Der NIS2 Tracker ist ein kostenloses Compliance-Management-Tool, das speziell für die Anforderungen des §30 BSIG entwickelt wurde. Er bildet alle 10 Maßnahmenbereiche strukturiert ab, ermöglicht das Hinterlegen von Nachweisen je Maßnahme und gibt jederzeit einen klaren Überblick über den Umsetzungsstand. Diese Anleitung zeigt, wie Sie ihn sinnvoll einsetzen – von der ersten Anmeldung bis zur Audit-Bereitschaft.

Was der NIS2 Tracker abbildet

Grundlage des Trackers sind die 10 Maßnahmenbereiche nach §30 Abs.2 BSIG, die alle von NIS2 betroffenen Einrichtungen umsetzen müssen. Jeder Bereich enthält konkrete Einzelmaßnahmen mit Umsetzungshinweisen – so wissen Sie nicht nur was verlangt wird, sondern auch wie eine sinnvolle Umsetzung aussieht.

Nr. 1 Risikoanalyse und Sicherheitskonzepte§30 Abs.2 Nr.1 BSIG
Nr. 2 Bewältigung von Sicherheitsvorfällen§30 Abs.2 Nr.2 BSIG
Nr. 3 Business Continuity Management§30 Abs.2 Nr.3 BSIG
Nr. 4 Sicherheit der Lieferkette§30 Abs.2 Nr.4 BSIG
Nr. 5 Sicherheit bei Erwerb, Entwicklung und Wartung§30 Abs.2 Nr.5 BSIG
Nr. 6 Bewertung der Wirksamkeit von Maßnahmen§30 Abs.2 Nr.6 BSIG
Nr. 7 Schulung und Sensibilisierung§30 Abs.2 Nr.7 BSIG
Nr. 8 Kryptografie und Verschlüsselung§30 Abs.2 Nr.8 BSIG
Nr. 9 Personalsicherheit, Zugriffskontrolle und Asset Management§30 Abs.2 Nr.9 BSIG
Nr. 10 Multi-Faktor-Authentifizierung und sichere Kommunikation§30 Abs.2 Nr.10 BSIG

Zusätzlich zur Maßnahmenübersicht enthält der Tracker einen Aufgaben- und Terminbereich: Wiederkehrende Pflichten wie die jährliche Risikoanalyse, das Management Review nach §30 BSIG oder turnusmäßige Backup-Tests werden dort terminiert und als fällig markiert, sobald ihre Frist erreicht ist.

Schritt für Schritt: So arbeiten Sie mit dem Tracker

Schritt 1
Konto anlegen und Unternehmen einrichten

Unter solvist.de/nis2-tracker/ können Sie sich kostenlos registrieren. Nach der Anmeldung legen Sie Ihr Unternehmen an – dabei geben Sie an, ob Sie als wesentliche oder wichtige Einrichtung eingestuft sind. Das ist relevant, weil einige Maßnahmen ausschließlich für wesentliche Einrichtungen verpflichtend sind. Falls Sie unsicher sind, ob und wie Ihr Unternehmen eingestuft ist, hilft der NIS2 O-Mat bei der ersten Einschätzung.

Schritt 2
Maßnahmen sichten und Ist-Stand erfassen

Nach dem Anlegen des Unternehmens werden alle Maßnahmenbereiche und Einzelmaßnahmen automatisch geladen. Gehen Sie jeden Bereich durch und erfassen Sie den aktuellen Umsetzungsstand: Offen, In Umsetzung oder Umgesetzt. Seien Sie hier ehrlich – der Wert einer realistischen Standortbestimmung liegt darin, tatsächliche Lücken sichtbar zu machen, nicht darin, ein gutes Bild zu erzeugen.

Für jede Maßnahme können Sie eine Zuständigkeit, eine Priorität und ein Zieldatum hinterlegen. Das hilft dabei, die Umsetzung intern zu koordinieren und Verantwortlichkeiten klar zuzuweisen.

Schritt 3
Nachweise direkt verknüpfen

Das ist der entscheidende Unterschied zu einer Excel-Liste: Zu jeder Maßnahme können Sie Nachweisdokumente direkt hochladen – Richtlinien, Schulungsnachweise, Testprotokolle, Auditberichte, Screenshots. Diese Dokumente sind der Maßnahme fest zugeordnet und im Prüffall sofort auffindbar.

Empfehlung: Markieren Sie eine Maßnahme erst dann als „Umgesetzt", wenn auch der entsprechende Nachweis hinterlegt ist. So stellt die Statusangabe tatsächlich den Umsetzungsstand dar – und nicht nur eine Absichtserklärung.

Schritt 4
Wiederkehrende Aufgaben terminieren

Im Bereich „Aufgaben & Termine" finden Sie vorkonfigurierte Aufgaben mit empfohlenen Wiederholungsintervallen – jährlich, quartalsweise oder alle zwei Jahre. Typische Beispiele sind die Risikoanalyse (jährlich), der Backup-Restore-Test (jährlich), das Management Review (jährlich) oder die technische Sicherheitsüberprüfung durch externe Dienstleister (alle zwei Jahre für wesentliche Einrichtungen).

Legen Sie für jede Aufgabe das Startdatum und die Zuständigkeit fest. Der Tracker zeigt Ihnen automatisch an, welche Aufgaben als nächstes fällig werden – und markiert überfällige Termine deutlich.

Schritt 5
Fortschritt überprüfen und Lücken schließen

Die Übersicht im Tracker zeigt Ihnen jederzeit den prozentualen Umsetzungsstand je Maßnahmenbereich und insgesamt. Nutzen Sie das nicht nur als Reporting-Instrument nach außen – sondern als internes Steuerungsmittel. Welche Bereiche sind besonders weit zurück? Wo fehlen Nachweise, obwohl die Maßnahme eigentlich umgesetzt ist? Wo laufen in den nächsten Wochen Fristen ab?

Eine realistische Zielgröße für Audit-Bereitschaft ist kein Perfektionszustand. Es geht darum, nachweisen zu können, dass Sie systematisch vorgehen, Maßnahmen priorisiert haben und offene Punkte aktiv angehen.

Häufige Fragen beim Einstieg

Was, wenn ich noch gar nicht weiß, ob mein Unternehmen betroffen ist?

Dann ist der erste Schritt der NIS2 O-Mat: ein kostenloser Selbstcheck, der in fünf Minuten eine erste Einschätzung zur NIS2-Betroffenheit gibt – anonym, ohne Anmeldung. Wenn sich dort eine Betroffenheit abzeichnet, ist der Tracker der sinnvolle nächste Schritt.

Was genau gilt als ausreichender Nachweis?

Das hängt von der Maßnahme ab. Eine Datenschutz- oder Sicherheitsrichtlinie ist ein Dokument. Ein Schulungsnachweis ist eine Teilnehmerliste mit Datum und Inhalt. Ein Backup-Test ist ein Protokoll, das RTO und RPO dokumentiert. Grundprinzip: Der Nachweis muss zeigen, was getan wurde, wann es getan wurde und – wenn relevant – von wem.

Muss ich den Tracker mit anderen teilen?

Das liegt bei Ihnen. Der Tracker ist auf eine Organisation ausgelegt. Wenn mehrere Personen daran arbeiten sollen, empfehlen wir, Zugänge zentral zu verwalten. Bei Fragen zur Multi-User-Nutzung sprechen Sie uns gerne an.

Audit-Bereitschaft ist kein Zustand, den man einmal erreicht. Es ist ein laufender Prozess – und der NIS2 Tracker hilft dabei, diesen Prozess strukturiert zu führen.

Falls Sie bei der Umsetzung Unterstützung suchen – beim Aufbau der Dokumentationsstruktur, bei der Bewertung einzelner Maßnahmen oder bei der Vorbereitung auf eine Prüfung –, stehen wir gerne für ein erstes Gespräch zur Verfügung.