NIS2 Gap-Scan Express · Art.-21-Compliance-Bewertung mit defensiver KI
NIS2-Art.-21-Bewertung (10 technische und organisatorische Maßnahmen) mit eigenem defensiven KI-Stack und persönlicher Unterschrift des Verantwortlichen. Diagnose, priorisierter Plan und Leitungsmemo in vier Wochen.
NIS2 Gap-Scan Express
NIS2-Art.-21-Compliance-Diagnose in vier Wochen, mit Multi-Modell-KI und menschlicher Verantwortungsübernahme
Die NIS2-Richtlinie (EU-Richtlinie 2022/2555) erfasst in Spanien rund zwölftausend Einrichtungen als wesentliche oder wichtige Betreiber und verpflichtet zur Umsetzung von zehn konkreten technischen und organisatorischen Maßnahmen (Art. 21). Die spanische Umsetzung erfolgt auf zwei parallelen Wegen: das bereits in Kraft getretene Königliche Gesetzesdekret 7/2025 mit Teilpflichten sowie der Vorentwurf des Gesetzes zur Koordinierung und Steuerung der Cybersicherheit im Gesetzgebungsverfahren. Mögliche Bußgelder erreichen zehn Millionen Euro oder zwei Prozent des globalen Umsatzes, mit persönlicher Haftung der Führungskräfte.
OCIRIA NIS2 Gap-Scan Express liefert in vier Wochen eine technische Diagnose der Art.-21-Compliance, eine priorisierte Befundkarte und ein für die Leitung formuliertes Führungsmemo. Die gesamte Analyse erfolgt mit einem eigenen Multi-Modell-KI-Stack (Claude Haiku, Sonnet und Opus in Triangulierung) unter persönlicher Aufsicht und Unterzeichnung durch den Verantwortlichen von Ibida Black Level S.L.
Was genau abgedeckt wird
Die Gap-Analyse bewertet die zehn Maßnahmen gemäß Art. 21 der Richtlinie:
1. Risikomanagementpolitik.
2. Vorfallsmanagement (Erkennung, Meldung und Reaktion).
3. Betriebskontinuität: Datensicherung, Notfallwiederherstellung und Krisenmanagement.
4. Sicherheit der Lieferkette.
5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Systemen.
6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen.
7. Grundlegende Hygiene: Praktiken, Schulung und Sensibilisierung.
8. Kryptografie und Verschlüsselung, soweit angemessen.
9. Personalsicherheit, Zugangskontrollpolitik, Asset-Management.
10. Multi-Faktor-Authentifizierung und sichere Kommunikation.
Für jede Maßnahme ermitteln wir den Ist-Zustand, den Abstand bis zur Compliance, den indikativen Aufwand zur Schließung und die relative Priorität in Bezug auf Ihre Organisation.
Warum dieser Dienst existiert
Traditionelle Beratungsunternehmen gehen NIS2 mit zweimonatigen Vorlagen, vier- bis sechsköpfigen Teams und hundert Folien starken Berichten an, die die Geschäftsleitung nie zu Ende liest. Die Big4 tun das noch teurer und langsamer. Die Realität ist, dass die meisten Einrichtungen zunächst wissen müssen, wo sie stehen, und nicht einen Zwölf-Monats-Plan erhalten wollen, bevor sie den ersten Befund gesehen haben.
OCIRIA nutzt defensive KI, um technische Analysen, die ein menschliches Team vierzig bis sechzig Stunden benötigen würde, in einem Bruchteil der Zeit durchzuführen. Was die KI nicht entscheidet, ist jedes materielle Lieferprodukt: die Befundkarte, die Priorisierung und das Führungsmemo werden vom menschlichen Verantwortlichen persönlich unterzeichnet. KI beschleunigt; sie ersetzt nicht.
Wie wir arbeiten · vier Wochen, drei Lieferprodukte
Woche 1 · Umfang und Aufnahme. Auftaktgespräch (fünfundvierzig Minuten) zum Verständnis von Branche, Größe, Kritikalität, Abhängigkeiten und bisheriger Exposition. Erhebung der minimal notwendigen Informationen ohne Zugang zu Live-Systemen: Domains, E-Mail-Infrastruktur, bekannte öffentliche Exposition, vorhandene Sicherheitsrichtlinie, relevantes Organigramm.
Woche 2 · Multi-Modell-KI-Analyse + menschliche Validierung. Triangulierung zwischen drei Claude-Modellen (Haiku für Klassifizierung, Sonnet für Korrelation, Opus für kritische Analyse). Erkennung von Modellabweichungen als Risikosignal für manuelle Untersuchung. Verifizierung der öffentlichen Oberfläche (defensives OSINT: Subdomains, indexierte Leaks, DNS/SPF/DMARC-Konfiguration, HTTP-Header, Zertifizierung, Shodan/Censys-Exposition). Normatives Gap-Analyse Maßnahme für Maßnahme.
Woche 3 · Abgleich mit der operativen Realität. Technische Sitzung (sechzig bis neunzig Minuten) mit dem internen Verantwortlichen (sofern vorhanden) oder der Geschäftsleitung zur Validierung der Befunde, Ergänzung von Lücken, die die Modelle nicht sehen (interne Verfahren, Lieferantenverträge, durchgeführte Schulungen) und Priorisierung.
Woche 4 · Unterzeichnete Lieferprodukte. Drei Dokumente: ausführlicher technischer Bericht mit detaillierten Befunden und reproduzierbaren Belegen, priorisierte Maßnahmenkarte mit indikativem Aufwand und Frist sowie ein dreiseitiges Führungsmemo, das so formuliert ist, dass die Geschäftsleitung es in den Vorstand oder Prüfungsausschuss tragen kann. Alle persönlich vom Verantwortlichen von Ibida Black Level S.L. unterzeichnet.
Preise
OCIRIA NIS2 Gap-Scan hat drei Stufen, je nach Tiefe und anschließender Begleitung:
| Stufe | Produkt | Preis | Zeitraum |
|---|---|---|---|
| Express | Art.-21-Gap-Analyse + priorisierte Karte + Leitungsmemo | 3.500 € | 4 Wochen |
| Standard | Express + Zwölf-Monats-Roadmap + Incident-Tabletop | 6.500 € | 5-6 Wochen |
| Premium | Standard + monatliche Begleitung sechs Monate | 12.900 € | 4 Wochen + 6 Monate |
Die Preise sind indikativ für KMU (bis zweihundertfünfzig Mitarbeiter) und Standard-Mid-Market. Für konsolidierte Gruppen, mehrstufige Infrastruktur oder Branchen mit zusätzlicher Regulierung (Gesundheit, Energie, Wasser, Finanzen) passen wir Umfang und Budget im Auftaktgespräch an.
Zahlungsmodalität. Fünfzig Prozent zu Beginn, fünfzig Prozent bei Lieferung des Führungsmemos. Keine Vertragsstrafe, wenn wir nach dem Auftaktgespräch entscheiden, dass der Dienst nicht zu Ihrer Situation passt.
Für wen er geeignet ist
- Wesentliche Einrichtungen unter NIS2: Verkehr, Energie, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.
- Wichtige Einrichtungen unter NIS2: Postdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittel, Fertigung, digitale Plattformen, Forschung.
- Mid-Market-Unternehmen, die Dienste für NIS2-Einrichtungen erbringen und Pflichtfragebögen von regulierten Kunden erhalten.
- Konsolidierte Gruppen, die die NIS2-Posture über mehrere Tochtergesellschaften vor dem Vorstand vereinheitlichen müssen.
Wenn Sie Zweifel haben, ob NIS2 für Sie gilt, ist das Auftaktgespräch kostenlos, und wir klären das in dreißig Minuten.
Für wen er NICHT geeignet ist
- Unternehmen, die bereits einen internen CISO mit vollständiger Widmung und ein Sicherheitsteam mit drei oder mehr Personen haben. In diesem Fall benötigen Sie wahrscheinlich ein AI Red Team für Ihren internen Stack, keine externe Gap-Analyse.
- Unternehmen, die eine schnelle Zertifizierung suchen, um einen Verkaufsprozess zu bestehen, und keine echte Analyse wünschen. OCIRIA unterzeichnet keine Berichte, in denen keine verifizierbaren Befunde vorliegen.
- Branchen, in denen die anwendbare Regulierung eindeutig eine andere ist (DORA Finanzsektor mit spezifischer Widmung, reines DSGVO ohne NIS2-Komponente).
Typische Fälle
Fall 1 · Das mittelgroße Privatkrankenhaus. Medizinisches Zentrum mit zweihundertvierzig Mitarbeitern, persönlicher und telemedizinischer Versorgung, zwei Standorten und einer ausgelagerten elektronischen Krankenakte. Gap-Scan zeigt das Fehlen eines formalen Vorfallsmanagementverfahrens, Zwei-Faktor-Authentifizierung nur für das Verwaltungskonto, Backup-Richtlinie ohne periodische Überprüfung und vier IKT-Lieferanten ohne NIS2-Klauseln im Vertrag. Führungsmemo: geschätzte Compliance bei fünfundsechzig Prozent; Sechs-Monats-Plan für achtundachtzig Prozent mit indikativem Zusatzbudget von zwölftausend Euro.
Fall 2 · Das Wasseraufbereitungsunternehmen. Regionaler Betreiber unter OUG 155/2024 (rumänische NIS2-Umsetzung). Gap-Scan identifiziert DMARC bei p=none, cPanel-Panels in Shared Hosting mit Drittanbieter-Domains, Kundenportal ohne Zwei-Faktor-Authentifizierung oder HSTS. Führungsmemo: drei kritische Maßnahmen, die innerhalb von zweiundsiebzig Stunden geschlossen werden können, sieben Maßnahmen mit Drei-Monats-Plan, klare Schlussfolgerung, ob die Einrichtung eine erste Inspektion bestehen würde.
Fall 3 · Der industrielle Anbieter wesentlicher Dienste. Fertigungsunternehmen, das an eine wesentliche NIS2-Einrichtung verkauft und einen Pflichtfragebogen zur Compliance erhält. Gap-Scan ist darauf ausgerichtet, diesen Fragebogen mit Belegen zu beantworten: Fragen, die mit der aktuellen Compliance beantwortet werden können, solche, die Maßnahmen erfordern, und solche, die eine Vertragsklausel mit dem regulierten Kunden benötigen.
Wie Sie beginnen
Der erste Schritt ist ein kostenloses Auftaktgespräch von fünfundvierzig Minuten. Wir erklären, wie die Methodik funktioniert, welche typischen Befunde wir bei einem Unternehmen mit Ihrem Profil finden, und sagen Ihnen ehrlich, ob der Gap-Scan für Sie Mehrwert bringt oder ob Ihre Situation etwas anderes erfordert.
Wenn wir weitermachen, ist der Vertrag eine Seite lang und der Zeitplan beträgt vier Wochen ab Unterzeichnung.
Schreiben Sie uns an [email protected]