Kostenloses NIS2 Assessment · Compliance-Selbstbewertung in 15 Minuten | OCIRIA
Fünfzehn Minuten. Zweiunddreißig Fragen. Sie wissen, ob NIS2 für Sie gilt, was sie verlangt und wo Sie anfangen sollen.
NIS2 Assessment
Erfahren Sie in fünfzehn Minuten, wie NIS2 Sie betrifft und wo Sie anfangen sollen
[Glossar: NIS2] ist die seit Oktober 2024 geltende europäische Cybersicherheitsrichtlinie. Sie ändert die Spielregeln für Tausende von Unternehmen, die zuvor keine formellen Pflichten hatten. Dieses kostenlose Tool positioniert Sie auf einen Blick: ob Sie in den Anwendungsbereich fallen, was sie konkret verlangt und welche Lücken am dringendsten sind.
[Button: Bewertung starten]
---
Was NIS2 ist
Die NIS2-Richtlinie (Network and Information Security 2) erweitert die Cybersicherheitspflichten europäischer Unternehmen erheblich. Ihre Vorgängerin NIS1 deckte Betreiber wesentlicher Dienste ab (Energie, Verkehr, Bankwesen, Gesundheit). NIS2 erweitert auf neue Sektoren (Postdienste, Abfallwirtschaft, Lebensmittel, Fertigung), bezieht wichtige Einrichtungen zusätzlich zu den wesentlichen ein, hebt die technische Messlatte der geforderten Kontrollen und verschärft die Sanktionen bei Nichteinhaltung.
Die nationale Umsetzung in den EU-Mitgliedstaaten läuft. Inspektionen werden vorbereitet. Verwaltungsstrafen können bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes bei wesentlichen Einrichtungen erreichen (7 Millionen oder 1,4% für wichtige), zusätzlich zur persönlichen Haftung der Geschäftsleitung bei schwerwiegenden Verstößen.
Dieses Tool ersetzt keine formale Compliance-Analyse, gibt Ihnen aber die erste operative Antwort: Gilt sie für mich? Was schaue ich zuerst an? Bin ich weit von der Einhaltung entfernt oder nah dran?
---
Warum es wichtig ist
Der Kalender ist eng. Die Richtlinie ist in Kraft. Die nationale Umsetzung läuft oder ist in mehreren Mitgliedstaaten bereits abgeschlossen. Aufsichtsbehörden sind operativ. Die bequeme „Ich schaue später" -Frist existiert nicht mehr.
Die Sanktionen sind wesentlich. Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen; bis zu 7 Millionen oder 1,4% bei wichtigen. Die Sanktion geht häufig mit öffentlichen Korrekturmaßnahmen einher, die das Kundenvertrauen erodieren.
Die Verantwortung reicht bis zur Geschäftsleitung. NIS2 führt explizite Haftung des Leitungsorgans ein. Maßnahmen genehmigen, Umsetzung beaufsichtigen, Schulung erhalten. Es wird nicht mehr vollständig an die Technikabteilung delegiert.
Ihre Kunden werden fragen. Wenn Ihr Kunde unter NIS2 fällt und Sie ihm einen relevanten IKT-Dienst erbringen, geben sie die Frage an Sie weiter. Sie können neue Vertragsklauseln, Kontrollnachweise, fristgerechte Vorfallsmeldekapazität fordern. Sich frühzeitig zu positionieren ist Wettbewerbsvorteil.
---
Was das Assessment bewertet
Der Fragebogen hat zweiunddreißig Fragen, organisiert in fünf Abschnitten:
Abschnitt 1 · Anwendungsbereich (6 Fragen). Tätigkeitssektor, Größe (Mitarbeitende, Umsatz), Art der Dienstleistung, geografische Präsenz. Ergebnis: Bestätigung, ob Sie wesentliche Einrichtung, wichtige Einrichtung oder außerhalb des Anwendungsbereichs sind.
Abschnitt 2 · Governance und Risikomanagement (6 Fragen). Existenz genehmigter Sicherheitsrichtlinie, Zuweisung von Verantwortlichkeiten, Schulung des Leitungsorgans, dokumentiertes Risikomanagementsystem, Überprüfungs- und Verbesserungsprozesse.
Abschnitt 3 · Technische Maßnahmen (8 Fragen). Identitäts- und Zugriffsmanagement, Kontrolle privilegierter Konten, Protokollierung und Auditierung, Schwachstellenmanagement, Netzwerksegmentierung, Datenverschlüsselung, Kontinuität und Wiederherstellung, IKT-Lieferkettenmanagement.
Abschnitt 4 · Vorfallsmanagement (6 Fragen). Existenz dokumentierten Reaktionsplans, identifiziertes und geschultes Team, Kriterien für Meldung an nationale Behörde in NIS2-Fristen (Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat), Kommunikation an betroffene Nutzer, periodische Plantests.
Abschnitt 5 · Lieferkette und Lieferanten (6 Fragen). Inventar kritischer IKT-Lieferanten, vertragliche Sicherheitsklauseln, periodische Lieferantenrisikobewertung, Kapazität für koordinierte Reaktion auf Lieferantenvorfälle.
Jede Frage hat geführte Optionen mit kontextueller Erklärung; Sie müssen kein Spezialist sein, um zu antworten.
---
Geschätzte Zeit
Zehn bis fünfzehn Minuten für jemanden mit Überblick über die Organisation (Manager, CFO, IT- oder Qualitätsverantwortlicher). Sie können Fortschritt speichern und später fortfahren, wenn Sie sich mit Ihrem Team beraten müssen.
---
Ergebnisse, die Sie sehen werden
Beim Abschluss des Fragebogens erhalten Sie:
Anwendungsbereich-Urteil. Wir sagen Ihnen explizit, ob NIS2 gilt, in welcher Kategorie (wesentliche Einrichtung · wichtige Einrichtung · außerhalb des Anwendungsbereichs · Grauzone mit Erklärung) und warum.
Globaler Reifegrad. Eine 0-100-Bewertung, die schätzt, wie Ihre Organisation gegenüber den Anforderungen der Richtlinie steht. Inklusive Aufschlüsselung nach Abschnitt mit Stärken und Schwächen.
Radarchart pro Abschnitt. Visualisierung Ihrer relativen Position in den fünf Abschnitten des Fragebogens. Nützlich, um der Geschäftsleitung auf einen Blick zu zeigen, wo der Aufwand zu konzentrieren ist.
Drei Top-Empfehlungen. Die drei Aktionen mit dem größten Einfluss auf Ihr Compliance-Niveau, priorisiert nach Aufwand-Nutzen-Verhältnis. Keine Liste von fünfzig Punkten: die drei, die jetzt wirklich zählen.
90-Tage-Aktionsplan. Konkreter Leitfaden der vorgeschlagenen nächsten Schritte in den kommenden drei Monaten, mit vernünftiger Reihenfolge und Verweisen auf konkrete Artikel der Richtlinie.
Warnungen zu kritischen Lücken. Wenn in einer Antwort eine Lücke auftaucht, die die Richtlinie als verpflichtend erachtet (z.B. völliges Fehlen eines Vorfallsreaktionsplans), kennzeichnen wir sie mit höchster Priorität.
---
Herunterladbares PDF
Das vollständige Ergebnis kann als zehn- bis fünfzehnseitiges PDF heruntergeladen werden mit:
- Executive Summary für die Geschäftsleitung.
- Ergebnis pro Abschnitt mit gegebenen Antworten und kontextuellen Kommentaren.
- Detaillierter 90-Tage-Aktionsplan.
- Glossar der Begriffe und Verweise auf Richtlinienartikel.
- Tracking-Vorlage zur quartalsweisen Überprüfung des Fortschritts.
Das PDF ist darauf ausgelegt, dem Exekutivkomitee ohne weitere Arbeit präsentiert zu werden. Es wird direkt heruntergeladen, ohne E-Mail zu hinterlassen. Wenn Sie es zusätzlich per E-Mail erhalten möchten, gibt es ein optionales Feld.
---
Für wen es ist
CISO oder Sicherheitsverantwortliche, die vor einer vollständigen formalen Analyse eine erste Baseline brauchen.
CTO oder technische Direktorin eines mittelständischen Unternehmens ohne dedizierte Sicherheitsfunktion, die die Exposition vor der Budgetierung verstehen wollen.
DPO oder Datenschutzbeauftragte, die DSGVO bereits kennen und NIS2 in Beziehung zu dem positionieren müssen, was sie bereits verwalten.
CEO oder Geschäftsführung von KMU und Mittelstand, die von NIS2 gehört haben und in klarer Sprache wissen müssen, was es für ihre Organisation bedeutet.
Compliance- oder Qualitätsverantwortliche, die regulatorische Pflichten kartieren und NIS2 in das Dashboard einbeziehen müssen.
---
Häufige Fragen
Ersetzt es eine formale Compliance-Analyse?
Nein. Es ist eine erste Karte, keine erschöpfende Analyse. Wenn Sie nach dem Ergebnis denken, dass Sie eine tiefe Diagnose benötigen, können wir sprechen. Wenn das Ergebnis Ihnen den Komfort gibt, intern zu managen, perfekt: Das Tool hat Ihnen Geld und Zeit gespart.
Was tun Sie mit meinen Antworten?
Wenn Sie das PDF ohne E-Mail herunterladen, behalten wir nichts außer anonymen aggregierten Statistiken (wie viele Unternehmen Ihres Sektors ähnlich antworten), um das Tool zu verbessern. Wenn Sie E-Mail hinterlassen, verwenden wir sie nur, um das PDF zu senden, und, wenn Sie das spezifische Kästchen markieren, um Sie mit einem Angebot zu kontaktieren. Kein automatischer Newsletter oder Weitergabe an Dritte.
Ist es mit der nationalen Umsetzung aktualisiert?
Ja. Wir halten das Tool aktuell mit der Umsetzung in Spanien und überwachen die Umsetzungen anderer relevanter Mitgliedstaaten. Hat die Umsetzung Ihres Landes Nuancen, weisen wir im Ergebnis darauf hin.
Kann ich Fortschritt speichern und später zurückkommen?
Ja. Wenn Sie den Fragebogen unterbrechen, können Sie per E-Mail einen Link anfordern, um dort fortzufahren, wo Sie aufgehört haben. Antworten werden verschlüsselt 30 Tage lang gespeichert und dann gelöscht, wenn Sie nicht abschließen.
Ist es wirklich kostenlos und ohne Haken?
Ja. Vollständiges Ergebnis und herunterladbares PDF kostenlos. Die kommerzielle Option ist freiwillig: Sie markieren ein Kästchen, wenn Sie kontaktiert werden möchten. Wenn Sie es nicht markieren, kontaktieren wir Sie nicht.
Können mehrere Mitglieder desselben Unternehmens es ausfüllen und Antworten vergleichen?
Ja. Es ist eine Praxis, die wir empfehlen: dass der IT-Verantwortliche und der Geschäftsführer separat antworten und vergleichen. Diskrepanzen offenbaren häufig Wahrnehmungslücken, die es wert sind, vor Investitionen besprochen zu werden.
---
Möchten Sie weitergehen?
Wenn Sie nach dem Assessment entscheiden, dass Sie Begleitung benötigen, um Lücken zu schließen, können wir über eine formale Diagnose oder die Option eines monatlichen vCISO sprechen, der das Anpassungsprogramm leitet. Kein Druck: Wenn das Tool so wie es ist nützlich war, hat es Geld gespart. Das ist schon ein Gewinn.
Sprechen wir · [[email protected]](mailto:[email protected])
[Button: Bewertung starten] · [Button: Email Scanner auch ausprobieren](/de/tools/email-scanner)