IT Blog | michael wessel

Von 0 auf NIS2-Compliant: 90-Tage-Roadmap für mittelständische Unternehmen

Geschrieben von Christian Blaue | 04.2026

"Wir haben gerade festgestellt, dass wir unter NIS2 fallen. Und jetzt?"

Diese Frage hören wir derzeit täglich. Die meisten Unternehmen sind überrascht, dass sie betroffen sind. Und noch überraschter, dass das Gesetz bereits gilt – ohne Übergangsfrist.

Die gute Nachricht: Sie müssen nicht in Panik verfallen. NIS2-Compliance ist kein Sprint, sondern ein Marathon. Das BSI gibt Ihnen bis zu 3 Jahre Zeit für die vollständige Umsetzung. Aber: Sie müssen JETZT anfangen.

Die schlechte Nachricht: Wenn Sie planlos starten, verschwenden Sie Zeit und Geld. Die meisten Unternehmen machen die gleichen Fehler: Sie fangen mit den falschen Themen an, kaufen teure Tools die sie nicht brauchen, und verlieren sich in Details statt die Basics zu sichern.

Dieser Artikel gibt Ihnen einen klaren, praxiserprobten 90-Tage-Plan:

  • Was Sie in welcher Reihenfolge angehen müssen
  • Wie viel Zeit und Budget Sie einplanen sollten
  • Welche Quick Wins Sie sofort umsetzen können
  • Welche Fehler Sie unbedingt vermeiden sollten

 

Bevor Sie starten: Die 3 Grundprinzipien erfolgreicher NIS2-Umsetzung  

Prinzip 1: Basics vor Perfektion

Der größte Fehler: Unternehmen wollen sofort die perfekte Lösung. Sie kaufen teure Security-Tools, engagieren Berater für Monate, wollen ISO 27001 von Tag 1.
Stattdessen: Sichern Sie erst die Grundlagen ab (Backups, Patches, MFA), bevor Sie in High-End-Lösungen investieren.

Prinzip 2: Dokumentation ist der Schlüssel

NIS2 fordert nicht Perfektion, sondern Nachweisbarkeit. Sie müssen zeigen können, dass Sie sich Gedanken gemacht, Risiken bewertet und Maßnahmen umgesetzt haben.
Merksatz: 'Was nicht dokumentiert ist, existiert nicht' – auch wenn Sie es faktisch tun.

Prinzip 3: Pragmatismus schlägt Purismus

Sie brauchen nicht sofort ein vollwertiges ISMS nach ISO 27001. Starten Sie mit einer Excel-basierten Risikoliste. Sie brauchen nicht gleich ein SIEM. Starten Sie mit strukturiertem Logging. 
Das Ziel: In 90 Tagen ein funktionierendes Basis-System, das Sie dann iterativ ausbauen.


Die 90-Tage-Roadmap: Phase für Phase zum Ziel

Diese Roadmap ist für mittelständische Unternehmen (50-250 Mitarbeiter) optimiert, die noch kein strukturiertes IT-Sicherheitsmanagement haben. Sie ist bewusst pragmatisch gehalten und fokussiert sich auf Quick Wins.  

 

Phase 1 (Tag 1-30): Fundament legen  

Ziel dieser Phase: Klarheit schaffen, Team aufstellen, Basics sichern

Woche 1: Kick-off & Bestandsaufnahme

Tag 1-2: Management-Entscheidung & Team-Aufstellung

  • Geschäftsführung billigt NIS2-Projekt offiziell

  • Projektleiter benennen (intern oder extern)

  • Core-Team definieren: IT-Leiter, CISO (falls vorhanden), Datenschutzbeauftragter

Erstes Budget freigeben (siehe Kostenplanung unten)
Zeitaufwand: 4-8 Stunden (Geschäftsführung)

Tag 3-5: Betroffenheit final klären

  • BSI NIS2-Checker durchführen

  • Sektoren-Zuordnung prüfen

  • Größenkriterien validieren (>50 MA oder >10 Mio. €)

  • Besonders wichtige vs. wichtige Einrichtung klassifizieren

  • Registrierung beim BSI vorbereiten (ab Q1 2026 verpflichtend)

Zeitaufwand: 8-16 Stunden (Projektleiter)


Woche 2: Quick Wins & kritische Lücken schließen

Quick Win 1: Multi-Faktor-Authentifizierung (MFA) einführen

  • Für alle Admin-Zugänge: SOFORT verpflichtend

  • Für normale User: Schrittweise ausrollen

Tool-Empfehlung: Microsoft Authenticator (bei M365), Google Authenticator, Duo
Zeitaufwand: 16-24 Stunden (IT-Team) | Kosten: 0-500 € (bei M365 inklusive)

Quick Win 2: Backup-Strategie überprüfen & härten

  • 3-2-1-Regel prüfen: 3 Kopien, 2 Medien, 1 offline
  • Offline-Backup einrichten (Schutz vor Ransomware)
  • Restore-Test durchführen (KRITISCH!)

Zeitaufwand: 24-40 Stunden (IT-Team) | Kosten: 1.000-5.000 € (Hardware/Cloud-Speicher)

Quick Win 3: Patch-Management systematisieren

  • Patch-Richtlinie definieren: Kritische Patches binnen 14 Tagen

  • Automatisches Patching wo möglich aktivieren

  • Monitoring aufsetzen: Welche Systeme sind nicht aktuell?

Zeitaufwand: 16-24 Stunden (IT-Team)


Woche 3-4: Dokumentation starten & Risikoanalyse

Aufgabe 1: IT-Asset-Inventar erstellen

  • Alle Server, Clients, Netzwerkgeräte erfassen

  • Software-Lizenzen dokumentieren

  • Cloud-Services auflisten

  • Kritische Systeme markieren

Tool-Tipp: Starten Sie mit Excel. Später: Asset-Management-Tools wie Snipe-IT, GLPI

Zeitaufwand: 24-40 Stunden (IT-Team)

Aufgabe 2: Erste Risikoanalyse (vereinfacht)

  • Top 10 IT-Risiken identifizieren (z.B. Ransomware, Datenverlust, Ausfall kritischer Systeme)

  • Eintrittswahrscheinlichkeit bewerten (hoch/mittel/niedrig)

  • Schadenshöhe schätzen

  • Bestehende Schutzmaßnahmen dokumentieren

  • Handlungsbedarf priorisieren

Zeitaufwand: 16-24 Stunden (Geschäftsführung + IT-Team gemeinsam)

✅ MEILENSTEIN PHASE 1

Nach 30 Tagen haben Sie:
• MFA für Admin-Accounts aktiviert
• Funktionierende, getestete Backups
• Systematisches Patch-Management
• Vollständiges IT-Asset-Inventar
• Erste Risikoanalyse dokumentiert

Ihr Security-Level ist bereits deutlich besser als zuvor!

 

Phase 2 (Tag 31-60): Prozesse etablieren

Ziel dieser Phase: Systematische Prozesse aufbauen, Dokumentation vertiefen

Woche 5-6: Incident Response & Meldewesen

Aufgabe 1: Incident Response Plan erstellen

  • Rollen definieren: Wer ist bei einem Vorfall verantwortlich?

  • Eskalationswege festlegen: Wer informiert wen wann?

  • Kontaktlisten pflegen: IT-Forensik, Anwalt, Versicherung, BSI

  • Playbooks für häufige Szenarien: Ransomware, Datenleck, DDoS

Zeitaufwand: 24-32 Stunden (IT-Leiter + Geschäftsführung) 

Aufgabe 2: Meldeprozess an BSI einrichten

  • Fristen verstehen: 24h Frühwarnung, 72h Detailmeldung
  • Meldekriterien definieren: Was ist meldepflichtig?
  • Zugang zum BSI-Portal einrichten (ab 2026)
  • Internen Meldeprozess dokumentieren

Zeitaufwand: 8-16 Stunden

Woche 7-8: Lieferantenmanagement & Verträge

Aufgabe 1: Kritische Dienstleister identifizieren

  • Liste aller IT-Dienstleister erstellen
  • Kritikalität bewerten: Wer hat Systemzugang? Wer verarbeitet sensible Daten?
  • Top 10 kritische Dienstleister auswählen

Aufgabe 2: Dienstleister-Fragebogen versenden

  • Standard-Fragebogen entwickeln (siehe Template unten)
  • An Top 10 Dienstleister versenden
  • Antworten bewerten
  • Nachbesserung oder Wechsel prüfen

Aufgabe 3: Vertragsklauseln vorbereiten

  • NIS2-konforme Musterklauseln entwickeln
  • Bei Neuverträgen: Sofort verwenden
  • Bei Bestandsverträgen: Nachverhandlung planen

Zeitaufwand: 32-48 Stunden (Einkauf + IT + Legal)

✅ MEILENSTEIN PHASE 2

Nach 60 Tagen haben Sie:
• Funktionierenden Incident Response Plan
• Prozess für BSI-Meldungen etabliert
• Kritische Dienstleister bewertet
• NIS2-konforme Vertragsklauseln

Sie können jetzt im Ernstfall strukturiert reagieren!

 

Phase 3 (Tag 61-90): Mitarbeiter & Monitoring

Ziel dieser Phase: Awareness schaffen, technisches Monitoring aufsetzen

Woche 9-10: Security Awareness

Aufgabe 1: Security Awareness Kampagne starten

  • Pflicht-Schulung für alle Mitarbeiter: Phishing, Passwortsicherheit, Social Engineering

  • Tool-Tipp: KnowBe4, SoSafe, oder intern entwickelte Schulungen

  • Regelmäßige Phishing-Simulationen einführen

  • Security-Newsletter etablieren (monatlich)PFLICHT: Geschäftsführung muss NIS2-Schulung absolvieren

Zeitaufwand: 16-24 Stunden (Vorbereitung) + 1h pro Mitarbeiter (Schulung) | Kosten: 2.000-10.000 € (je nach Größe & Anbieter)

Aufgabe 2: Geschäftsführer-Schulung

  • PFLICHT: Geschäftsführung muss NIS2-Schulung absolvieren

  • Inhalte: Rechtliche Pflichten, Haftungsrisiken, Cyberbedrohungen
  • Nachweis: Zertifikat aufbewahren!

Kosten: 200-2.000 € (je nach Anbieter)

Woche 11-12: Monitoring & Logging

Aufgabe 1: Centralized Logging einrichten

  • Logs von kritischen Systemen zentral sammeln

  • Mindest-Retention: 6 Monate (besser: 12 Monate)

  • Tool-Empfehlung: Graylog (Open Source), Splunk, ELK-Stack

Zeitaufwand: 40-60 Stunden (IT-Team) | Kosten: 2.000-8.000 € (Setup + Lizenzen)

Aufgabe 2: Basis-Monitoring für kritische Systeme

  • Verfügbarkeits-Monitoring: Sind kritische Dienste erreichbar?
  • Performance-Monitoring: CPU, RAM, Disk
  • Security-Events: Failed Logins, ungewöhnlicher Traffic
  • Alerting: Wer wird wie informiert?

Tool-Empfehlung: Nagios, Zabbix, PRTG, Datadog

✅ MEILENSTEIN PHASE 3

Nach 90 Tagen haben Sie:
• Alle Mitarbeiter geschult (inkl. Geschäftsführung)
• Centralized Logging aktiviert
• Monitoring für kritische Systeme
• Basis-Awareness in der Belegschaft

Sie haben ein funktionierendes Basis-ISMS!

 

Realistische Kostenplanung: Was Sie budgetieren sollten  

Eine der häufigsten Fragen: 'Was kostet NIS2-Compliance?' Die ehrliche Antwort: Es kommt darauf an. Aber hier sind realistische Zahlen für die ersten 90 Tage:

Kostenschätzung für 90-Tage-Umsetzung (Mittelstand 50-250 MA)

  • MFA-Einführung: 0-500 € (oft in M365 enthalten)
  • Backup-Optimierung: 1.000-5.000 €
  • Security Awareness Training: 2.000-10.000 €
  • Logging & Monitoring Tools: 2.000-8.000 €
  • Geschäftsführer-Schulung: 200-2.000 €
  • Gap-Analyse (extern): 3.000-8.000 € (optional aber empfohlen)
  • Interne Arbeitszeit: ca. 300-500 Stunden

Gesamt-Budget (ohne interne Arbeitszeit): 8.000-34.000 €

WICHTIG: Diese Kosten sind nicht 'wegen NIS2' – sie sind Investitionen in Grundlagen, die Sie ohnehin brauchen. NIS2 ist nur der Auslöser.

 

Was nach den 90 Tagen kommt: Der weitere Fahrplan 

Nach 90 Tagen haben Sie ein funktionierendes Basis-System. Aber NIS2-Compliance ist ein kontinuierlicher Prozess. Hier ist, was in den nächsten 12-24 Monaten folgen sollte:

Monate 4-6: Vertiefung & Automatisierung

  • Vulnerability Scans automatisieren
  • Penetrationstests durchführen (extern)
  • Business Continuity Plan entwickeln
  • Disaster Recovery Tests durchführen

Monate 7-12: Zertifizierung vorbereiten (optional)

  • ISO 27001 Zertifizierung anstreben
  • Internes Audit durchführen
  • Management-Reviews etablieren

Monate 13-36: Kontinuierliche Verbesserung

  • Jährliche Risikoanalyse-Updates
  • Regelmäßige Awareness-Schulungen
  • ISMS-Erweiterung nach Bedarf
  • Vorbereitung auf BSI-Audits

 

Die 7 häufigsten Fehler bei der NIS2-Umsetzung (und wie Sie sie vermeiden)

Fehler 1: Mit den falschen Themen starten

Häufig: Unternehmen kaufen teure SIEM-Systeme, bevor sie Backups geregelt haben.

Besser: Erst Basics (MFA, Backups, Patches), dann Advanced Security.

Fehler 2: Alles selbst machen wollen

Häufig: IT-Leiter versuchen, alles intern zu stemmen – und scheitern an Überlastung.

Besser: Holen Sie externe Expertise für Gap-Analyse und kritische Bereiche. Sparen Sie dort, wo es möglich ist (Dokumentation), aber nicht bei kritischen Themen.

Fehler 3: Dokumentation vernachlässigen

Häufig: 'Wir machen das schon, aber dokumentiert haben wir es nicht.'

Besser: Alles dokumentieren. Im BSI-Audit zählt nur, was nachweisbar ist.

Fehler 4: Die Geschäftsführung nicht einbinden

Häufig: IT macht NIS2 als Projekt, Geschäftsführung ist nur oberflächlich involviert.

Besser: Geschäftsführung MUSS aktiv sein (Billigung, Überwachung, Schulung). Das ist nicht delegierbar.

Fehler 5: Unrealistische Zeitpläne

Häufig: 'Wir machen das mal nebenbei in 4 Wochen.'

Besser: Realistisch planen: 90 Tage für Basics, 12-24 Monate für Vollausbau.

Fehler 6: Lieferkette ignorieren

Häufig: Fokus nur auf eigene IT, Dienstleister werden vergessen.

Besser: Dienstleister MÜSSEN von Anfang an einbezogen werden. Sie sind Teil Ihrer Sicherheitskette.

Fehler 7: Keine Prioritäten setzen

Häufig: Alles gleichzeitig angehen wollen – und nichts wird fertig.

Besser: Klare Priorisierung: Quick Wins zuerst, dann strukturierte Umsetzung.

 

Praxisfall: Wie ein Mittelständler in 85 Tagen NIS2-ready wurde

Ausgangssituation:

  • Maschinenbau-Unternehmen, 180 Mitarbeiter, 45 Mio. € Umsatz
  • Keine strukturierte IT-Security
  • Backups vorhanden, aber nicht getestet
  • Kein ISMS

Was sie taten:

  • Tag 1: Gap-Analyse beauftragt (extern, 5.000 €)
  • Woche 2: MFA für alle Admin-Accounts + VPN aktiviert
  • Woche 3-4: Backup-Strategie überarbeitet, Offline-Backups eingerichtet, Restore getestet
  • Woche 5-6: IT-Asset-Inventar erstellt, Risikoanalyse durchgeführt
  • Woche 7-8: Incident Response Plan entwickelt
  • Woche 9-10: Security Awareness Schulung für alle MA
  • Woche 11-12: Logging aufgesetzt, Monitoring aktiviert

Ergebnis nach 85 Tagen: 

  • Funktionierendes Basis-ISMS etabliert
  • Alle Quick Wins umgesetzt
  • Dokumentation auf gutem Niveau
  • Security-Level deutlich verbessert
  • Geschäftsführung geschult und involviert

Gesamtkosten: 22.000 € (extern) + ca. 400h interne Zeit

Das Zitat des Geschäftsführers: 'Wir dachten, das wird ein Albtraum. Aber mit klarem Plan war es machbar – und ehrlich gesagt hätten wir das auch ohne NIS2 tun sollen.'

 

Fazit: NIS2 ist kein Sprint, aber der Start entscheidet

Die Kernbotschaften:

  • Sie haben Zeit (bis zu 3 Jahre), aber Sie müssen JETZT anfangen
  • 90 Tage reichen für ein solides Fundament
  • Basics vor Perfektion: MFA, Backups, Patches sind wichtiger als SIEM
  • Dokumentation ist nicht optional – sie ist der Nachweis Ihrer Compliance
  • Externe Hilfe bei Gap-Analyse spart Zeit und Geld

Ihre nächsten Schritte: 

  • Woche 1 planen: Kick-off, Team aufstellen, Budget freigeben
  • Quick Wins identifizieren: Was können Sie SOFORT umsetzen?
  • Gap-Analyse beauftragen (wenn nötig)
  • 90-Tage-Plan anpassen auf Ihre Situation
  • Los gehts!
Vollständigen Beitrag anzeigen