{"id":187673,"date":"2026-04-27T15:50:04","date_gmt":"2026-04-27T13:50:04","guid":{"rendered":"https:\/\/factorialhr.com\/blog\/?p=187673"},"modified":"2026-04-27T16:23:34","modified_gmt":"2026-04-27T14:23:34","slug":"nis2-checkliste","status":"publish","type":"post","link":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/","title":{"rendered":"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet?"},"content":{"rendered":"<p>Die <b>NIS2-Richtlinie<\/b> ist keine Zukunftsmusik mehr. <b>Sie ist bereits da.<\/b> Tausende von Unternehmen und Anbietern in Deutschland m\u00fcssen sich an deutlich <b>anspruchsvollere Cybersicherheitsanforderungen<\/b> anpassen, um ihre Systeme zu sch\u00fctzen und m\u00f6gliche Sanktionen unter dem neuen nationalen Gesetz (<b>NIS2UmsuCG<\/b>) zu vermeiden.<\/p>\n<h2 id=\"wichtige-fakten\">Wichtige Fakten<\/h2>\n<ul>\n<li>Die <b>NIS2-Richtlinie<\/b> verpflichtet betroffene Unternehmen zur Umsetzung von 10 Mindestma\u00dfnahmen zur Cybersicherheit, die bis zum 17. Oktober 2024 in nationales Recht (<b>NIS2UmsuCG<\/b>) umgesetzt sein m\u00fcssen.<\/li>\n<li>Laut dem Branchenverband Bitkom waren 82 % der deutschen Unternehmen in den letzten 12 Monaten von Cyberangriffen betroffen, was die Dringlichkeit der NIS2-Anforderungen unterstreicht.<\/li>\n<li>Nach Angaben des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) wird erwartet, dass durch NIS2 die Zahl der meldepflichtigen Unternehmen in Deutschland von rund 1.600 auf bis zu 40.000 ansteigen wird.<\/li>\n<li>Laut Informationen des Bundesfinanzministeriums drohen bei Verst\u00f6\u00dfen gegen die NIS2-Vorgaben f\u00fcr \u201ewesentliche Einrichtungen\u201c Bu\u00dfgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag h\u00f6her ist.<\/li>\n<\/ul>\n<div class=\"factorial-banner inline-banner banner-other category-nis2\"\n    data-banner-id=\"176513\"\n    data-banner-type=\"other\"\n    data-category=\"NIS2\">\n    <div class=\"banner-content\">\n        <div class=\"banner-text\">\n                            <h4>IT Asset Management mit Factorial<\/h4>\n            \n                            <p>Die ITAM-Software von Factorial l\u00f6st Ihr Lizenzchaos und erm\u00f6glicht Ihnen eine zentrale Kontrolle und Verwaltung aller Ihrer Tools.<\/p>\n            \n                            <a href=\"https:\/\/factorialhr.de\/factorial-it\"\n                    class=\"factorial-cta-button not-prose freebie\" data-cta=\"other\" data-cta-position=\"inline-banner\">\n                    Mehr erfahren                <\/a>\n                    <\/div>\n\n        <div class=\"banner-image has-image\">\n            <img decoding=\"async\" src=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/01\/07140512\/factorial-it-marketing-banner-2.png\" class=\"not-prose\" \/>\n        <\/div>\n    <\/div>\n<\/div>\n<p>Das Problem ist, dass die Auseinandersetzung mit dem Gesetzestext nicht immer einfach ist. F\u00fcr viele IT-Verantwortliche oder F\u00fchrungskr\u00e4fte kann der \u00dcbergang von der Theorie zur Praxis verwirrend sein. Deshalb werden wir es vereinfachen. Im Folgenden finden Sie eine <b>klare und praktische NIS2-Checkliste<\/b>.<\/p>\n<p>Sie enth\u00e4lt die <b>10 Schl\u00fcsselma\u00dfnahmen<\/b> der Richtlinie (basierend auf Artikel 21), Schritt f\u00fcr Schritt erkl\u00e4rt, damit Sie Ihr Unternehmen bewerten, L\u00fccken erkennen und ab heute mit der Umsetzung beginnen k\u00f6nnen.<\/p>\n<h2 id=\"checklist-zusammenfassung-die-10-massnahmen-aus-artikel-21-(nis2)\">Checklisten-Zusammenfassung: Die 10 Ma\u00dfnahmen aus Artikel 21 (NIS2)<\/h2>\n<table>\n<thead>\n<tr>\n<td><strong>Nr.<\/strong><\/td>\n<td><strong>Sicherheitsbereich<\/strong><\/td>\n<td><strong>Was m\u00fcssen Sie bereithalten?<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>1<\/td>\n<td><b>Risikoanalyse und Sicherheitsleitlinien<\/b><\/td>\n<td>Asset-Inventar, aktualisierte Risikokarte und offizielle Sicherheitsrichtlinie.<\/td>\n<\/tr>\n<tr>\n<td>2<\/td>\n<td><b>Reaktion auf Vorf\u00e4lle<\/b><\/td>\n<td>Reaktionsplan, definierte Rollen\/Krisenstab und striktes Meldeprotokoll (24 h \/ 72 h \/ 1 Monat).<\/td>\n<\/tr>\n<tr>\n<td>3<\/td>\n<td><b>Business Continuity<\/b><\/td>\n<td>(Manueller) Notbetriebsplan, unver\u00e4nderliche Backups und Notfallwiederherstellungsplan.<\/td>\n<\/tr>\n<tr>\n<td>4<\/td>\n<td><b>Lieferkette<\/b><\/td>\n<td>Inventar kritischer Lieferunternehmen, Sicherheitsbewertung Dritter und Vertragsklauseln.<\/td>\n<\/tr>\n<tr>\n<td>5<\/td>\n<td><b>Entwicklung und Wartung<\/b><\/td>\n<td>Prozess f\u00fcr Schwachstellen- und Patch-Management, Richtlinie f\u00fcr sichere Beschaffung und sichere Entwicklung.<\/td>\n<\/tr>\n<tr>\n<td>6<\/td>\n<td><b>Wirksamkeitspr\u00fcfung<\/b><\/td>\n<td>Regelm\u00e4\u00dfige Audits, Penetrationstests und Sicherheitskennzahlen f\u00fcr die Gesch\u00e4ftsf\u00fchrung.<\/td>\n<\/tr>\n<tr>\n<td>7<\/td>\n<td><b>Cyber-Hygiene und Schulung<\/b><\/td>\n<td>Kontinuierliche Schulungsprogramme, Phishing-Simulationen und Handbuch f\u00fcr t\u00e4gliche bew\u00e4hrte Verfahren.<\/td>\n<\/tr>\n<tr>\n<td>8<\/td>\n<td><b>Kryptografie und Verschl\u00fcsselung<\/b><\/td>\n<td>Verschl\u00fcsselung gespeicherter Daten (ruhend), Verschl\u00fcsselung bei der \u00dcbertragung und sicheres Schl\u00fcsselmanagement.<\/td>\n<\/tr>\n<tr>\n<td>9<\/td>\n<td><b>Personalwesen und Zugriffskontrolle<\/b><\/td>\n<td>Strikte Onboarding-\/Offboarding-Richtlinien, Prinzip der minimalen Rechtevergabe und Asset-Management.<\/td>\n<\/tr>\n<tr>\n<td>10<\/td>\n<td><b>Authentifizierung und Kommunikation<\/b><\/td>\n<td>Verbindliche Multifaktor-Authentifizierung (MFA), verschl\u00fcsselte interne Kommunikation und alternative Notfallkan\u00e4le.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"1-risikoanalyse-und-leitlinien-zur-informationssicherheit\">Was fordert NIS2 bei Risikoanalyse und Sicherheitsleitlinien?<\/h2>\n<p>Der erste Schritt zur Einhaltung von NIS2 besteht darin, die Bedrohungen zu kennen, denen Sie ausgesetzt sind. Die Richtlinie verlangt, dass Cybersicherheit nicht l\u00e4nger improvisiert, sondern <b>formal organisiert<\/b> wird. Es reicht nicht aus, Schutzwerkzeuge zu installieren. Sie m\u00fcssen auch wissen, was Sie nach welchen Regeln sch\u00fctzen.<\/p>\n<p>Um diesen Punkt in Ihrer Checkliste abzuhaken, stellen Sie sicher, dass Sie \u00fcber Folgendes verf\u00fcgen:<\/p>\n<ul>\n<li><b>Asset-Inventar:<\/b> Genaue Kenntnis dar\u00fcber, welche Hardware, Software, Systeme und kritischen Daten das Unternehmen verarbeitet. Wenn Sie nicht wissen, was Sie haben, k\u00f6nnen Sie es nicht sch\u00fctzen.<\/li>\n<li><b>Regelm\u00e4\u00dfige Risikoanalyse:<\/b> Eine aktualisierte Karte, die Schwachstellen in Ihren Systemen identifiziert und die realen Auswirkungen eines Cyberangriffs auf den Gesch\u00e4ftsbetrieb bewertet.<\/li>\n<li><b>Leitlinie zur Informationssicherheit:<\/b> Ein von der Gesch\u00e4ftsf\u00fchrung genehmigtes offizielles Dokument, das die Regeln und Verfahren f\u00fcr den t\u00e4glichen Umgang mit und den Schutz von Informationen im Unternehmen festlegt.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Denken Sie an ein mittelst\u00e4ndisches Unternehmen aus dem deutschen Mittelstand in der Lebensmittelproduktion \u2013 ein Sektor, der laut NIS2 als \u201ewichtige Einrichtung\u201c gilt. Bei der \u00dcberpr\u00fcfung des Inventars stellt das Team fest, dass das industrielle SCADA-System, das die Temperaturen in den K\u00fchlh\u00e4usern steuert, das kritischste Asset ist. Die Risikoanalyse zeigt: W\u00fcrde Ransomware diese Sensoren befallen, br\u00e4che die K\u00fchlkette ab, tonnenweise Produkte gingen verloren und die Lieferkette st\u00fcnde still. Um dies zu verhindern, verabschiedet die Gesch\u00e4ftsf\u00fchrung eine offizielle Sicherheitsrichtlinie, die eine Isolierung des Maschinennetzes vom B\u00fcro-WLAN vorschreibt und die Nutzung von USB-Sticks an Anlagenrechnern untersagt.<\/p>\n<div class=\"factorial-banner inline-banner banner-other category-nis2\"\n    data-banner-id=\"174763\"\n    data-banner-type=\"other\"\n    data-category=\"NIS2\">\n    <div class=\"banner-content\">\n        <div class=\"banner-text\">\n                            <h4>Compliance &amp; Datenschutz 2026<\/h4>\n            \n                            <p>Stellen Sie sicher, dass Ihre Personalprozesse rechtskonform sind! Dieses Kit gibt Ihnen einen \u00dcberblick \u00fcber Gesetze, Tipps und L\u00f6sungen f\u00fcr 2026.<\/p>\n            \n                            <a href=\"https:\/\/factorialhr.de\/vorlagen\/compliance-kit\"\n                    class=\"factorial-cta-button not-prose freebie\" data-cta=\"other\" data-cta-position=\"inline-banner\">\n                    Kostenlos herunterladen                <\/a>\n                    <\/div>\n\n        <div class=\"banner-image no-image\">\n            <img decoding=\"async\" src=\"https:\/\/factorialhr.de\/blog\/app\/plugins\/factorial-utilities\/assets\/images\/banners\/inline\/backgrounds\/default_image.svg\" class=\"not-prose\" \/>\n        <\/div>\n    <\/div>\n<\/div>\n<h2 id=\"2-protokolle-fuer-das-vorfallsmanagement-und-die-reaktion\">Wie m\u00fcssen Unternehmen auf Sicherheitsvorf\u00e4lle reagieren?<\/h2>\n<p>Ein Cyberangriff ist nicht mehr nur ein technisches Problem. Mit NIS2 ist es auch eine rechtliche Angelegenheit mit <b>sehr klaren Fristen<\/b>. Wenn ein schwerwiegender Vorfall eintritt, gibt es keinen Spielraum f\u00fcr Improvisation. Die Richtlinie verlangt, dass Sie von der ersten Sekunde an festgelegt haben, wie zu handeln ist, wer die Reaktion leitet und wen Sie informieren m\u00fcssen.<\/p>\n<p>F\u00fcr diesen Punkt sollte Ihre Organisation \u00fcber Folgendes verf\u00fcgen:<\/p>\n<ul>\n<li><b>Incident Response Plan (Reaktionsplan):<\/b> Ein praktisches Dokument, das Schritt f\u00fcr Schritt beschreibt, wie eine Bedrohung erkannt, einged\u00e4mmt, analysiert und behoben wird. Zum Beispiel die sofortige Isolierung von mit Ransomware infizierten Ger\u00e4ten.<\/li>\n<li><b>Definierte Rollen und Krisenstab:<\/b> Es muss klar sein, wer die gesch\u00e4ftskritischen Entscheidungen trifft und wer f\u00fcr die technische Reaktion verantwortlich ist (internes Team oder externer Dienstleister).<\/li>\n<li><b>Meldeprotokoll:<\/b> Hier liegt eine der gr\u00f6\u00dften Neuerungen von NIS2. Sie d\u00fcrfen einen Vorfall nicht verheimlichen. Sie ben\u00f6tigen ein klares Verfahren, um das <b>Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/b> innerhalb der gesetzlichen Fristen zu informieren:\n<ul>\n<li>Innerhalb der ersten <b>24 Stunden<\/b> wird eine Fr\u00fchwarnung nach Entdeckung des Vorfalls gesendet.<\/li>\n<li>Innerhalb von maximal <b>72 Stunden<\/b> erfolgt die formelle Meldung mit einer ersten Bewertung der Auswirkungen.<\/li>\n<li>Innerhalb von <b>1 Monat<\/b> wird ein Abschlussbericht \u00fcber den Vorfall und die ergriffenen Ma\u00dfnahmen vorgelegt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Diese Meldepflichten gegen\u00fcber dem BSI stehen im Zentrum des NIS2UmsuCG und schaffen eine pr\u00e4zise Rechtsgrundlage f\u00fcr das Verhalten im Ernstfall.<\/p>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich einen regionalen Krankenhausverbund in Deutschland vor der im Gesundheitssektor als \u201ewesentliche Einrichtung\u201c gilt. An einem Freitagmorgen blockiert Malware den Zugriff auf die digitalen Patientenakten in der Notaufnahme. Gem\u00e4\u00df dem Reaktionsplan handelt das technische Team sofort und isoliert die betroffenen Server, um eine Ausbreitung zu verhindern. Anstatt den Vorfall intern zu regeln, aktiviert die zust\u00e4ndige Person das Protokoll. Noch vor Ablauf der 24 Stunden sendet sie eine Fr\u00fchwarnung an das BSI. In weniger als 72 Stunden, w\u00e4hrend die Systeme bereits wiederhergestellt werden, erfolgt die formelle Meldung mit einer ersten Bewertung, die best\u00e4tigt, dass die Patientenversorgung nicht schwerwiegend beeintr\u00e4chtigt wurde. Durch die schnelle und transparente Reaktion wird nicht nur der Vorfall kontrolliert, sondern es werden auch die Bu\u00dfgelder vermieden, die das NIS2UmsuCG bei Nichteinhaltung der Meldepflichten vorsieht.<\/p>\n<div>\n<div class=\"factorial-banner inline-banner banner-other category-nis2\"\n    data-banner-id=\"187214\"\n    data-banner-type=\"other\"\n    data-category=\"NIS2\">\n    <div class=\"banner-content\">\n        <div class=\"banner-text\">\n                            <h4>Bereit f\u00fcr NIS2 mit mehr Kontrolle und weniger Chaos<\/h4>\n            \n                            <p>B\u00fcndeln Sie Ger\u00e4te, Zugriffe und IT-Prozesse an einem Ort. Weniger manuelle Arbeit, mehr operative Transparenz.<\/p>\n            \n                            <a href=\"https:\/\/factorialhr.de\/nis2-factorial-it#factorial-it-demo-form-nis2\"\n                    class=\"factorial-cta-button not-prose freebie\" data-cta=\"other\" data-cta-position=\"inline-banner\">\n                    Mehr erfahren                <\/a>\n                    <\/div>\n\n        <div class=\"banner-image has-image\">\n            <img decoding=\"async\" src=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/04\/21114522\/DE-sidebar-1-nis-iso.png\" class=\"not-prose\" \/>\n        <\/div>\n    <\/div>\n<\/div>\n<\/div>\n<h2 id=\"3-business-continuity,-backups-und-krisenmanagement\">Welche Pl\u00e4ne sind f\u00fcr Business Continuity und Krisenmanagement erforderlich?<\/h2>\n<p>Absolute Cybersicherheit gibt es nicht. Fr\u00fcher oder sp\u00e4ter kann ein Angriff oder ein schwerer Fehler die Abwehr \u00fcberwinden. Die NIS2-Richtlinie geht von diesem Gedanken aus und setzt den Fokus auf einen Kernpunkt: dass <b>Ihr Unternehmen weiterhin funktionsf\u00e4hig bleibt<\/b>, Kritische Assets sch\u00fctzt und sich schnell erholt, ohne von L\u00f6segeldzahlungen an Angreifende abh\u00e4ngig zu sein.<\/p>\n<p>Um diesen Punkt zu erf\u00fcllen, sollten Sie \u00fcber Folgendes verf\u00fcgen:<\/p>\n<ul>\n<li><b>Business Continuity Plan (Fortf\u00fchrungsplan):<\/b> Legt fest, wie das Unternehmen arbeitet, wenn Systeme ausfallen. Dies umfasst Szenarien f\u00fcr manuelles Arbeiten oder den Betrieb mit eingeschr\u00e4nkten Diensten w\u00e4hrend der Fehlerbehebung.<\/li>\n<li><b>Unver\u00e4nderliche Backups (Immutable Backups):<\/b> Es reicht nicht mehr, nur Sicherungskopien zu erstellen. Sie m\u00fcssen vom Hauptnetzwerk isoliert und so gesch\u00fctzt sein, dass sie im Falle eines Angriffs nicht ver\u00e4ndert oder verschl\u00fcsselt werden k\u00f6nnen.<\/li>\n<li><b>Notfallwiederherstellungsplan:<\/b> Eine klare technische Anleitung, um Systeme und Daten aus Backups wiederherzustellen und so schnell wie m\u00f6glich zur Normalit\u00e4t zur\u00fcckzukehren.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich eine deutsches Stadtwerk (kommunale Energie- und Wasserversorgung) vor, das als \u201ewesentliche Einrichtung\u201c eingestuft ist. Ein Cyberangriff legt die zentralen Server lahm.<\/p>\n<p>Dank des Fortf\u00fchrungsplans wei\u00df die Belegschaft, wie sie auf eine manuelle Steuerung der Ventile umstellen, sodass die Wasserversorgung der Stadt nicht unterbrochen wird. Gleichzeitig startet das IT-Team den Wiederherstellungsplan. Es verifiziert, dass die offline gespeicherten Backups nicht betroffen sind, und beginnen mit der Systemwiederherstellung.<\/p>\n<p>In weniger als 48 Stunden arbeitet das Unternehmen wieder normal. Es war nicht n\u00f6tig, die Angreifenden zu bezahlen, und die Versorgung der Bev\u00f6lkerung blieb jederzeit gewahrt.<\/p>\n<h2 id=\"4-sicherheit-in-der-lieferkette\">Sicherheit in der Lieferkette<\/h2>\n<p>Dies ist eine der wichtigsten \u00c4nderungen durch NIS2. Es n\u00fctzt wenig, das eigene Unternehmen zu sch\u00fctzen, wenn die Partner, mit denen man arbeitet, die Schwachstelle sind. Die Richtlinie weitet den Fokus aus und verpflichtet Sie, die <b>Risiken durch Dritte<\/b> zu ber\u00fccksichtigen \u2013 vom Cloud-Anbieter bis zu jedem externen Unternehmen mit Zugriff auf Ihre Systeme.<\/p>\n<p>Um diese Anforderung zu erf\u00fcllen, m\u00fcssen Sie diese Punkte kontrollieren:<\/p>\n<ul>\n<li><b>Inventar kritischer Lieferunternehmen:<\/b> Identifizierung externer Unternehmen, die Zugriff auf Ihre Systeme, Netzwerke oder sensiblen Daten haben.<\/li>\n<li><b>Risikobewertung Dritter:<\/b> Verlangen Sie von Lieferunternehmen den Nachweis ihres Cybersicherheitsniveaus vor Vertragsabschluss oder -verl\u00e4ngerung. Dies kann \u00fcber Frageb\u00f6gen, Audits oder anerkannte Zertifizierungen (wie <b>ISO 27001<\/b>, <b>TISAX<\/b> f\u00fcr die Automobilbranche oder den <b>IT-Grundschutz des BSI<\/b>) erfolgen.<\/li>\n<li><b>Vertragliche Sicherheitsklauseln:<\/b> Aufnahme klarer Verpflichtungen in Vertr\u00e4ge. Zum Beispiel, dass das Lieferunternehmen Vorf\u00e4lle innerhalb einer bestimmten Frist melden muss oder Ma\u00dfnahmen wie die Verschl\u00fcsselung von Informationen garantiert.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich ein gro\u00dfes deutsches Entsorgungsunternehmen vor, das als \u201ewichtige Einrichtung\u201c gilt. Es nutzt externe Software zur Routenoptimierung seiner Fahrzeugflotte. Bei der Anpassung an das NIS2UmsuCG \u00fcberpr\u00fcft das Einkaufsteam zusammen mit der Gesch\u00e4ftsf\u00fchrung die Richtlinien. Vor der Vertragsverl\u00e4ngerung wird vom Technologieanbieter der Nachweis verlangt, dass dieser regelm\u00e4\u00dfig Sicherheitstests durchf\u00fchrt. Zudem wird eine Klausel hinzugef\u00fcgt, die den Anbieter verpflichtet, jede Sicherheitsl\u00fccke innerhalb einer festgelegten Frist zu melden. Sollten diese Anforderungen nicht erf\u00fcllt werden, entscheidet sich das Unternehmen gegen eine Verl\u00e4ngerung und sucht nach einer sichereren Alternative.<\/p>\n<h2 id=\"5-sicherheit-bei-beschaffung,-entwicklung-und-wartung\">Sicherheit bei Beschaffung, Entwicklung und Wartung<\/h2>\n<p>Sicherheit darf nicht erst am Ende wie ein \u201ePflaster\u201c hinzugef\u00fcgt werden. Sie muss von Anfang an vorhanden sein. NIS2 besteht auf diesem Ansatz und verlangt die <b>Anwendung von Cybersicherheitsanforderungen<\/b> bei jedem Kauf von Technologie, jeder Softwareentwicklung und jedem Systemupdate.<\/p>\n<p>Um diesen Punkt zu erf\u00fcllen, sollte die Organisation Folgendes sicherstellen:<\/p>\n<ul>\n<li><b>Schwachstellen- und Patch-Management:<\/b> Ein klarer Prozess, um kritische Updates so schnell wie m\u00f6glich zu installieren. Ob automatisiert oder geplant \u2013 Ziel ist es, zu verhindern, dass bekannte Fehler zum Einfallstor f\u00fcr Angreifende werden.<\/li>\n<li><b>Richtlinien f\u00fcr sichere Beschaffung:<\/b> Vor der Einf\u00fchrung neuer Hardware oder Software muss das IT-Team pr\u00fcfen, ob diese Mindeststandards erf\u00fcllt. Zum Beispiel, dass keine Standardpassw\u00f6rter vorhanden sind, die nicht ge\u00e4ndert werden k\u00f6nnen, oder unsichere Werkseinstellungen vorliegen.<\/li>\n<li><b>Sichere Entwicklung:<\/b> Wenn das Unternehmen eigene Software entwickelt, ist es entscheidend, dass die Teams von Beginn an Praktiken f\u00fcr sichere Entwicklung befolgen, um g\u00e4ngige Schwachstellen im Code zu vermeiden.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich einen regionalen Schienenverkehrsbetreiber in Deutschland vor, \u201ewesentliche Einrichtung\u201c. Er beschlie\u00dft, neue vernetzte Video\u00fcberwachungskameras in seinen Bahnh\u00f6fen zu installieren. Vor dem Rollout pr\u00fcft das Cybersicherheitsteam die Ger\u00e4te und stellt ein Problem fest: Die Kameras haben ein bekanntes Werkspasswort, und die Firmware erlaubt keine \u00c4nderung. Aufgrund dieses Risikos wird der Kauf abgelehnt; stattdessen wird ein Modell gefordert, das eine robuste Verwaltung von Zugangsdaten erm\u00f6glicht und Sicherheitsupdates vom Hersteller erh\u00e4lt. Gleichzeitig hat das Unternehmen ein System konfiguriert, durch das die Ticketserver nachts automatisch aktualisiert werden, sobald kritische Patches erscheinen. So wird die Zeitspanne einer m\u00f6glichen Gef\u00e4hrdung minimiert.<\/p>\n<div class=\"factorial-banner inline-banner banner-other category-nis2\"\n    data-banner-id=\"177233\"\n    data-banner-type=\"other\"\n    data-category=\"NIS2\">\n    <div class=\"banner-content\">\n        <div class=\"banner-text\">\n                            <h4>Factorial Consulting: Kostenlose Erstberatung<\/h4>\n            \n                            <p>Sprechen Sie mit einem*r unserer Expert*innen und finden Sie das Angebot, was am besten zu Ihrem Unternehmen passt!<\/p>\n            \n                            <a href=\"https:\/\/hr.factorialhr.com\/meetings\/book-a-consultant\/discovery-call-de\"\n                    class=\"factorial-cta-button not-prose freebie\" data-cta=\"other\" data-cta-position=\"inline-banner\">\n                    Erstgespr\u00e4ch buchen                <\/a>\n                    <\/div>\n\n        <div class=\"banner-image has-image\">\n            <img decoding=\"async\" src=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/01\/26172541\/consulting-call-marketing-banner-1.png\" class=\"not-prose\" \/>\n        <\/div>\n    <\/div>\n<\/div>\n<h2 id=\"6-leitlinien-zur-bewertung-der-wirksamkeit-von-sicherheitsmassnahmen\">Leitlinien zur Bewertung der Wirksamkeit von Sicherheitsma\u00dfnahmen<\/h2>\n<p>Die Installation einer Firewall oder das Verfassen eines Handbuchs reicht nicht aus, wenn Sie nicht regelm\u00e4\u00dfig pr\u00fcfen, ob alles wie gew\u00fcnscht funktioniert. NIS2 setzt auf <b>kontinuierliche Verbesserung<\/b>. Sie k\u00f6nnen Ihre Sicherheit nie als \u201eabgeschlossen\u201c betrachten. Sie m\u00fcssen sie testen und mit Belegen nachweisen, dass sie gegen neue Bedrohungen wirksam bleibt.<\/p>\n<p>Ihre Checkliste sollte Folgendes enthalten:<\/p>\n<ul>\n<li><b>Regelm\u00e4\u00dfige Sicherheitsaudits:<\/b> Interne und externe \u00dcberpr\u00fcfungen, um die Einhaltung der Richtlinien und das reale Schutzniveau der Infrastruktur zu validieren.<\/li>\n<li><b>Penetrationstests und Schwachstellenanalysen:<\/b> Simulation kontrollierter Angriffe (<b>Penetrationstest<\/b>) gegen die eigenen Systeme, um Einfallstore zu finden, bevor echte Angreifende dies tut.<\/li>\n<li><b>Sicherheitskennzahlen f\u00fcr die Gesch\u00e4ftsf\u00fchrung:<\/b> Klare, regelm\u00e4\u00dfige Berichte \u00fcber den Sicherheitsstatus, erkannte Risiken und Reaktionszeiten. Die <b>Gesch\u00e4ftsf\u00fchrung<\/b> muss Einblick haben, da sie letztlich rechtlich verantwortlich ist. Das Thema Haftung der Gesch\u00e4ftsleitung steht beim NIS2UmsuCG explizit im Fokus.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich eine lokale Bank oder eine deutsche Sparkasse vor, die unter NIS2 als \u201ewesentliche Einrichtung\u201c f\u00e4llt. Sie hat gerade eine neue Mobile-Banking-App f\u00fcr ihre Kundschaft ver\u00f6ffentlicht. Um die Sicherheit zu validieren, verl\u00e4sst sie sich nicht nur auf interne Tests, sondern beauftragt ein externes Team f\u00fcr Ethical Hacking. W\u00e4hrend der Simulation entdecken die Fachleute einen Logikfehler, der es erm\u00f6glichen w\u00fcrde, den Login zu umgehen. Das Problem wird sofort behoben, bevor die App ver\u00f6ffentlicht wird. Die f\u00fcr Sicherheit verantwortliche Person (CISO) pr\u00e4sentiert diese Ergebnisse der Gesch\u00e4ftsf\u00fchrung, was nicht nur den Schutz der Kundendaten verbessert, sondern auch dazu dient, Investitionen in pr\u00e4ventive Cybersicherheit mit realen Daten zu rechtfertigen.<\/p>\n<h2 id=\"7-grundlegende-cyber-hygiene-und-kontinuierliche-schulung\">Grundlegende Cyber-Hygiene und kontinuierliche Schulung<\/h2>\n<p>Die Schwachstelle vieler Unternehmen ist nicht die Technik, sondern der Mensch. NIS2 r\u00fcckt die Schulung in den Mittelpunkt und <b>verlangt, dass sowohl Mitarbeitende als auch F\u00fchrungskr\u00e4fte wissen, wie sie Bedrohungen erkennen<\/b> und im Alltag sicher handeln.<\/p>\n<p>Um diesen Punkt zu erf\u00fcllen, sollte die Organisation sicherstellen:<\/p>\n<ul>\n<li><b>Kontinuierliche Cybersicherheitsschulung:<\/b> Auf die jeweilige Rolle zugeschnittene Programme, um Risiken wie <b>Phishing<\/b> oder Social Engineering zu erkennen.<\/li>\n<li><b>Phishing-Simulationen:<\/b> Versand kontrollierter Test-E-Mails, um das Verhalten der Mitarbeitenden zu messen und das Bewusstsein praktisch zu sch\u00e4rfen.<\/li>\n<li><b>T\u00e4gliche bew\u00e4hrte Verfahren:<\/b> Klare Regeln zur Nutzung sicherer Passw\u00f6rter, zum Sperren von Ger\u00e4ten, zur Netzwerknutzung und zum Umgang mit sensiblen Informationen.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Stellen Sie sich ein gro\u00dfes Unternehmen im deutschen Energiesektor vor. Eine besch\u00e4ftigte Person erh\u00e4lt eine dringende E-Mail, die scheinbar von der Gesch\u00e4ftsf\u00fchrung stammt und eine \u00dcberweisung sowie den Download eines Anhangs fordert.<\/p>\n<p>Dank einer k\u00fcrzlich durchgef\u00fchrten Schulung bemerkt die Person eine minimale Abweichung in der E-Mail-Domain. Anstatt auf die Nachricht zu reagieren, wird sie dem IT-Team.<\/p>\n<p>Diese einfache Geste verhindert das Eindringen von Schadsoftware in das Firmennetzwerk und blockt einen m\u00f6glichen Angriff ab, bevor er Schaden anrichtet.<\/p>\n<h2 id=\"8-verfahren-zum-einsatz-von-kryptografie-und-datenverschluesselung\">Verfahren zum Einsatz von Kryptografie und Datenverschl\u00fcsselung<\/h2>\n<p>Wenn ein angreifende Person Zugriff auf Ihre Informationen erh\u00e4lt, entscheidet die Verschl\u00fcsselung dar\u00fcber, ob es sich um einen kontrollierten Vorfall oder ein Desaster handelt. NIS2 verlangt den <b>Schutz sensibler Daten zu jeder Zeit<\/b>, sowohl bei der Speicherung als auch bei der \u00dcbertragung.<\/p>\n<p>Die Organisation sollte Folgendes sicherstellen:<\/p>\n<ul>\n<li><b>Verschl\u00fcsselung gespeicherter Daten (ruhend):<\/b> Laptops, Datenbanken und Mobilger\u00e4te m\u00fcssen verschl\u00fcsselt sein. So bleibt die Information auch bei Verlust oder Diebstahl unzug\u00e4nglich.<\/li>\n<li><b>Verschl\u00fcsselung bei der \u00dcbertragung:<\/b> Nutzung sicherer Protokolle f\u00fcr die Kommunikation und gesch\u00fctzte Verbindungen f\u00fcr Fernzugriffe. Dies verhindert das Abfangen von Informationen auf dem Weg durch das Netz.<\/li>\n<li><b>Sicheres Schl\u00fcsselmanagement:<\/b> Festlegung, wie Schl\u00fcssel zum Schutz der Daten erstellt, gespeichert und erneuert werden. Ohne gutes Management verliert die Verschl\u00fcsselung ihren Wert.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Ein gro\u00dfes deutsches Pharmalabor muss die Formel f\u00fcr ein neues Medikament von der Zentrale an eine Produktionsst\u00e4tte senden.<\/p>\n<p>Um dies sicher zu tun, nutzen sie einen verschl\u00fcsselten Kanal. Zudem sind die Systeme, auf denen die Formel gespeichert wird, ebenfalls verschl\u00fcsselt.<\/p>\n<p>Wochen sp\u00e4ter wird in der Fabrik eine Festplatte gestohlen. Die Daten k\u00f6nnen jedoch nicht gelesen werden, da sie gesch\u00fctzt sind und die Schl\u00fcssel korrekt verwaltet werden. Der Vorfall beschr\u00e4nkt sich auf den Verlust der Hardware, und ein weitaus gr\u00f6\u00dferes Problem durch den Abfluss kritischer Informationen wird vermieden.<\/p>\n<h2 id=\"9-personalsicherheit,-zugriffskontrolle-und-asset-management\">Personalsicherheit, Zugriffskontrolle und Asset-Management<\/h2>\n<p>Viele Sicherheitsl\u00fccken entstehen nicht durch externe Angriffe, sondern durch interne Fehler: Ehemalige Mitarbeitende mit aktivem Zugang oder Personal mit unn\u00f6tigen Berechtigungen kann enormen Schaden anrichten. NIS2 verlangt zu <b>kontrollieren, wer auf Ihre Systeme zugreift<\/b>, was diese Person dort tun darf und wie Zug\u00e4nge beim Ausscheiden entzogen werden.<\/p>\n<p>Ihre Checkliste sollte enthalten:<\/p>\n<ul>\n<li><b>Strikte Onboarding- und Offboarding-Richtlinien:<\/b> Automatisierung der Prozesse, damit beim Ausscheiden einer Person aus dem Unternehmen sofort alle Zugangsdaten und Konten gesperrt werden.<\/li>\n<li><b>Prinzip der minimalen Rechtevergabe:<\/b> Jede Person im Team erh\u00e4lt nur Zugriff auf die Informationen und Systeme, die f\u00fcr seine Arbeit zwingend erforderlich sind. Dies begrenzt das Risiko interner Fehler oder Missbr\u00e4uche.<\/li>\n<li><b>Management von Unternehmens-Assets:<\/b> Einsatz von Software, mit der Firmenlaptops und -handys bei Verlust oder Diebstahl ferngesteuert kontrolliert, gesperrt oder gel\u00f6scht werden k\u00f6nnen. Eine zentrale IT-Asset-Management-L\u00f6sung wie <a href=\"https:\/\/factorialhr.de\/factorial-it\" target=\"_self\" rel=\"noopener\">Factorial IT<\/a> synchronisiert die Ger\u00e4teverwaltung direkt mit den HR-Prozessen f\u00fcr Ein- und Austritte und stellt so sicher, dass Zugriffsrechte und Ger\u00e4te-Inventar stets aktuell sind.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Denken Sie an einen der gro\u00dfen deutschen Seeh\u00e4fen (wie Hamburg oder Bremerhaven). Eine Person, die automatisierte Kr\u00e4ne bedient, wird entlassen.<\/p>\n<p>Dank des automatisierten Offboarding-Prozesses informiert die Personalabteilung die IT, und die Zugangsdaten werden augenblicklich entzogen. Zudem stellte das Minimalprinzip sicher, dass diese Person w\u00e4hrend seiner aktiven Zeit keinen Zugriff auf Abrechnungssysteme oder Zolldatenbanken hatte.<\/p>\n<p>Ohne diese Ma\u00dfnahmen h\u00e4tte sich die Person sich von zu Hause aus einloggen und die Systeme sabotieren k\u00f6nnen, was Hunderte von Containern lahmgelegt h\u00e4tte.<\/p>\n<h2 id=\"10-multifaktor-authentifizierung-(mfa)-und-sichere-kommunikation\">Multifaktor-Authentifizierung (MFA) und sichere Kommunikation<\/h2>\n<p>Passw\u00f6rter allein reichen nicht mehr aus, um kritische Systeme zu sch\u00fctzen. NIS2 verlangt <b>zus\u00e4tzliche Sicherheitsebenen<\/b> zur Identit\u00e4tspr\u00fcfung und Kommunikationskan\u00e4le, die nicht abgefangen werden k\u00f6nnen \u2013 besonders w\u00e4hrend der Bew\u00e4ltigung von Vorf\u00e4llen.<\/p>\n<p>Zur Vervollst\u00e4ndigung der Checkliste sollte implementiert werden:<\/p>\n<ul>\n<li><b>Multifaktor-Authentifizierung (MFA):<\/b> Zwei-Faktor-Authentifizierung \u00fcber Apps, SMS oder Hardware-Token f\u00fcr alle Netzwerkzugriffe, insbesondere bei VPNs, Homeoffice und Administratorkonten.<\/li>\n<li><b>Verschl\u00fcsselte interne Kommunikation:<\/b> Firmeneigene Chats, Anrufe und Videokonferenzen, die mit Ende-zu-Ende-Verschl\u00fcsselung gesch\u00fctzt sind.<\/li>\n<li><b>Alternative Notfall-Kommunikationskan\u00e4le:<\/b> Bereitstellung eines parallelen sicheren Systems, um die Reaktion auf einen Cyberangriff zu koordinieren, falls die \u00fcblichen Dienste unterbrochen sind.<\/li>\n<\/ul>\n<h3><b>Praxisbeispiel<\/b><\/h3>\n<p>Ein deutscher Cloud-Anbieter wird Ziel eines Angriffs. Einer angreifenden Person gelingt es, per Phishing das Administratorkennwort einer fachkundigen Person aus dem Ingenieursteam zu stehlen.<\/p>\n<p>Beim Versuch, aus einem anderen Land auf die Server zuzugreifen, verlangt das System eine MFA, die nur die berechtigte Person auf seinem Smartphone freigeben kann. Der Zugriff wird blockiert.<\/p>\n<p>Die Person alarmiert den Krisenstab, und das Team koordiniert sich \u00fcber einen alternativen verschl\u00fcsselten Kanal. So wird verhindert, dass die angreifende Person (der eventuell E-Mails mitliest) die Verteidigungsstrategie st\u00f6rt.<\/p>\n<h2>FAQ<\/h2>\n<h3>Was ist die NIS2 Richtlinie einfach erkl\u00e4rt?<\/h3>\n<p>Die NIS2-Richtlinie ist ein EU-weites Gesetz zur St\u00e4rkung der Cybersicherheit. Sie verpflichtet Unternehmen in kritischen Sektoren, strengere Sicherheitsma\u00dfnahmen umzusetzen, Risiken zu managen und Sicherheitsvorf\u00e4lle den zust\u00e4ndigen Beh\u00f6rden zu melden, um die digitale Infrastruktur besser zu sch\u00fctzen.<\/p>\n<h3>F\u00fcr wen gilt die NIS2?<\/h3>\n<p>Die NIS2-Richtlinie gilt f\u00fcr eine erweiterte Liste von Sektoren, die als \u201ewichtig\u201c oder \u201ebesonders wichtig\u201c eingestuft werden. Dazu geh\u00f6ren unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, \u00f6ffentliche Verwaltung und die Lebensmittelproduktion, abh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe.<\/p>\n<h3>Was sind die 10 Ma\u00dfnahmen von NIS2?<\/h3>\n<p>Die 10 Kernma\u00dfnahmen umfassen Risikoanalyse, Vorfallmanagement, Business Continuity, Sicherheit der Lieferkette, sichere Systementwicklung, Wirksamkeitspr\u00fcfung, Cyber-Hygiene, Kryptografie, Personalsicherheit und Zugriffskontrolle sowie Multi-Faktor-Authentifizierung. Ein zentrales Asset-Management, wie es Factorial als All-in-one-Unternehmenssoftware bietet, unterst\u00fctzt bei der Umsetzung der Zugriffskontrolle.<\/p>\n<h3>Wann muss NIS2 umgesetzt sein?<\/h3>\n<p>Die EU-Mitgliedstaaten m\u00fcssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab dem 18. Oktober 2024 m\u00fcssen die betroffenen Unternehmen die neuen Anforderungen verbindlich erf\u00fcllen und die entsprechenden Sicherheitsma\u00dfnahmen nachweisen k\u00f6nnen.<\/p>\n<h3>Was passiert wenn man NIS2 nicht umsetzt?<\/h3>\n<p>Bei Nichteinhaltung der NIS2-Richtlinie drohen empfindliche Sanktionen. Je nach Schwere des Versto\u00dfes und Unternehmensgr\u00f6\u00dfe k\u00f6nnen hohe Bu\u00dfgelder verh\u00e4ngt werden, die f\u00fcr besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die NIS2-Richtlinie ist keine Zukunftsmusik mehr. Sie ist bereits da. Tausende von Unternehmen und Anbietern in Deutschland m\u00fcssen sich an deutlich anspruchsvollere Cybersicherheitsanforderungen anpassen, um ihre Systeme zu sch\u00fctzen und m\u00f6gliche Sanktionen unter dem neuen nationalen Gesetz (NIS2UmsuCG) zu vermeiden. Wichtige Fakten Die NIS2-Richtlinie verpflichtet betroffene Unternehmen zur Umsetzung von 10 Mindestma\u00dfnahmen zur Cybersicherheit, die<a href=\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\" class=\"read-more\"> [&#8230;]<\/a><\/p>\n","protected":false},"author":352,"featured_media":187824,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1059],"tags":[],"class_list":["post-187673","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nis2-de"],"acf":{"topics":"factorial-it"},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v21.5 (Yoast SEO v21.9.1) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet? | Factorial<\/title>\n<meta name=\"description\" content=\"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet?\" \/>\n<meta property=\"og:description\" content=\"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\" \/>\n<meta property=\"og:site_name\" content=\"Factorial\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-27T13:50:04+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-27T14:23:34+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/04\/27162224\/NIS2-Checkliste-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Enrique Quiroga\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:site\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Enrique Quiroga\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\"},\"author\":{\"name\":\"Enrique Quiroga\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\"},\"headline\":\"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet?\",\"datePublished\":\"2026-04-27T13:50:04+00:00\",\"dateModified\":\"2026-04-27T14:23:34+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\"},\"wordCount\":3244,\"publisher\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/#organization\"},\"articleSection\":[\"NIS2\"],\"inLanguage\":\"de-DE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\",\"url\":\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\",\"name\":\"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet? | Factorial\",\"isPartOf\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/#website\"},\"datePublished\":\"2026-04-27T13:50:04+00:00\",\"dateModified\":\"2026-04-27T14:23:34+00:00\",\"description\":\"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.\",\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#website\",\"url\":\"https:\/\/factorialhr.de\/blog\/\",\"name\":\"Factorial\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/factorialhr.de\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#organization\",\"name\":\"All-in-one business management software - Factorial\",\"url\":\"https:\/\/factorialhr.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/factorialhr.de\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"contentUrl\":\"https:\/\/factorialhr.de\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"width\":946,\"height\":880,\"caption\":\"All-in-one business management software - Factorial\"},\"image\":{\"@id\":\"https:\/\/factorialhr.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\",\"https:\/\/twitter.com\/factorialapp\",\"https:\/\/www.linkedin.com\/company\/factorialhr\",\"https:\/\/www.youtube.com\/@factorialmedia\",\"https:\/\/www.instagram.com\/factorial\/#\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\",\"name\":\"Enrique Quiroga\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"caption\":\"Enrique Quiroga\"},\"url\":\"https:\/\/factorialhr.de\/blog\/author\/enrique-quiroga\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet? | Factorial","description":"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/","og_locale":"de_DE","og_type":"article","og_title":"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet?","og_description":"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.","og_url":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/","og_site_name":"Factorial","article_publisher":"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","article_published_time":"2026-04-27T13:50:04+00:00","article_modified_time":"2026-04-27T14:23:34+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/04\/27162224\/NIS2-Checkliste-1.png","type":"image\/png"}],"author":"Enrique Quiroga","twitter_card":"summary_large_image","twitter_creator":"@factorialapp","twitter_site":"@factorialapp","twitter_misc":{"Written by":"Enrique Quiroga","Est. reading time":"14 Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/#article","isPartOf":{"@id":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/"},"author":{"name":"Enrique Quiroga","@id":"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014"},"headline":"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet?","datePublished":"2026-04-27T13:50:04+00:00","dateModified":"2026-04-27T14:23:34+00:00","mainEntityOfPage":{"@id":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/"},"wordCount":3244,"publisher":{"@id":"https:\/\/factorialhr.de\/blog\/#organization"},"articleSection":["NIS2"],"inLanguage":"de-DE"},{"@type":"WebPage","@id":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/","url":"https:\/\/factorialhr.de\/blog\/nis2-checkliste\/","name":"NIS2-Checkliste: Ist Ihr Unternehmen vorbereitet? | Factorial","isPartOf":{"@id":"https:\/\/factorialhr.de\/blog\/#website"},"datePublished":"2026-04-27T13:50:04+00:00","dateModified":"2026-04-27T14:23:34+00:00","description":"NIS2-Checkliste: 10 praktische Schritte, um Ihr Unternehmen zu pr\u00fcfen und die Vorschriften ohne Sanktionen einzuhalten.","inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/factorialhr.de\/blog\/nis2-checkliste\/"]}]},{"@type":"WebSite","@id":"https:\/\/factorialhr.de\/blog\/#website","url":"https:\/\/factorialhr.de\/blog\/","name":"Factorial","description":"","publisher":{"@id":"https:\/\/factorialhr.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/factorialhr.de\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/factorialhr.de\/blog\/#organization","name":"All-in-one business management software - Factorial","url":"https:\/\/factorialhr.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/factorialhr.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/factorialhr.de\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","contentUrl":"https:\/\/factorialhr.de\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","width":946,"height":880,"caption":"All-in-one business management software - Factorial"},"image":{"@id":"https:\/\/factorialhr.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","https:\/\/twitter.com\/factorialapp","https:\/\/www.linkedin.com\/company\/factorialhr","https:\/\/www.youtube.com\/@factorialmedia","https:\/\/www.instagram.com\/factorial\/#"]},{"@type":"Person","@id":"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014","name":"Enrique Quiroga","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/factorialhr.de\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","caption":"Enrique Quiroga"},"url":"https:\/\/factorialhr.de\/blog\/author\/enrique-quiroga\/"}]}},"_links":{"self":[{"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/posts\/187673"}],"collection":[{"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/users\/352"}],"replies":[{"embeddable":true,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/comments?post=187673"}],"version-history":[{"count":3,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/posts\/187673\/revisions"}],"predecessor-version":[{"id":187825,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/posts\/187673\/revisions\/187825"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/media\/187824"}],"wp:attachment":[{"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/media?parent=187673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/categories?post=187673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factorialhr.de\/blog\/wp-json\/wp\/v2\/tags?post=187673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}