Reglyze
NIS 2 Deutschland — Selbstcheck

NIS2 Checkliste: Wo stehen Sie?

Ein praktischer Selbstcheck zum Abhaken — in vier Schritten von der Betroffenheit über die BSI-Registrierung (§ 33) und die zehn Maßnahmen nach § 30 BSIG bis zur Meldebereitschaft (§ 32) und der Einbindung der Geschäftsleitung (§ 38). Jeder Punkt eine konkrete Handlung. Offene Punkte sind Ihre Lücken.

Diese Liste ist eine Selbsteinschätzung zur Orientierung — die geführte Diagnose schätzt Ihren Stand strukturierter ein und leitet Aufgaben ab.

1Betroffenheit klären
§ 28 BSIG
Zuerst feststellen, ob NIS 2 überhaupt gilt — und in welcher Klasse.
  • Wir wissen, ob unser Sektor unter Anhang I (hohe Kritikalität) oder Anhang II fällt.
  • Wir haben die Schwelle geprüft: mindestens 50 Beschäftigte ODER mehr als 10 Mio. € Jahresumsatz und Jahresbilanzsumme.
  • Wir wissen, ob wir größenunabhängig erfasst sind (z. B. DNS-, TLD-, Cloud-, Rechenzentrums- oder Vertrauensdiensteanbieter).
  • Wir haben unsere Einstufung dokumentiert: besonders wichtige oder wichtige Einrichtung.
Einrichtungsklassen im Detail
2Beim BSI registrieren
§ 33 BSIG
Die Registrierung ist eine eigenständige Pflicht — und eine eigene Ordnungswidrigkeit, wenn sie ausbleibt.
  • Wir haben „Mein Unternehmenskonto“ (MUK) eingerichtet.
  • Wir haben uns im BSI-Meldeportal registriert (seit 6.1.2026 verfügbar).
  • Unsere Stammdaten (Sektor, Einstufung, Kontaktstellen) sind hinterlegt.
  • Wir kennen unsere Frist: 6. März 2026 für bereits am 6.12.2025 betroffene Einrichtungen — sonst drei Monate ab Eintritt der Pflicht.
Registrierung vorbereiten
3Die zehn Maßnahmen umsetzen
§ 30 Abs. 2 BSIG
Geeignete, verhältnismäßige und wirksame Maßnahmen in zehn Bereichen — der IT-Grundschutz ist die etablierte Methodik.
  • Risikoanalyse und Sicherheitskonzepte liegen vor (Nr. 1).
  • Ein Prozess zur Bewältigung von Sicherheitsvorfällen ist etabliert (Nr. 2).
  • Backup-Management, Notfallwiederherstellung und Krisenmanagement stehen (Nr. 3).
  • Die Sicherheit der Lieferkette ist bewertet und gesteuert (Nr. 4).
  • Sicherheit bei Erwerb, Entwicklung und Wartung ist geregelt (Nr. 5).
  • Die Wirksamkeit der Maßnahmen wird regelmäßig bewertet (Nr. 6).
  • Cyberhygiene-Praktiken und Schulungen sind eingeführt (Nr. 7).
  • Konzepte für Kryptografie und Verschlüsselung sind festgelegt (Nr. 8).
  • Personalsicherheit, Zugriffskontrolle und Anlagenmanagement sind geregelt (Nr. 9).
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikation sind im Einsatz (Nr. 10).
Wie Reglyze die § 30-Maßnahmen abbildet
4Meldebereit sein und die Geschäftsleitung einbinden
§ 32 / § 38 BSIG
Im Ernstfall zählt jede Stunde — und die Verantwortung liegt bei der Geschäftsleitung.
  • Wir können einen erheblichen Vorfall binnen 24 Stunden (Frühwarnung), 72 Stunden (Meldung) und einem Monat (Abschlussbericht) an das BSI / CERT-Bund melden (§ 32).
  • Verantwortlichkeiten und Meldewege für den Ernstfall sind festgelegt und bekannt.
  • Die Geschäftsleitung hat die Maßnahmen genehmigt und überwacht ihre Umsetzung (§ 38).
  • Die Geschäftsleitung wird regelmäßig geschult — die Schulungen sind dokumentiert (§ 38).
Vorfallsmeldung an das BSI

Die vollständige juristische Einordnung aller Pflichten finden Sie auf der Übersicht der NIS-2-Pflichten.

So lesen Sie Ihr Ergebnis

Überwiegend erfüllt
Gute Ausgangslage. Schließen Sie die letzten Punkte und halten Sie die Wirksamkeit der Maßnahmen laufend nach (§ 30 Abs. 2 Nr. 6).
Teilweise erfüllt
Priorisieren Sie nach Risiko. Eine fehlende Registrierung (§ 33) und eine fehlende Meldebereitschaft (§ 32) sind eigenständige Ordnungswidrigkeiten — zuerst schließen.
Kaum erfüllt
Beginnen Sie mit Schritt 1 und 2. Die geführte Diagnose erzeugt aus Ihren Lücken automatisch ein priorisiertes Maßnahmen-Board.

Häufige Fragen zur Checkliste

Was gehört in eine NIS-2-Checkliste?
Vier Schritte: erstens die Betroffenheit klären (Sektor nach Anhang I/II, Schwelle 50 Beschäftigte / 10 Mio. €, Einstufung als besonders wichtige oder wichtige Einrichtung). Zweitens die Registrierung beim BSI (§ 33). Drittens die zehn Risikomanagement-Maßnahmen nach § 30 Abs. 2 BSIG umsetzen. Viertens meldebereit sein (§ 32: 24 Stunden / 72 Stunden / ein Monat) und die Geschäftsleitung einbinden (§ 38).
Reicht diese Checkliste für die NIS-2-Compliance?
Die Checkliste ist ein Selbstcheck zur Orientierung — sie ersetzt weder eine vollständige Gap-Analyse noch eine Rechtsberatung. § 30 BSIG verlangt Maßnahmen, die geeignet, verhältnismäßig und wirksam sind; was im Einzelfall genügt, hängt von Sektor, Größe und Risikolage ab. Die geführte Diagnose von Reglyze schätzt Ihren Stand strukturierter ein und leitet konkrete Aufgaben ab.
Bis wann muss die Checkliste abgearbeitet sein?
Die § 30-Pflichten binden seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 unmittelbar — es gibt keine allgemeine Übergangsfrist. Die Registrierung beim BSI (§ 33) war für bereits betroffene Einrichtungen bis zum 6. März 2026 fällig; diese Frist ist verstrichen und umgehend nachzuholen.
Was, wenn ich einzelne Punkte noch nicht erfüllt habe?
Offene Punkte sind Ihre Lücken — genau dort setzt die Umsetzung an. Priorisieren Sie nach Risiko: eine fehlende Registrierung (§ 33) und eine fehlende Meldebereitschaft (§ 32) sind eigenständige Ordnungswidrigkeiten und sollten zuerst geschlossen werden. Reglyze erzeugt aus den Lücken automatisch ein Maßnahmen-Board (Zu erledigen / In Bearbeitung / Blockiert / Erledigt).

Aus der Checkliste wird ein Plan

Die geführte Diagnose von Reglyze schätzt Ihren Stand für jede der zehn § 30-Maßnahmen ein und macht aus Ihren offenen Punkten automatisch ein Maßnahmen-Board — in unter einer Stunde, mit transparenten Preisen in Euro und EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform für NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskünfte erteilt das BSI unter bsi.bund.de.