NIS2 Readiness Audit

Einordnung und Vorgehen

Die NIS-2-Richtlinie verschärft Pflichten für viele Organisationen in kritischen und wichtigen Sektoren: Risikomanagement, Incident-Handling, Lieferkettensicherheit und Nachweisfähigkeit rücken in den Fokus von Aufsicht und Geschäftsführung. Ein NIS2-Readiness-Audit ist keine reine Checkbox-Übung, sondern eine strukturierte Bestandsaufnahme: Wo stehen Sie heute, welche Nachweise existieren bereits, und welche Lücken blockieren eine belastbare Erklärung gegenüber internen und externen Stakeholdern?

In der Praxis beginnen wir mit der Einordnung Ihres Unternehmens: Branche, Größe, Dienstleisterstruktur und kritische Dienste. Darauf aufbauend priorisieren wir Assets und Datenflüsse – typischerweise in Abstimmung mit IT, Informationssicherheit und Fachbereichen. Ziel ist ein gemeinsames Verständnis davon, welche Systeme wirklich geschäftskritisch sind und wo regulatorische Erwartungen (z. B. zu Logging, Zugriffskontrolle oder Patchmanagement) konkret adressiert werden müssen.

Das Audit liefert eine Gap-Analyse gegen sinnvolle Referenzrahmen – etwa ISO/IEC 27001-Annex-A-Controls, BSI-Bausteine oder branchenspezifische Vorgaben – immer mit Blick auf Machbarkeit im Mittelstand. Statt theoretischer Soll-Kataloge erhalten Sie einen Maßnahmenplan mit Aufwand, Verantwortlichkeit und empfohlener Reihenfolge: Was sollten Sie zuerst schließen, um das größte Risiko oder den größten Nachweishebel zu bedienen?

Dokumentation und Policies sind ein wiederkehrendes Thema: Viele Unternehmen haben Einzelmaßnahmen umgesetzt, aber wenig konsistente Leitlinien. Wir schlagen vor, Kernpunkte (Zugriff, Änderung, Lieferanten, Notfall, Backup) schlank aber prüffähig zu formulieren und mit realen Abläufen zu verzahnen. So entsteht kein Papierberg, sondern ein Set, das Sie im Alltag nutzen und jährlich weiterentwickeln können.

Technische Stichproben ergänzen die organisatorische Sicht: z. B. Review von IAM-Konzepten, Segmentierung, Monitoring, Schwachstellenmanagement und Backup/Restore-Tests. Wo nötig, beziehen wir Cloud- und SaaS-Konfigurationen ein – inklusive Verantwortlichkeiten im Shared-Responsibility-Modell. Die Ergebnisse fließen in priorisierte Empfehlungen ein, die sich später in konkrete Projekte (Härtung, IAM-Modernisierung, SIEM-Ausbau) übersetzen lassen.

Für das Management bündeln wir Befunde in einer verständlichen Kurzfassung: Risiken, regulatorische Relevanz, geschätzter Aufwand und Quick Wins. Die hier angegebene Kostenspanne spiegelt typische Umfänge für mittelgroße IT-Landschaften wider; stark verteilte Standorte, viele Tochtergesellschaften oder tief integrierte OT/IoT-Umgebungen können die Komplexität erhöhen. Im Anschluss an das Audit empfehlen wir, Maßnahmen in einem Roadmap-Quartal zu bündeln und Erfolge messbar zu machen – etwa über reduzierte kritische Findings oder nachweisbare Kontrolltests.

Wenn Sie bereits ISO-27001-Zertifizierung anstreben oder einen externen Penetrationstest planen, lässt sich das Readiness-Audit ideal als Vorlauf nutzen: Sie vermeiden doppelte Arbeit, weil Prioritäten und Verantwortlichkeiten früh klar sind. Unsere Leistungen rund um IT-Sicherheit, Pentests und Begleitung bei der Umsetzung können nahtlos anschließen – sprechen Sie uns an, wenn Sie einen durchgängigen Plan von Analyse bis Umsetzung wünschen.

Lieferketten und eingebundene Dienstleister sind für NIS2 zentral: Verträge, SLAs, Unterauftragnehmer und Cloud-Shared-Responsibility müssen nachvollziehbar sein. Im Readiness-Audit prüfen wir, ob Nachweise (z. B. Auftragsverarbeitung, technische und organisatorische Maßnahmen beim Partner) vorliegen und wie Incident-Information entlang der Kette fließt. Wo Lücken bestehen, formulieren wir konkrete Anforderungen an Ausschreibungen und das Onboarding neuer Vendor.

Aufsichtsrat, Geschäftsführung und Fachbereiche erwarten oft unterschiedliche Tiefen der Darstellung. Wir liefern eine Executive-Version mit klaren Entscheidungsoptionen und eine technische Anlage für IT/Security, damit Budget und Roadmap aus einem Gesamtbild ableitbar sind. Zyklische Updates (z. B. vierteljährliche Statusberichte) lassen sich später aus denselben KPIs speisen – reduzierte kritische Findings, abgeschlossene Kontrolltests, ausgerollte Schulungen.

In Workshops und Leitfadeninterviews klären wir Rollen, Verantwortliche (RACI) und Datenklassifikation. Viele Organisationen unterschätzen, wie oft „öffentlich intern“ und „vertraulich“ vermischt werden – mit Folgen für Zugriffskonzepte und Logging-Pflichten. Eine schlanke Klassifikation verbunden mit Beispielen aus dem Alltag macht die Anforderungen handhabbar und vermeidet akademische Modelle ohne Betriebspassung.

Reifegrad und Werkzeuglandschaft gehören zusammen: Ohne grundlegendes Patch- und Berechtigungsmanagement nützt ein teures SIEM wenig. Wir ordnen Maßnahmen nach Wirksamkeit und Aufwand ein (Quick Wins vs. strategische Investitionen) und verbinden sie mit Ihrer Ist-Toolchain. So entsteht kein theoretischer Soll-Katalog, sondern ein umsetzbares Programm, das sich an Personaldecke und Budgetzyklus orientiert.

Meldeketten und frühzeitige Information der zuständigen Stellen sind unter NIS2 stärker strukturiert als früher üblich: Es zählt nicht nur, dass ein Incident erkannt wird, sondern dass Rollen, Eskalationspfade und Fristen dokumentiert und geübt sind. Im Readiness-Audit prüfen wir Playbooks, Erreichbarkeiten und Schnittstellen zu internen Kommunikationsteams sowie externen Partnern – und wo sinnvoll, wie Übungen (Tabletop) die Abläufe schärfen, ohne das Tagesgeschäft zu blockieren.

Das Readiness-Audit ersetzt kein externes Rechtsgutachten zur Konzernqualifikation, ersetzt aber häufig teure Fehlinvestitionen, weil technische und organisatorische Maßnahmen zuerst auf die tatsächlichen Risiken ausgerichtet werden. Wir grenzen klar ab, welche Fragen Juristen, Datenschutz oder spezialisierte Auditoren beantworten müssen, und liefern Ihnen die technische und prozessuale Substanz, die diese Stellen für fundierte Entscheidungen brauchen.

Schulungen und Awareness sind ein oft unterschätzter Hebel: Gesicherte Systeme nützen wenig, wenn Mitarbeitende weiterhin sensible Daten per privaten Messenger teilen oder auf gefälschte Rechnungen klicken. Wir empfehlen, kurze, rollenbasierte Module (Führungskraft, IT, Fachbereich) mit praxisnahen Szenarien zu kombinieren und den Erfolg über Phishing-Simulationen oder Quiz-Checks stichprobenartig zu messen – ohne die Belegschaft zu demotivieren.