Diese Seite zeigt, wie die Artefakte eines NIS2 Evidence Sprints aussehen. Alle Daten, Unternehmensnamen und Nachweise sind fiktiv und dienen ausschließlich zur Illustration.
◆ Artefakt 1
Systematische Zuordnung vorhandener Dokumente zu NIS2-Controls mit Fundstellen und Bewertung der Nachweisqualität.
| NIS2-Anforderung | Vorhandenes Dokument | Fundstelle | Qualität | Lücke |
|---|---|---|---|---|
| Risikomanagement (Art. 21 Abs. 2a) | IT-Sicherheitskonzept v2.1 (2023) | Kapitel 3, S. 12–18 | Teilweise | Kein aktuelles Risikoregister, keine jährliche Aktualisierung dokumentiert |
| Incident Handling (Art. 21 Abs. 2b) | Notfallhandbuch IT v1.0 (2021) | Abschnitt 4.2 | Teilweise | Keine Meldepflichten nach NIS2, keine 24h/72h-Fristen dokumentiert |
| Business Continuity (Art. 21 Abs. 2c) | Backup-Konzept v3.0 (2024) | Vollständig | Vorhanden | Kein dokumentierter Restore-Test, kein BCP-Dokument |
| Supply Chain Security (Art. 21 Abs. 2d) | Lieferantenvertrag Muster (2022) | Anlage 3 | Fehlt | Keine systematische Lieferantenbewertung, keine IT-Sicherheitsanforderungen in Verträgen |
| Netzwerksicherheit (Art. 21 Abs. 2e) | Netzwerkdokumentation v2.0 (2023) | Kapitel 2 | Teilweise | Kein aktuelles Segmentierungskonzept, keine Firewall-Regelwerk-Dokumentation |
| Zugriffskontrolle (Art. 21 Abs. 2i) | AD-Berechtigungskonzept v1.2 (2022) | Vollständig | Vorhanden | Kein MFA-Nachweis für privilegierte Accounts, keine regelmäßige Rezertifizierung |
| Kryptographie (Art. 21 Abs. 2h) | — | — | Fehlt | Kein Kryptographie-Konzept vorhanden |
| Awareness & Schulung (Art. 21 Abs. 2g) | Schulungsnachweis IT-Security (2024) | HR-System | Teilweise | Nur 40% der Mitarbeiter geschult, kein Nachweis für Führungskräfte |
◆ Artefakt 2
Priorisierte Übersicht der wesentlichen Lücken nach Risiko und Umsetzungsaufwand.
Verschlüsselung von Daten at rest und in transit nicht dokumentiert. Keine Schlüsselverwaltung nachweisbar. Betrifft Art. 21 Abs. 2h.
Kein dokumentierter Prozess für 24h-Erstmeldung und 72h-Folgemeldung an BSI. Kein Ansprechpartner benannt. Betrifft Art. 23.
Keine IT-Sicherheitsanforderungen in Lieferantenverträgen. Keine systematische Bewertung kritischer Dienstleister. Betrifft Art. 21 Abs. 2d.
Risikomanagement-Konzept vorhanden, aber kein aktuelles Risikoregister und keine dokumentierte jährliche Aktualisierung.
Berechtigungskonzept vorhanden, aber kein Nachweis für MFA-Einsatz bei Admin-Accounts und Remote-Zugängen.
Nur 40% der Mitarbeiter haben IT-Security-Schulung absolviert. Führungskräfte nicht nachweislich geschult. Betrifft Art. 20.
Backup-Konzept vorhanden und aktuell, aber kein dokumentierter Restore-Test in den letzten 12 Monaten.
Netzwerkdokumentation vorhanden, aber kein aktuelles Segmentierungskonzept und keine dokumentierten Firewall-Regeln.
Backup-Konzept vorhanden, aber kein vollständiges BCP-Dokument mit Wiederanlaufplänen und Kommunikationsplan.
◆ Artefakt 3
Priorisiertes Board mit konkreten Maßnahmen, Verantwortlichkeiten und Status.
24h/72h-Meldeprozess für Sicherheitsvorfälle nach Art. 23 NIS2 dokumentieren und Ansprechpartner benennen.
Verschlüsselungsstandards für Daten at rest und in transit definieren, Schlüsselverwaltung dokumentieren.
IT-Sicherheitsanforderungen in alle relevanten Lieferantenverträge aufnehmen, kritische Dienstleister bewerten.
Bestehendes IT-Sicherheitskonzept um aktuelles Risikoregister ergänzen, jährlichen Review-Prozess etablieren.
Multi-Faktor-Authentifizierung für alle privilegierten Accounts und Remote-Zugänge einrichten und dokumentieren.
Backup-Konzept auf Version 3.0 aktualisiert, 3-2-1-Regel dokumentiert, Aufbewahrungsfristen definiert.
AD-Berechtigungskonzept auf aktuelle Organisationsstruktur angepasst, Rollenkonzept dokumentiert.
◆ Artefakt 4
Strukturierter Umsetzungsplan mit priorisierten Maßnahmen und Meilensteinen.
◆ Nächster Schritt
Diese Artefakte zeigen, was nach einem Sprint vorliegt. Für Ihren konkreten Fall: 20-minütiger Statuscheck — kostenlos und unverbindlich.
NIS2-Statuscheck anfragen