Self-Check · NIS2

NIS2 Self-Check (EU)

Strukturelle Reife, Cybersicherheit & Regulatorische Anschlussfähigkeit

10–15 Min Selbstprüfung NIS2 · IT-Sicherheit

Was dieser Self-Check Ihnen zeigt

Wie gut Ihr Unternehmen auf die NIS2-Anforderungen vorbereitet ist.

KontextNIS2 / NIS2UmsG (Deutschland) · Wesentliche & wichtige Einrichtungen
Gewichtung★★ = doppelt, ★ = einfach
Fragen23
Bearbeitungszeitca. 10 Min.

Zweck & Einleitung

Dieser Self-Check dient als pragmatischer Spiegel, um einzuschätzen, wie resilient und strukturell belastbar Ihre Organisation im Sinne der NIS2-Richtlinie aufgestellt ist. NIS2 gilt in Deutschland durch das NIS2UmsG für wesentliche und wichtige Einrichtungen in kritischen Sektoren (z. B. Energie, Transport, Gesundheit).

Der Check beleuchtet Personenabhängigkeit, Governance-Klarheit, Risikomanagement, Lieferketten-Sicherheit, Incident-Reporting sowie operative Resilienz.

Wichtig

Kein offizieller Test, kein Scoring im regulatorischen Sinne, kein Benchmark. Ehrliche Selbsteinschätzung – idealerweise vor einer BSI-Prüfung oder einem Vorfall. ★★-Fragen werden in der Auswertung doppelt gewichtet.

Antwortoptionen

Ja · 2

Vollständig und belastbar umgesetzt, dokumentiert, gelebt und erprobt

Teilweise · 1

Vorhanden, aber lückenhaft, personenabhängig oder ungetestet

Nein · 0

Nicht oder kaum vorhanden

n/a · –

Nicht anwendbar (wird bei der Berechnung ignoriert)

Fragebogen

Klicken Sie für jede Frage auf Ja, Teilweise, Nein oder n/a. Die Auswertung erfolgt automatisch nach der letzten Frage. ★★-Fragen werden doppelt gewichtet.

Fortschritt 0 / 23
0 % beantwortet
A. Wissen & Abhängigkeiten
01
Gibt es kritisches Wissen (z. B. zu NIS-Systemen, Risiken oder Meldepflichten), das nur einzelne Personen vollständig überblicken? ★★
Umkehrfrage: Nein = gut (2 Punkte), Ja = schlecht (0 Punkte)
02
Können zentrale Prozesse (z. B. Risikomanagement oder Incident-Response) auch ohne diese Personen nachvollzogen und fortgeführt werden? ★★
03
Ist dokumentiert, wer was warum entscheidet – unabhängig von einzelnen Personen?
B. Governance & Management
04
Sind Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse im Cybersicherheits-Risikomanagement klar definiert und allen bekannt? ★★
05
Überwacht die Geschäftsführung aktiv die Umsetzung von Cybersicherheitsmaßnahmen und lässt sich regelmässig schulen? (NIS2 macht es zur Chefsache) ★★
06
Gibt es funktionierende und erprobte Vertretungsregelungen für Schlüsselrollen in der Cybersicherheit? ★★
C. Risikomanagement
07
Gibt es ein umfassendes Risikomanagement für Netzwerk- und Informationssysteme (inkl. regelmässiger Risikoanalysen)? ★★
08
Gibt es eine einheitliche, dokumentierte Logik zur Bewertung und Priorisierung von Cybersicherheitsrisiken? ★★
09
Lassen sich wichtige Entscheidungen zu Risiken auch Monate später eindeutig erklären?
D. Lieferkette & Drittanbieter
10
Werden Risiken in der Lieferkette (z. B. bei ICT-Drittanbietern, Zulieferern) systematisch bewertet und gemanagt? ★★
11
Werden kritische Lieferanten und Drittanbieter regelmässig überprüft – auch ohne akute Probleme? ★★
E. Skalierung & Resilienz
12
Könnten zentrale Verantwortlichkeiten (z. B. Cybersicherheitsbeauftragter) geordnet und ohne Wissensverlust übergeben werden? ★★
13
Ist die Organisation primär durch belastbare Strukturen stabil – oder durch einzelne «Helden»? ★★
F. Technische & org. Maßnahmen
14
Sind NIS2-relevante Maßnahmen (z. B. Zugriffssteuerung, Verschlüsselung, Schulungen) im Systemdesign verankert? ★★
15
Werden Mitarbeiter regelmässig zu Cybersicherheit geschult und ist Awareness etabliert? ★★
16
Ist dokumentiert, warum bestimmte Maßnahmen bewusst (nicht) umgesetzt wurden?
G. Incident-Management & Reporting
17
Existiert ein Prozess für die Erkennung, Meldung und Bewältigung erheblicher Vorfälle (inkl. Fristen an BSI/CSIRT)? ★★
18
Würden externe Prüfer (z. B. BSI) die Incident-Response-Prozesse ohne große Nachfragen verstehen?
H. Business Continuity & Recovery
19
Gibt es ein dokumentiertes Mapping kritischer Prozesse und Systeme (welche dürfen nicht ausfallen)? ★★
20
Existiert ein getesteter Business-Continuity- und Disaster-Recovery-Plan (inkl. Backups und Redundanz)? ★★
21
Sind Backups und redundante Kapazitäten regelmässig getestet und getrennt gespeichert? ★★
22
Werden Continuity-Pläne mindestens jährlich getestet (inkl. Cyber-Szenarien)? ★★
23
Könnte bei Ausfall eines Schlüssel-IT-Mitarbeiters das System sicher weiterbetrieben werden? ★★

Ihr Ergebnis

Wichtige Begriffe

NISNetwork and Information Systems – Netzwerk- und Informationssysteme, auf denen kritische Dienste basieren.
Wesentliche EinrichtungHöchste Kritikalität (z. B. Energie, Transport) – strengere Anforderungen und proaktive Aufsicht.
Wichtige EinrichtungAndere kritische Sektoren – Anforderungen ähnlich, aber reaktive Aufsicht.
CSIRTComputer Security Incident Response Team – zuständige Behörde für Vorfallsmeldungen (in DE: BSI).

Cybersicherheit ist Chefsache – nicht weil NIS2 es verlangt, sondern weil Strukturen, die nur im Alltag funktionieren, im Ernstfall versagen.

Weiter vertiefen

Leitfaden Leitfaden NIS2 NIS2-Praxisleitfaden für KMU. Lesen → Krimi Krimi: Die Compliance-Fassade Wenn Sicherheit nur Fassade ist. Lesen → Deep Dive Deep Dive: SIEM-Systeme Monitoring unter DORA/NIS2. Lesen →
← Wissensraum