# NIS2 Gap-Analyse Checkliste **Pestly LLC · CyberSchild** · Vorlage für die kostenlose Erstberatung **Version:** 1.0 · Stand: Juni 2026 --- ## Anleitung Diese Checkliste dient der strukturierten Erfassung des IST-Zustands Ihrer IT-Sicherheit im Kontext der NIS2-Richtlinie (EU 2022/2555) und des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG). **Bewertungsskala:** | Symbol | Bedeutung | |--------|-----------| | ✅ | Erfüllt / vollständig umgesetzt | | ⚠️ | Teilweise erfüllt / Lücken vorhanden | | ❌ | Nicht erfüllt / nicht vorhanden | | N/A | Nicht anwendbar | **Priorität bei Maßnahmen:** Kritisch → Hoch → Mittel → Niedrig --- ## 1. Unternehmensprofil & Betroffenheit | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 1.1 | Sektorzuordnung (kritisch / wichtig) ermittelt | | Kritisch | | | 1.2 | Unternehmensgröße (≥50 MA oder ≥10 Mio. € Umsatz) geprüft | | Kritisch | | | 1.3 | Lieferkette: Abhängigkeit von NIS2-pflichtigen Auftraggebern | | Hoch | | | 1.4 | Zuständige nationale Behörde / CSIRT identifiziert | | Hoch | | | 1.5 | Verantwortliche Führungskraft für Cybersicherheit benannt | | Kritisch | | --- ## 2. Risikomanagement & Governance | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 2.1 | Dokumentierte IT-Sicherheitsrichtlinie vorhanden | | Kritisch | | | 2.2 | Regelmäßige Risikoanalyse (mind. jährlich) durchgeführt | | Kritisch | | | 2.3 | Risikobehandlungsplan mit Verantwortlichen und Fristen | | Hoch | | | 2.4 | Sicherheitsziele an Geschäftsstrategie angepasst | | Mittel | | | 2.5 | Budget und Ressourcen für Cybersicherheit definiert | | Hoch | | | 2.6 | Schulungen für Führungskräfte zu NIS2-Pflichten | | Hoch | | --- ## 3. Incident Response & Meldepflichten | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 3.1 | Incident-Response-Plan dokumentiert und getestet | | Kritisch | | | 3.2 | Meldeprozess für Sicherheitsvorfälle (24h / 72h / 1 Monat) definiert | | Kritisch | | | 3.3 | Ansprechpartner für Behördenmeldungen benannt | | Kritisch | | | 3.4 | Eskalationsmatrix intern und extern (SOC, Rechtsberatung) | | Hoch | | | 3.5 | Übungen / Tabletop-Exercises in den letzten 12 Monaten | | Mittel | | | 3.6 | Forensik- und Beweissicherungsverfahren dokumentiert | | Hoch | | --- ## 4. Business Continuity & Krisenmanagement | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 4.1 | Business-Continuity-Plan (BCP) vorhanden | | Kritisch | | | 4.2 | Disaster-Recovery-Plan (DRP) mit definierten RTO/RPO | | Kritisch | | | 4.3 | Backup-Strategie 3-2-1 umgesetzt | | Kritisch | | | 4.4 | Immutable / Air-Gap-Backups gegen Ransomware | | Kritisch | | | 4.5 | Restore-Tests regelmäßig durchgeführt (mind. quartalsweise) | | Hoch | | | 4.6 | Krisenkommunikationsplan (intern, Kunden, Presse) | | Mittel | | --- ## 5. Lieferkette & Drittanbieter | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 5.1 | Inventar kritischer Lieferanten und Dienstleister | | Hoch | | | 5.2 | Sicherheitsanforderungen in Verträgen verankert | | Hoch | | | 5.3 | Bewertung der Lieferanten-Sicherheitslage (Fragebögen, Zertifikate) | | Mittel | | | 5.4 | Exit-Strategien für kritische Cloud-/SaaS-Dienste | | Mittel | | | 5.5 | MSP / IT-Dienstleister unter NIS2-Anforderungen geprüft | | Hoch | | --- ## 6. Technische Sicherheitsmaßnahmen ### 6.1 Endpoint & Netzwerk | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 6.1.1 | EDR/XDR auf allen Endpoints und Servern | | Kritisch | | | 6.1.2 | Zentrale Patch-Management-Prozesse | | Kritisch | | | 6.1.3 | Härtung von Betriebssystemen (CIS Benchmarks o. ä.) | | Hoch | | | 6.1.4 | Netzwerksegmentierung / VLANs für kritische Systeme | | Hoch | | | 6.1.5 | Firewall-Regeln dokumentiert und regelmäßig geprüft | | Hoch | | | 6.1.6 | VPN / Zero-Trust für Remote-Zugriffe | | Hoch | | | 6.1.7 | WLAN-Sicherheit (WPA3, Gastnetz isoliert) | | Mittel | | ### 6.2 Identität & Zugriff | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 6.2.1 | Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Konten | | Kritisch | | | 6.2.2 | MFA für E-Mail und Cloud-Dienste | | Kritisch | | | 6.2.3 | Least-Privilege-Prinzip umgesetzt | | Hoch | | | 6.2.4 | Regelmäßige Zugriffsüberprüfungen (Access Reviews) | | Hoch | | | 6.2.5 | Passwort-Richtlinie und zentrale Verwaltung | | Mittel | | | 6.2.6 | Offboarding-Prozess für ausscheidende Mitarbeiter | | Hoch | | ### 6.3 E-Mail & Anwendungen | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 6.3.1 | E-Mail-Security (Phishing-Schutz, SPF/DKIM/DMARC) | | Kritisch | | | 6.3.2 | Web-Filter / DNS-Filtering aktiv | | Hoch | | | 6.3.3 | Schwachstellenmanagement für interne Anwendungen | | Hoch | | | 6.3.4 | Verschlüsselung sensibler Daten (at rest / in transit) | | Hoch | | --- ## 7. Monitoring, Logging & Detection | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 7.1 | Zentrale Log-Sammlung (SIEM oder vergleichbar) | | Kritisch | | | 7.2 | 24/7 Security Monitoring (intern oder SOC) | | Kritisch | | | 7.3 | Alarmierung bei kritischen Ereignissen definiert | | Hoch | | | 7.4 | Log-Aufbewahrung gemäß Compliance-Anforderungen | | Mittel | | | 7.5 | Threat Intelligence eingebunden | | Mittel | | | 7.6 | Regelmäßige Schwachstellen-Scans (intern/extern) | | Hoch | | --- ## 8. Personal & Awareness | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 8.1 | Security-Awareness-Training für alle Mitarbeiter | | Hoch | | | 8.2 | Phishing-Simulationen durchgeführt | | Mittel | | | 8.3 | Klare Meldewege für verdächtige E-Mails / Vorfälle | | Hoch | | | 8.4 | Vertraulichkeits- und Clean-Desk-Richtlinien | | Mittel | | | 8.5 | Sicherheitsanforderungen in Arbeitsverträgen / NDAs | | Mittel | | --- ## 9. Physische Sicherheit | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 9.1 | Zutrittskontrolle zu Serverräumen / IT-Bereichen | | Hoch | | | 9.2 | Besucherprotokoll und Begleitpflicht | | Mittel | | | 9.3 | Sichere Entsorgung von Datenträgern | | Mittel | | | 9.4 | Videoüberwachung kritischer Bereiche (DSGVO-konform) | | Niedrig | | --- ## 10. Kryptografie & Schlüsselmanagement | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 10.1 | TLS 1.2+ für alle externen Dienste | | Kritisch | | | 10.2 | Verschlüsselung von Backups | | Hoch | | | 10.3 | Schlüsselverwaltung und Rotation dokumentiert | | Mittel | | | 10.4 | Zertifikatsmanagement (Ablaufüberwachung) | | Mittel | | --- ## 11. Dokumentation & Audit-Readiness | Nr. | Prüfpunkt | Status | Priorität | Anmerkungen | |-----|-----------|--------|-----------|-------------| | 11.1 | Asset-Inventar (Hardware, Software, Cloud) aktuell | | Hoch | | | 11.2 | Netzwerkdiagramme und Datenfluss-Dokumentation | | Hoch | | | 11.3 | Verzeichnis von Verarbeitungstätigkeiten (DSGVO Art. 30) | | Hoch | | | 11.4 | Nachweis der Umsetzung (Policies, Protokolle, Reports) | | Kritisch | | | 11.5 | Interne Audits oder externe Prüfungen geplant | | Mittel | | --- ## 12. Zusammenfassung Gap-Analyse ### Scoring (Selbsteinschätzung) | Kategorie | Erfüllt | Teilweise | Offen | Score (%) | |-----------|---------|-----------|-------|-----------| | Betroffenheit & Governance | | | | | | Incident Response | | | | | | Business Continuity | | | | | | Lieferkette | | | | | | Technische Maßnahmen | | | | | | Monitoring & Detection | | | | | | Personal & Awareness | | | | | | Dokumentation | | | | | | **Gesamt** | | | | | ### Top-5 kritische Lücken 1. _______________________________________________ 2. _______________________________________________ 3. _______________________________________________ 4. _______________________________________________ 5. _______________________________________________ ### Empfohlene Maßnahmen (Quick Wins, 0–30 Tage) - [ ] _______________________________________________ - [ ] _______________________________________________ - [ ] _______________________________________________ ### Roadmap (30–90 Tage) | Maßnahme | Verantwortlich | Zieltermin | CyberSchild-Paket | |----------|----------------|------------|-------------------| | | | | Essential / Professional / Enterprise | | | | | | | | | | | --- ## Kontakt CyberSchild Nach Ausfüllung dieser Checkliste besprechen wir die Ergebnisse in der kostenlosen 45–60-minütigen Erstberatung und erstellen eine priorisierte Roadmap. - **E-Mail:** kontakt@pestly.de - **Web:** https://cyberschild.pestly.de/kontakt.html --- *© 2026 Pestly LLC · CyberSchild · Interne Vorlage · NIS2-Schutz. Klar gemanagt.*