TriSec GmbHTriSec GmbH Beratung anfragen

NIS-2 Compliance Selbstcheck

Prüfen Sie in 10 Minuten, wie gut Ihr Unternehmen auf die NIS-2-Richtlinie vorbereitet ist. 90 Fragen, sofortige Auswertung.

NIS-2 konform
ISO 27001
TriSec GmbH
Ihr Fortschritt
0
Beantwortet
0
Punkte
0%
Erfüllung
1
Governance & Verantwortlichkeiten
0/18
1.1 Gibt es eine dokumentierte Cybersecurity-Strategie, die von der Geschäftsleitung verabschiedet wurde?
1.2 Ist ein Chief Information Security Officer (CISO) oder eine vergleichbare Rolle formal benannt?
1.3 Werden Cybersecurity-Themen regelmäßig (mindestens quartalsweise) in der Geschäftsleitung behandelt?
1.4 Sind die Verantwortlichkeiten für IT-Sicherheit klar in Stellenbeschreibungen dokumentiert?
1.5 Existiert ein IT-Sicherheitsausschuss oder Steuerungsgremium mit regelmäßigen Sitzungen?
1.6 Werden Budget und Ressourcen für IT-Sicherheit jährlich geplant und freigegeben?
1.7 Gibt es definierte Eskalationswege für Sicherheitsvorfälle zur Geschäftsleitung?
1.8 Ist die Geschäftsleitung über persönliche Haftungsrisiken bei NIS-2-Verstößen informiert?
1.9 Werden IT-Sicherheitsziele als Teil der Unternehmensziele definiert und deren Erreichung gemessen?
2
Risikomanagement
0/18
2.1 Führen Sie regelmäßige (mindestens jährliche) IT-Risikoanalysen durch?
2.2 Sind alle kritischen IT-Systeme und Prozesse in einem aktuellen Asset-Inventar erfasst?
2.3 Werden identifizierte Risiken nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertet?
2.4 Gibt es einen dokumentierten Risikobehandlungsplan mit konkreten Maßnahmen und Verantwortlichen?
2.5 Werden Restrisiken formal durch die Geschäftsleitung akzeptiert und dokumentiert?
2.6 Ist ein Prozess zur kontinuierlichen Identifikation neuer Bedrohungen implementiert?
2.7 Werden Risikobewertungen bei wesentlichen System- oder Prozessänderungen aktualisiert?
2.8 Fließen Ergebnisse von Penetrationstests und Schwachstellenscans in die Risikobewertung ein?
2.9 Wird das Risikomanagement-Framework regelmäßig auf Wirksamkeit und Aktualität überprüft?
3
Incident Response & Meldepflichten
0/18
3.1 Existiert ein dokumentierter Incident-Response-Plan speziell für Cyberangriffe?
3.2 Sind die NIS-2-Meldefristen (24h Erstmeldung, 72h Update) bekannt und Prozesse dafür vorbereitet?
3.3 Gibt es ein 24/7-Bereitschaftsteam oder definierte Notfallkontakte für IT-Sicherheitsvorfälle?
3.4 Werden Sicherheitsvorfälle zentral in einem Ticketsystem erfasst und klassifiziert?
3.5 Ist ein Kommunikationsplan für interne und externe Stakeholder bei Vorfällen vorhanden?
3.6 Werden regelmäßig Incident-Response-Übungen (z.B. Tabletop-Exercises) durchgeführt?
3.7 Haben Sie eine forensische Analysefähigkeit oder einen entsprechenden Dienstleister unter Vertrag?
3.8 Werden Lessons Learned nach Sicherheitsvorfällen dokumentiert und Verbesserungen umgesetzt?
3.9 Sind die Kontaktdaten der zuständigen Aufsichtsbehörde (BSI) dokumentiert und zugänglich?
4
Business Continuity & Krisenmanagement
0/18
4.1 Existiert ein Business-Continuity-Plan (BCP) speziell für IT-Ausfälle und Cyberangriffe?
4.2 Sind Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für kritische Systeme definiert?
4.3 Werden regelmäßige Backups erstellt und deren Wiederherstellbarkeit getestet?
4.4 Gibt es räumlich getrennte Backup-Standorte (Offsite oder Cloud mit anderem Rechenzentrum)?
4.5 Ist ein IT-Notfallhandbuch mit konkreten Wiederanlaufprozeduren vorhanden und aktuell?
4.6 Werden Business-Continuity- und Disaster-Recovery-Tests mindestens jährlich durchgeführt?
4.7 Sind alternative Arbeitsplätze oder Remote-Arbeitsmöglichkeiten für Krisenfälle vorbereitet?
4.8 Bestehen Vereinbarungen mit Dienstleistern für Notfall-Support mit garantierten Reaktionszeiten?
4.9 Ist ein Krisenstab mit klaren Rollen definiert und werden Krisenübungen durchgeführt?
5
Supply Chain & Lieferantensicherheit
0/18
5.1 Werden IT-Sicherheitsanforderungen vertraglich mit allen kritischen Lieferanten vereinbart?
5.2 Führen Sie Sicherheitsbewertungen oder Due-Diligence-Prüfungen von IT-Dienstleistern durch?
5.3 Gibt es ein vollständiges Verzeichnis aller IT-Dienstleister mit Kritikalitätseinstufung?
5.4 Werden Unterauftragnehmer (Sub-Prozessoren) Ihrer kritischen IT-Dienstleister kontrolliert?
5.5 Sind Audit-Rechte bei kritischen Lieferanten vertraglich verankert?
5.6 Prüfen Sie Sicherheitszertifizierungen (ISO 27001, SOC 2) Ihrer kritischen Lieferanten?
5.7 Existieren Exit-Strategien für kritische IT-Lieferantenbeziehungen?
5.8 Werden Software-Komponenten und deren Herkunft dokumentiert (Software Bill of Materials)?
5.9 Ist ein Prozess zur schnellen Reaktion auf Sicherheitsvorfälle bei Lieferanten etabliert?
6
Technische Sicherheitsmaßnahmen
0/18
6.1 Ist ein Patch-Management-Prozess mit definierten Fristen für kritische Updates implementiert?
6.2 Werden Firewalls und Netzwerksegmentierung zum Schutz kritischer Systeme eingesetzt?
6.3 Ist Endpoint-Protection (Antivirus/EDR) auf allen Endgeräten und Servern aktiv?
6.4 Werden Sicherheitsprotokolle zentral gesammelt und ausgewertet (SIEM oder Log-Management)?
6.5 Ist ein Vulnerability-Management-Prozess mit regelmäßigen Schwachstellenscans etabliert?
6.6 Werden kritische Systeme nach Sicherheitsstandards gehärtet (z.B. CIS Benchmarks)?
6.7 Ist Intrusion Detection oder Intrusion Prevention (IDS/IPS) im Netzwerk aktiv?
6.8 Werden regelmäßig Penetrationstests durch externe Experten durchgeführt?
6.9 Ist eine Web Application Firewall (WAF) für öffentlich erreichbare Anwendungen aktiv?
7
Zugangs- & Identitätskontrolle
0/18
7.1 Wird das Least-Privilege-Prinzip bei der Vergabe von Benutzerberechtigungen konsequent angewendet?
7.2 Ist Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme und Remote-Zugänge aktiviert?
7.3 Werden Benutzerkonten und Berechtigungen regelmäßig überprüft (Access Reviews)?
7.4 Gibt es definierte Prozesse für Onboarding und zeitnahes Offboarding von Mitarbeiterzugängen?
7.5 Werden privilegierte Accounts (Admin-Konten) separat verwaltet und deren Nutzung überwacht?
7.6 Ist eine zentrale Identitätsverwaltung (Identity & Access Management) implementiert?
7.7 Werden Passwortrichtlinien technisch durchgesetzt (Komplexität, Länge, keine Wiederverwendung)?
7.8 Gibt es ein Verfahren zur sofortigen Sperrung von Accounts bei Sicherheitsverdacht?
7.9 Werden Zugriffe auf kritische Systeme vollständig protokolliert und regelmäßig ausgewertet?
8
Datensicherheit & Verschlüsselung
0/18
8.1 Werden sensible Daten bei der Übertragung durchgängig verschlüsselt (TLS 1.2/1.3)?
8.2 Ist Festplattenverschlüsselung auf allen mobilen Geräten (Laptops, Smartphones) aktiviert?
8.3 Werden Backups verschlüsselt gespeichert?
8.4 Gibt es eine dokumentierte Datenklassifizierung (öffentlich, intern, vertraulich, streng vertraulich)?
8.5 Ist Data Loss Prevention (DLP) zum Schutz vor unbeabsichtigtem Datenabfluss implementiert?
8.6 Werden kryptografische Schlüssel sicher verwaltet (Key Management, HSM oder vergleichbar)?
8.7 Gibt es verbindliche Richtlinien für den sicheren Datenaustausch mit externen Partnern?
8.8 Werden Daten nach definierten Aufbewahrungsfristen sicher und nachweisbar gelöscht?
8.9 Ist die Verarbeitung personenbezogener Daten DSGVO-konform dokumentiert (Verarbeitungsverzeichnis)?
9
Awareness & Schulungen
0/18
9.1 Erhalten alle Mitarbeiter bei Eintritt eine IT-Sicherheits-Grundschulung?
9.2 Werden regelmäßige (mindestens jährliche) Auffrischungsschulungen zu IT-Sicherheit durchgeführt?
9.3 Gibt es spezifische Schulungen für Mitarbeiter mit erhöhtem Risikoprofil (IT-Admins, Finanzen)?
9.4 Werden regelmäßig Phishing-Simulationen durchgeführt und ausgewertet?
9.5 Ist das Management (Geschäftsleitung) in Cybersecurity-Themen und NIS-2-Pflichten geschult?
9.6 Gibt es verbindliche Richtlinien für sicheres Verhalten (Clean Desk, Bildschirmsperre, Social Engineering)?
9.7 Werden aktuelle Bedrohungen und Warnungen zeitnah an alle Mitarbeiter kommuniziert?
9.8 Kennen alle Mitarbeiter den internen Meldekanal für verdächtige Aktivitäten oder Vorfälle?
9.9 Werden Schulungsteilnahmen und -ergebnisse dokumentiert und nachverfolgt?
10
Dokumentation & Compliance-Nachweis
0/18
10.1 Sind alle IT-Sicherheitsrichtlinien schriftlich dokumentiert und formal freigegeben?
10.2 Werden Änderungen an Richtlinien versioniert und an Betroffene kommuniziert?
10.3 Gibt es eine zentrale, strukturierte Ablage für alle Sicherheitsdokumente?
10.4 Werden Nachweise für durchgeführte Sicherheitsmaßnahmen systematisch archiviert?
10.5 Ist ein internes Audit-Programm für IT-Sicherheit mit regelmäßigen Prüfungen etabliert?
10.6 Werden externe Audits oder Zertifizierungen (z.B. ISO 27001, TISAX) durchgeführt?
10.7 Gibt es einen benannten Compliance-Verantwortlichen für NIS-2-Anforderungen?
10.8 Werden regulatorische Änderungen (NIS-2, DSGVO, BSI-Gesetz) systematisch überwacht?
10.9 Findet ein regelmäßiges Management-Review der IT-Sicherheit mit dokumentierten Ergebnissen statt?
0%
NIS-2 Reifegrad

📄 Detaillierte Auswertung als PDF erhalten

✓ Vielen Dank! Sie erhalten Ihre Auswertung in Kürze per E-Mail.

Unterstützung bei der NIS-2 Umsetzung?

Unsere Experten helfen Ihnen, die Lücken zu schließen und Compliance-Risiken zu minimieren. Vom Gap-Assessment bis zur vollständigen Implementierung.

Kostenlose Erstberatung anfragen

© 2024 TriSec GmbH · IT-Sicherheitsberatung · Impressum · Datenschutz