Können Sie diese 10 NIS2-Fragen beantworten? Die meisten Organisationen nicht
Sie haben die Artikel gelesen. Sie kennen die Frist. Vielleicht haben Sie sogar schon mit einer internen Bestandsaufnahme begonnen.
Aber können Sie diese 10 Fragen tatsächlich beantworten?
Sie stammen aus unserer 50-Fragen-NIS2-Compliance-Bewertung, und jede zielt auf einen spezifischen blinden Fleck, den Organisationen konsequent unterschätzen. Es sind keine Fangfragen — es sind die Fragen, die Regulierungsbehörden stellen werden, wenn die Durchsetzung beginnt.
Seien Sie ehrlich mit sich selbst. Wenn Sie bei mehr als drei zögern, haben Sie Lücken, die Aufmerksamkeit erfordern.
So funktioniert es
Jede Frage unten ist einer der 10 Risikomanagement-Maßnahmenkategorien unter Artikel 21 der NIS2-Richtlinie zugeordnet. Zusammen definieren diese Kategorien, was „angemessene und verhältnismäßige Cybersicherheit" in der Praxis bedeutet.
Wir haben die schwierigste Frage aus jeder Kategorie ausgewählt — die Frage, die Organisationen, die sich wirklich vorbereitet haben, von denen unterscheidet, die nur die Zusammenfassung gelesen haben.
Die 10 Fragen
1. Risikoanalyse und Sicherheit von Informationssystemen
Können Sie eine dokumentierte, vom Vorstand genehmigte Risikobewertung vorlegen, die alle NIS2-relevanten Assets, Bedrohungen und Schwachstellen abdeckt — aktualisiert innerhalb der letzten 12 Monate?
Die meisten Organisationen haben irgendeine Form von Risikoregister. Wenige haben eines, das umfassend, aktuell und von ihrem Leitungsorgan genehmigt ist, wie NIS2 Artikel 20 es verlangt. Eine Risikobewertung von 2022, die IT abdeckt, aber OT, Lieferketten-Abhängigkeiten oder Cloud-Dienste ignoriert, wird einen Regulierer nicht zufriedenstellen.
2. Vorfallmanagement
Haben Sie einen getesteten Prozess, um einen signifikanten Vorfall zu erkennen, zu klassifizieren und innerhalb von 24 Stunden an Ihre nationale Behörde zu melden?
NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Das Schlüsselwort ist „getestet." Ein dokumentiertes Verfahren, das nie geprobt wurde, ist ein dokumentiertes Versagen, das darauf wartet zu passieren.
3. Geschäftskontinuität und Krisenmanagement
Wann haben Sie zuletzt Ihre Backup-Wiederherstellung und Ihren Notfallwiederherstellungsplan end-to-end getestet — und können Sie es beweisen?
Backups zu haben ist nicht dasselbe wie Geschäftskontinuität zu haben. NIS2 verlangt, dass Sie den Betrieb nach einem Vorfall tatsächlich wiederherstellen können. Wenn Ihr letzter Wiederherstellungstest war „wir haben geprüft, ob der Backup-Job erfolgreich lief," dann ist das kein Test — das ist Hoffnung.
4. Sicherheit der Lieferkette
Können Sie nachweisen, dass Sie die Cybersicherheitspraktiken Ihrer kritischen Lieferanten bewerten und überwachen — mit dokumentierten Kriterien und regelmäßigen Überprüfungen?
Lieferkettensicherheit ist der Bereich, in dem die meisten Organisationen die größte Lücke haben. NIS2 Artikel 21(3) verlangt ausdrücklich, dass Sie Sicherheitsrisiken adressieren, die aus Ihren Beziehungen zu direkten Lieferanten und Dienstleistern entstehen. Ein Standard-Lieferantenfragebogen, der einmal beim Onboarding verschickt wird, erfüllt diese Schwelle nicht.
5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Enthalten Ihre Beschaffungs- und Entwicklungsprozesse Cybersicherheitsanforderungen vom Design bis zur Bereitstellung — einschließlich Schwachstellenmanagement und -offenlegung?
Hier geht es nicht nur um Patching. NIS2 erwartet, dass Sicherheit in die Art und Weise eingebettet ist, wie Sie Systeme beschaffen, bauen und warten. Wenn Ihr Beschaffungsprozess Kosten, Funktionen und Lieferzeit bewertet, aber nicht die Sicherheit, haben Sie eine strukturelle Lücke.
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
Wie messen Sie, ob Ihre Cybersicherheitsmaßnahmen tatsächlich funktionieren — und wann haben Sie das zuletzt getan?
Dies ist die Frage, bei der die meisten Organisationen ins Stocken geraten. Maßnahmen zu haben ist Schritt eins. Zu beweisen, dass sie wirksam sind, ist Schritt zwei — und es ist der Schritt, den NIS2 ausdrücklich verlangt. Wenn Ihre Antwort lautet „wir wurden nicht gehackt," dann ist das keine Messung.
7. Grundlegende Cyberhygiene und Cybersicherheitsschulungen
Können Sie nachweisen, dass alle Mitarbeiter — einschließlich des Managements — in den letzten 12 Monaten eine rollengerechte Cybersicherheits-Bewusstseinsschulung erhalten haben?
Artikel 20(2) verlangt ausdrücklich, dass Leitungsorgane Schulungen absolvieren. Nicht optional. Nicht „wenn es passt." Und „alle Mitarbeiter" bedeutet alle, einschließlich Auftragnehmer und Zeitarbeitnehmer mit Zugang zu Ihren Systemen. Eine einzige jährliche Phishing-Simulation ist keine Schulung.
8. Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
Haben Sie eine dokumentierte Richtlinie, wann und wie Verschlüsselung auf ruhende und übertragene Daten angewendet wird — mit definierten Standards und Schlüsselverwaltungsverfahren?
Viele Organisationen verschlüsseln Daten bei der Übertragung (HTTPS, VPN), haben aber keine Richtlinie für ruhende Daten. NIS2 verlangt dokumentierte Konzepte und Verfahren, keine Ad-hoc-Praktiken. Wenn Ihr Ansatz zur Kryptographie lautet „wir verwenden, was der Anbieter standardmäßig einstellt," dann ist das keine Richtlinie.
9. Personalsicherheit, Zugangskontrollen und Anlagenmanagement
Gibt es einen dokumentierten Prozess für die Vergabe, Überprüfung und den Entzug von Zugriffsrechten — einschließlich wenn jemand die Rolle wechselt oder die Organisation verlässt?
Verwaiste Konten gehören zu den häufigsten Angriffsvektoren. NIS2 erwartet, dass Sie Zugriffsrechte als kontinuierlichen Prozess verwalten, nicht als einmalige Einrichtung. Wenn es mehr als 24 Stunden dauert, den Zugang eines ausscheidenden Mitarbeiters zu allen Systemen vollständig zu entziehen, hat Ihr Prozess Lücken.
10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Wird MFA für alle privilegierten Zugriffe, Remote-Verbindungen und kritische Systemadministration durchgesetzt — mit dokumentierten Ausnahmen und einem Zeitplan zur Schließung von Lücken?
NIS2 schreibt keine spezifischen Technologien vor, verlangt aber „wo angemessen" die Verwendung von Multi-Faktor-Authentifizierung. In der Praxis wird jede Organisation, die keine MFA für Administratorzugang und Fernarbeit durchsetzt, Schwierigkeiten haben zu argumentieren, dass ihre Maßnahmen „angemessen" sind.
Was Ihr Ergebnis Ihnen sagt
Zählen Sie die Fragen, die Sie mit einem selbstbewussten, dokumentierten „Ja" beantworten können:
| Ihr Ergebnis | Was es bedeutet |
|---|---|
| 8–10 sicheres Ja | Solide Grundlage. Sie sind den meisten Organisationen voraus. Konzentrieren Sie sich auf Dokumentation und kontinuierliche Verbesserung. |
| 5–7 sicheres Ja | Erhebliche Lücken. Sie verstehen die Grundlagen, aber es fehlt die Tiefe, die NIS2 verlangt. Priorisieren Sie die Bereiche, bei denen Sie gezögert haben. |
| Weniger als 5 | Dringender Handlungsbedarf. Ihre Organisation hat wesentliche Compliance-Lücken, die Sie Durchsetzungsmaßnahmen jenseits von Bußgeldern aussetzen könnten. |
Denken Sie daran: Regulierungsbehörden werden nicht fragen, ob Sie es versucht haben. Sie werden fragen, ob Sie nachweisen können, dass Ihre Maßnahmen angemessen und verhältnismäßig sind. Dokumentation ist keine Bürokratie — sie ist Ihr Beweis.
Das sind nur 10 von 50
Diese Fragen sind eine Stichprobe aus unserer vollständigen 50-Fragen-NIS2-Compliance-Bewertung, die alle 10 Artikel-21-Maßnahmenkategorien eingehend behandelt.
Der kostenlose Quickscan gibt Ihnen einen strukturierten Überblick, wo Sie stehen. Die vollständige Bewertung erstellt einen detaillierten PDF-Bericht — die Art, die Sie Ihrem Vorstand vorlegen und sagen können: „Hier ist genau, wo wir stehen, und hier ist, was wir tun müssen."
Ob Sie ein IT-Berater sind, der Kunden bewertet, ein Compliance-Beauftragter, der an den Vorstand berichtet, oder ein CISO, der einen Business Case erstellt — die Bewertung gibt Ihnen den strukturierten, evidenzbasierten Ausgangspunkt, den NIS2 verlangt.