NIS2-Gap-Analyse: Eine Schritt-für-Schritt-Anleitung für Ihre Organisation

Eine Compliance-Beauftragte eines niederländischen Logistikunternehmens öffnet eine Tabelle. Über die Spalten verteilt: die zehn Cybersicherheitsmaßnahmen aus NIS2 Artikel 21. Die Zeilen: jede Abteilung, jedes System und jeden Prozess des Unternehmens. Die meisten Zellen sind leer. Sie weiß jetzt genau, wo die Probleme liegen — und vor allem, wo das Budget zuerst einzusetzen ist.

Diese Tabelle ist eine NIS2-Gap-Analyse. Sie ist der nützlichste Einzelschritt, den jede Organisation jetzt unternehmen kann, bevor Durchsetzungsfristen greifen und Aufsichtsbehörden Fragen stellen.

Wenn Ihre Organisation unter NIS2 fällt — oder vermutet, dass sie es könnte — hier erfahren Sie, wie Sie eine Gap-Analyse korrekt durchführen.

Was eine NIS2-Gap-Analyse tatsächlich ist

Eine Gap-Analyse vergleicht den aktuellen Stand Ihrer Organisation mit dem, was NIS2 vorschreibt. Nicht mehr und nicht weniger.

NIS2 ist keine Zertifizierung. Es handelt sich um eine rechtliche Verpflichtung gemäß EU-Richtlinie 2022/2555, die Organisationen in betroffenen Sektoren dazu verpflichtet, spezifische Cybersicherheitsmaßnahmen umzusetzen, Sicherheitsvorfälle innerhalb enger Fristen zu melden und die Sicherheit auf Vorstandsebene zu überwachen. In Deutschland wird die Richtlinie durch das NIS2UmsuCG in nationales Recht umgesetzt und ergänzt das bestehende IT-Sicherheitsgesetz.

Eine Gap-Analyse ordnet Ihre aktuelle Sicherheitslage diesen Anforderungen zu und liefert eine klare Liste dessen, was fehlt, was teilweise vorhanden ist und was bereits compliant ist. Das Ergebnis ist ein priorisierter Aktionsplan — kein Bestanden/Nicht-bestanden-Urteil.

Wenn Ihre Organisation bereits ISO 27001 zertifiziert ist, haben Sie einen Vorsprung. Doch NIS2 und ISO 27001 sind nicht dasselbe — die Richtlinie enthält spezifische Verpflichtungen zu Meldezeitplänen bei Vorfällen, zur Lieferkettensicherheit und zur Vorstandshaftung, die ISO 27001 nicht abdeckt.

Schritt 1: Anwendungsbereich bestätigen

Bevor Sie Zeit in eine vollständige Gap-Analyse investieren, vergewissern Sie sich, dass NIS2 tatsächlich auf Ihre Organisation zutrifft. Die Geltungsbereichsregeln sind eindeutig:

• Ihre Organisation ist in einem der wesentlichen oder wichtigen Sektoren tätig, die die Richtlinie definiert
• Sie beschäftigen 50 oder mehr Mitarbeiter oder erzielen einen Jahresumsatz von mehr als 10 Millionen EUR
• Einige Einrichtungen — DNS-Anbieter, Vertrauensdiensteanbieter, TLD-Register — fallen unabhängig von ihrer Größe stets in den Anwendungsbereich

Vernachlässigen Sie nicht den Lieferkettenaspekt. Selbst wenn Ihre Organisation unterhalb der Schwellenwerte liegt, können Ihre größten Kunden NIS2-pflichtige Einrichtungen sein. Gemäß Article 21(2)(d) sind diese verpflichtet, Sicherheitsrisiken in der Lieferkette zu managen — was bedeutet, dass sie Nachweise über Ihre Sicherheitslage einfordern werden. Das BSI empfiehlt Unternehmen ausdrücklich, diese indirekte Betroffenheit frühzeitig zu prüfen.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Schritt 2: Abgleich mit den 10 Maßnahmen aus Artikel 21

Artikel 21 ist das Herzstück der NIS2-Compliance. Er schreibt zehn Mindestmaßnahmen zum Cybersicherheitsrisikomanagement vor, die jede betroffene Einrichtung umsetzen muss. Ihre Gap-Analyse sollte jede dieser Maßnahmen einzeln bewerten.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Dokumentieren Sie für jede Maßnahme drei Aspekte:

1. Ist-Zustand — was ist heute vorhanden? Richtlinien, Werkzeuge, Prozesse, Nachweise
2. Lücke — was fehlt oder ist im Vergleich zur NIS2-Anforderung unvollständig?
3. Priorität — wie kritisch ist diese Lücke angesichts des Risikos und der Durchsetzungswahrscheinlichkeit?

Im Folgenden erfahren Sie, wie Sie die Bewertung für jene Maßnahmen angehen, bei denen Organisationen am häufigsten Defizite aufweisen.

Risikoanalyse und Informationssicherheitsrichtlinien

Verfügen Sie über eine dokumentierte, vom Vorstand genehmigte Informationssicherheitsrichtlinie? Nicht ein fünf Jahre altes Dokument, das irgendwo auf einem SharePoint-Server liegt — sondern eine aktuelle Richtlinie, die Ihre tatsächliche Risikolage widerspiegelt und formal von der Geschäftsführung genehmigt wurde, wie es Artikel 20 vorschreibt. Das NIS2UmsuCG stellt klar, dass die Leitungsebene diese Verantwortung nicht delegieren kann.

Was zu prüfen ist: Datum der letzten Vorstandsgenehmigung, ob die Richtlinie alle NIS2-relevanten Systeme abdeckt, ob sie den Mitarbeitern kommuniziert wurde.

Behandlung von Sicherheitsvorfällen

Kann Ihre Organisation einen Cybersicherheitsvorfall innerhalb von 24 Stunden erkennen, klassifizieren und melden? Die NIS2-Meldefristen — 24 Stunden für die Frühwarnung, 72 Stunden für die vollständige Meldung, ein Monat für den Abschlussbericht — erfordern Prozesse, die die meisten mittelgroßen Organisationen nicht besitzen. In Deutschland ist das BSI die zuständige Meldebehörde für viele Sektoren.

NIS2 Zeitplan für die Vorfallmeldung
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 1
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 2
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 3
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Was zu prüfen ist: Definierte Eskalationsverfahren, Kontaktdaten des nationalen CSIRT (in Deutschland: CERT-Bund beim BSI), Vorlagenbenachrichtigungen, Überwachungswerkzeuge, die eine Erkennung innerhalb der geforderten Fristen unterstützen.

Lieferkettensicherheit

Dies ist die Maßnahme, die Organisationen am häufigsten unterschätzen. Article 21(2)(d) verpflichtet Sie, Sicherheitsrisiken in Ihrer Lieferkette zu bewerten und zu managen — einschließlich Ihrer IT-Dienstleister, Cloud-Anbieter und Softwarelieferanten.

Was zu prüfen ist: Verträge mit Sicherheitsklauseln, Lieferantenrisikobewertungen, Prüfungsrechte (Right-to-Audit-Klauseln), Anforderungen an Lieferanten zur Vorfallmeldung.

Bewertung der Wirksamkeit

Sicherheitsmaßnahmen zu haben reicht nicht aus. Artikel 21 verlangt, dass Sie beurteilen, ob diese Maßnahmen tatsächlich wirken. Das bedeutet Testen, Auditieren und Überprüfen — regelmäßig, nicht einmalig.

Was zu prüfen ist: Penetrationstestberichte, interner Prüfungsplan, Metriken zur Messung der Wirksamkeit von Sicherheitskontrollen, Nachverfolgung früherer Feststellungen.

Schritt 3: Lücken bewerten

Verwenden Sie ein einfaches dreistufiges Bewertungssystem für jede der zehn Maßnahmen:

Bewertung	Bedeutung	Erforderliche Maßnahme
Grün	Maßnahme ist umgesetzt, dokumentiert und wird regelmäßig überprüft	Aufrechterhalten und nachweisen
Gelb	Teilweise umgesetzt oder Dokumentation ist veraltet	Innerhalb von 3–6 Monaten beheben
Rot	Nicht umgesetzt oder grundlegend unzureichend	Sofort priorisieren

Seien Sie ehrlich. Die Gap-Analyse ist ein internes Werkzeug — aufgeblähte Bewertungen verfehlen den Zweck. Wenn eine Aufsichtsbehörde schließlich Nachweise für Ihr NIS2-Compliance-Programm anfordert, demonstriert eine echte Gap-Analyse mit einem klaren Sanierungszeitplan weit mehr Reife als ein poliertes Dokument, das die Realität nicht widerspiegelt. Das BSI legt im Rahmen seiner Aufsichtstätigkeit großen Wert auf die Nachvollziehbarkeit von Bewertungsgrundlagen.

Schritt 4: Nach Risiko und regulatorischen Schwerpunkten priorisieren

Nicht alle Lücken haben gleiches Gewicht. Priorisieren Sie anhand zweier Faktoren:

Risikoexposition — welche Lücken würden, wenn sie ausgenutzt werden, den größten Schaden für Ihre Organisation verursachen? Ein mangelhafter Prozess für das Schwachstellenmanagement (Maßnahme 5) in Kombination mit schwacher Vorfallbehandlung (Maßnahme 2) schafft ein Szenario, in dem ein Angriff unbemerkt bleibt und ungemeldet — was sowohl betriebliche Schäden als auch regulatorische Sanktionen auslöst.

Regulatorischer Fokus — nationale EU-Behörden haben signalisiert, dass die anfängliche Durchsetzung sich konzentrieren wird auf:

• Registrierungspflichten (Sind Sie registriert?)
• Fähigkeiten zur Vorfallmeldung (Können Sie die 24/72-Stunden-Fristen einhalten?)
• Governance auf Vorstandsebene (Hat Ihre Geschäftsführung die Cybersicherheitsmaßnahmen genehmigt?)
• Sorgfaltspflichten in der Lieferkette (Haben Sie Ihre Lieferanten bewertet?)

Diese vier Bereiche sollten unabhängig von Ihrer internen Risikobewertung an der Spitze Ihrer Sanierungsliste stehen. In Österreich ist das Bundesministerium für Inneres (BMI) in Koordination mit dem nationalen CERT als zuständige Behörde zu beachten.

Schritt 5: Sanierungsfahrplan erstellen

Überführen Sie Ihre Gap-Analyse in einen konkreten Aktionsplan mit Verantwortlichen, Terminen und Budgetschätzungen.

Sofortmaßnahmen (1–3 Monate):

• Formelle Vorstandsgenehmigung bestehender Sicherheitsrichtlinien einholen
• Cybersicherheitsschulung für die Geschäftsführung einplanen (Anforderung aus Artikel 20)
• Bei der zuständigen nationalen Behörde registrieren, sofern das Portal geöffnet ist
• Eine Incident-Response-Kontaktkette etablieren

Mittelfristige Maßnahmen (3–6 Monate):

• Überwachungs- und Erkennungsfähigkeiten implementieren oder ausbauen
• Lieferantensicherheitsbewertungen für kritische Anbieter durchführen
• Multi-Faktor-Authentifizierung für alle kritischen Systeme einführen
• Vorlagen für Vorfallmeldungen entwickeln und testen

Langfristige Initiativen (6–12 Monate):

• Ein kontinuierliches Wirksamkeitsbewertungsprogramm aufbauen
• Lieferkettensicherheitsanforderungen in Beschaffungsprozesse integrieren
• Einen regelmäßigen Audit- und Überprüfungszyklus etablieren
• Business-Continuity-Pläne mit den NIS2-Anforderungen abgleichen

Häufige Fehler bei NIS2-Gap-Analysen

Die Analyse als einmalige Übung betrachten. NIS2-Compliance ist ein fortlaufender Prozess. Ihre Gap-Analyse sollte ein lebendes Dokument sein, das Sie mindestens quartalsweise überarbeiten — insbesondere nach wesentlichen Änderungen Ihrer IT-Umgebung, Organisationsstruktur oder Bedrohungslage.

Die Lieferkette ignorieren. Organisationen neigen dazu, sich nach innen zu orientieren. Doch Article 21(2)(d) verlangt ausdrücklich den Blick nach außen — auf Ihre Lieferanten, Dienstleister und Abhängigkeiten. Eine Gap-Analyse, die an Ihrem eigenen Perimeter endet, ist unvollständig.

Den Vorstand übergehen. Artikel 20 macht die Leitungsorgane persönlich verantwortlich. Wenn Ihr Vorstand nicht über die Ergebnisse der Gap-Analyse informiert wurde und den Sanierungsplan nicht formal genehmigt hat, haben Sie eine Governance-Lücke, die Aufsichtsbehörden bemerken werden. Das NIS2UmsuCG schließt eine Haftungsfreistellung durch Delegation ausdrücklich aus.

Den Prozess überkomplizieren. Sie benötigen kein sechsmonatiges Beratungsengagement für eine Gap-Analyse. Eine strukturierte Selbstbewertung anhand der zehn Maßnahmen aus Artikel 21 — ehrlich durchgeführt und ordentlich dokumentiert — bringt Sie 80 % des Weges dorthin.

Mit einer schnellen Bewertung beginnen

Eine vollständige NIS2-Gap-Analyse erfordert Zeit und interne Koordination. Aber Sie können sich in wenigen Minuten ein klares erstes Bild verschaffen.

Nehmen Sie den kostenlosen NIS2 Quick Scan — er ordnet Ihre Organisation den Anforderungen aus Artikel 21 zu und zeigt Ihnen genau, wo Ihre größten Lücken liegen. Es ist der schnellste Weg, Ihre NIS2-Bereitschaft zu verstehen, bevor Sie sich auf ein vollständiges Sanierungsprogramm einlassen.

Organisationen, die ihre Gap-Analyse jetzt beginnen — während die Durchsetzung in ganz Europa anläuft — werden die Zeit haben, Lücken methodisch zu schließen, ohne den Druck und die hohen Kosten, die mit Last-Minute-Compliance-Aktivitäten verbunden sind.