Detaillierte Selbstprüfung – Ihr präziser Einstieg in die NIS2-Umsetzung

Sie erhalten eine praxistaugliche Anleitung, mit der Sie in kurzer Zeit eine belastbare Selbstprüfung durchführen können. Das Ergebnis ist ein klares Bild über Lücken, Risiken und Prioritäten. Außerdem bekommen Sie Vorlagen, Metriken und Tipps für schnelle Erfolge. Weitere Informationen zur NIS2 gibt es in unserem Beitrag NIS2 in 7 Minuten und unserer NIS2-Übersichtsseite.

Warum eine detaillierte Selbstprüfung jetzt entscheidend ist

Eine gute Selbstprüfung bringt drei Vorteile:

• Transparenz: Sie wissen, wo Sie stehen, und können Nachfragen der Geschäftsleitung und von Prüfern souverän beantworten.

• Priorisierung: Sie investieren Zeit und Budget dort, wo es den größten Sicherheitsgewinn gibt.

• Nachweisbarkeit: Sie dokumentieren strukturiert, dass Sie die Anforderungen ernsthaft und planvoll umsetzen.

Die Regel lautet: Erst klar sehen, dann konsequent handeln.

Der Ablauf in fünf Phasen

Die Selbstprüfung folgt einem festen Pfad. So behalten Sie Tempo und Qualität.

1. Scope festlegen

   • Welche Standorte, Gesellschaften und Services sind im Spiel

   • Welche Systeme, Daten und Prozesse sind geschäftskritisch

   • Welche Dienstleister greifen auf Systeme oder Daten zu

2. Anforderungen übersetzen

   • Richtlinienpunkte in klare Prüffragen umwandeln

   • Verantwortliche Rollen benennen

   • Nachweise definieren, die Sie sehen wollen

3. Belege einsammeln

   • Dokumente, Messwerte und Auszüge holen

   • Stichproben festlegen, um Aussagen zu verifizieren

   • Ergebnisse in einer einheitlichen Struktur ablegen

4. Bewerten und priorisieren

   • Reifegrade defineiren und vergeben

   • Risiken und Auswirkungen einschätzen

   • Maßnahmen und Fristen festhalten

5. Berichten und beschließen

   • Kurzbericht für die Geschäftsleitung erstellen

   • Entscheidungen zu Budget, Reihenfolge und Zielterminen einholen

   • Umsetzung starten und Fortschritt messen

Die Prüfmatrix: so strukturieren Sie Ihr Vorgehen

Legen Sie eine einfache Matrix an. Eine Tabelle in einem Tabellenkalkulationsprogramm reicht völlig aus. Diese Felder sind die Basis:

• Anforderung

• Prüffrage

• Status mit den Werten Erfüllt, Teilweise, Nicht erfüllt, Nicht anwendbar

• Reifegrad von 0 bis 4

• Risikoauswirkung von niedrig bis sehr hoch

• Maßnahme

• Verantwortlich

• Frist

• Nachweis mit Link zum Dokument oder Systemauszug

So sehen zwei Beispieleinträge aus:

• Anforderung: Multi-Faktor-Authentifizierung (MFA) für alle externen Zugriffe

  • Prüffrage: Ist für alle Benutzer mit Zugriff von außen MFA aktiv

  • Status: Teilweise

  • Reifegrad: 2

  • Risikoauswirkung: Hoch

  • Maßnahme: Einführung für alle Konten in Vertrieb und Entwicklung, Abschluss bis Ende des nächsten Monats

  • Verantwortlich: IT Betrieb

  • Frist: Datum

  • Nachweis: Richtlinie Zugangssteuerung Version x, Protokoll der Aktivierung aus dem System

• Anforderung: Wiederherstellungstest der Datensicherung

  • Prüffrage: Wurde in den letzten drei Monaten ein vollständiger Wiederherstellungstest dokumentiert

  • Status: Nicht erfüllt

  • Reifegrad: 1

  • Risikoauswirkung: Sehr hoch

  • Maßnahme: Geplanter Test eines geschäftskritischen Systems, Protokoll und Zeitmessung, danach Ausweitung auf zwei weitere Systeme

  • Verantwortlich: Infrastruktur

  • Frist: Datum

  • Nachweis: Testprotokoll, Messergebnisse, Freigabe durch Anwendungseigner

Reifegradmodell mit klaren Kriterien

Nutzen Sie eine einfache Skala von 0 bis 4, die alle verstehen.

• 0 – Nicht vorhanden: Keine Regelung, keine Umsetzung, keine Nachweise

• 1 – Ad hoc: Einzelmaßnahmen, nicht wiederholbar, Nachweise lückenhaft

• 2 – Etabliert: Definierter Prozess, überwiegend befolgt, erste Messwerte vorhanden

• 3 – Gesteuert: Messgrößen, regelmäßige Überprüfung, Abweichungen werden korrigiert

• 4 – Optimiert: Kontinuierliche Verbesserung, automatisierte Kontrollen, nachweisbar wirksam

Wichtig ist die Konsistenz. Schreiben Sie zu jedem Level ein bis zwei Sätze, was das in Ihrem Unternehmen konkret bedeutet. Dann bewerten alle Prüfer nach denselben Maßstäben.

Die zehn Kernbereiche, die Sie prüfen sollten

Diese Bereiche decken die wesentlichen Anforderungen ab. Zu jedem Bereich finden Sie konkrete Prüffragen.

1. Governance und Verantwortung

• Gibt es eine formale Verantwortung auf Leitungsebene

• Existieren klare Ziele, Budgets und regelmäßige Berichte

• Werden Führungskräfte regelmäßig geschult

• Gibt es ein Gremium, das Risiken und Maßnahmen beschließt

2. Risikomanagement

• Ist ein Verfahren zur Identifikation, Bewertung und Behandlung von Risiken definiert

• Gibt es ein aktuelles Risikoregister mit Verantwortlichen und Fristen

• Werden Änderungen an Systemen und Prozessen risikobasiert gesteuert

3. Asset Management

• Liegt ein aktuelles Verzeichnis von Systemen, Anwendungen und Daten vor

• Sind Kritikalitäten und Eigentümer festgelegt

• Gibt es eine Zuordnung zu Geschäftsprozessen

4. Zugangssteuerung

• Ist Multi-Faktor-Authentifizierung für externe Zugriffe und privilegierte Konten aktiv

• Gibt es ein Verfahren für Benutzerlebenszyklen, also Eintritt, Wechsel und Austritt

• Werden Rechte regelmäßig geprüft und bestätigt

5. Schwachstellen- und Patchmanagement

• Gibt es feste Fristen für die Behebung kritischer Schwachstellen

• Werden Sicherheitsupdates zeitnah und nach Risiko priorisiert eingespielt

• Existieren Messwerte über die Einhaltung

6. Protokollierung und Überwachung

• Sind zentrale Systeme so konfiguriert, dass sicherheitsrelevante Ereignisse erkannt und protokolliert werden

• Gibt es Auswertungen zu Anomalien und Missbrauch

• Werden Protokolle revisionssicher aufbewahrt

7. Backup und Wiederherstellung

• Existiert eine definierte Strategie mit Medien, Aufbewahrung und Offline Anteil

• Werden Wiederherstellungstests regelmäßig durchgeführt und gemessen

• Ist die Verantwortlichkeit eindeutig

8. Meldewesen

• Gibt es klare Schwellenwerte für Vorfälle

• Liegen Vorlagen für Frühwarnung, qualifizierte Meldung und Abschlussbericht vor

• Ist der Ablauf geübt und dokumentiert

9. Lieferkette und Third Party

• Sind sicherheitsrelevante Anforderungen in Auswahl und Verträgen verankert

• Werden Nachweise wie Zertifikate oder Prüfberichte eingeholt und geprüft

• Gibt es ein Verfahren für regelmäßige Bewertungen kritischer Dienstleister

10. Awareness und Kultur

• Existieren wiederkehrende Lernformate für Mitarbeitende, Führungskräfte und Technik

• Werden Phishing-Übungen oder vergleichbare Übungen durchgeführt

• Ist Sicherheit Teil der Zielvereinbarungen von Führungskräften

Welche Nachweise wirklich zählen

Prüfer möchten sehen, dass Sie nicht nur Absichten, sondern gelebte Praxis haben. Diese Belege überzeugen:

• Richtlinien und Prozessbeschreibungen mit Version und Gültigkeitsdatum

• Protokolle von Entscheidungen aus dem Steuerungsgremium

• Messwerte und Trends als einfache Grafiken, z. B. Zeit bis zur Behebung kritischer Schwachstellen

• Systemauszüge mit Konfigurationsnachweisen, z. B. Multi-Faktor-Authentifizierung aktiv

• Übungsprotokolle zu Vorfallssimulationen mit Verbesserungsmaßnahmen und Termin

• Vertragsanhänge mit Sicherheitsanforderungen für Dienstleister

• Wiederherstellungstests mit Messung der Dauer und der Datenintegrität

Legen Sie alle Nachweise in einer nachvollziehbaren Ordnerstruktur ab. Verwenden Sie sprechende Dateinamen und notieren Sie in der Prüfmatrix den direkten Link.

Metriken, die den Unterschied machen

Messen Sie wenig, aber das Richtige. Drei bis fünf Kennzahlen reichen für den Start.

• Anteil der Benutzer mit aktiver Mulit-Faktor-Authentifizierung

• Anteil der Systeme mit aktuellem Sicherheitsupdate

• Zeit bis zur Behebung besonders kritischer Schwachstellen

• Ergebnis eines Wiederherstellungstests in Minuten

• Erkennungs- und Reaktionszeit bei einem simulierten Vorfall

Visualisieren Sie die Werte einfach. Ein Liniendiagramm über drei Monate zeigt die Entwicklung, ohne zu überfrachten.

Priorisieren mit Wirkung: die Risikomatrix

Bewerten Sie jedes identifizierte Defizit entlang zweier Achsen:

• Auswirkung auf Geschäft und Regulierung von niedrig bis sehr hoch

• Eintrittswahrscheinlichkeit von niedrig bis sehr hoch

Daraus ergeben sich vier Klassen:

• Sofort handeln: Sehr hohe Auswirkung oder hohe Wahrscheinlichkeit

• Kurzfristig schließen: Mittlere bis hohe Werte

• Planen: Niedrigere Werte, aber mit Abhängigkeiten

• Akzeptieren mit Begründung: Niedrig und gering, dokumentiert und bestätigt

Hinterlegen Sie je Klasse ein Zielterminfenster. So vermeiden Sie endlose Diskussionen und behalten Tempo.

Typische Fallstricke und wie Sie sie vermeiden

• Unklare Verantwortung: Benennen Sie eine Person auf Leitungsebene und dokumentieren Sie deren Verantwortung klar und schriftlich.

• Zu viel auf einmal: Starten Sie mit den zehn Kernbereichen und erweitern Sie später.

• Fehlende Nachweise: Sammeln Sie Belege parallel zur Prüfung, nicht erst am Ende.

• Unrealistische Fristen: Planen Sie kurze Etappen und sichtbare Erfolge.

• Kein Üben: Ohne Vorfallssimulation bleibt das Meldewesen Theorie.

• Dienstleister übersehen: Kritische Dritte frühzeitig in die Prüfung aufnehmen.

Der zweiwöchige Sprintplan für einen schnellen Start

Tag 1 bis 2

• Scope festlegen

• Matrix anlegen

• Rollen und Termine setzen

Tag 3 bis 6

• Belege für Governance, Zugangssteuerung, Schwachstellen und Backup sammeln

• Erste Reifegrade definieren und vergeben

Tag 7 bis 8

• Kurze Vorfallssimulation als Tabletop

• Erkenntnisse und Maßnahmen dokumentieren

Tag 9 bis 12

• Lieferkette prüfen, kritische Dritte markieren, Vertragsanforderungen sammeln

• Metriken definieren und erste Messwerte erheben

Tag 13 bis 14

• Kurzbericht für die Geschäftsleitung

• Entscheidungen zu Budget und Reihenfolge einholen

• Umsetzung der Sofortmaßnahmen starten

Report an die Geschäftsleitung: Vorlage für eine Seite

• Zielbild: Was bedeutet NIS2 für unser Unternehmen

• Lagebild in Zahlen: Drei bis fünf Kennzahlen, Stand und Entwicklung

• Top Risiken: Drei Punkte mit Auswirkung und Gegenmaßnahme

• Entscheidungen heute: Budget, Prioritäten, Zieltermine

• Nächste Schritte: Was bis zum nächsten Bericht passiert

Dieser Bericht bleibt immer gleich aufgebaut. So entsteht Routine und Verlässlichkeit.

Verknüpfung mit den nächsten Beiträgen

Ihre Selbstprüfung liefert die Grundlage für die weiteren Themen der Serie:

• Governance und Verantwortung: Aus den Feststellungen werden Mandat, Gremien und Berichtswesen abgeleitet.

• Risikomanagement: Die Lücken fließen in ein strukturiertes Risikoportfolio mit Behandlungsplänen.

• Meldewesen: Ergebnisse der Tischübung werden in Schwellenwerte, Vorlagen und Abläufe überführt.

• Technische und organisatorische Maßnahmen: Priorisierte Maßnahmen werden in Projekte und Standards gegossen.

• Lieferkette und Third Party: Markierte Dienstleister erhalten klare Anforderungen und Prüfzyklen.

• Awareness und Kultur: Ergebnisse fließen in Lernformate und Kommunikation für alle Zielgruppen.

Wie ein externes Security Office den Prozess beschleunigt

Wenn Ressourcen knapp sind, unterstützt unser externes Security Office mit:

• Moderation von Scope, Matrix und Belegsammlung

• Bewertung nach einem erprobten Reifegradmodell

• Durchführung einer realistischen Vorfallssimulation

• Aufbau von Metriken und eines kompakten Managementberichts

• Übersetzung der Ergebnisse in eine umsetzbare Roadmap

Sie behalten die Steuerung, gewinnen aber Tempo, Struktur und Vergleichswerte aus vielen Projekten.

Fazit

Eine detaillierte Selbstprüfung ist der schnellste Weg zu Klarheit und Wirkung. Sie zeigt, wo Sie stehen, welche Risiken zuerst zu behandeln sind und welche Nachweise fehlen. Mit einer einfachen Matrix, wenigen Kennzahlen und klaren Entscheidungen kommen Sie in kurzer Zeit vom Bauchgefühl zur belastbaren Steuerung.

Starten Sie jetzt mit Scope, Matrix und Nachweissammlung. Führen Sie in der zweiten Woche eine kleine Übung durch. Bringen Sie die Ergebnisse in den Kurzbericht und entscheiden Sie die ersten Schritte. Alles Weitere vertiefen wir in den nächsten Beiträgen der Serie.