NIS2 Vorlagen: 72 Dokumente für vollständige Compliance

· · Kategorie: NIS2
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Für rechtsverbindliche Auskünfte zur konkreten Pflichtenlage konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) verlangt von wesentlichen und wichtigen Einrichtungen nicht ein einziges Compliance-Dokument, sondern ein ganzes Dokumentations-System. Aus Art. 21 (Risikomanagement-Maßnahmen), Art. 22 (koordinierte Risikobewertung kritischer Lieferketten) und Art. 23 (Meldepflichten) sowie aus § 30 BSIG (10 Mindestmaßnahmenbereiche) ergeben sich in der Praxis 50 bis 80 Einzeldokumente. Dieser Artikel listet alle 72 Vorlagen auf, die im NIS2-Kit enthalten sind, und ordnet sie den 10 Pflicht-Bereichen zu.

TL;DR

  • 72 NIS2-Vorlagen decken Art. 21, 22, 23 NIS-2-Richtlinie und § 30 BSIG vollständig ab
  • 10 Maßnahmenbereiche nach § 30 Abs. 2 BSIG: ISMS, Risiko, Incident-Response, BCM, Supply Chain, sichere Beschaffung, Wirksamkeitsprüfung, Cyber-Hygiene, Kryptographie, Zugriffskontrolle/MFA
  • Minimale Pflicht für Aufsichts-Anfragen: 5 Dokumente innerhalb von 30 Tagen ab Registrierungspflicht
  • Aktualisierung jährlich + anlassbezogen bei wesentlichen Änderungen (ISO 27001 Kap. 9.3)
  • Bußgeld-Risiko: bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz (wesentliche Einrichtungen)

1. Rechtsgrundlagen: Welche Vorlagen sind nach Art. 21, 22, 23 NIS-2-Richtlinie Pflicht?

Die NIS-2-Richtlinie nennt keine konkrete Dokumenten-Liste, sondern definiert Maßnahmenbereiche, die durch dokumentierte Prozesse, Konzepte und Nachweise belegt werden müssen. Drei Artikel sind die Grundlage jeder Vorlagen-Sammlung:

Art. 21 NIS-2-Richtlinie: Risikomanagement-Maßnahmen

Art. 21 Abs. 2 listet 10 Mindestmaßnahmenbereiche (Buchstaben a bis j), die in § 30 Abs. 2 BSIG inhaltsgleich umgesetzt sind. Jeder Bereich verlangt eigene Vorlagen — von der Risikoanalyse-Methodik über Konzepte für Vorfallbewältigung, Geschäftsfortführung, Lieferkette, sichere Beschaffung, Wirksamkeitsprüfung, Cyber-Hygiene und Schulung, Kryptographie, Personalsicherheit bis hin zu Zugriffskontrolle und Multi-Faktor-Authentifizierung. Details: § 30 BSIG: alle 10 Pflichten in einer Tabelle.

Art. 22 NIS-2-Richtlinie: Koordinierte Risikobewertung kritischer Lieferketten

Die Kooperationsgruppe nach Art. 14 der NIS-2-Richtlinie führt EU-weit koordinierte Risikobewertungen kritischer Lieferketten durch (z. B. 5G, Cloud-Hyperscaler). Einrichtungen müssen darauf reagieren können — das verlangt Lieferanten-Inventare, Kritikalitäts-Klassifikationen, Audit-Templates und Eskalationspfade. Vertiefung: NIS2 Lieferkette absichern.

Art. 23 NIS-2-Richtlinie: Meldepflichten

Art. 23 verlangt eine dreistufige Meldekette: Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht binnen eines Monats. Das verlangt vorab festgelegte Meldewege, Templates für jede Stufe, Erreichbarkeits-Listen und Kommunikationsbausteine. Detailliert: NIS2 Meldewege und Vorfall-Dokumentation.

2. Die 10 Vorlagen-Kategorien im Überblick

Die 72 Vorlagen lassen sich in 10 funktionale Kategorien einteilen, die direkt den § 30 Abs. 2 BSIG-Bereichen folgen:

  1. ISMS-Kerndokumente: Leitlinie, Anwendungsbereich, Rollen-Matrix, Statement of Applicability
  2. Risikomanagement: Methodik, Schutzbedarfsanalyse, Bedrohungsanalyse, Risikoregister, Maßnahmen-Plan
  3. Incident-Response: IRP, Eskalation, Krisenstab, 24h/72h/1M-Meldevorlagen, Forensik-Leitfaden
  4. BCM und Disaster Recovery: BIA, BCM-Plan, DR-Plan, RTO/RPO-Matrix, Tabletop-Szenarien
  5. Supply Chain Security: Lieferanten-Inventar, Audit-Templates, AVV-Anhänge, Exit-Strategien
  6. Sichere Beschaffung: Beschaffungsrichtlinie, Security-Anforderungen, SBOM-Vorlagen
  7. Wirksamkeitsprüfung: Audit-Plan, Wirksamkeits-Checklisten, KPI-Dashboard, Management-Review
  8. Cyber-Hygiene und Schulung: Awareness-Konzept, Phishing-Test-Vorlagen, Schulungsnachweise
  9. Kryptographie und Zugriffskontrolle: Krypto-Konzept, MFA-Rollout, Privileged-Access-Management
  10. Asset-Management und Logging: Asset-Inventar, Klassifikations-Schema, Logging-Konzept, SIEM-Use-Cases

3. Die 72 Dokumente im Detail

Die folgende Tabelle ordnet jede der 72 Vorlagen einer Kategorie und der entsprechenden Rechtsgrundlage zu.

Kategorie Vorlage (Auswahl) Bezug Anzahl
ISMS-Kerndokumente ISMS-Leitlinie, Anwendungsbereich, Rollen-/Verantwortungs-Matrix, Statement of Applicability, Dokumenten-Lenkung, Management-Review-Protokoll Art. 21 Abs. 2, ISO 27001 Kap. 4–10 8
Risikomanagement Risikomanagement-Methodik (BSI 200-3 / ISO 27005), Schutzbedarfsanalyse, Bedrohungsanalyse, Risikoregister, Risikomatrix, Maßnahmen-Plan Art. 21 Abs. 2 Buchst. a, § 30 Abs. 2 Nr. 1 BSIG 9
Incident-Response Incident-Response-Plan, Eskalationsmatrix, Krisenstab-Geschäftsordnung, 24h-Frühwarnungs-Template, 72h-Vorfallmeldung, 1M-Abschlussbericht, Forensik-Checkliste, Lessons-Learned-Vorlage Art. 21 Abs. 2 Buchst. b, Art. 23, § 32 BSIG 10
BCM und Disaster Recovery Business-Impact-Analyse, BCM-Plan, Disaster-Recovery-Plan, RTO/RPO-Matrix, Backup-Konzept (3-2-1 + Immutable), Tabletop-Szenarien, Krisenkommunikation Art. 21 Abs. 2 Buchst. c, § 30 Abs. 2 Nr. 3 BSIG 9
Supply Chain Security Lieferanten-Inventar, Kritikalitäts-Klassifikation, Audit-Template (initial + jährlich), AVV-Anhang Security, SLA-Bausteine, Exit-Strategie, ENISA-Risk-Profile Art. 21 Abs. 2 Buchst. d, Art. 22, § 30 Abs. 2 Nr. 4 BSIG 8
Sichere Beschaffung Beschaffungs-Richtlinie, Security-Anforderungskatalog, SBOM-Anforderungs-Template, Secure-SDLC-Leitlinie, Penetration-Testing-Konzept Art. 21 Abs. 2 Buchst. e, § 30 Abs. 2 Nr. 5 BSIG 5
Wirksamkeitsprüfung Internes Audit-Programm, Wirksamkeits-Checklisten je Bereich, KPI-Dashboard, jährlicher Wirksamkeitsbericht, externer Audit-RFP, Management-Review-Template Art. 21 Abs. 2 Buchst. f, § 30 Abs. 2 Nr. 6 BSIG 6
Cyber-Hygiene und Schulung Awareness-Konzept, Phishing-Test-Vorlagen (Q1–Q4), Schulungsnachweise, GF-Schulung nach § 38 Abs. 3 BSIG, Acceptable-Use-Policy, Clean-Desk-Richtlinie Art. 21 Abs. 2 Buchst. g, § 30 Abs. 2 Nr. 7 BSIG, § 38 BSIG 7
Kryptographie Kryptographie-Konzept, Schlüsselmanagement-Verfahren, TLS-Konfigurations-Standard, Key-Rotation-Plan Art. 21 Abs. 2 Buchst. h, § 30 Abs. 2 Nr. 8 BSIG 4
Zugriffskontrolle und MFA Zugriffskontroll-Konzept, MFA-Rollout-Plan, Privileged-Access-Management, Joiner/Mover/Leaver-Prozess, Berechtigungs-Review-Vorlage Art. 21 Abs. 2 Buchst. i+j, § 30 Abs. 2 Nr. 9+10 BSIG 5
Asset-Management und Logging Asset-Inventar (HW/SW/Daten/Cloud), Klassifikations-Schema, Logging-Konzept, SIEM-Use-Cases, Aufbewahrungsfristen, Log-Review-Verfahren Art. 21 Abs. 2 Buchst. a+f, Querschnitt 6
Governance und Aufsicht BSI-Registrierungs-Template, jährliche Selbstauskunft, Aufsichts-Anfrage-Standardantworten, Reporting an GF/Vorstand §§ 33, 34, 38 BSIG 5
Gesamt 72

4. § 30 BSIG: die 10 Mindestmaßnahmen — Kurzverweis

Die 72 Vorlagen bilden die 10 Maßnahmenbereiche aus § 30 Abs. 2 BSIG ab. Die Bereiche im Telegrammstil:

  1. Risikoanalyse und Konzepte für die Sicherheit von Informationssystemen
  2. Bewältigung von Sicherheitsvorfällen (Incident-Response)
  3. Aufrechterhaltung des Betriebs (BCM, Backup-Management, Krisenmanagement)
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Anbietern
  5. Sicherheit in der Beschaffung, Entwicklung und Wartung von Informationssystemen
  6. Konzepte zur Wirksamkeitsbewertung der Risikomanagementmaßnahmen
  7. Grundlegende Verfahren der Cyber-Hygiene und Schulungen
  8. Konzepte für Kryptographie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle und Asset-Management
  10. Verwendung von Multi-Faktor-Authentifizierung, sicherer Sprach-/Video-/Textkommunikation und sicheren Notfallkommunikationssystemen

Detaillierter Vergleich, Anwendungsbeispiele pro Sektor und konkrete Maßnahmen-Listen: NIS2 § 30 BSIG: alle 10 Pflichten in einer Tabelle.

5. Welche Vorlagen für KRITIS, wesentliche und wichtige Einrichtungen?

Inhaltlich gelten für alle drei Kategorien die gleichen § 30 BSIG-Mindestmaßnahmen. Die Unterschiede betreffen Aufsichtsregime, Schwellenwerte und Detailtiefe der Nachweise:

Kategorie Aufsicht Bußgeld-Rahmen Zusatz-Vorlagen
KRITIS / Wesentlich Proaktiv (BSI-Audit, Vor-Ort-Prüfung, Anordnungen nach § 31 BSIG) bis 10 Mio. EUR oder 2 % Konzern-Umsatz Nachweis-Audit nach § 31 BSIG, KRITIS-Registrierung, jährliche Selbstauskunft, Sektor-spezifische Resilienz-Pläne
Wichtig Reaktiv (nur anlassbezogen, z. B. nach Vorfall) bis 7 Mio. EUR oder 1,4 % Konzern-Umsatz Selbstdeklaration, Incident-Meldungen nach Art. 23, Audit nur bei begründetem Anlass

Für die NIS2-Klassifizierung des eigenen Unternehmens (Sektor + Schwellenwerte): NIS2 für kleine Unternehmen 50–100 Mitarbeiter und NIS2-Umsetzung Deutschland.

6. Priorisierung: Welche Vorlagen wann?

Tag 1–30: Pflicht-Set für BSI-Registrierung

Tag 31–60: Quick Wins nach § 30 BSIG

Siehe NIS2 Top-7 Quick Wins: MFA-Rollout, Backup-Konzept, Patch-Management, Phishing-Schulung, Lieferanten-Inventar, IRP-Tabletop, Asset-Klassifikation.

Tag 61–90: Volle Audit-Reife

Tag 91–180: ISO 27001 oder gleichwertig

Wer eine Zertifizierung anstrebt, ergänzt um Kapitel 6.1.3 (Risikobehandlungsplan), 9.2 (interne Audits) und 10 (kontinuierliche Verbesserung). Pfad: NIS2 zu ISO 27001 Zertifizierung.

7. Aktualisierung und Versionierung

NIS2-Vorlagen sind keine Einmal-Dokumente. Die Aufsichtsbehörde prüft im Audit nicht nur Existenz, sondern Aktualität und gelebte Anwendung:

Häufig gestellte Fragen

Wie viele Vorlagen schreibt NIS2 zwingend vor?
Die NIS-2-Richtlinie nennt keine konkrete Dokumenten-Anzahl. Aus Art. 21, Art. 23 und § 30 BSIG ergeben sich aber 10 Maßnahmenbereiche, die in der Praxis durch 50–80 Einzeldokumente abgebildet werden. Das NIS2-Kit deckt 72 Pflicht- und Empfehlungs-Vorlagen ab.
Reichen ISO-27001-Dokumente für NIS2 aus?
ISO 27001 deckt etwa 70 % der § 30 BSIG-Anforderungen ab. Lücken bestehen typischerweise bei: 24h-Frühwarnung nach Art. 23 NIS-2-Richtlinie, Lieferanten-Audits, GF-Schulung nach § 38 BSIG und Risikomanagement-Methodik (BSI 200-3 vs. ISO 27005). NIS2-spezifische Ergänzungs-Vorlagen sind notwendig.
Welche Vorlagen muss die Geschäftsführung selbst unterzeichnen?
Mindestens: ISMS-Leitlinie, Risikomanagement-Policy, Genehmigung des Maßnahmenplans nach § 38 BSIG, jährlicher Compliance-Report sowie Schulungsnachweis nach § 38 Abs. 3 BSIG. Diese begründen die persönliche Haftungsfreistellung.
Müssen Vorlagen ins Deutsche übersetzt werden?
Das BSI als Aufsichtsbehörde kommuniziert auf Deutsch. Englische Vorlagen sind zulässig, müssen aber bei Audit-Anfrage in deutscher Übersetzung vorgelegt werden. Konzern-Tochterunternehmen führen ISMS-Dokumente oft zweisprachig.
Wie oft müssen NIS2-Vorlagen aktualisiert werden?
Mindestens jährlich (ISMS-Review nach ISO 27001 Kap. 9.3). Anlassbezogen bei: Änderungen der IT-Landschaft, neuen Bedrohungen, behördlichen Vorgaben, Personalwechsel in Schlüsselrollen oder nach Vorfällen. Versionierung und Freigabe-Workflow sind Pflicht.
Was unterscheidet wichtige von wesentlichen Einrichtungen bei den Vorlagen?
Inhaltlich gelten dieselben § 30 BSIG-Anforderungen. Unterschied: wesentliche Einrichtungen unterliegen proaktiver Aufsicht (Vor-Ort-Prüfungen, Audit-Anordnung), wichtige nur reaktiver. Vorlagen sollten für beide Kategorien Audit-fest sein, da Bußgeld-Risiken vergleichbar sind (10 Mio. EUR vs. 7 Mio. EUR).
Welche Vorlagen sind innerhalb der ersten 30 Tage Pflicht?
Für Aufsichts-Anfragen sofort vorlegbar: Asset-Inventar, Risikoregister, ISMS-Leitlinie, Incident-Response-Plan, Meldewege-Vorlage für 24h-Frühwarnung. Diese fünf Dokumente bilden das minimale Pflicht-Set für Registrierung beim BSI.

Verwandte Artikel

Quellen

Stand: 17.05.2026

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.