top of page

Sie erhalten im Rahmen der Bearbeitung der Checkliste mit gezielten Fragen schnell und einfach eine Orientierung darüber, ob Ihr Unternehmen im Bereich Cybersicherheit bereits ausreichende Maßnahmen getroffen hat, um die Anforderungen und Berichtspflichten des Gesetzes zu erfüllen. Der Aufbau der Fragen orientiert sich an den gesetzlichen Vorgaben der Richtlinie und aus dem Bereich des bei der NIS-2 anerkannten ISO 27000-Normenrahmens sowie den anerkannten „Best Practices“ des Business Continuity Managements. 

Erläuterung: „Dokumentiertes und gelebtes Konzept“ bedeutet, dass Dokumente vorhanden sein müssen, die z.B. im Rahmen von Richtlinien, Prozessbeschreibungen, Vorgaben, Checklisten, Formularen die Grundlage für eine angemessene Vorbereitung und Bearbeitung liefern, aber auch die Umsetzung dokumentieren und eine ausreichende und möglichst lückenlose Nachweisfähigkeit sichern (z. B. mit Protokollen, ausgefüllten Formularen, Notizen aus Meetings, Kennzahlen etc.). 

Alle Fragen* sind zu beantworten, antworten Sie nur mit „Ja“, wenn Sie die Frage sicher und vollinhaltlich beantworten sowie mit der ausreichenden Nachweisfähigkeit aufwarten können.  

Gerne helfen wir Ihnen im Rahmen einer fundierten Analyse bei der Konkretisierung von Abweichungen sowie deren Behebung.  

01. Haben Sie mehr als 50 Mitarbeiter bzw. mehr als 10 Mio. EUR Umsatz pro Jahr?
03. Welches der genannten Informationssicherheitsmanagementsysteme (ISMS) betreiben Sie?
04. Ist ihr Unternehmen oder Unternehmensteil zertifiziert gemäß ISO/IEC 27001?
05. Verfügt ihr Unternehmen oder ein Unternehmensteil über ein Label gemäß TISAX®?
06. Unterliegt ihr Unternehmen bereits Pflichten zur Informationssicherheit gem. KRITIS oder unter anderen Gesetzen?
07. Nutzen Sie einen dokumentierten und gelebten gefahrenübergreifenden Ansatz, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen?
08. Gibt es dokumentierte und gelebte Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme?
09. Gibt es dokumentierte und gelebte Konzepte zur Bewältigung von Sicherheitsvorfällen (Notfallplanungen, Notfallübungen, Drehbücher für den Ablauf, Krisenmanagement)?
10. Gibt es dokumentierte und gelebte Konzepte für ein ausreichendes und schnelles dokumentiertes Berichtswesen (unverzüglich, 24h, 72h, fortlaufend)?
11. Gibt es dokumentierte und gelebte Konzepte zur Aufrechterhaltung des Betriebs bei Datenverlusten (z. B. Backup-Management)?
12. Gibt es dokumentierte und gelebte Konzepte zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern?
13. Gibt es dokumentierte und gelebte Konzepte zu Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen?
14. Gibt es dokumentierte und gelebte Konzepte zu Sicherheitsmaßnahmen inklusive der Offenlegung von Schwachstellen und deren Management?
15. Gibt es dokumentierte und gelebte Konzepte und Verfahren im Bereich der Cybersicherheit zur Bewertung der Risiken, zum Risikomanagement und der Wirksamkeit von Maßnahmen?
16. Gibt es dokumentierte und gelebte Konzepte sowie grundlegende Verfahren im Bereich der Cyberhygiene?
17. Gibt es dokumentierte und gelebte Konzepte zur Awareness und Schulungen im Bereich der Cybersicherheit?
18. Gibt es dokumentierte und gelebte Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung?
19. Gibt es dokumentierte und gelebte Konzepte zur Sicherheit des Personals?
20. Gibt es dokumentierte und gelebte Konzepte für die Zugriffskontrolle?
21. Gibt es dokumentierte und gelebte Konzepte zum Management von Anlagen?
22. Gibt es dokumentierte und gelebte Konzepte zur Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung?
23. Gibt es dokumentierte und gelebte Konzepte zur Verwendung von Lösungen zur gesicherten Sprach-, Video- und Textkommunikation?
24. Gibt es dokumentierte und gelebte Konzepte zur Verwendung von speziell gesicherten Notfallkommunikationssystemen innerhalb der Einrichtung?
25. Gibt es dokumentierte und gelebte Konzepte zur Unterstützung und gesicherten Durchführung von unangekündigten ad hoc Prüfungen?
26. Werden die o.g. Konzepte regelmäßig geprüft und einem kontinuierlichen Anpassungs- und Verbesserungsprozess unterzogen?
27. Setzen Sie eine Softwarelösung für das ISMS ein?
28. Hat Ihr Unternehmen einen Informationssicherheitsbeauftragten (ISB, ISO, CISO)

NIS-2 Readiness Checkliste

bottom of page