Gap-Analyse

Existiert eine schriftliche Informationssicherheitsleitlinie?

Wird die Leitlinie mindestens jährlich überprüft und aktualisiert?

Ist eine formale Risikoanalyse nach anerkanntem Standard dokumentiert?

Sind alle relevanten Assets in der Risikoanalyse berücksichtigt?

Gibt es einen dokumentierten Incident-Response-Plan?

Sind Meldepflichten nach §30 BSIG (24h/72h) bekannt und dokumentiert?

Wurde der IRP in den letzten 12 Monaten getestet (Tabletop-Übung)?

Gibt es definierte Eskalationspfade und Verantwortlichkeiten?

Existiert ein Business-Continuity-Plan (BCM)?

Sind Recovery Time Objectives (RTO) für kritische Systeme definiert?

Werden regelmäßige Backup-Wiederherstellungstests durchgeführt?

Erhalten alle Mitarbeiter mindestens einmal jährlich eine Sicherheitsschulung?

Gibt es eine verpflichtende GF-Schulung zu NIS2 (§38 BSIG)?

Werden Schulungsabschlüsse und -ergebnisse dokumentiert?