NIS2-Bereitschaftscheck

Beantworten Sie 15 Fragen zu Ihrer aktuellen Cybersicherheitslage — und erhalten Sie eine Ampelbewertung für jede der 10 NIS2-Sicherheitsmaßnahmen nach Artikel 21 NIS2UmsuCG.

Dieser kostenlose Check gibt Ihnen einen ersten Überblick darüber, wo Ihre Organisation im Vergleich zu den NIS2-Anforderungen steht — und welche Maßnahmen Sie priorisieren sollten. Der Check ersetzt keine vollständige Gap-Analyse, liefert aber eine fundierte Orientierung in unter 5 Minuten.

Teil 1 — Governance & Risikomanagement (Art. 21(2)(a))

F1. Verfügt Ihre Organisation über eine schriftlich dokumentierte Informationssicherheitsleitlinie, die vom Management genehmigt wurde?

F2. Führen Sie mindestens jährlich eine formelle Risikoanalyse für Ihre Netz- und Informationssysteme durch?

Teil 2 — Incident-Management (Art. 21(2)(b))

F3. Gibt es einen dokumentierten Incident-Response-Plan mit klaren Rollen, Eskalationspfaden und Kommunikationsprotokollen?

F4. Können Sie erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach Entdeckung an das BSI (oder die zuständige Behörde) melden?

Teil 3 — Business Continuity (Art. 21(2)(c))

F5. Gibt es einen getesteten Business-Continuity-Plan (BCP) und Disaster-Recovery-Plan für Ihre kritischen Systeme?

F6. Sind Recovery-Ziele (RTO und RPO) für alle kritischen Geschäftsprozesse definiert und dokumentiert?

Teil 4 — Lieferkettensicherheit (Art. 21(2)(d))

F7. Bewerten Sie die Cybersicherheitsrisiken Ihrer wichtigsten Lieferanten und Dienstleister systematisch?

F8. Enthalten Ihre Lieferantenverträge konkrete Sicherheitsanforderungen und Audit-Rechte?

Teil 5 — Sicherheit in Beschaffung & Betrieb (Art. 21(2)(e)+(f))

F9. Gibt es einen strukturierten Patch-Management-Prozess, der kritische Schwachstellen innerhalb definierter Fristen schließt?

F10. Überprüfen Sie regelmäßig die Wirksamkeit Ihrer Sicherheitsmaßnahmen (z. B. durch interne Audits, Penetrationstests oder Schwachstellenscans)?

Teil 6 — Cyber-Hygiene & Schulungen (Art. 21(2)(g))

F11. Erhalten alle Mitarbeitenden jährliche Cybersicherheitsschulungen, einschließlich Phishing-Simulationen?

F12. Ist eine Grundschutz-Baseline implementiert (z. B. Passwortrichtlinie, Endpoint-Schutz, automatische Sicherheitsupdates)?

Teil 7 — Kryptographie (Art. 21(2)(h))

F13. Sind Verschlüsselungsanforderungen für personenbezogene und betrieblich kritische Daten (at rest und in transit) dokumentiert und umgesetzt?

Teil 8 — Zugriffskontrolle & HR-Sicherheit (Art. 21(2)(i))

F14. Ist Zugangskontrolle nach dem Least-Privilege-Prinzip implementiert, mit regelmäßiger Überprüfung von Zugriffsrechten?

Teil 9 — Multi-Faktor-Authentifizierung (Art. 21(2)(j))

F15. Ist Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Zugänge und alle Remote-Verbindungen verpflichtend?

Hinweis: Dieser Bereitschaftscheck ist ein Orientierungsinstrument und stellt keine Rechts- oder Compliance-Beratung dar. Die konkrete NIS2-Pflicht Ihrer Organisation hängt von Ihrem Sektor, Ihrer Größe und Ihrer Rolle als Wesentliche oder Wichtige Einrichtung ab. Konsultieren Sie einen qualifizierten Berater für eine vollständige Gap-Analyse.