AIGN OS – NIS2 Readiness Assessment

🏢

SEKTION 01 / 08

Betroffenheit, Sektor & Einstufung

Rechtsanwendungsbereich, Sektorzuordnung und erste Einstufungslogik nach Art. 2–3 NIS2

0 / 6

▾

ℹNIS2 erfasst mittlere und große Einrichtungen der in Anhang I und II genannten Sektoren sowie bestimmte Einrichtungen unabhängig von ihrer Größe, etwa DNS-Diensteanbieter, TLD-Register und Vertrauensdiensteanbieter. Wesentliche Einrichtungen unterliegen strengerer Aufsicht als wichtige Einrichtungen.

Scope & Sektor

Unser Unternehmen wurde belastbar einem NIS2-Sektor oder Teilsektor zugeordnet (Anhang I oder II).

→ Art. 2, 3 NIS2 / Anhänge I–II

+5

Es wurde geprüft und dokumentiert, ob wir als wesentliche oder wichtige Einrichtung einzustufen sind.

→ Art. 3 NIS2

+5

Die Unternehmensgröße und gruppenweite Schwellenwerte wurden für die NIS2-Anwendbarkeit rechtlich bewertet.

+4

Grenzüberschreitende Tätigkeiten, Niederlassungen und Mitgliedstaaten der Leistungserbringung sind erfasst.

→ Art. 26–27 NIS2

+4

Eine belastbare Positionierung liegt vor, ob sektorspezifische EU-Regelungen NIS2 verdrängen oder ergänzen.

→ Art. 4 NIS2

+3

Eine interne oder externe Funktion ist benannt, die die NIS2-Betroffenheit fortlaufend überwacht.

+3

🧭

SEKTION 02 / 08

Governance & Management Accountability

Vorstands- und Geschäftsleitungsverantwortung nach Art. 20 NIS2

0 / 6

▾

⚠NIS2 ist nicht nur IT. Die Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. Genau hier entsteht Board-Level-Haftungsdruck.

Management-Verantwortung

Die Geschäftsleitung oder das Leitungsorgan hat die NIS2-relevanten Cyber-Risikomaßnahmen formal gebilligt.

→ Art. 20 Abs. 1 NIS2

+6

Die Umsetzung der Maßnahmen wird auf Management-Ebene überwacht, dokumentiert und regelmäßig berichtet.

+5

Verantwortlichkeiten zwischen Geschäftsleitung, IT, Security, Legal, Compliance und Operations sind klar schriftlich geregelt.

+4

Leitungsorgane haben NIS2-/Cybersecurity-Schulungen absolviert oder dokumentiert erhalten.

→ Art. 20 Abs. 2 NIS2

+4

Es gibt einen Board- oder Geschäftsleitungsprozess für Eskalation, Entscheidung und Nachverfolgung wesentlicher Cyberrisiken.

+4

NIS2 ist in Governance, Risikomanagement und internen Kontrollsystemen sichtbar integriert.

+3

🛡️

SEKTION 03 / 08

Cyber-Risikomanagementmaßnahmen

Mindestmaßnahmen nach Art. 21 Abs. 1–2 NIS2

0 / 10

▾

🔐Art. 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen auf Basis eines gefahrenübergreifenden Ansatzes. Nicht einzelne Tools zählen, sondern die belastbare Gesamtsystematik.

Art. 21 Kernkontrollen

Ein dokumentiertes Informationssicherheits- und Cyber-Risikomanagement ist implementiert.

→ Art. 21 Abs. 2a NIS2

+5

Ein Incident-Handling-Prozess mit Rollen, Entscheidungspfaden und technischen Reaktionsmaßnahmen ist operativ etabliert.

→ Art. 21 Abs. 2b NIS2

+5

Business-Continuity-, Backup-, Wiederherstellungs- und Krisenmanagementmaßnahmen sind dokumentiert und getestet.

→ Art. 21 Abs. 2c NIS2

+5

Sicherheitsanforderungen an unmittelbare Anbieter und Dienstleister werden systematisch geprüft und vertraglich gesteuert.

→ Art. 21 Abs. 2d NIS2

+5

Vulnerability-, Patch- und Secure-Development-Prozesse existieren und sind nachweisbar.

→ Art. 21 Abs. 2e NIS2

+4

Die Wirksamkeit der Sicherheitsmaßnahmen wird geprüft, bewertet und verbessert.

→ Art. 21 Abs. 2f NIS2

+4

Cyberhygiene und Schulungen für relevante Mitarbeitende sind etabliert.

→ Art. 21 Abs. 2g NIS2

+3

Kryptografie und gegebenenfalls Verschlüsselung sind risikobasiert geregelt und technisch umgesetzt.

→ Art. 21 Abs. 2h NIS2

+4

Zugriffskontrollen, Berechtigungsmanagement und Asset Management sind belastbar etabliert.

→ Art. 21 Abs. 2i NIS2

+4

MFA oder gleichwertige starke Authentifizierung wird für kritische Zugänge eingesetzt.

→ Art. 21 Abs. 2j NIS2

+4

🔗

SEKTION 04 / 08

Lieferkette & Drittparteien

Supply-Chain-Sicherheit als reales Schwachstellenfeld unter Art. 21

0 / 6

▾

⚠Lieferkette ist in NIS2 kein Nebenthema. Viele Organisationen scheitern nicht an ihren eigenen Controls, sondern an SaaS, MSPs, Cloud-Providern, Integratoren und schwachen Vertrags-/Prüfprozessen.

Third Party Exposure

Kritische IT-/OT-Dienstleister und Anbieter sind inventarisiert und nach Kritikalität klassifiziert.

+5

Verträge mit kritischen Drittparteien enthalten Security-, Incident-, Audit- und Unterstützungsverpflichtungen.

+5

Es gibt ein Verfahren zur Bewertung spezifischer Schwachstellen unmittelbarer Anbieter und Diensteanbieter.

→ Art. 21 Abs. 3 NIS2

+4

Cloud-, Outsourcing- und Managed-Service-Abhängigkeiten sind aus Resilienzsicht bewertet.

+4

Wesentliche Lieferanten können Incident-Informationen, Nachweise und Mitwirkungspflichten kurzfristig liefern.

+4

Exit-, Fallback- und Notfalloptionen für kritische Drittparteien sind definiert.

+3

🚨

SEKTION 05 / 08

Incident Reporting & Eskalation

24h / 72h / 1-Monat-Logik nach Art. 23 NIS2

0 / 7

▾

📅NIS2 verlangt keinen pauschalen Meldeautomatismus für jedes Ereignis, aber für erhebliche Sicherheitsvorfälle eine mehrstufige Logik: Frühwarnung innerhalb von 24 Stunden, Incident-Meldung innerhalb von 72 Stunden, Abschlussbericht in der Regel innerhalb eines Monats.

Melde- und Eskalationsfähigkeit

Es existiert eine definierte Methodik, wann ein Sicherheitsvorfall als erheblich einzustufen ist.

→ Art. 23 Abs. 3 NIS2

+5

Die 24h-Frühwarnung ist organisatorisch und technisch abbildbar.

→ Art. 23 Abs. 4a NIS2

+5

Die 72h-Incident-Meldung mit erster Bewertung und Kompromittierungsindikatoren ist operativ vorbereitet.

→ Art. 23 Abs. 4b NIS2

+5

Es gibt Verantwortliche für Behördenkommunikation, CSIRT-Kontakt und interne Eskalation.

+4

Ein Monats-Abschlussbericht oder Fortschrittsbericht kann mit belastbaren Fakten erstellt werden.

→ Art. 23 Abs. 4d/e NIS2

+4

Empfänger eigener Dienste und relevante Kunden können bei Bedarf unverzüglich informiert werden.

→ Art. 23 Abs. 1 und 2 NIS2

+4

Melde- und Eskalationsprozesse wurden praktisch getestet, z. B. im Tabletop oder Incident Drill.

+3

📋

SEKTION 06 / 08

Dokumentation, Registrierung & Nachweisfähigkeit

Listung, Registrierung und Audit-Evidenz

0 / 6

▾

🧾NIS2 ist nicht nur Schutz, sondern Nachweis. Wer seine Betroffenheit, Maßnahmen, Meldewege und Strukturen nicht belegen kann, verliert im Audit-, Aufsichts- oder Vorfallmoment die Verteidigungsfähigkeit.

Evidence & Registration

Alle für NIS2 relevanten Basisdaten, Kontaktstellen, Standorte und IP-Bereiche sind aktuell dokumentiert.

→ Art. 3 Abs. 4 und Art. 27 NIS2

+5

Policies, Prozessdokumentationen, technische Nachweise und Management-Freigaben sind auditierbar abgelegt.

+4

Ein vollständiger Nachweisordner oder eine vergleichbare Evidenzstruktur für NIS2 existiert.

+4

Grenzüberschreitende Zuständigkeiten und Hauptniederlassung sind sauber dokumentiert.

→ Art. 26 NIS2

+4

Bei sektorspezifischen Sonderregimen ist dokumentiert, welche Pflichten aus NIS2 verdrängt oder weiter anwendbar sind.

→ Art. 4 NIS2

+4

Interne Reviews zur Aktualität der Dokumentation finden regelmäßig statt.

+3

🔍

SEKTION 07 / 08

Aufsicht, Prüfung & Sanktionen

Wie aufsichts- und auditfest ist die Organisation wirklich?

0 / 6

▾

⚠Für wesentliche Einrichtungen ist die Ex-ante- und Ex-post-Aufsicht schärfer. Behörden können Prüfungen, Anfragen, Sicherheitsprüfungen und Nachweise verlangen. Das Kernproblem vieler Organisationen ist nicht fehlendes Wollen, sondern fehlende Verteidigungsfähigkeit unter externer Prüfung.

Supervisory Readiness

Das Unternehmen ist auf behördliche Informationsanforderungen kurzfristig vorbereitet.

→ Art. 32–33 NIS2

+5

Security Audits, Assessments oder Stichproben wären mit vorhandenen Nachweisen verteidigbar.

+4

Es gibt einen klaren Prozess für den Umgang mit behördlichen Beanstandungen, Maßnahmen und Fristen.

+4

Wesentliche Management- und Sicherheitsentscheidungen sind nachvollziehbar protokolliert.

+4

Rechts-, IT- und Security-Funktionen arbeiten für NIS2 unter einem abgestimmten Governance-Modell zusammen.

+4

Es bestehen definierte Eskalationswege bis in die Geschäftsleitung bei aufsichtsrelevanten Feststellungen.

+3

🛰️

SEKTION 08 / 08

Strategischer Ausblick 2026+

Beobachtung kommender Vereinfachungen – nicht geltendes Recht

0 / 5

▾

👁Die Kommission hat im Januar 2026 einen Änderungsvorschlag zur NIS2 vorgelegt. Das ist kein geltendes Recht. Wer strategisch sauber arbeitet, beobachtet diese Entwicklung dennoch bereits, etwa mit Blick auf small mid-caps, PQC, harmonisierte technische Anforderungen und erweiterte grenzüberschreitende Supervisonslogik.

Nur Zukunftsbeobachtung

Der Kommissionsvorschlag COM(2026) 13 wird regulatorisch beobachtet und intern bewertet.

+3

Die Organisation hat Post-Quantum-Kryptografie als strategisches Thema identifiziert.

+4

Mögliche künftige Änderungen zu Supply-Chain-Anforderungen und Harmonisierung technischer Anforderungen werden verfolgt.

+3

Grenzüberschreitende Unternehmensstrukturen werden auch mit Blick auf künftige ENISA- und Kooperationsmechanismen beobachtet.

+3

Das Unternehmen trennt sauber zwischen geltender NIS2 und politischem/legislativem Ausblick.

+2