NIS2 Cyber Security
Reifegrad-Bewertung & Roadmap
🎯 Bin ich von NIS2 betroffen?
Ca. 29.000 deutsche Unternehmen aus 18 Sektoren müssen NIS2-Compliance erfüllen
🏭
Besonders wichtige Einrichtungen
KRITIS-Betreiber aus 11 kritischen Sektoren (Energie, Transport, Gesundheit, Finanz, Wasser, etc.)
Unabhängig von Unternehmensgröße
🏢
Wichtige Einrichtungen
Zusätzliche Sektoren (Chemie, Lebensmittel, digitale Dienste, etc.)
≥50 MA oder ≥10 Mio. EUR Umsatz
🌐
Spezialfälle
DNS-Anbieter, öffentliche Kommunikationsnetze
Unabhängig von Größe betroffen
🛡️
Offizielle BSI-Betroffenheitsprüfung
Kostenloses, anonymes Tool zur Ersteinschätzung Ihrer NIS2-Betroffenheit
Jetzt prüfen
1
Initiiert
Ad-hoc, Reaktiv
2
Definiert
Dokumentiert, Grundlegend
3
Standardisiert
Integriert, Reproduzierbar
4
Optimiert
Gemessen, Kontinuierlich
5
Exzellent
Führend, Innovation
👥
Zuständige Personen
IT-Grundschutz ORP.2, Rollendefinition, 24/7-Bereitschaft
Initiiert
Definiert
Standardisiert
Optimiert
Exzellent
Aktuell: Definiert
Ziel: Standardisiert
Maßnahmen & Anforderungen
•
Mindestens 2 dedizierte IT-Sicherheitsverantwortliche benennen
•
Klare Rollendefinition und Befugnisse etablieren
•
Weiterbildung nach IT-Grundschutz-Baustein ORP.2
•
24/7-Erreichbarkeit für Notfälle etablieren
•
Backup-Personalplanung für Ausfälle implementieren
🏛️
Management-Verantwortung
Cyber-Risiken, Haftung, Budget, Governance, Incident-Response
Initiiert
Definiert
Standardisiert
Optimiert
Exzellent
Aktuell: Definiert
Ziel: Optimiert
Maßnahmen & Anforderungen
•
Management-Schulungen zu Cyber-Risiken durchführen
•
Rechtliche Haftungsthemen verstehen und dokumentieren
•
Budget und Ressourcen für IT-Sicherheit bereitstellen
•
Regelmäßige Security-Briefings implementieren
•
Incident-Response-Verantwortlichkeiten definieren
🔍
IT-Sicherheits-Bestandsaufnahme
Gap-Analyse, Risikobewertung, ISMS, Audit, Asset-Management
Initiiert
Definiert
Standardisiert
Optimiert
Exzellent
Aktuell: Definiert
Ziel: Optimiert
Maßnahmen & Anforderungen
•
CyberRisikoCheck oder professionelle Security-Auditierung
•
ISO 27001/27002 Compliance-Check durchführen
•
Kritische Assets und Systeme identifizieren
•
IT-Grundschutz-Implementierung validieren
•
ISMS und BCMS-Status bewerten
⚙️
Kontinuierliche Verbesserung
Risikomanagement, Supply Chain, Kryptographie, MFA, BCM
Initiiert
Definiert
Standardisiert
Optimiert
Exzellent
Aktuell: Definiert
Ziel: Optimiert
Maßnahmen & Anforderungen
•
Risikomanagement nach BSI-Standard 200-3 implementieren
•
Supply Chain Security-Konzepte entwickeln
•
Kryptographie und Verschlüsselung systematisch einsetzen
•
Multi-Faktor-Authentifizierung flächendeckend einführen
•
Business Continuity Management (BSI-200-4) aufbauen
📊
Meldepflicht & Monitoring
24h-Incident-Reporting, BSI-Warnungen, ACS, UP KRITIS
Initiiert
Definiert
Standardisiert
Optimiert
Exzellent
Aktuell: Initiiert
Ziel: Standardisiert
Maßnahmen & Anforderungen
•
24h-Incident-Reporting-Prozess etablieren
•
Kontaktdaten und Eskalationswege definieren
•
Allianz für Cyber-Sicherheit (ACS) beitreten
•
UP KRITIS Mitgliedschaft (falls zutreffend)
•
BSI-Warnung-Empfang und automatische Alarmierung
1.8
Durchschnittlicher NIS2-Reifegrad
Basierend auf Ihrer Bewertung befinden Sie sich im "Definiert" Stadium.
Ihre Organisation hat grundlegende Strukturen, benötigt aber Verbesserungen für vollständige NIS2-Compliance.
🚀 Sofortige Maßnahmen
Incident Response Prozesse aufbauen und Personal-Strukturen definieren
📈 Mittelfristig
Risikomanagement standardisieren und kontinuierliche Überwachung implementieren
🎯 Strategisch
Management-Governance optimieren und technische Maßnahmen ausbauen