScan überwacht offene Meldefristen und benachrichtigt die Administratoren Ihrer Organisation per E-Mail, wenn eine Frist näher rückt oder überschritten wurde. Die E-Mail enthält Ihre hinterlegten Meldekontakte (CSIRT, nationale Behörde, Meldeportal).
Lieferketten-Sicherheit
Bewerten Sie die Cybersicherheit Ihrer Zulieferer:
| Feld | Beschreibung |
|---|---|
| Name | Firma / Dienstleister |
| Dienstleistung | Was wird geliefert? |
| Land | Sitz des Lieferanten |
| Risiko-Stufe | niedrig / mittel / hoch |
| Vertragsreferenz | Vertrag / SLA |
| Letztes Audit | Datum der letzten Bewertung |
| Sicherheitsanforderungen | Vereinbarte Anforderungen |
| Sicherheitsbewertung | Ergebnis der Bewertung |
| Cyberklauseln im Vertrag | Sind Security-Klauseln vereinbart? |
Zusammenfassung und Export
Der letzte Schritt zeigt eine Zusammenfassung Ihres Assessments inklusive Hinweisen zu offenen Punkten und der Änderungshistorie. Für den Export stehen zur Verfügung:
| Schaltfläche | Ergebnis |
|---|---|
| Als PDF drucken | Öffnet den Druckdialog; Speichern als PDF möglich |
| Text herunterladen | Lädt das Assessment als .txt-Datei herunter |
Die Änderungshistorie wird direkt in der Zusammenfassung als „Änderungshistorie" angezeigt.
Kontingente
Die Verfügbarkeit des NIS2-Assistenten sowie die maximale Anzahl an Assets hängen von Ihrem Tarif ab. Die aktuellen Tarif-Limits finden Sie in der Abrechnungs-Dokumentation.
Weiterführend
- AI Act — KI-Systeme regulatorisch erfassen
- VVT — Verarbeitungsverzeichnis (DSGVO Art. 30)
- Monitoring — Automatische Überwachung