NIS2-Gap-Analyse für einen wesentlichen Betreiber

Sektor

Infrastruktur · Betreiber, eingestuft als wesentliche Einrichtung nach NIS2 · 200-500 Mitarbeitende · kritischer 24/7-Betrieb.

Ausgangslage

Die nationale NIS2-Umsetzung verpflichtete das Unternehmen, innerhalb definierter Fristen ein konkretes Reifegradniveau zu erreichen, mit relevanten administrativen Sanktionen bei Nichteinhaltung. Das interne Team kannte die Richtlinie, verfügte aber über keine objektive Kennzahl zur tatsächlichen Entfernung von den geforderten Kontrollen.

Vorgehen

Wir nutzten ein Bewertungsrahmenwerk, das aus den NIS2-Kontrollen abgeleitet und gegen ISO 27001, ENS sowie die Leitfäden der zuständigen nationalen Aufsichtsbehörde gemappt war. Wir deckten zehn Domänen ab: Governance, Risikomanagement, Kontinuität, Kryptografie, Zugriffsmanagement, Lieferkette, Incident Management, Schulung, physische Sicherheit und regulatorisches Reporting. Jede Domäne wurde durch Interviews, Dokumentenprüfung und technische Verifikation bewertet. Wir erstellten einen Sechsmonatsplan mit quartalsweisen Arbeitspaketen und definierten Verantwortlichen.

Ergebnis

Die Anfangsabweichung betrug 35% Compliance. Zum Ende des Sechsmonatsplans erreichte das Unternehmen 92% Compliance gegen die anwendbaren Kontrollen, die verbleibenden 8% in einem dokumentierten 12-Monats-Plan aufgrund von Investitionsabhängigkeiten.

Lehre

NIS2 besteht man nicht mit einem Einzelprojekt: Man besteht es mit einem Programm, das die Organisation auch nach Abzug der Beratung im Betrieb halten kann.

Zeit und Aufwand

Diagnose 4-6 Wochen · 6-Monats-Plan · 120-180 verteilte Beratungsstunden.

Schlagwörter

NIS2 · Compliance · Sicherheits-Governance · ISO 27001 · Risikomanagement · Wesentlicher Betreiber