NIS2-Gap-Übersicht
Strukturierte Gegenüberstellung vorhandener Nachweise und kritischer Lücken. Zeigt den aktuellen Stand und die verbleibenden Gaps — nicht die vollständige Umsetzung.
Nachweise und Lücken auf einen Blick
Diese Gap-Übersicht basiert auf dem aktuellen Dokumentations- und Nachweisstand. Sie ersetzt keine vollständige Auditbewertung. Alle roten Lücken sind bei einer BSI-Prüfung unmittelbar erklärungspflichtig.
Belastbar dokumentierte Nachweise
GF-freigegeben, versioniert, kommuniziert. Gültige Dokumentenlenkung vorhanden.
RACI-Struktur, ISB-Funktion benannt, Eskalationspfade definiert.
Kritische Systeme erfasst, Owner zugeordnet, Schutzbedarf dokumentiert.
Meldewege, Klassifizierung und Eskalation definiert. Verknüpfung §32 BSIG vorhanden.
Rollenmodell und Least-Privilege-Prinzip dokumentiert. MFA für privilegierte Zugänge aktiv.
Zulässige Verfahren und Mindeststandards definiert. Anwendungsbereich dokumentiert.
Priorisierung und Freigabeprozess geregelt. Kritische Updates werden zeitnah eingespielt.
Fehlende Evidenz und offene Prozesse
| Anforderung / Nachweis | Status | Priorität | Risiko bei Nichtschluss | |
|---|---|---|---|---|
| GF-Schulungsnachweis §38 BSIG EVID-01-GF-TRAINING |
Fehlt | Hoch | Persönliche GF-Haftung nach §38 BSIG nicht abgesichert | |
| Risikoregister RISK-01-REGISTER |
Fehlt | Hoch | Kein belegbarer Schutzbedarf — erste Prüffrage des BSI unbeantwortet | |
| BSI-Registrierung §33 BSIG |
Fehlt | Hoch | Formaler Verzug seit 6. März 2026 — eigenständiger Bußgeldtatbestand | |
| Backup Restore-Test BCP-02-TEST |
Fehlt | Hoch | Keine Belastbarkeit der Wiederherstellung nachweisbar | |
| Schwachstellen-Tracker VULN-01-TRACKER |
Fehlt | Hoch | Kein strukturierter Nachweis für Schwachstellenbehandlung | |
| Business Continuity Plan BCP-01-PLAN |
Teilweise | Mittel | Wiederanlauflogik nicht vollständig dokumentiert | |
| Berechtigungsreviews IAC-02-REVIEW |
Überfällig | Mittel | Letzte Durchführung >12 Monate — Rezertifizierung nicht belegt | |
| Lieferanten-Sicherheitsmatrix SUP-01-VENDOR |
Teilweise | Mittel | Kritische Lieferanten erfasst, Risikobewertung ausstehend | |
| Monitoring-Konzept MON-01-LOGGING |
Teilweise | Mittel | Logquellen definiert, Eskalationslogik nicht dokumentiert | |
| Schutzbedarfsanalyse AST-02-PROTECTION |
Teilweise | Nachgelagert | Schutzbedarf je Asset nicht formal bewertet |
Empfohlene Abarbeitungsreihenfolge
Sofort (nächste 4 Wochen)
HochBSI-Registrierung nachholen · GF-Schulungsnachweis erstellen · Risikoregister aufsetzen. Diese drei Lücken sind bei einer BSI-Kontaktaufnahme sofort erklärungspflichtig.
Kurzfristig (nächste 3 Monate)
MittelRestore-Test dokumentieren · Schwachstellen-Tracker einrichten · Berechtigungsreviews nachholen · BCP fertigstellen. Diese Lücken sind bei vollständigem Audit relevant.
Nachgelagert (6–12 Monate)
NachgelagertSchutzbedarfsanalyse · Lieferanten-Risikobewertung · Monitoring-Eskalationslogik · Krypto-Kataster. Wichtig für vollständige Compliance, nicht für Sofortrisikominimierung.
Was passiert, wenn kritische Lücken offen bleiben
BSI-Bußgeld (§65 BSIG)
UnmittelbarFehlende Registrierung und mangelnde Meldeprozesse können bei bwE bis zu 10 Mio. € oder 2% des Jahresumsatzes kosten — je nachdem, was höher ist.
Persönliche GF-Haftung (§38 BSIG)
UnmittelbarFehlender GF-Schulungsnachweis und mangelnde Aufsicht sind eigenständige Haftungstatbestände. Die GF kann persönlich in Anspruch genommen werden.
Versicherungsausfall
KurzfristigViele Cyber-Versicherungen setzen Mindest-Compliance voraus. Nicht-Registrierte Einrichtungen riskieren Leistungsausfall bei Sicherheitsvorfällen.
Handlungsunfähigkeit im Vorfall
KurzfristigFehlender Restore-Test und fehlendes Meldeprotokoll bedeuten: bei einem Ransomware-Angriff läuft die 24h-Frist, während das Unternehmen noch in der Abstimmung ist.
Hinweis: Diese Übersicht zeigt den aktuellen Stand und die verbleibenden Lücken. Die vollständige Schließung aller Gaps erfordert alle 24 Arbeitspakete des NIS2-Umsetzungsarbeitsplatzes — mit Dokumenten, Prüfpfaden und Wirksamkeitsnachweisen.