ISMSJan Kahmen3 min Lesezeit

GAP-Analyse nach NIS2

Eine GAP-Analyse ist ein strukturiertes Verfahren, um den aktuellen Stand der IT-Sicherheits- und Compliance-Maßnahmen mit der NIS2-Richtlinie zu vergleichen.

Inhaltsverzeichnis

Zielsetzung

Eine GAP-Analyse verfolgt drei Hauptziele:

  1. Compliance-Status feststellen
    ➜ Erkennen, ob das Unternehmen alle NIS2-Anforderungen erfüllt.
  2. Sicherheits- und Governance-Lücken aufdecken
    ➜ Technische und organisatorische Schwachstellen sichtbar machen.
  3. Maßnahmen priorisieren
    ➜ Risiko- und fristbasiert Handlungspläne entwickeln.

Vorgehensweise – Schritt-für-Schritt

Schritt 1 – Soll-Anforderungen definieren

  • Rechtsgrundlage analysieren:
    • EU-NIS2-Richtlinie (2022/2555)
    • Nationale Umsetzungsgesetze (z. B. NIS2UmsuCG in DE)
  • Anforderungskatalog ableiten, z. B.:
    • Risikomanagementmaßnahmen
    • Technische und organisatorische Schutzmaßnahmen
    • Incident-Meldung und Reaktionszeiten
    • Business Continuity & Disaster Recovery
    • Lieferketten-Sicherheit
    • Sicherheitsschulungen
    • Nachweis- und Dokumentationspflichten
    • Verantwortlichkeiten der Geschäftsleitung

Schritt 2 – Ist-Stand erheben

  • Interviews mit IT, Security, Compliance, Geschäftsführung
  • Dokumentenprüfung (Policies, Prozessbeschreibungen, Audit-Reports)
  • Technische Bestandsaufnahme (Monitoring-Systeme, Backup-Konzepte, Netzwerkarchitektur)
  • Belegprüfung (z. B. Nachweise für Incident-Meldungen, Schulungsprotokolle)

Schritt 3 – Soll-Ist-Vergleich

  • Einstufung pro Anforderung:
    • ✅ Erfüllt
    • ⚠️ Teilweise erfüllt
    • ❌ Nicht erfüllt
  • Bewertung der Schwere der Lücke:
    • Compliance-Risiko (Gesetzesverstoß?)
    • Business-Risiko (betriebsgefährdend?)
    • Auswirkung auf Kunden/Partner

Schritt 4 – Maßnahmenplan entwickeln

  • Sofortmaßnahmen (z. B. Incident-Meldeprozess festlegen)
  • Mittelfristige Maßnahmen (z. B. Lieferantenprüfung einführen)
  • Langfristige Maßnahmen (z. B. Security-Architektur modernisieren)
  • Verantwortlichkeiten und Deadlines klar festlegen

Hilfsmittel & Best Practices

  • Frameworks: ISO 27001, NIST CSF, BSI-Grundschutz (hohe Überschneidung zu NIS2-Anforderungen)
  • Reifegradmodelle nutzen:
    • 0 = nicht vorhanden
    • 5 = Best Practice / voll integriert
  • Externe Audits einplanen:
    • Vermeidung von „Betriebsblindheit“
  • Dokumentation sicherstellen:
    • „Nicht dokumentiert“ gilt im Audit oft als „nicht vorhanden“

Typische Herausforderungen

  • Interpretationsspielraum: NIS2 formuliert teils abstrakt – nationale Umsetzungstexte sind präziser.
  • Bereichsübergreifende Zuständigkeiten: IT, Einkauf, HR, Rechtsabteilung, Geschäftsführung müssen zusammenarbeiten.
  • Lieferketten-Absicherung: Oft größtes Risiko, aber schwer umzusetzen.
  • Meldeprozesse unter 24 Stunden: Bedarf klarer Kommunikation & Bereitschaftsdienst.

Fazit

Eine NIS2-GAP-Analyse ist keine einmalige Pflichtübung, sondern der Startpunkt für ein nachhaltiges Sicherheits- und Compliance-Management.
Gut durchgeführt, bietet sie:

  • Rechtssicherheit
  • Verbesserte Sicherheitslage
  • Klaren Fahrplan zur Umsetzung

Merksatz: „Was nicht nachgewiesen werden kann, gilt als nicht vorhanden.“ – Unter NIS2 zählt nicht nur das Tun, sondern auch das Belegen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren