Sie erhalten eine praxistaugliche Anleitung, mit der Sie in kurzer Zeit eine belastbare Selbstprüfung durchführen können. Das Ergebnis ist ein klares Bild über Lücken, Risiken und Prioritäten. Außerdem bekommen Sie Vorlagen, Metriken und Tipps für schnelle Erfolge. Weitere Informationen zur NIS2 gibt es in unserem Beitrag NIS2 in 7 Minuten und unserer NIS2-Übersichtsseite.
Eine gute Selbstprüfung bringt drei Vorteile:
Transparenz: Sie wissen, wo Sie stehen, und können Nachfragen der Geschäftsleitung und von Prüfern souverän beantworten.
Priorisierung: Sie investieren Zeit und Budget dort, wo es den größten Sicherheitsgewinn gibt.
Nachweisbarkeit: Sie dokumentieren strukturiert, dass Sie die Anforderungen ernsthaft und planvoll umsetzen.
Die Regel lautet: Erst klar sehen, dann konsequent handeln.
Die Selbstprüfung folgt einem festen Pfad. So behalten Sie Tempo und Qualität.
Scope festlegen
Welche Standorte, Gesellschaften und Services sind im Spiel
Welche Systeme, Daten und Prozesse sind geschäftskritisch
Welche Dienstleister greifen auf Systeme oder Daten zu
Anforderungen übersetzen
Richtlinienpunkte in klare Prüffragen umwandeln
Verantwortliche Rollen benennen
Nachweise definieren, die Sie sehen wollen
Belege einsammeln
Dokumente, Messwerte und Auszüge holen
Stichproben festlegen, um Aussagen zu verifizieren
Ergebnisse in einer einheitlichen Struktur ablegen
Bewerten und priorisieren
Reifegrade defineiren und vergeben
Risiken und Auswirkungen einschätzen
Maßnahmen und Fristen festhalten
Berichten und beschließen
Kurzbericht für die Geschäftsleitung erstellen
Entscheidungen zu Budget, Reihenfolge und Zielterminen einholen
Umsetzung starten und Fortschritt messen
Legen Sie eine einfache Matrix an. Eine Tabelle in einem Tabellenkalkulationsprogramm reicht völlig aus. Diese Felder sind die Basis:
Anforderung
Prüffrage
Status mit den Werten Erfüllt, Teilweise, Nicht erfüllt, Nicht anwendbar
Reifegrad von 0 bis 4
Risikoauswirkung von niedrig bis sehr hoch
Maßnahme
Verantwortlich
Frist
Nachweis mit Link zum Dokument oder Systemauszug
So sehen zwei Beispieleinträge aus:
Anforderung: Multi-Faktor-Authentifizierung (MFA) für alle externen Zugriffe
Prüffrage: Ist für alle Benutzer mit Zugriff von außen MFA aktiv
Status: Teilweise
Reifegrad: 2
Risikoauswirkung: Hoch
Maßnahme: Einführung für alle Konten in Vertrieb und Entwicklung, Abschluss bis Ende des nächsten Monats
Verantwortlich: IT Betrieb
Frist: Datum
Nachweis: Richtlinie Zugangssteuerung Version x, Protokoll der Aktivierung aus dem System
Anforderung: Wiederherstellungstest der Datensicherung
Prüffrage: Wurde in den letzten drei Monaten ein vollständiger Wiederherstellungstest dokumentiert
Status: Nicht erfüllt
Reifegrad: 1
Risikoauswirkung: Sehr hoch
Maßnahme: Geplanter Test eines geschäftskritischen Systems, Protokoll und Zeitmessung, danach Ausweitung auf zwei weitere Systeme
Verantwortlich: Infrastruktur
Frist: Datum
Nachweis: Testprotokoll, Messergebnisse, Freigabe durch Anwendungseigner
Nutzen Sie eine einfache Skala von 0 bis 4, die alle verstehen.
0 – Nicht vorhanden: Keine Regelung, keine Umsetzung, keine Nachweise
1 – Ad hoc: Einzelmaßnahmen, nicht wiederholbar, Nachweise lückenhaft
2 – Etabliert: Definierter Prozess, überwiegend befolgt, erste Messwerte vorhanden
3 – Gesteuert: Messgrößen, regelmäßige Überprüfung, Abweichungen werden korrigiert
4 – Optimiert: Kontinuierliche Verbesserung, automatisierte Kontrollen, nachweisbar wirksam
Wichtig ist die Konsistenz. Schreiben Sie zu jedem Level ein bis zwei Sätze, was das in Ihrem Unternehmen konkret bedeutet. Dann bewerten alle Prüfer nach denselben Maßstäben.
Diese Bereiche decken die wesentlichen Anforderungen ab. Zu jedem Bereich finden Sie konkrete Prüffragen.
Gibt es eine formale Verantwortung auf Leitungsebene
Existieren klare Ziele, Budgets und regelmäßige Berichte
Werden Führungskräfte regelmäßig geschult
Gibt es ein Gremium, das Risiken und Maßnahmen beschließt
Ist ein Verfahren zur Identifikation, Bewertung und Behandlung von Risiken definiert
Gibt es ein aktuelles Risikoregister mit Verantwortlichen und Fristen
Werden Änderungen an Systemen und Prozessen risikobasiert gesteuert
Liegt ein aktuelles Verzeichnis von Systemen, Anwendungen und Daten vor
Sind Kritikalitäten und Eigentümer festgelegt
Gibt es eine Zuordnung zu Geschäftsprozessen
Ist Multi-Faktor-Authentifizierung für externe Zugriffe und privilegierte Konten aktiv
Gibt es ein Verfahren für Benutzerlebenszyklen, also Eintritt, Wechsel und Austritt
Werden Rechte regelmäßig geprüft und bestätigt
Gibt es feste Fristen für die Behebung kritischer Schwachstellen
Werden Sicherheitsupdates zeitnah und nach Risiko priorisiert eingespielt
Existieren Messwerte über die Einhaltung
Sind zentrale Systeme so konfiguriert, dass sicherheitsrelevante Ereignisse erkannt und protokolliert werden
Gibt es Auswertungen zu Anomalien und Missbrauch
Werden Protokolle revisionssicher aufbewahrt
Existiert eine definierte Strategie mit Medien, Aufbewahrung und Offline Anteil
Werden Wiederherstellungstests regelmäßig durchgeführt und gemessen
Ist die Verantwortlichkeit eindeutig
Gibt es klare Schwellenwerte für Vorfälle
Liegen Vorlagen für Frühwarnung, qualifizierte Meldung und Abschlussbericht vor
Ist der Ablauf geübt und dokumentiert
Sind sicherheitsrelevante Anforderungen in Auswahl und Verträgen verankert
Werden Nachweise wie Zertifikate oder Prüfberichte eingeholt und geprüft
Gibt es ein Verfahren für regelmäßige Bewertungen kritischer Dienstleister
Existieren wiederkehrende Lernformate für Mitarbeitende, Führungskräfte und Technik
Werden Phishing-Übungen oder vergleichbare Übungen durchgeführt
Ist Sicherheit Teil der Zielvereinbarungen von Führungskräften
Prüfer möchten sehen, dass Sie nicht nur Absichten, sondern gelebte Praxis haben. Diese Belege überzeugen:
Richtlinien und Prozessbeschreibungen mit Version und Gültigkeitsdatum
Protokolle von Entscheidungen aus dem Steuerungsgremium
Messwerte und Trends als einfache Grafiken, z. B. Zeit bis zur Behebung kritischer Schwachstellen
Systemauszüge mit Konfigurationsnachweisen, z. B. Multi-Faktor-Authentifizierung aktiv
Übungsprotokolle zu Vorfallssimulationen mit Verbesserungsmaßnahmen und Termin
Vertragsanhänge mit Sicherheitsanforderungen für Dienstleister
Wiederherstellungstests mit Messung der Dauer und der Datenintegrität
Legen Sie alle Nachweise in einer nachvollziehbaren Ordnerstruktur ab. Verwenden Sie sprechende Dateinamen und notieren Sie in der Prüfmatrix den direkten Link.
Messen Sie wenig, aber das Richtige. Drei bis fünf Kennzahlen reichen für den Start.
Anteil der Benutzer mit aktiver Mulit-Faktor-Authentifizierung
Anteil der Systeme mit aktuellem Sicherheitsupdate
Zeit bis zur Behebung besonders kritischer Schwachstellen
Ergebnis eines Wiederherstellungstests in Minuten
Erkennungs- und Reaktionszeit bei einem simulierten Vorfall
Visualisieren Sie die Werte einfach. Ein Liniendiagramm über drei Monate zeigt die Entwicklung, ohne zu überfrachten.
Bewerten Sie jedes identifizierte Defizit entlang zweier Achsen:
Auswirkung auf Geschäft und Regulierung von niedrig bis sehr hoch
Eintrittswahrscheinlichkeit von niedrig bis sehr hoch
Daraus ergeben sich vier Klassen:
Sofort handeln: Sehr hohe Auswirkung oder hohe Wahrscheinlichkeit
Kurzfristig schließen: Mittlere bis hohe Werte
Planen: Niedrigere Werte, aber mit Abhängigkeiten
Akzeptieren mit Begründung: Niedrig und gering, dokumentiert und bestätigt
Hinterlegen Sie je Klasse ein Zielterminfenster. So vermeiden Sie endlose Diskussionen und behalten Tempo.
Unklare Verantwortung: Benennen Sie eine Person auf Leitungsebene und dokumentieren Sie deren Verantwortung klar und schriftlich.
Zu viel auf einmal: Starten Sie mit den zehn Kernbereichen und erweitern Sie später.
Fehlende Nachweise: Sammeln Sie Belege parallel zur Prüfung, nicht erst am Ende.
Unrealistische Fristen: Planen Sie kurze Etappen und sichtbare Erfolge.
Kein Üben: Ohne Vorfallssimulation bleibt das Meldewesen Theorie.
Dienstleister übersehen: Kritische Dritte frühzeitig in die Prüfung aufnehmen.
Tag 1 bis 2
Scope festlegen
Matrix anlegen
Rollen und Termine setzen
Tag 3 bis 6
Belege für Governance, Zugangssteuerung, Schwachstellen und Backup sammeln
Erste Reifegrade definieren und vergeben
Tag 7 bis 8
Kurze Vorfallssimulation als Tabletop
Erkenntnisse und Maßnahmen dokumentieren
Tag 9 bis 12
Lieferkette prüfen, kritische Dritte markieren, Vertragsanforderungen sammeln
Metriken definieren und erste Messwerte erheben
Tag 13 bis 14
Kurzbericht für die Geschäftsleitung
Entscheidungen zu Budget und Reihenfolge einholen
Umsetzung der Sofortmaßnahmen starten
Zielbild: Was bedeutet NIS2 für unser Unternehmen
Lagebild in Zahlen: Drei bis fünf Kennzahlen, Stand und Entwicklung
Top Risiken: Drei Punkte mit Auswirkung und Gegenmaßnahme
Entscheidungen heute: Budget, Prioritäten, Zieltermine
Nächste Schritte: Was bis zum nächsten Bericht passiert
Dieser Bericht bleibt immer gleich aufgebaut. So entsteht Routine und Verlässlichkeit.
Ihre Selbstprüfung liefert die Grundlage für die weiteren Themen der Serie:
Governance und Verantwortung: Aus den Feststellungen werden Mandat, Gremien und Berichtswesen abgeleitet.
Risikomanagement: Die Lücken fließen in ein strukturiertes Risikoportfolio mit Behandlungsplänen.
Meldewesen: Ergebnisse der Tischübung werden in Schwellenwerte, Vorlagen und Abläufe überführt.
Technische und organisatorische Maßnahmen: Priorisierte Maßnahmen werden in Projekte und Standards gegossen.
Lieferkette und Third Party: Markierte Dienstleister erhalten klare Anforderungen und Prüfzyklen.
Awareness und Kultur: Ergebnisse fließen in Lernformate und Kommunikation für alle Zielgruppen.
Wenn Ressourcen knapp sind, unterstützt unser externes Security Office mit:
Moderation von Scope, Matrix und Belegsammlung
Bewertung nach einem erprobten Reifegradmodell
Durchführung einer realistischen Vorfallssimulation
Aufbau von Metriken und eines kompakten Managementberichts
Übersetzung der Ergebnisse in eine umsetzbare Roadmap
Sie behalten die Steuerung, gewinnen aber Tempo, Struktur und Vergleichswerte aus vielen Projekten.
Eine detaillierte Selbstprüfung ist der schnellste Weg zu Klarheit und Wirkung. Sie zeigt, wo Sie stehen, welche Risiken zuerst zu behandeln sind und welche Nachweise fehlen. Mit einer einfachen Matrix, wenigen Kennzahlen und klaren Entscheidungen kommen Sie in kurzer Zeit vom Bauchgefühl zur belastbaren Steuerung.
Starten Sie jetzt mit Scope, Matrix und Nachweissammlung. Führen Sie in der zweiten Woche eine kleine Übung durch. Bringen Sie die Ergebnisse in den Kurzbericht und entscheiden Sie die ersten Schritte. Alles Weitere vertiefen wir in den nächsten Beiträgen der Serie.