Reichen 90 Tage wirklich für NIS-2?

Für ein Unternehmen mit mittlerem IT-Reifegrad (MFA, EDR, Backup bereits im Einsatz) ja — mit klarer Projektleitung, externer Unterstützung und freigeräumten Kapazitäten. Ohne IT-Vorarbeiten (viele Altsysteme, keine Dokumentation) realistisch 120–180 Tage. Wer schon ISO 27001 zertifiziert ist, kommt mit 45–60 Tagen aus.

Wer leitet das Projekt?

Die Verantwortung liegt bei der Geschäftsleitung, operativ leitet typischerweise der IT-Leiter oder ein externer Projektleiter. Wichtig: Die Geschäftsleitung muss regelmäßig (alle 2 Wochen) eingebunden sein — NIS-2 verlangt aktive Überwachung durch die Leitung, nicht nur Delegation. Ein Steering-Committee mit Geschäftsleitung, IT, Datenschutz und ggf. Rechtsberatung ist Pflicht.

Was kostet NIS-2-Umsetzung typischerweise?

Einmalig 15.000–40.000 Euro bei Mittelständlern mit 50–150 Mitarbeitern, je nach IT-Reifegrad. Davon 40 % externe Beratung und Projektleitung, 30 % technische Maßnahmen (EDR-Lizenzen, Backup-Ergänzungen, Tools), 20 % interne Arbeitszeit, 10 % Schulung und Zertifikate. Laufend dann 2.000–8.000 Euro pro Monat für Monitoring, Incident-Readiness, jährliche Nachweis-Aktualisierung.

Welche Software brauche ich zwingend?

Für den technischen Teil: EDR (z. B. SentinelOne, Microsoft Defender for Business, CrowdStrike), MFA (Microsoft Authenticator oder Hardware-Token), Patch-Management (RMM-Lösung), Backup mit Immutability (Veeam mit Hardened Repository oder Object-Lock-Storage), Netzwerk-Segmentierung (Fortinet/UniFi/pfSense). Für Dokumentation: nicht zwingend Spezial-Tools — strukturierte Markdown- oder Word-Dokumente reichen für den Mittelstand, ab 250 Mitarbeitern lohnt sich ein ISMS-Tool (z. B. DocSetMinder, verinice).

Muss ich vorher einen Berater engagieren?

Nicht zwingend, aber fast immer sinnvoll. Die meisten Mittelständler kennen die regulatorische Tiefe (§ 30 NIS2UmsuCG, Anlage TOMs, Meldeweg-Anforderungen) nicht im Detail. Ein erfahrener Berater oder ein IT-Systemhaus mit NIS-2-Kompetenz spart 30–50 % der Projektzeit. Wichtig: Der Berater soll Wissen übertragen, nicht nur Abhängigkeit schaffen.

Was passiert bei Nicht-Umsetzung oder Verzögerung?

Formal: Bußgelder bis 10 Mio. Euro oder 2 % Jahresumsatz für „wesentliche", 7 Mio. Euro oder 1,4 % für „wichtige Einrichtungen". Zusätzlich persönliche Haftung der Geschäftsleitung. Real 2026: Das BSI prüft bisher überwiegend reaktiv (bei Vorfällen). Wer keinen Nachweis hat und in einen Incident gerät, zahlt. Wer den Fahrplan vorweisen kann, bekommt Zeit zur Nachbesserung.

Wie dokumentiere ich, dass ich die TOMs umgesetzt habe?

Pro Maßnahme: 1) Kurze Beschreibung der Maßnahme, 2) eingesetzte Technik/Prozess, 3) Verantwortlicher, 4) Datum der Implementierung, 5) Nachweis (Screenshot, Logfile, Richtlinien-Dokument). Alles in einer strukturierten Mappe (digital oder Papier). Bei der BSI-Registrierung selbst wird diese Mappe nicht eingereicht — aber bei Audit oder Vorfall muss sie innerhalb von 72 Stunden vorgelegt werden können.

Was tun, wenn unser Budget nicht für die volle 90-Tage-Umsetzung reicht?

Priorisieren nach Risiko. Die drei kritischsten Bausteine zuerst: Incident-Response-Plan mit Meldeweg (verhindert Haftungs-Worst-Case), MFA für alle Admin-Zugänge (billigste Hochwirkungs-Maßnahme), Backup mit Immutability (schützt vor Ransomware, die in 70 % der Vorfälle dabei ist). Das bringt Sie auf 60 % Compliance bei 25 % Kosten. Der Rest kann in einer zweiten 90-Tage-Welle folgen — dokumentiert als „Phase-2-Plan" hilft auch das bei einem BSI-Gespräch.

NIS-2 in 90 Tagen umsetzen: Der realistische Fahrplan für den Mittelstand

Kurzantwort: Die NIS-2-Umsetzung funktioniert im Mittelstand in drei 30-Tage-Phasen: Phase 1 (Tage 1–30) = Bestandsaufnahme und Risikoanalyse, Phase 2 (31–60) = technisch-organisatorische Maßnahmen plus Incident-Management, Phase 3 (61–90) = Dokumentation, Schulung, Audit-Readiness. Voraussetzungen: klare Projektleitung, Geschäftsleitung alle zwei Wochen eingebunden, Budget 15.000–40.000 Euro einmalig plus 2.000–8.000 Euro monatlich laufend. Wer bereits ISO 27001 hat, kommt mit 45–60 Tagen aus; wer von null startet, braucht realistisch 120–180 Tage.

Dieser Ratgeber zeigt den 90-Tage-Fahrplan mit konkreten Aufgaben pro Phase, den 7 häufigsten Fehlern und einer priorisierten Minimal-Variante, wenn das Budget knapp ist.

1. Phase 1 (Tag 1–30): Bestandsaufnahme und Risikoanalyse

Woche 1: Betroffenheit final festlegen

Auch wenn Sie grundsätzlich betroffen sind (siehe separater Ratgeber zur NIS-2-Betroffenheit): Scope festlegen. Welche Gesellschaften im Konzern? Welche Betriebsstätten? Welche IT-Systeme sind in scope, welche nicht? Schriftlich dokumentieren.

Woche 1–2: Asset-Inventar

Vollständige Liste aller IT-Assets — dort, wo Daten fließen:

Clients: PCs, Notebooks, Tablets (Anzahl, Modelle, Betriebssystem, Patch-Stand)
Server: physisch und virtuell, mit Rollen (Domain Controller, File, Mail, ERP, DB)
Netzwerk: Firewalls, Switches, Access Points, VPN-Gateways
Cloud-Dienste: Microsoft 365, Azure, Branchen-SaaS — pro Dienst Datenverarbeitungs-Umfang notieren
IoT/OT: SPS, Telematik-Gateways, Drucker, Zutritts-Systeme
Lieferkette: externe IT-Dienstleister, Cloud-Hoster, SaaS-Anbieter mit Zugriff auf Ihre Daten

Woche 2–3: Risiko-Analyse

Nach § 30 NIS2UmsuCG 10 Themenbereiche systematisch bewerten:

Risikomanagement (Governance, wer entscheidet was?)
Incident-Management (Erkennung, Reaktion, Meldung)
Business Continuity und Desaster-Recovery
Lieferkettensicherheit
Schwachstellenmanagement
Kryptographie
Zugriffskontrolle
Asset-Management
Mitarbeiter-Sicherheit und Schulung
Multi-Faktor-Authentifizierung und Netzwerk-Sicherheit

Pro Bereich: Ist-Zustand, Soll-Zustand, Lücke, Risiko-Level (hoch/mittel/niedrig).

Woche 4: Erste Freigabe durch die Geschäftsleitung

Ergebnis der Phase 1 als 10–15-seitigen Report der Geschäftsleitung vorlegen. Leitung unterschreibt formal das weitere Vorgehen. Wichtig: Ohne diese formale Freigabe läuft keine Uhr — die persönliche Haftung der Geschäftsleitung beginnt mit dem Wissen um die Risiken.

2. Phase 2 (Tag 31–60): Technisch-organisatorische Maßnahmen

Woche 5–6: Quick-Wins und Hochrisiko-Lücken schließen

Die drei kritischsten Bausteine zuerst:

MFA flächendeckend: Microsoft 365 Admin + alle Benutzer, VPN, Remote-Desktop, Admin-Konten von Firewall/Router. Microsoft Authenticator oder YubiKey.
EDR auf allen Endpunkten: Endpoint Detection & Response — nicht nur klassischer Virenschutz. Rollback-Funktion für Ransomware ist Pflicht.
Immutable Backup: Backup, das der Angreifer nicht löschen kann. Veeam Hardened Repository oder Object-Lock bei S3-kompatiblen Storages.

Woche 6–7: Incident-Response-Plan schreiben

Meldeweg-Definition:

Wer erkennt Vorfälle? (Monitoring, Helpdesk, EDR-Alerts)
Wer meldet intern an wen? (Eskalationskette, 24/7-Rufbereitschaft)
Wer entscheidet über BSI-Meldung? (Geschäftsleitung, Stellvertreter)
Wer kommuniziert nach außen? (Kunden, Presse, Behörden)

24-Stunden-Frist beim BSI: Das ist die kritische Zeit. Wenn in der Praxis der einzige Admin Urlaub hat und niemand meldet, werden Sie säumig. Vertretungsregelung schriftlich.

Woche 7–8: TOMs implementieren

Patch-Management, Zugriffskontrolle (rollenbasiert), Netzwerk-Segmentierung (Produktion trennen von Büro, Patienten-WLAN trennen von Praxisnetz etc.), Kryptographie (Festplatten-Verschlüsselung auf Notebooks, TLS für alles, verschlüsselte E-Mail für sensible Daten).

Woche 8: Lieferkette absichern

Vertragliche Anpassung mit allen IT-Dienstleistern, Cloud-Anbietern, SaaS-Partnern:

NIS-2-Compliance-Klausel (der Partner verpflichtet sich, Sicherheitsvorfälle innerhalb 24 h an Sie zu melden)
AVV-Prüfung (Art. 28 DSGVO)
Audit-Rechte

3. Phase 3 (Tag 61–90): Dokumentation, Schulung, Audit-Readiness

Woche 9–10: Nachweis-Mappe erstellen

Pro der 10 Themenbereiche aus Phase 1:

Policy-Dokument (die Regel)
Umsetzungs-Nachweis (Screenshot, Logfile, Richtlinie)
Verantwortlicher (Name, Rolle, Vertretung)
Letzte Prüfung und nächste Prüfung

Format: strukturierter Ordner (digital oder physisch), Inhaltsverzeichnis, Versions-Historie. Muss bei Audit oder Vorfall innerhalb 72 Stunden vorlegbar sein.

Woche 10–11: Schulungen

Geschäftsleitung: Pflicht-Schulung NIS-2 Grundlagen, 2–4 Stunden
IT-Verantwortliche: Incident-Response, 4–8 Stunden
Alle Mitarbeiter: Phishing-Awareness, MFA-Nutzung, Passwortsicherheit, 30–60 Minuten
Neueinstellungen: Onboarding-Paket mit Pflicht-Schulung

Teilnahme dokumentieren (Unterschrift oder digitales Abzeichen).

Woche 11: BSI-Registrierung vorbereiten

Sobald das deutsche NIS2UmsuCG in Kraft tritt, läuft die 3-Monats-Frist zur Registrierung. Angaben: Unternehmensdaten, Sektor, Kontaktperson (nicht Geschäftsleitung selbst, sondern eine benannte Kontaktperson), Beschreibung der kritischen Dienste.

Woche 12: Interner Probe-Audit

Simulation, wie ein BSI-Prüfer fragen würde:

„Zeigen Sie mir Ihren letzten Incident-Response-Plan-Test”
„Wer hat den letzten Penetration-Test durchgeführt, wann, mit welchem Ergebnis?”
„Welche Patch-Management-Policy haben Sie, und wie dokumentieren Sie Abweichungen?”

Lücken identifizieren, korrigieren, dann offizielle Freigabe der Geschäftsleitung.

4. Die 7 häufigsten Fehler beim NIS-2-Projekt

Aus unserer Erfahrung in Mittelstands-Projekten wiederkehrende Muster:

Projekt ohne klare Geschäftsleitungs-Einbindung — wird zum reinen IT-Thema, scheitert an Governance-Anforderungen.
Scope zu breit oder zu eng — entweder werden Teil-Betriebsstätten vergessen, oder alles wird einbezogen und das Projekt erstickt.
Dokumentation als letzter Schritt statt laufend — alle Nachweise in den letzten 2 Wochen zu erstellen ist Zufalls-basiert und unvollständig.
Kein Incident-Response-Test — der Plan existiert auf Papier, wurde aber nie durchgespielt. Im Ernstfall funktioniert er nicht.
Lieferkette vergessen — externe IT-Dienstleister bleiben vertraglich un-reguliert, obwohl sie Vollzugriff haben.
MFA nur für Admins — normale Benutzer-Accounts ohne MFA sind das häufigste Einfallstor, auch in NIS-2-konformen Organisationen.
Kein Wiederholungsrhythmus — NIS-2 ist kein einmaliges Projekt, sondern ein jährlicher Zyklus mit Nachweisen, Schulung und Aktualisierung.

5. Budget knapp? Die 25/60-Regel

Wenn das volle 90-Tage-Projekt aktuell nicht finanzierbar ist: Priorisieren. Mit 25 % des Budgets erreichen Sie 60 % Compliance, wenn Sie auf drei Bausteine fokussieren:

Incident-Response-Plan mit Meldeweg (billigster Hochwirkungs-Baustein — verhindert den Worst-Case bei einem Vorfall)
MFA flächendeckend (technisch günstig, schützt gegen die häufigsten Angriffe)
Immutable Backup (Ransomware-Schutz — Ransomware ist in 70 % der Vorfälle das Einfallstor)

Die restlichen 7 Bausteine in einer zweiten 90-Tage-Welle, dokumentiert als „Phase-2-Plan”. Im BSI-Gespräch zählt nachvollziehbarer Fortschritt deutlich mehr als perfekter Stillstand.

Tools und Downloads (empfohlene Ressourcen)

BSI IT-Grundschutz-Kompendium (kostenfrei) — Basis für alle TOMs, deutlich detaillierter als NIS-2 selbst
ENISA-Guidelines zur NIS-2-Umsetzung (EU-Agentur, kostenfrei, EN) — praxisnahe Hinweise
Vorlagen: Eine Incident-Response-Plan-Vorlage, ein Policy-Template-Set und eine Nachweis-Mappe-Struktur stellen wir NIS-2-Kunden zur Verfügung. Auf Anfrage: /leistungen/nis2-compliance.

Nächster Schritt

NIS-2 ist ein Projekt mit Enddatum und Nachweis-Pflicht. 90 Tage sind machbar — wenn Sie jetzt starten. Ab dem Zeitpunkt, an dem das NIS2UmsuCG in Deutschland in Kraft tritt, läuft die 3-Monats-Frist zur Registrierung. Wer dann erst beginnt, reißt die Fristen.

Wir begleiten seit mehreren Jahren Mittelständler am Niederrhein — in Viersen, Mönchengladbach, Krefeld und Düsseldorf — durch NIS-2-Projekte. Der Ablauf ist jedes Mal ähnlich, die Stolperfallen auch. Ein kostenfreies 45-Minuten-Gespräch reicht, um einzuschätzen, ob Sie mit 90, 120 oder 180 Tagen rechnen müssen: /leistungen/nis2-compliance.

NIS-2 in 90 Tagen umsetzen: Der realistische Fahrplan für den Mittelstand

1. Phase 1 (Tag 1–30): Bestandsaufnahme und Risikoanalyse

Woche 1: Betroffenheit final festlegen

Woche 1–2: Asset-Inventar

Woche 2–3: Risiko-Analyse

Woche 4: Erste Freigabe durch die Geschäftsleitung

2. Phase 2 (Tag 31–60): Technisch-organisatorische Maßnahmen

Woche 5–6: Quick-Wins und Hochrisiko-Lücken schließen

Woche 6–7: Incident-Response-Plan schreiben

Woche 7–8: TOMs implementieren

Woche 8: Lieferkette absichern

3. Phase 3 (Tag 61–90): Dokumentation, Schulung, Audit-Readiness

Woche 9–10: Nachweis-Mappe erstellen

Woche 10–11: Schulungen

Woche 11: BSI-Registrierung vorbereiten

Woche 12: Interner Probe-Audit

4. Die 7 häufigsten Fehler beim NIS-2-Projekt

5. Budget knapp? Die 25/60-Regel

Tools und Downloads (empfohlene Ressourcen)

Nächster Schritt

Häufige Fragen zu diesem Thema

Fragen zu diesem Thema?
Wir sind Ihre Ansprechpartner.

1. Phase 1 (Tag 1–30): Bestandsaufnahme und Risikoanalyse

Woche 1: Betroffenheit final festlegen

Woche 1–2: Asset-Inventar

Woche 2–3: Risiko-Analyse

Woche 4: Erste Freigabe durch die Geschäftsleitung

2. Phase 2 (Tag 31–60): Technisch-organisatorische Maßnahmen

Woche 5–6: Quick-Wins und Hochrisiko-Lücken schließen

Woche 6–7: Incident-Response-Plan schreiben

Woche 7–8: TOMs implementieren

Woche 8: Lieferkette absichern

3. Phase 3 (Tag 61–90): Dokumentation, Schulung, Audit-Readiness

Woche 9–10: Nachweis-Mappe erstellen

Woche 10–11: Schulungen

Woche 11: BSI-Registrierung vorbereiten

Woche 12: Interner Probe-Audit

4. Die 7 häufigsten Fehler beim NIS-2-Projekt

5. Budget knapp? Die 25/60-Regel

Tools und Downloads (empfohlene Ressourcen)

Nächster Schritt

Häufige Fragen zu diesem Thema

Fragen zu diesem Thema?Wir sind Ihre Ansprechpartner.

Fragen zu diesem Thema?
Wir sind Ihre Ansprechpartner.