ESENRODEFRIT
Kontakt

2026-06-08 · Ibida Black Level S.L.

NIS2-Selbstbewertung: 25 Fragen, um die Compliance Ihres Unternehmens zu prüfen

Eine 25-Fragen-Selbstbewertung zu NIS2 für europäische mittelständische Unternehmen. Operativ, ohne Panikmache, ohne Verkaufsdruck. In 20 Minuten machbar.

NIS2-Selbstbewertung: 25 Fragen, um die Compliance Ihres Unternehmens zu prüfen

Wenn Ihr Unternehmen 50 bis 500 Mitarbeitende hat, in einem Sektor tätig ist, den die NIS2-Richtlinie als wesentlich oder wichtig einstuft, und Sie diesen kurzen Test nicht mit dokumentierten Nachweisen beantworten können, haben Sie eine Compliance-Lücke. Diese Fragen sind nicht dazu da, Sie zu erschrecken. Sie sind dazu da, Ihnen in zwanzig Minuten dieselbe diagnostische Momentaufnahme zu liefern, die wir im Rahmen unserer kostenpflichtigen Erstbewertung übergeben. Wenn Sie nach dem Durchgang entscheiden, dass Sie uns nicht brauchen, ist das ein gutes Ergebnis.

Der Test besteht aus fünf Blöcken zu je fünf Fragen: Governance, Risiko- und Asset-Management, Vorfallbehandlung, Lieferkette und Kontinuität. Jede Frage hat eine binäre Antwort (Ja mit Nachweis oder Nein) sowie eine kurze Erklärung, was "Ja mit Nachweis" praktisch bedeutet. Halbe Ja-Antworten gibt es nicht. Die NIS2-Aufsicht wird sie, wenn sie kommt, ebenfalls nicht akzeptieren.

1 · Governance und Verantwortung (Fragen 1 bis 5)

1. Erhält das Leitungsorgan Ihres Unternehmens mindestens alle 12 Monate eine dokumentierte und datierte Schulung zur Cybersicherheit mit Anwesenheitsnachweis?

"Ja mit Nachweis" bedeutet unterzeichnete Anwesenheitslisten oder ein Eintrag in einem Lernmanagementsystem. Ein vages "Wir haben eine Foliensammlung verschickt" reicht nicht. NIS2 Artikel 20 macht dies zur ausdrücklichen Pflicht der Geschäftsleitung, nicht des IT-Teams. Wir finden routinemäßig Unternehmen, in denen der CTO dreißig Stunden Schulung absolviert hat und die Geschäftsleitung null.

2. Gibt es einen schriftlich benannten Cybersicherheitsverantwortlichen mit klarer Berichtslinie zum Leitungsorgan und einem für das laufende Geschäftsjahr zugewiesenen Budget?

Ein CISO ohne Budget, ohne Personal und mit gestrichelter Linie zur IT-Operative ist kein CISO. Die Richtlinie spricht von definierter Verantwortung, nicht von einem Titel.

3. Hat das Leitungsorgan eine schriftliche Cybersicherheitsrisikomanagement-Richtlinie, datiert innerhalb der letzten 18 Monate, formell genehmigt?

Viele mittelständische Unternehmen stützen sich noch auf eine IT-Richtlinie aus 2019, die von Firewalls und Antivirus spricht und Cloud, Identität sowie Lieferkette vergisst. NIS2 verlangt einen Risikomanagement-Rahmen, keine Produktliste aus der Perimeter-Ära.

4. Sind die persönlichen Haftungen des Leitungsorgans bei NIS2-Nichteinhaltung verstanden, in einer Sitzungsniederschrift oder Vergleichbarem dokumentiert und jährlich überprüft?

NIS2 hat erstmals eine persönliche Geschäftsleitungshaftung eingeführt. Wenn Ihr Vorstand nie eine Notiz dazu gesehen hat, was dies für ihn persönlich bedeutet, haben Sie eine Bewusstseinslücke, keine technische.

5. Haben Sie einen Prozess, um festzustellen, ob Ihr Unternehmen nach dem nationalen NIS2-Umsetzungsgesetz als wesentliche oder wichtige Einrichtung gilt, und haben Sie sich, wo erforderlich, bei der zuständigen Behörde registriert?

In Deutschland ist das BSI die Referenz, in Österreich GovCERT, in der Schweiz das NCSC im jeweiligen nationalen Rahmen. In Spanien gelten INCIBE-CERT und das nach dem Umsetzungs-RD geführte Register. In Rumänien führt DNSC das Register. Wir haben Unternehmen gesehen, die in einem eindeutig wesentlichen Sektor tätig waren, ohne registriert zu sein, weil niemand die Frage besessen hat. Das ist Sanktionsrisiko, ohne Nuancen.

2 · Risiko- und Asset-Management (Fragen 6 bis 10)

6. Haben Sie ein aktuelles, in den letzten sechs Monaten überprüftes Inventar aller Assets, die Informationen speichern, verarbeiten oder übertragen, einschließlich SaaS und Schatten-IT?

Das Inventar muss die SaaS-Tools enthalten, die zwei Personen aus dem Finanzteam letztes Quartal abonniert haben. Beschränkt es sich auf verwaltete Assets, ist es konstruktionsbedingt unvollständig.

7. Haben Sie in den letzten 12 Monaten eine dokumentierte Cybersicherheits-Risikobewertung durchgeführt, die Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeit, Auswirkungen sowie akzeptierte gegenüber behandelten Risiken identifiziert?

NIS2 Artikel 21 Absatz 2 Buchstabe a verlangt dies ausdrücklich. Ein Anbieter-Sicherheitsfragebogen ist keine Risikobewertung.

8. Sind technische und organisatorische Kontrollen vorhanden, die das Prinzip der geringsten Rechte bei Identität, Zugriffsverwaltung und administrativen Konten durchsetzen, mit mindestens quartalsweisen Überprüfungen?

In rund vier von fünf mittelständischen Diagnosen finden wir mindestens ein Dienstkonto mit administrativen Rechten, das niemand im aktuellen Team vollständig erklären kann.

9. Werden alle Systeme innerhalb eines in Ihrer Richtlinie schriftlich festgelegten SLA gepatcht (typischer Mittelstandsbereich: 7 Tage kritisch, 30 Tage hoch, 90 Tage mittel), mit dokumentierten Ausnahmen für Fälle, in denen das SLA nicht eingehalten werden kann?

Die Ausnahmen sind ebenso wichtig wie das SLA. Ein pauschales "Wir patchen monatlich" ohne Ausnahmeregister ist kein Programm, sondern eine Gewohnheit.

10. Sind Verschlüsselungskontrollen (im Ruhezustand, bei der Übertragung, für Backups) pro System dokumentiert und durch periodische technische Nachweise (Konfigurations-Snapshots, Cipher-Suite-Überprüfungen, Schlüsselrotations-Logs) validiert?

Die häufigste Lücke hier ist die Backup-Verschlüsselung: in der Konsole aktiviert, niemals von dem Team validiert, das unter Druck wiederherstellen würde.

3 · Vorfallbehandlung (Fragen 11 bis 15)

11. Haben Sie einen schriftlichen Vorfallplan, datiert innerhalb der letzten 12 Monate, mit benannten Rollen, Kontaktlisten, Entscheidungsbäumen und Eskalationspfaden?

Kein einseitiges Diagramm. Ein Plan mit Playbooks für die drei oder vier wahrscheinlichsten Vorfallklassen (Ransomware, Business E-Mail Compromise, Vorfall bei einem Dritten, Datenexfiltration) ist die realistische Untergrenze.

12. Haben Sie in den letzten 9 Monaten eine Tabletop-Übung oder technische Übung mit einem schriftlichen Nachbesprechungsbericht und zugewiesenen Maßnahmen durchgeführt?

Eine Übung ohne Nachbesprechung ist Theater. Die Maßnahmenliste mit Eigentümern und Terminen ist das Artefakt, nach dem die NIS2-Aufsicht suchen wird.

13. Wissen Sie genau, welches nationale CSIRT oder welche zuständige Behörde Ihr Unternehmen nach NIS2 benachrichtigen muss, und haben Sie den Kontaktweg registriert?

In Deutschland ist es das BSI, in Spanien INCIBE-CERT für die meisten Sektoren mit CCN-CERT für öffentliche Verwaltungen. In Rumänien DNSC. Die URL zu kennen reicht nicht; der Kontaktweg muss mindestens einmal getestet sein.

14. Können Sie die Frühwarnung innerhalb von 24 Stunden nach Erkennung eines bedeutenden Vorfalls, die vollständige Meldung innerhalb von 72 Stunden und den Abschlussbericht innerhalb eines Monats abgeben, wie es Artikel 23 verlangt?

Die 24-Stunden-Uhr beginnt bei der Erkennung, nicht bei der Bestätigung. Die meisten mittelständischen Unternehmen, die den Prozess nicht getestet haben, unterschätzen, wie lange allein die interne Validierung dauert.

15. Sind Logs zentralisiert, für die nach Ihrem Sektor und Vorfallplan erforderliche Dauer aufbewahrt (typischer Mittelstand: mindestens 12 Monate für Sicherheits-Logs) und vor Manipulation geschützt?

Der Aufbewahrungszeitraum ist nicht willkürlich. Mehrere Aufsichtsbehörden haben begonnen, 12 bis 24 Monate Authentifizierungs-, Netzwerk- und Endpoint-Logs in Nachverfolgungsersuchen anzufragen.

4 · Lieferkette und Dritte (Fragen 16 bis 20)

16. Pflegen Sie eine Liste kritischer Drittparteien, sortiert nach Kritikalität, mit mindestens einer jährlichen Überprüfung ihrer Cybersicherheitsposition (Fragebogen, Zertifizierungsreferenz oder Auditbericht)?

NIS2 Artikel 21 Absatz 2 Buchstabe d macht das Lieferkettenrisiko zur ausdrücklichen Pflicht. Die Antwort "Wir vertrauen unserem CRM-Anbieter" erfüllt sie nicht.

17. Sind Cybersicherheitsklauseln in allen Verträgen mit kritischen Lieferanten enthalten, einschließlich der Pflicht zur Benachrichtigung bei Vorfällen, die Ihre Daten oder Dienste betreffen?

Wir haben gesehen, dass diese Klausel in 2023 und 2024 mit großen Cloud-Anbietern unterzeichneten Verträgen fehlte, weil das Rechtsteam keine Vorlagenaktualisierung sah und der Einkauf nicht nachfragte.

18. Haben Sie einen schriftlichen Prozess, um die Cybersicherheitsposition neuer Lieferanten vor Vertragsunterzeichnung zu bewerten, proportional zur Kritikalität und den Daten, die sie behandeln werden?

"Proportional" ist das Schlüsselwort. Ein monolithischer Fragebogen mit 200 Fragen für jeden Lieferanten tötet den Prozess. Ein gestufter Fragebogen mit Fast-Track für geringe Kritikalität ist die realistische Antwort.

19. Gibt es einen dokumentierten Ausstiegsplan für jeden kritischen Lieferanten, einschließlich Datenrückgabe, Schlüsselrotation und Zugriffsentzug, überprüft in den letzten 24 Monaten?

Der Ausstiegsplan ist die Lieferketten-Kontrolle, über die niemand sprechen möchte, bis zu dem Tag, an dem sie gebraucht wird und nicht existiert.

20. Werden Sie von Ihren kritischen Lieferanten informiert, wenn sie einen Cybersicherheitsvorfall erleiden, der Ihre Dienste oder Daten betreffen könnte, innerhalb eines Zeitrahmens, der es Ihnen erlaubt, Ihre eigenen NIS2-Meldepflichten zu erfüllen (typischerweise 12 bis 24 Stunden)?

Ohne dies wird Ihre 24-Stunden-Uhr gegenüber Ihrer Aufsicht sehr knapp.

5 · Kontinuität, Backups und Wiederherstellung (Fragen 21 bis 25)

21. Haben Sie ein unveränderliches oder physisch isoliertes Backup Ihrer kritischen Systeme, in den letzten 6 Monaten durch eine vollständige Wiederherstellung getestet?

Die teuerste Lektion, die die Ransomware-Welle 2023-2025 dem europäischen Mittelstand erteilte, lautet: "Wir haben Backups" ist nicht dasselbe wie "Wir haben wiederherstellbare Backups". Ein höchstens sechs Monate alter Wiederherstellungstest ist die realistische Untergrenze.

22. Sind Ihre Wiederherstellungszeit-Ziele (RTO) und Wiederherstellungspunkt-Ziele (RPO) pro kritischem Dienst definiert, mit dem Geschäftsinhaber abgestimmt und in der letzten Übung gemessen?

Wenn Ihr RTO eine Zahl auf einer Folie ist, die niemand jemals unter Druck gemessen hat, ist es ein Wunsch, kein Ziel.

23. Haben Sie einen Geschäftskontinuitätsplan, der den Verlust Ihres Hauptsitzes, den Verlust Ihrer Hauptcloud-Region und den 72-Stunden-Verlust Ihres IT-Teams abdeckt?

Das Szenario "Verlust des IT-Teams" klingt dramatisch; es deckt ein erfolgreiches gezieltes Spear Phishing von drei Personen am selben Tag ab.

24. Werden Cybersicherheitskontrollen periodisch durch unabhängige Bewertung (interne Revision, externer Pentest oder externe Diagnose) mit schriftlichem Bericht und Maßnahmen-Tracker validiert?

Unabhängigkeit zählt. Dasselbe Team, das die Kontrollen betreibt, sollte nicht das einzige sein, das sie validiert.

25. Gibt es einen schriftlichen Prozess, um die Empfänger Ihrer Dienste über einen bedeutenden Vorfall zu informieren, der ihre Nutzungsfähigkeit wesentlich beeinträchtigen könnte, innerhalb der von NIS2 vorgeschriebenen Fristen?

Dies ist die Pflicht, die viele mittelständische Unternehmen übersehen, weil sie zwischen Kommunikation, Recht und Sicherheit liegt. Wenn niemand sie besitzt, lautet die Antwort Nein.

So lesen Sie Ihre Punktzahl

Wir vergeben keine Punktzahl im strikten Sinne, weil die NIS2-Aufsicht dies auch nicht tut. Was wir vorschlagen:

> "Eine NIS2-Selbstbewertung gibt Ihnen keine Compliance. Sie gibt Ihnen eine Liste an Nachweisen, die Sie liefern können oder nicht. Der Unterschied wird sehr sichtbar, sobald eine Aufsicht zum ersten Mal danach fragt." — IBL-Diagnostikmethodik, interne Notiz 2026

Was als Nächstes zu tun ist

Wenn Sie die 25 Fragen durchgearbeitet haben und Ihre ehrliche Zählung Sie beunruhigt, ist der erste Schritt, das Ergebnis mit Ihrem Leitungsorgan zu teilen. Die NIS2-Pflichten liegen bei ihm, nicht allein beim Cybersicherheitsteam. Der zweite Schritt ist die Entscheidung, ob Sie die interne Kapazität haben, die Lücken zu schließen, oder externe Unterstützung benötigen.

Wenn Sie eine zweite Meinung zu Ihrer Selbstbewertung wünschen, können Sie ein 45-minütiges Gespräch mit uns anfragen. Wir versuchen in diesem Gespräch nicht, Ihnen ein Programm zu verkaufen. Wir bitten Sie, drei Ihrer Nein-Antworten im Detail mit uns durchzugehen, und sagen Ihnen, ob wir sie als einfache Korrekturen, strukturelle Lücken oder etwas dazwischen einschätzen.

Schreiben Sie an [email protected]. Wir antworten innerhalb eines Werktags.

---

Ibida Black Level S.L. ist eine Boutique-Beratung für Cybersicherheit mit Sitz in Málaga, Spanien, und einem operativen Team in Rumänien. Wir arbeiten mit europäischen mittelständischen Unternehmen, die technische Ehrlichkeit der Anbieterverpackung vorziehen. Wir wurden 2026 gegründet; wir erfinden keine längere Geschichte.

Weiterführende Lektüre

Tags: nis2, compliance, mittelstand, selbstbewertung, artikel-21, vorfallsmeldung, lieferkette