ISMSJan Kahmen3 min Lesezeit

GAP-Analyse nach NIS2

Eine GAP-Analyse ist ein strukturiertes Verfahren, um den aktuellen Stand der IT-Sicherheits- und Compliance-Maßnahmen mit der NIS2-Richtlinie zu vergleichen.

Zielsetzung

Eine GAP-Analyse verfolgt drei Hauptziele:

  1. Compliance-Status feststellen
    ➜ Erkennen, ob das Unternehmen alle NIS2-Anforderungen erfüllt.
  2. Sicherheits- und Governance-Lücken aufdecken
    ➜ Technische und organisatorische Schwachstellen sichtbar machen.
  3. Maßnahmen priorisieren
    ➜ Risiko- und fristbasiert Handlungspläne entwickeln.

Vorgehensweise – Schritt-für-Schritt

Schritt 1 – Soll-Anforderungen definieren

  • Rechtsgrundlage analysieren:
  • Anforderungskatalog ableiten, z. B.:
    • Risikomanagementmaßnahmen
    • Technische und organisatorische Schutzmaßnahmen
    • Incident-Meldung und Reaktionszeiten
    • Business Continuity & Disaster Recovery
    • Lieferketten-Sicherheit
    • Sicherheitsschulungen
    • Nachweis- und Dokumentationspflichten
    • Verantwortlichkeiten der Geschäftsleitung

Schritt 2 – Ist-Stand erheben

  • Interviews mit IT, Security, Compliance, Geschäftsführung
  • Dokumentenprüfung (Policies, Prozessbeschreibungen, Audit-Reports)
  • Technische Bestandsaufnahme (Monitoring-Systeme, Backup-Konzepte, Netzwerkarchitektur)
  • Belegprüfung (z. B. Nachweise für Incident-Meldungen, Schulungsprotokolle)

Schritt 3 – Soll-Ist-Vergleich

  • Einstufung pro Anforderung:
    • ✅ Erfüllt
    • ⚠️ Teilweise erfüllt
    • ❌ Nicht erfüllt
  • Bewertung der Schwere der Lücke:
    • Compliance-Risiko (Gesetzesverstoß?)
    • Business-Risiko (betriebsgefährdend?)
    • Auswirkung auf Kunden/Partner

Schritt 4 – Maßnahmenplan entwickeln

  • Sofortmaßnahmen (z. B. Incident-Meldeprozess festlegen)
  • Mittelfristige Maßnahmen (z. B. Lieferantenprüfung einführen)
  • Langfristige Maßnahmen (z. B. Security-Architektur modernisieren)
  • Verantwortlichkeiten und Deadlines klar festlegen

Hilfsmittel & Best Practices

  • Frameworks: ISO 27001, NIST CSF, BSI-Grundschutz (hohe Überschneidung zu NIS2-Anforderungen)
  • Reifegradmodelle nutzen:
    • 0 = nicht vorhanden
    • 5 = Best Practice / voll integriert
  • Externe Audits einplanen:
    • Vermeidung von „Betriebsblindheit“
  • Dokumentation sicherstellen:
    • „Nicht dokumentiert“ gilt im Audit oft als „nicht vorhanden“

Typische Herausforderungen

  • Interpretationsspielraum: NIS2 formuliert teils abstrakt – nationale Umsetzungstexte sind präziser.
  • Bereichsübergreifende Zuständigkeiten: IT, Einkauf, HR, Rechtsabteilung, Geschäftsführung müssen zusammenarbeiten.
  • Lieferketten-Absicherung: Oft größtes Risiko, aber schwer umzusetzen.
  • Meldeprozesse unter 24 Stunden: Bedarf klarer Kommunikation & Bereitschaftsdienst.

Fazit

Eine NIS2-GAP-Analyse ist keine einmalige Pflichtübung, sondern der Startpunkt für ein nachhaltiges Sicherheits- und Compliance-Management.
Gut durchgeführt, bietet sie:

  • Rechtssicherheit
  • Verbesserte Sicherheitslage
  • Klaren Fahrplan zur Umsetzung

Merksatz: „Was nicht nachgewiesen werden kann, gilt als nicht vorhanden.“ – Unter NIS2 zählt nicht nur das Tun, sondern auch das Belegen.

Unsere Services

ISMS Beratung