Sie wissen, dass Ihr Unternehmen von NIS2 betroffen ist. Sie haben sich vielleicht sogar beim BSI registriert. Aber dann kommt die Frage, an der die meisten scheitern: Wo genau stehen wir — und was fehlt uns noch?
Die Antwort liefert eine Gap-Analyse. Sie ist der erste echte Schritt von "wir müssen etwas tun" zu "wir wissen was zu tun ist". Und sie ist einfacher als die meisten denken.
Was ist eine NIS2 Gap-Analyse?
Eine Gap-Analyse vergleicht den Ist-Zustand Ihrer Cybersicherheit mit dem Soll-Zustand den das NIS2-Umsetzungsgesetz verlangt. Das Ergebnis: Eine klare Übersicht welche der zehn Pflichtmaßnahmen nach §30 BSIG Sie bereits erfüllen, welche teilweise umgesetzt sind und wo kritische Lücken bestehen.
Klingt aufwändig. Ist es aber nicht — wenn man es strukturiert angeht.
Die 10 Bereiche die geprüft werden
§30 Abs. 2 BSIG definiert zehn Maßnahmenbereiche. Jeder davon wird in der Gap-Analyse einzeln bewertet:
1. Risikoanalyse und Sicherheitskonzept. Haben Sie ein dokumentiertes Risikoregister? Werden Risiken regelmäßig bewertet? Gibt es eine Sicherheitsleitlinie die von der Geschäftsführung genehmigt wurde?
2. Bewältigung von Sicherheitsvorfällen. Existiert ein Incident-Response-Plan? Sind Rollen und Meldeketten definiert? Gibt es Vorlagen für die BSI-Meldung? Wurde der Plan jemals getestet?
3. Business Continuity und Backup. Werden alle kritischen Systeme gesichert? Gibt es Offline-Backups? Wurde eine Wiederherstellung jemals getestet? Wie schnell können Sie den Betrieb wieder aufnehmen?
4. Sicherheit der Lieferkette. Bewerten Sie die Cybersicherheit Ihrer Zulieferer und IT-Dienstleister? Enthalten Ihre Verträge Sicherheitsklauseln? Gibt es regelmäßige Reviews?
5. Sicherheit bei Beschaffung und Wartung. Gibt es ein Patch-Management? Wie schnell werden Sicherheitsupdates eingespielt? Werden neue Systeme vor der Inbetriebnahme auf Sicherheit geprüft?
6. Bewertung der Wirksamkeit. Werden Ihre Sicherheitsmaßnahmen regelmäßig überprüft? Gibt es interne Audits oder Penetrationstests? Werden Erkenntnisse aus Vorfällen eingearbeitet?
7. Cyberhygiene und Schulungen. Werden alle Mitarbeiter regelmäßig geschult? Gibt es Nachweise? Hat sich die Geschäftsführung persönlich schulen lassen — wie §38 es verlangt?
8. Kryptografie. Werden Daten in Ruhe und in Bewegung verschlüsselt? Ist die E-Mail-Kommunikation abgesichert? Werden Verschlüsselungsstandards regelmäßig geprüft?
9. Zugriffskontrolle und Asset-Management. Gibt es ein IT-Asset-Inventar? Existiert ein Berechtigungskonzept nach dem Least-Privilege-Prinzip? Werden Zugriffsrechte regelmäßig überprüft?
10. MFA und sichere Kommunikation. Ist Multi-Faktor-Authentifizierung für alle kritischen Systeme aktiviert? Gibt es sichere Kommunikationskanäle für den Notfall?
Wie eine Gap-Analyse typischerweise abläuft
Es gibt drei Wege eine Gap-Analyse durchzuführen — mit sehr unterschiedlichem Aufwand und Ergebnis.
Weg 1: Der Berater. Ein externer Berater kommt ins Haus, führt Interviews, prüft Dokumente, erstellt einen Bericht. Dauer: 2–4 Wochen. Kosten: 5.000–15.000 Euro. Ergebnis: Ein PDF das im Schrank landet. Für viele Mittelständler ist das weder zeitlich noch finanziell machbar.
Weg 2: Die Excel-Tabelle. Sie erstellen selbst eine Tabelle, gehen die zehn Bereiche durch, bewerten sich selbst. Dauer: 1–2 Tage. Kosten: 0 Euro. Problem: Kein Audit-Trail, keine Nachweisbarkeit, keine automatische Priorisierung, keine Verknüpfung mit Maßnahmenplan. Und wenn das BSI fragt: Eine Excel-Tabelle ist kein Nachweis.
Weg 3: Die Self-Service-Plattform. Ein geführter Online-Fragebogen, der alle zehn Bereiche systematisch abfragt. Sie beantworten die Fragen, die Plattform berechnet Ihren Compliance-Score und generiert automatisch einen priorisierten Maßnahmenplan. Dauer: 30 Minuten. Kosten: Ab 249 Euro/Monat. Vorteil: Nachweisbar, mit Zeitstempel, verknüpft mit Maßnahmenplan und Dokumentation.
Wie der NIS2-Autopilot die Gap-Analyse umsetzt
Unsere Plattform führt Sie in drei Schritten durch die Gap-Analyse:
Schritt 1: Strukturierter Fragebogen.
Für jeden der zehn Maßnahmenbereiche beantworten Sie 3–5 praxisnahe Fragen. Keine abstrakten Compliance-Fragen, sondern konkret: "Existiert ein schriftlicher Incident-Response-Plan?" "Wurden Backups in den letzten 6 Monaten auf Wiederherstellbarkeit getestet?" "Ist MFA für alle administrativen Zugänge aktiviert?"
Jede Antwort wird auf einer Skala bewertet: Vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt, nicht anwendbar. Die Antworten werden automatisch gespeichert — Sie können jederzeit unterbrechen und später weitermachen.
Schritt 2: Compliance-Score.
Aus Ihren Antworten berechnet die Plattform einen Gesamtscore von 0 bis 100 Prozent — und einen Score pro Maßnahmenbereich. Sie sehen auf einen Blick: "Backup und BCM: 80%. Lieferkettensicherheit: 20%. Schulungen: 0%."
Der Score ist nicht nur eine Zahl. Er zeigt Ihnen die Prioritäten: Die Bereiche mit dem niedrigsten Score haben den größten Handlungsbedarf.
Schritt 3: Automatischer Maßnahmenplan.
Basierend auf den Lücken generiert die Plattform einen konkreten Maßnahmenplan. Nicht "verbessern Sie Ihre Sicherheit" — sondern: "Erstellen Sie einen Incident-Response-Plan. Vorlage verfügbar. Verantwortlich: [zuweisen]. Frist: [setzen]."
Jede Maßnahme ist verknüpft mit dem entsprechenden §30-Bereich, hat eine Prioritätsstufe und kann einem Verantwortlichen zugewiesen werden. Sie sehen den Fortschritt in Echtzeit — welche Maßnahmen erledigt sind, welche in Arbeit und welche offen.
Was passiert nach der Gap-Analyse?
Die Gap-Analyse ist der Startpunkt, nicht das Ziel. Danach beginnt die eigentliche Arbeit — aber strukturiert und priorisiert statt planlos.
Im NIS2-Autopilot ist jeder nächste Schritt direkt verknüpft:
Aus der Gap-Analyse entsteht der Maßnahmenplan. Aus dem Maßnahmenplan entstehen konkrete Aufgaben. Für jede Aufgabe gibt es Dokumentenvorlagen die Sie ausfüllen können — Incident-Response-Plan, Sicherheitsleitlinie, BCM-Plan. Fertige Richtlinien durchlaufen den GF-Freigabe-Workflow. Mitarbeiter werden über das Schulungsmodul geschult. Risiken werden im Risikoregister erfasst und bewertet. Lieferanten werden über das Lieferanten-Management bewertet.
Alles dokumentiert, alles mit Zeitstempel, alles nachweisbar. Am Ende generieren Sie per Knopfdruck einen Compliance-Report — das vollständige Nachweisdokument für das BSI.
Der Unterschied zwischen "wir haben etwas getan" und "wir können es nachweisen"
Das ist der entscheidende Punkt den viele Unternehmen übersehen. Es reicht nicht, Maßnahmen umzusetzen. Sie müssen nachweisen können dass Sie sie umgesetzt haben. Wann, von wem, genehmigt durch wen.
Wenn das BSI anklopft, fragt es nicht "Haben Sie ein Backup?" sondern "Zeigen Sie mir den dokumentierten Backup-Plan, den letzten Testbericht, die Freigabe durch die Geschäftsführung und den Schulungsnachweis des zuständigen Mitarbeiters."
Genau dafür brauchen Sie ein System. Nicht Excel, nicht einen Ordner voller PDFs — ein System mit Audit-Trail das lückenlos dokumentiert wer wann was getan hat.
In 30 Minuten wissen wo Sie stehen
Eine NIS2 Gap-Analyse muss kein Projekt sein das Wochen dauert und Tausende Euro kostet. Mit dem richtigen Werkzeug wissen Sie in 30 Minuten wo Ihre Lücken sind und haben einen konkreten Plan was als nächstes zu tun ist.
Der erste Schritt ist noch einfacher: Prüfen Sie ob Ihr Unternehmen überhaupt von NIS2 betroffen ist. Unser kostenloser Betroffenheitscheck dauert 5 Minuten und zeigt Ihnen sofort Ihre Einstufung und die nächsten Schritte.
Jetzt kostenlos prüfen ob Ihr Unternehmen von NIS2 betroffen ist — 5 Minuten, keine Registrierung.
Bereits betroffen? Starten Sie Ihre Gap-Analyse — 14 Tage kostenlos, alle Funktionen.