NIS2-Richtlinie (EU) 2022/2555 · Betroffenheit · Reifegrad
NIS2-Check: Sind Sie betroffen – und wie weit ist Ihre Compliance?
Ein NIS2-Check (oft „NIS2-Scan“ genannt) ist eine geführte Selbsteinschätzung: Er klärt, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt, und bewertet den Reifegrad Ihrer Cybersicherheits-Maßnahmen – kein technischer Schwachstellen-Scan, sondern eine organisatorische Standortbestimmung mit dokumentierten Ergebnissen.
Was ist ein NIS2-Check?
Der NIS2-Check beantwortet zwei Fragen: Gilt NIS2 für mein Unternehmen? (Betroffenheitsprüfung nach Sektor und Größe) und wie gut erfülle ich die Pflichten bereits? (Reifegrad- bzw. Gap-Analyse). Das Ergebnis ist kein Sicherheits-Scan Ihrer Systeme, sondern ein nachvollziehbar dokumentierter Überblick über Ihre NIS2-Pflichten und deren Umsetzungsstand – als Grundlage für Maßnahmenplanung, Registrierung und interne Nachweise.
Was der NIS2-Check umfasst
Betroffenheit (Anwendbarkeit)
Sektor und Unternehmensgröße bestimmen, ob NIS2 gilt und ob Sie als wesentliche oder wichtige Einrichtung einzustufen sind.
Governance (Art. 20)
Verantwortung der Leitung, Cybersicherheits-Schulungen und der/die Informationssicherheits-Beauftragte.
Maßnahmen (Art. 21)
Die zehn Maßnahmenkategorien (lit. a–j) mit Umsetzungsstatus und Reifegrad – von Risikoanalyse über BCM bis MFA.
Asset-Inventar
Kritische IT-Systeme erfassen; aus Kritikalität und Patch-Status leitet ComplianceScan eine Risikoeinstufung ab.
Vorfälle & Meldefristen (Art. 23)
Sicherheitsvorfälle dokumentieren und die NIS2-Fristen (24 h Frühwarnung, 72 h Detailmeldung, 1 Monat Abschluss) überwachen.
Lieferkette & Export
Zulieferer strukturiert bewerten und das gesamte Assessment prüfsicher als PDF oder Text exportieren.
Für wen gilt NIS2?
NIS2 betrifft Einrichtungen in 18 Sektoren. Maßgeblich sind Sektor und Unternehmensgröße; die Einstufung als wesentliche oder wichtige Einrichtung folgt daraus.
Wesentliche Einrichtung
Hochkritischer Sektor (Anhang I) als Großunternehmen – ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz und über 43 Mio. € Bilanzsumme.
Wichtige Einrichtung
Übrige betroffene Einrichtungen ab der Schwelle mittlerer Unternehmen – ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz bzw. Bilanzsumme.
Bestimmte Sektoren (z. B. DNS-, TLD-Anbieter, qualifizierte Vertrauensdiensteanbieter) sind größenunabhängig betroffen. Details im NIS2-Guide.
So läuft der NIS2-Check
- 1.Betroffenheit klären. Sektor und Größe wählen – Sie erfahren sofort, ob NIS2 gilt und ob Sie als wesentliche oder wichtige Einrichtung gelten.
- 2.Assessment ausfüllen. Governance, Maßnahmen, Assets, Vorfälle und Lieferkette mit Umsetzungsstatus und Reifegrad erfassen.
- 3.Lücken sehen, dokumentieren, exportieren. Offene Punkte erkennen, Maßnahmen planen und das Ergebnis als PDF oder Text sichern.
Rechtlicher Hintergrund
Die NIS2-Richtlinie (EU) 2022/2555 verschärft die Cybersicherheits-Pflichten in der EU und ist in Deutschland (NIS2UmsuCG, in Kraft seit 6. Dezember 2025) und Österreich (NISG 2026, in Kraft ab 1. Oktober 2026) in nationales Recht umgesetzt. Betroffene Einrichtungen müssen u. a. Risikomanagement-Maßnahmen (Art. 21) umsetzen, Sicherheitsvorfälle melden (Art. 23) und die Verantwortung der Leitung sicherstellen (Art. 20).
Der NIS2-Check unterstützt bei Betroffenheitsprüfung, Gap-Analyse und Dokumentation und ersetzt keine Rechtsberatung. Stand: Juni 2026.
Häufige Fragen zum NIS2-Check
Was ist ein NIS2-Scan bzw. NIS2-Check?
Ein NIS2-Check (oft auch „NIS2-Scan“ genannt) ist eine geführte Selbsteinschätzung, die in zwei Schritten klärt, ob Ihr Unternehmen unter die NIS2-Richtlinie (EU) 2022/2555 fällt (Betroffenheitsprüfung) und wie ausgereift Ihre Cybersicherheits-Maßnahmen bereits sind (Reifegrad- bzw. Gap-Analyse). Es ist keine einzelne Software, sondern eine strukturierte Standortbestimmung mit dokumentierten Ergebnissen.
Ist der NIS2-Check ein technischer Schwachstellen- oder Netzwerk-Scan?
Nein. Der NIS2-Check ist ein organisatorisches Self-Assessment (Betroffenheit, Governance, Maßnahmen, Assets, Vorfälle, Lieferkette) – er prüft Ihre Pflichten und deren Umsetzungsgrad, nicht die technischen Schwachstellen Ihrer Systeme. Für die technische Prüfung einer Website gibt es separat den kostenlosen DSGVO-Quick-Scan.
Bin ich von NIS2 betroffen?
Grundsätzlich gilt NIS2 für Einrichtungen in einem der 18 Sektoren ab 50 Mitarbeitenden oder mehr als 10 Mio. € Jahresumsatz bzw. Bilanzsumme. Es bestehen sektorale Ausnahmen – besonders kritische Einrichtungen (z. B. DNS- oder TLD-Anbieter, qualifizierte Vertrauensdiensteanbieter) sind unabhängig von ihrer Größe betroffen. Der Betroffenheits-Schnellcheck ordnet Ihr Unternehmen in wenigen Klicks ein.
Was kostet der NIS2-Check?
Der Betroffenheits-Schnellcheck und das geführte Assessment sind im kostenlosen Konto nutzbar. Der Umfang – etwa die Anzahl dokumentierter kritischer Assets – und höhere Volumina richten sich nach dem gewählten Tarif.
Ersetzt der NIS2-Check eine Rechtsberatung oder eine Zertifizierung?
Nein. Der NIS2-Check unterstützt bei Betroffenheitsprüfung, Gap-Analyse und Dokumentation, ersetzt aber keine Rechtsberatung und keine Zertifizierung (z. B. ISO 27001). Die Reifegrad-Skala (0–5) ist eine Bewertungshilfe (an CMMI- bzw. ISO-Reifegradmodelle angelehnt) – NIS2 selbst schreibt keine Reifegrade vor.
NIS2-Betroffenheit und Reifegrad jetzt prüfen
Starten Sie kostenlos mit dem Betroffenheits-Schnellcheck und dem geführten Assessment.