NIS2-Richtlinie: Bereitschaft

NIS2-Compliance-Anforderungen: Checkliste – jede Pflicht, die Ihre Organisation erfüllen muss

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Einheiten dabei unterstützt, die Compliance gemäss NIS2-Richtlinie über alle EU-Mitgliedstaaten hinweg zu verfolgen und zu steuern.

Die NIS2-Durchsetzung läuft in den EU-Mitgliedstaaten bereits. Nutzen Sie diese strukturierte Checkliste, um Lücken zu erkennen, Massnahmen zu priorisieren und ein belastbares Compliance-Programm aufzubauen – egal, ob Sie eine Einheit oder fünfzig verwalten.

Zuletzt aktualisiert: Juni 2025 · Auf Grundlage der Richtlinie (EU) 2022/2555 und der entstehenden Anforderungen aus der nationalen Umsetzung

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Drei Gründe, warum NIS2 komplexer ist, als die meisten Organisationen erwarten

NIS2 ist nicht nur eine Cybersicherheitsrichtlinie. Es ist ein Rahmenwerk für Governance, Lieferkette und die Meldung von Vorfällen – und die Sanktionen für eine Unterschätzung ihres Umfangs sind inzwischen persönlich.

27
EU-Mitgliedstaaten, die NIS2 jeweils mit lokalen Eigenheiten umsetzen

Unsicherheit beim Anwendungsbereich – über Grenzen hinweg vervielfacht

Viele Organisationen sind sich noch immer nicht sicher, ob sie als „wesentliche“ oder „wichtige“ Einrichtung eingestuft werden – und diese Unterscheidung ändert unmittelbar, was gefordert ist. Für Gruppen, die in mehreren EU-Mitgliedstaaten tätig sind, kann die nationale Umsetzung jedes Landes unterschiedliche Schwellen, Meldestellen und sektorspezifische Regeln mit sich bringen. Eine einzige Compliance-Strategie funktioniert nicht, wenn die Regeln je nach Rechtsraum variieren.

Ergebnis: Ohne zentrale Übersicht gehen einzelne Tochtergesellschaften unter.

Auf Grundlage der Definitionen des Anwendungsbereichs der Richtlinie (EU) 2022/2555, Artikel 2–3

10+
Mindestmassnahmen im Risikomanagement, vorgeschrieben durch Artikel 21

Operative Breite, die weit über die IT-Sicherheit hinausgeht

NIS2 Artikel 21 listet mindestens 10 Mindestmassnahmen im Risikomanagement auf, die Governance, Sicherheit der Lieferkette, Aufrechterhaltung des Betriebs, Krisenmanagement, Zugriffskontrolle, Kryptografie und Mitarbeiterschulungen umfassen. Die meisten Organisationen unterschätzen diesen operativen Umfang, weil sie NIS2 als „Cybersicherheits“-Richtlinie verstehen. Es kommt eher einem umfassenden Resilienz-Rahmenwerk gleich – und erfordert eine abteilungsübergreifende Abstimmung zwischen IT, Recht, Einkauf und Geschäftsleitung.

Ergebnis: Compliance erfordert die Abstimmung von 4–6 Abteilungen, nicht nur des Sicherheitsteams.

NIS2-Richtlinie Artikel 21(2), Mindestmassnahmen (a) bis (j)

24h
Maximale Frist für die Frühwarnung nach Erkennen eines erheblichen Vorfalls

Sanktionen, die die Bilanz treffen – und die Chefetage

Die NIS2-Sanktionen reichen für wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Die eigentliche Veränderung ist jedoch die persönliche Verantwortlichkeit: Leitungsorgane können individuell für Versäumnisse bei der Überwachung des Cybersicherheits-Risikomanagements haftbar gemacht werden. Tritt ein Vorfall ein, müssen Organisationen innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden eine vollständige Meldung und innerhalb eines Monats einen detaillierten Abschlussbericht abgeben.

Ergebnis: Die Geschäftsleitung kann die NIS2-Verantwortung nicht delegieren – sie ist von Grund auf persönlich.

NIS2-Richtlinie Artikel 23, 34; Sanktionsrahmen gemäss Artikel 34–36

200+
Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec sparte mit den automatisierten Workflows von Priverion für das Verarbeitungsverzeichnis über 200 Stunden bei der Vorbereitung der ISO 27001-Zertifizierung – in den ersten 12 Monaten

60%
Geringere Kosten als bei OneTrust

Ein Flugzeughersteller erzielte eine Reduktion der administrativen Compliance-Kosten um 60 % – mit planbaren Preisen nach Anzahl Einheiten statt Kostenfallen durch wachsende Nutzerzahlen

3 Mt.
Früher als geplant bei ISO 27001

Medtec erreichte die Audit-Bereitschaft mit den integrierten Nachweispaketen von Priverion drei Monate früher als geplant

Warum Unternehmen wechseln

Sie brauchen nicht die grösste Plattform. Sie brauchen die richtige.

Datenschutzteams im Mittelstand sagen uns immer wieder dasselbe: Sie kauften OneTrust in der Erwartung von Einfachheit und erhielten eine Plattform, die für Fortune-500-Budgets und -Belegschaften gebaut ist. So sieht es aus, wenn Sie sich für Priverion entscheiden.

Die Erfahrung mit OneTrust

Enterprise-Preise, Enterprise-Komplexität

Preise pro Modul und pro Nutzer, die unvorhersehbar in die Höhe schnellen. Mittelständische Teams zahlen am Ende für Funktionen, die für zehnmal so grosse Organisationen konzipiert wurden.

US-Hauptsitz, US-Hosting

In einer Welt nach Schrems II erzeugt das Leiten von Compliance-Daten über US-Infrastruktur genau jenes Risiko grenzüberschreitender Übermittlungen, das Sie eigentlich steuern wollen.

Monatelange Einführung

Erfordert dedizierte Implementierungsberater, langwierige Onboarding-Zyklen und oft externe Systemintegratoren, um betriebsbereit zu werden.

Funktionsüberladung

Cookie-Einwilligung, ESG, Ethik-Hotlines – Funktionen, die den Fokus von dem ablenken, was Datenschutzteams im Tagesgeschäft wirklich brauchen: Verarbeitungsverzeichnis, DSFA, Lieferantenrisiken und das Management von Vorfällen.

200+ oberflächliche Integrationen

Ein riesiger Integrationsmarktplatz, auf dem die meisten Konnektoren Konfigurationsaufwand und laufende Wartung erfordern – Breite statt Tiefe.

Die Erfahrung mit Priverion

Planbare Preise für den Mittelstand

Preise nach Anzahl der Unternehmen und der Organisationsgrösse – nicht pro Nutzer oder pro Modul. Keine Kostenfallen beim Ausbau. Ihr CFO kann die Compliance-Kosten tatsächlich kalkulieren.

In der Schweiz entwickelt, in der Schweiz gehostet

Europäische Datenhaltung standardmässig. Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur – dem stärksten Datenschutz-Rechtsraum ausserhalb der EU, dessen Angemessenheit die Europäische Kommission anerkennt.

Betriebsbereit in Wochen, nicht in Monaten

Ein Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion des administrativen Compliance-Aufwands um 60 %. Für den Start sind keine externen Berater erforderlich.

Fallstudie eines Flugzeugherstellers – erste 6 Monate nach der Einführung

Speziell für Datenschutzteams entwickelt

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiken, Management von Vorfällen, Bearbeitung von Anfragen betroffener Personen, KI-Register – alles, was ein Datenschutzbeauftragter über mehrere Einheiten hinweg braucht. Wir decken weder ESG noch Cookie-Einwilligung ab, weil Ihr Datenschutzprogramm nicht darauf läuft.

Tiefe Integrationen dort, wo es zählt

Wir integrieren uns tief in HR-, Beschaffungs- und IT-Asset-Management-Systeme – die Workflows, die die Datenschutz-Compliance tatsächlich antreiben. Nicht 200 oberflächliche Konnektoren, die nur Wartungsaufwand verursachen.

NIS2-Compliance-Anforderungen: 11 Kategorien, 40+ Massnahmen

Arbeiten Sie jede Kategorie durch, um Ihre Lücken zu erkennen. Jeder Punkt ist einer konkreten NIS2-Pflicht zugeordnet – keine Füllinhalte, keine Floskeln. Bei Organisationen mit mehreren Einheiten prüfen Sie jede Tochtergesellschaft eigenständig.

01 / 11

Anwendungsbereich und Einstufung der Einrichtung

Referenz: NIS2-Richtlinie Artikel 2–3, Anhänge I und II

  • Stellen Sie fest, ob Ihre Organisation auf Grundlage von Sektor, Grösse und Kritikalitätsschwellen als „wesentliche“ oder „wichtige“ Einrichtung gilt
  • Erfassen Sie alle Tochtergesellschaften und verbundenen Unternehmen in den EU-Mitgliedstaaten und prüfen Sie die NIS2-Anwendbarkeit für jede Einheit eigenständig
  • Bestimmen Sie die zuständige nationale Behörde und die zentrale Anlaufstelle (SPOC) in jedem relevanten Mitgliedstaat
  • Registrieren Sie sich beim zuständigen CSIRT und/oder der zuständigen Behörde, sofern die nationale Umsetzung dies vorschreibt
02 / 11

Governance und Verantwortlichkeit der Leitungsorgane

Referenz: NIS2-Richtlinie Artikel 20

  • Stellen Sie sicher, dass die Leitungsorgane die Massnahmen für das Cybersicherheits-Risikomanagement formell genehmigen und deren Umsetzung überwachen
  • Führen Sie verpflichtende Cybersicherheitsschulungen für alle Mitglieder des Leitungsorgans ein
  • Dokumentieren Sie den Rahmen der persönlichen Haftung der Mitglieder des Leitungsorgans bei Compliance-Verstössen
  • Etablieren Sie einen Berichtsrhythmus auf Leitungsebene zur Cybersicherheitslage (mindestens quartalsweise empfohlen)
03 / 11

Risikomanagement-Konzepte und -Rahmen

Referenz: NIS2-Richtlinie Artikel 21(1)

  • Verabschieden Sie ein umfassendes Konzept für Risikoanalyse und Informationssystemsicherheit, das alle Netz- und Informationssysteme abdeckt
  • Implementieren Sie eine Methodik zur Risikobewertung, die technische, operative und organisatorische Risiken angemessen zur Bedrohungslage berücksichtigt
  • Planen Sie wiederkehrende Risikobewertungen ein – mindestens jährlich sowie nach jeder wesentlichen Änderung oder jedem Vorfall
  • Dokumentieren Sie Kriterien für die Risikoakzeptanz und Eskalationsverfahren für Restrisiken oberhalb der Schwelle
04 / 11

Bewältigung und Meldung von Vorfällen

Referenz: NIS2-Richtlinie Artikel 23, 30

  • Etablieren Sie dokumentierte Verfahren zur Erkennung, Klassifizierung und Eskalation von Vorfällen
  • Richten Sie Systeme und Prozesse so ein, dass innerhalb von 24 Stunden nach Erkennen eines erheblichen Vorfalls eine Frühwarnung an das zuständige CSIRT erfolgt
  • Bereiten Sie Vorlagen und Workflows für eine vollständige Meldung des Vorfalls innerhalb von 72 Stunden nach der Frühwarnung vor
  • Legen Sie den Prozess für die Einreichung eines detaillierten Abschlussberichts (oder Zwischenberichts) innerhalb eines Monats nach der Meldung des Vorfalls fest
  • Testen Sie die Verfahren zur Reaktion auf Vorfälle mindestens jährlich anhand von Tabletop-Übungen
05 / 11

Aufrechterhaltung des Betriebs und Krisenmanagement

Referenz: NIS2-Richtlinie Artikel 21(2)(c)

  • Entwickeln und pflegen Sie Pläne zur Aufrechterhaltung des Betriebs, die kritische Netz- und Informationssysteme abdecken
  • Implementieren Sie Verfahren zum Backup-Management einschliesslich Strategien für externe und unveränderbare Backups
  • Definieren Sie Wiederherstellungsziele (RTO und RPO) für alle kritischen Systeme und validieren Sie diese durch Tests
  • Etablieren Sie eine Governance für das Krisenmanagement einschliesslich Eskalationsketten, Kommunikationsplänen und Entscheidungsbefugnissen
06 / 11

Sicherheit der Lieferkette und von Drittparteien

Referenz: NIS2-Richtlinie Artikel 21(2)(d)

  • Führen Sie Sicherheits-Risikobewertungen aller direkten Lieferanten und Dienstleister durch, die Zugriff auf Ihr Netz, Ihre Systeme oder Ihre Daten haben
  • Nehmen Sie Cybersicherheitsanforderungen in Beschaffungsverträge auf, einschliesslich Meldepflichten bei Vorfällen, Auditrechten und Sicherheitsstandards
  • Bewerten und dokumentieren Sie die spezifischen Schwachstellen jedes direkten Lieferanten sowie die Gesamtqualität seiner Cybersicherheitspraktiken
  • Überwachen Sie Risiken in der Lieferkette laufend – nicht nur beim Onboarding – und legen Sie einen Rhythmus für die Rezertifizierung fest
07 / 11

Sicherheit von Netz- und Informationssystemen

Referenz: NIS2-Richtlinie Artikel 21(2)(a), (e)

  • Implementieren Sie Sicherheitsmassnahmen für Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschliesslich der Handhabung und Offenlegung von Schwachstellen
  • Setzen Sie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Massnahmen für das Cybersicherheits-Risikomanagement ein (z. B. Penetrationstests, Sicherheitsaudits)
  • Implementieren Sie Netzsegmentierung, Angriffserkennung und Endpunktschutz angemessen zum Risiko
08 / 11

Kryptografie und Verschlüsselung

Referenz: NIS2-Richtlinie Artikel 21(2)(h)

  • Definieren und implementieren Sie Konzepte für den Einsatz von Kryptografie, einschliesslich Verschlüsselung im Ruhezustand und bei der Übertragung sensibler Daten
  • Etablieren Sie Verfahren zum Schlüsselmanagement einschliesslich Erzeugung, Verteilung, Speicherung, Rotation und Widerruf
  • Implementieren Sie, wo angemessen, Ende-zu-Ende-Verschlüsselung oder andere Massnahmen zum Schutz der Vertraulichkeit der Kommunikation
09 / 11

Zugriffskontrolle und Authentifizierung

Referenz: NIS2-Richtlinie Artikel 21(2)(i), (j)

  • Implementieren Sie Konzepte zur Personalsicherheit einschliesslich Hintergrundprüfungen, rollenbasierter Zugriffe und Offboarding-Verfahren
  • Setzen Sie Multi-Faktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierungslösungen für alle privilegierten und Remote-Zugriffe ein
  • Etablieren und pflegen Sie Konzepte zum Management von Anlagen und zur Zugriffskontrolle, die das Prinzip der minimalen Rechtevergabe sicherstellen
  • Implementieren Sie gesicherte Notfallkommunikationssysteme (Sprache, Nachrichten, Video) mit Authentifizierung
10 / 11

Cyberhygiene und Schulungen

Referenz: NIS2-Richtlinie Artikel 21(2)(g)

  • Setzen Sie grundlegende Praktiken der Cyberhygiene bei allen Beschäftigten um, einschliesslich Passwortrichtlinien, Phishing-Sensibilisierung und sicherer Gerätenutzung
  • Bieten Sie rollengerechte Cybersicherheitsschulungen beim Onboarding und wiederkehrend an (mindestens jährlich)
  • Verfolgen Sie Abschlussquoten und Prüfungsergebnisse der Schulungen als prüfbaren Nachweis
  • Stellen Sie sicher, dass die Mitglieder des Leitungsorgans die Cybersicherheitsschulungen gemäss Artikel 20(2) absolvieren
11 / 11

Compliance-Dokumentation und Audit-Bereitschaft

Referenz: NIS2-Richtlinie Artikel 32–33 (Aufsicht und Durchsetzung)

  • Führen Sie eine umfassende Dokumentation aller Risikomanagement-Massnahmen, -Konzepte und -Verfahren in einem auditfähigen Format
  • Bereiten Sie Nachweispakete für Prüfungen der Aufsichtsbehörde vor, einschliesslich Risikobewertungen, Vorfallprotokollen, Schulungsnachweisen und Lieferantenbewertungen
  • Etablieren Sie interne Audit- oder Prüfmechanismen, um die Wirksamkeit der umgesetzten Massnahmen zu überprüfen
  • Für Gruppen mit mehreren Einheiten: Implementieren Sie zentrale Compliance-Dashboards, die eine gruppenweite Übersicht bieten und zugleich die Dokumentation je Einheit erhalten
  • Verfolgen Sie die Entwicklungen der nationalen Umsetzung in jedem Mitgliedstaat, in dem Sie tätig sind, und passen Sie Ihre Compliance-Massnahmen entsprechend an

Holen Sie sich die vollständige NIS2-Checkliste als PDF

Alle 11 Anforderungskategorien und 40+ Massnahmen in einem druckbaren Format, das Sie mit Ihrem Team, Ihrem Leitungsorgan oder Ihrem Auditor teilen können. Kein Verkaufsgespräch – nur die Checkliste.

Wir senden Ihnen das PDF an Ihren Posteingang. Kein Spam, keine Mailsequenzen. Ihre Daten bleiben in der Schweiz. Siehe unsere Datenschutzerklärung.

Das PDF umfasst:

  • Alle 11 NIS2-Anforderungskategorien mit Verweisen auf die Artikel
  • 40+ einzelne Massnahmen als nachverfolgbare Checkliste aufbereitet
  • Leitfaden zur Bewertung mehrerer Einheiten für eine gruppenweite Compliance
  • Direkte Zuordnung zu den Artikeln und Anhängen der NIS2-Richtlinie

Schluss mit Datenschutz in Tabellen

Holen Sie sich Ihre Freitagnachmittage zurück

Sehen Sie, wie Priverion die Rezertifizierung des Verarbeitungsverzeichnisses, DSFA-Workflows und Lieferanten-Risikobewertungen über jede Tochtergesellschaft hinweg automatisiert – mit allen Daten in der Schweiz gehostet. In 30 Minuten gehen wir Ihre konkreten Herausforderungen mit mehreren Einheiten durch und zeigen Ihnen, was „betriebsbereit in Wochen“ wirklich bedeutet.

60%
weniger administrativer Compliance-Aufwand

Flugzeughersteller, erste 6 Monate

200+
eingesparte Stunden bei der Audit-Vorbereitung

Medtec, ISO 27001-Vorbereitung

100%
automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA, vollständig automatisiert

30-minütige Tour buchen

Keine Verpflichtung erforderlich. Wir konzentrieren uns auf Ihre Herausforderungen mit mehreren Einheiten – nicht auf ein generisches Demo-Skript.

Planbare Preise nach Anzahl und Grösse der Unternehmen – keine Überraschungen pro Nutzer oder pro Modul.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, Aktualisierungen zum Schweizer revDSG und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.