Zum Hauptinhalt springen JLIB_HTML_SKIP_TO_CONTENT
NIS2-Richtlinie 2022/2555 ISO 27001:2022 Mapping

ISMS-Dokumentation für NIS2-Compliance

Welche Dokumente brauchen Sie wirklich? Die NIS2-Richtlinie (Art. 21) verlangt konkrete Nachweise – strukturierter Überblick und sofort einsetzbare Vorlagen für KMU und wesentliche Einrichtungen.

NIS2-Bundle ansehen ISMS-Reifegrad prüfen
NIS2 Art. 21 Bereiche
10
Max. Bußgeld
10 Mio. €
Gültig seit
Dez. 2025
Kostenlose Vorlagen
29+

Warum NIS2 ISMS-Dokumentation erfordert

Art. 21 Abs. 1 NIS2 schreibt vor, dass betroffene Einrichtungen "geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen". Die Feststellung, ob Maßnahmen geeignet sind, setzt eine nachvollziehbare Risikoanalyse und deren schriftliche Dokumentation voraus.

Aufsichtsbehörden können bei Prüfungen und nach Sicherheitsvorfällen Nachweisdokumente verlangen. Fehlen diese, drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen, Art. 34 Abs. 4 NIS2).

ISO 27001 als anerkannter NIS2-Nachweis

Ein strukturiertes ISMS nach ISO/IEC 27001:2022 deckt alle wesentlichen Anforderungen aus Art. 21 NIS2 ab. Es ist nicht gesetzlich vorgeschrieben, gilt jedoch als anerkannte Methode und erleichtert den Nachweis gegenüber Aufsichtsbehörden erheblich.

Pflichtdokumente nach NIS2 Art. 21

Alle 10 Anforderungsbereiche aus Art. 21 Abs. 2 mit den jeweils erforderlichen Dokumenten und verfügbaren Vorlagen:

Risikoanalyse und Sicherheitskonzept (Abs. 2a)

Bundle

Risikobeurteilungsvorlage, ISMS-Sicherheitskonzept, Statement of Applicability

Bewältigung von Sicherheitsvorfällen (Abs. 2b)

Bundle

Incident-Response-Richtlinie, Meldeverfahren, Eskalationsplan

Business Continuity (Abs. 2c)

Kostenlos

Business-Impact-Analyse (kostenfrei), Notfallplan, Backup-Konzept

Sicherheit der Lieferkette (Abs. 2d)

Bundle

Lieferantenbewertung, Dienstleistervertrag-Checkliste

Erwerb, Entwicklung, Wartung (Abs. 2e)

Bundle

Change-Management-Verfahren, Patch-Management-Richtlinie

Wirksamkeit der Maßnahmen (Abs. 2f)

Kostenlos

Internes Auditprogramm, Audit-Checkliste ISMS (kostenfrei)

Schulung und Sensibilisierung (Abs. 2g)

Bundle

Schulungskonzept, Schulungsregister, Awareness-Plan

Kryptografie und Verschlüsselung (Abs. 2h)

Bundle

Kryptografierichtlinie, Schlüsselmanagement-Konzept

Personalsicherheit, Zugriffskontrolle (Abs. 2i)

Kostenlos

Zugriffssteuerungsrichtlinie, Onboarding/Offboarding-Checkliste (kostenfrei)

Multi-Faktor-Authentifizierung (Abs. 2j)

Bundle

MFA-Richtlinie, Passwortrichtlinie, Zugriffskonzept

Kostenlose NIS2-Startvorlagen

Sofort verfügbar

Nach Eingabe Ihrer Firmendaten sofortiger Zugang – kein Abonnement, keine versteckten Kosten:

Business Impact Analyse

Analyse geschäftskritischer Prozesse nach NIS2 Art. 21 Abs. 2c (Business Continuity).

Kostenlos herunterladen

Audit-Checkliste Technische Maßnahmen

Selbstbewertungswerkzeug für die technischen NIS2-Schutzmaßnahmen vor Behördenprüfungen.

Kostenlos herunterladen

Onboarding / Offboarding Checkliste

Dokumentiert sicherheitsrelevante Schritte beim Personaleintritt/-austritt (NIS2 Art. 21 Abs. 2i).

Kostenlos herunterladen

Vorlage: Assetregister

Inventarisierung schützenswerter Assets als Grundlage für die Risikoanalyse nach Art. 21 Abs. 2a.

Kostenlos herunterladen

Häufige Fragen zur NIS2-Dokumentation

Antworten auf die wichtigsten Fragen zu Pflichten, Betroffenheit und Umsetzung.

Muss ich für NIS2 ISO 27001 zertifiziert sein?

Nein, eine ISO 27001-Zertifizierung ist keine gesetzliche Pflicht unter NIS2. Die Richtlinie verlangt geeignete und verhältnismäßige Maßnahmen nach Art. 21, ohne einen spezifischen Rahmen vorzuschreiben. ISO 27001 ist jedoch international anerkannt, deckt alle wesentlichen Anforderungen aus Art. 21 systematisch ab und erleichtert den Nachweis gegenüber Aufsichtsbehörden erheblich.

Welche NIS2-Dokumente sind konkret Pflicht?

NIS2 schreibt keine Dokumentenliste vor, sondern verlangt nachweisbare Maßnahmen zu den 10 Bereichen aus Art. 21 Abs. 2. In der Praxis brauchen Sie mindestens: Informationssicherheitsrichtlinie, Risikobeurteilung, Incident-Response-Verfahren, Business-Continuity-Konzept und Schulungsnachweis. Das NIS2UmsuCG kann darüber hinaus branchenspezifische Konkretisierungen enthalten.

Bin ich von NIS2 betroffen?

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in den 18 erfassten Sektoren (u. a. Energie, Transport, Gesundheit, digitale Infrastruktur, IT-Dienstleistungen). Kleinere Unternehmen können ebenfalls betroffen sein, wenn sie als kritische Dienstleister oder Zulieferer für wesentliche Einrichtungen tätig sind.

Wann müssen NIS2-Maßnahmen umgesetzt sein?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Betroffene Unternehmen sind verpflichtet, die Maßnahmen nach Art. 21 unverzüglich umzusetzen. Unternehmen, die noch keine Maßnahmen eingeleitet haben, sollten umgehend mit der Risikoanalyse und Erstellung der Pflichtdokumentation beginnen.

NIS2-Compliance jetzt sicherstellen

Das ISMS-Bundle deckt alle 10 Bereiche aus Art. 21 ab – inklusive Mapping-Tabelle NIS2 ↔ ISO 27001 Annex A.

ISMS-Bundle für NIS2 ansehen Beratungsgespräch vereinbaren