NIS-2 Assessment Report
Assesment 1 – Test GmbH
Erstellt am 06.07.2026 23:00 UTC · Status: In Bearbeitung
Rechtsgrundlage: Art. 21 NIS2-Richtlinie (EU) 2022/2555 sowie das NIS2UmsuCG (verkündet als Bundesgesetzblatt
2025 Teil I Nr. 301 vom 5. Dezember 2025). Dieser Report ersetzt keine Rechtsberatung; einzelne
Paragrafenzuordnungen wurden noch nicht vollständig gegen den finalen Gesetzestext verifiziert.
Gesamtergebnis
Der Reifegrad ist der Durchschnitt über alle 46 Controls des Katalogs. Noch nicht beantwortete Controls zählen dabei als 0 (Nicht vorhanden), bis sie eingeschätzt wurden.
Reifegrad je Kategorie
Gaps – kritischer Handlungsbedarf (45)
Governance & Verantwortung der Geschäftsleitung
·
Art. 20 Abs. 1 NIS2-RL ↗;
§ 38 Abs. 1 BSIG-neu ↗
Governance & Verantwortung der Geschäftsleitung
·
§ 38 Abs. 3 BSIG-neu ↗
Governance & Verantwortung der Geschäftsleitung
·
§ 38 Abs. 1 S. 2 BSIG-neu ↗
Governance & Verantwortung der Geschäftsleitung
·
Art. 21 Abs. 1 NIS2-RL (organisatorische Umsetzung) ↗
Governance & Verantwortung der Geschäftsleitung
·
Art. 21 Abs. 2 lit. a NIS2-RL ↗
Risikoanalyse & Sicherheitskonzepte
·
Art. 21 Abs. 2 lit. a NIS2-RL ↗
Risikoanalyse & Sicherheitskonzepte
·
Art. 21 Abs. 2 lit. a NIS2-RL ↗
Risikoanalyse & Sicherheitskonzepte
·
Art. 21 Abs. 2 lit. a NIS2-RL ↗
Risikoanalyse & Sicherheitskonzepte
·
Art. 21 Abs. 2 lit. a NIS2-RL ↗
Bewältigung von Sicherheitsvorfällen (Incident Response)
·
Art. 21 Abs. 2 lit. b NIS2-RL ↗
Bewältigung von Sicherheitsvorfällen (Incident Response)
·
Art. 21 Abs. 2 lit. b NIS2-RL ↗
Bewältigung von Sicherheitsvorfällen (Incident Response)
·
Art. 21 Abs. 2 lit. b NIS2-RL ↗
Bewältigung von Sicherheitsvorfällen (Incident Response)
·
Art. 21 Abs. 2 lit. b NIS2-RL ↗;
§ 32 BSIG-neu ↗
Bewältigung von Sicherheitsvorfällen (Incident Response)
·
Art. 21 Abs. 2 lit. b NIS2-RL ↗
Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)
·
Art. 21 Abs. 2 lit. c NIS2-RL ↗
Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)
·
Art. 21 Abs. 2 lit. c NIS2-RL ↗
Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)
·
Art. 21 Abs. 2 lit. c NIS2-RL ↗
Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)
·
Art. 21 Abs. 2 lit. c NIS2-RL ↗
Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)
·
Art. 21 Abs. 2 lit. c NIS2-RL ↗
Sicherheit der Lieferkette
·
Art. 21 Abs. 2 lit. d NIS2-RL ↗
Sicherheit der Lieferkette
·
Art. 21 Abs. 2 lit. d NIS2-RL ↗
Sicherheit der Lieferkette
·
Art. 21 Abs. 2 lit. d NIS2-RL ↗
Sicherheit bei Beschaffung, Entwicklung, Wartung & Schwachstellenmanagement
·
Art. 21 Abs. 2 lit. e NIS2-RL ↗
Sicherheit bei Beschaffung, Entwicklung, Wartung & Schwachstellenmanagement
·
Art. 21 Abs. 2 lit. e NIS2-RL ↗
Sicherheit bei Beschaffung, Entwicklung, Wartung & Schwachstellenmanagement
·
Art. 21 Abs. 2 lit. e NIS2-RL ↗
Sicherheit bei Beschaffung, Entwicklung, Wartung & Schwachstellenmanagement
·
Art. 21 Abs. 2 lit. e NIS2-RL ↗
Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
·
Art. 21 Abs. 2 lit. f NIS2-RL ↗
Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
·
Art. 21 Abs. 2 lit. f NIS2-RL ↗
Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
·
Art. 21 Abs. 2 lit. f NIS2-RL ↗
Cyberhygiene & Sensibilisierung
·
Art. 21 Abs. 2 lit. g NIS2-RL ↗
Cyberhygiene & Sensibilisierung
·
Art. 21 Abs. 2 lit. g NIS2-RL ↗
Cyberhygiene & Sensibilisierung
·
Art. 21 Abs. 2 lit. g NIS2-RL ↗
Kryptografie & Verschlüsselung
·
Art. 21 Abs. 2 lit. h NIS2-RL ↗
Kryptografie & Verschlüsselung
·
Art. 21 Abs. 2 lit. h NIS2-RL ↗
Personalsicherheit, Zugriffskontrolle & Asset Management
·
Art. 21 Abs. 2 lit. i NIS2-RL ↗
Personalsicherheit, Zugriffskontrolle & Asset Management
·
Art. 21 Abs. 2 lit. i NIS2-RL ↗
Personalsicherheit, Zugriffskontrolle & Asset Management
·
Art. 21 Abs. 2 lit. i NIS2-RL ↗
Multi-Faktor-Authentifizierung & gesicherte Kommunikation
·
Art. 21 Abs. 2 lit. j NIS2-RL ↗
Multi-Faktor-Authentifizierung & gesicherte Kommunikation
·
Art. 21 Abs. 2 lit. j NIS2-RL ↗
Multi-Faktor-Authentifizierung & gesicherte Kommunikation
·
Art. 21 Abs. 2 lit. j NIS2-RL ↗
Registrierungs-, Melde- und Nachweispflichten gegenüber dem BSI
·
§§ 28-30 BSIG-neu ↗
Registrierungs-, Melde- und Nachweispflichten gegenüber dem BSI
·
§ 33 BSIG-neu ↗
Registrierungs-, Melde- und Nachweispflichten gegenüber dem BSI
·
§ 32 BSIG-neu ↗
Registrierungs-, Melde- und Nachweispflichten gegenüber dem BSI
·
§ 39 BSIG-neu ↗
Registrierungs-, Melde- und Nachweispflichten gegenüber dem BSI
·
§ 32 Abs. 4 BSIG-neu ↗
Stärken (1)
Personalsicherheit, Zugriffskontrolle & Asset Management
Maßnahmenplan
| Control | Reifegrad | Ausgewählte / geplante Maßnahmen |
|---|---|---|
| J1 – Zugriffskontrollkonzept ↗ | 3 |
Geplante Maßnahmen (1)
- Rollenbasiertes Berechtigungskonzept (RBAC) einführen ↗ — J1 Zugriffskontrollkonzept
Noch nicht bewertete Controls (45)
- A.A1 – Billigung & Überwachung durch die Geschäftsleitung ↗
- A.A2 – Schulung der Geschäftsleitung ↗
- A.A3 – Haftung & Sorgfaltspflicht ↗
- A.A4 – IT-Sicherheitsorganisation ↗
- A.A5 – Informationssicherheitsleitlinie ↗
- B.B1 – Methodik zur Risikoanalyse ↗
- B.B2 – Identifikation kritischer Systeme ↗
- B.B3 – Aktualität der Risikoanalyse ↗
- B.B4 – Risikobehandlungsplan ↗
- C.C1 – Incident-Response-Prozess ↗
- C.C2 – Erkennungsfähigkeit (Detection) ↗
- C.C3 – Interner Meldeweg ↗
- C.C4 – Eskalation & Erreichbarkeit ↗
- C.C5 – Übungen & Tests ↗
- D.D1 – Backup-Konzept ↗
- D.D2 – Notfall- & Wiederherstellungsplan ↗
- D.D3 – Krisenmanagement ↗
- D.D4 – Business Impact Analyse ↗
- D.D5 – Tests der Kontinuitätspläne ↗
- E.E1 – Lieferanteninventar & Risikobewertung ↗
- E.E2 – Vertragliche Sicherheitsanforderungen ↗
- E.E3 – Laufende Überwachung der Lieferkette ↗
- F.F1 – Sicherheitsanforderungen bei Beschaffung ↗
- F.F2 – Sichere Softwareentwicklung ↗
- F.F3 – Schwachstellen- & Patchmanagement ↗
- F.F4 – Koordinierte Offenlegung von Schwachstellen ↗
- G.G1 – Audits & Penetrationstests ↗
- G.G2 – Kennzahlen & Reporting ↗
- G.G3 – Kontinuierlicher Verbesserungsprozess ↗
- H.H1 – Grundlegende Cyberhygiene ↗
- H.H2 – Security-Awareness-Programm ↗
- H.H3 – Rollenbasierte Schulungen ↗
- I.I1 – Verschlüsselungskonzept ↗
- I.I2 – Schlüssel- & Zertifikatsmanagement ↗
- J.J2 – Personalsicherheit ↗
- J.J3 – Asset-Management ↗
- J.J4 – Privilegierte Konten ↗
- K.K1 – Multi-Faktor-Authentifizierung ↗
- K.K2 – Gesicherte Sprach-, Video- und Textkommunikation ↗
- K.K3 – Gesicherte Notfallkommunikation ↗
- L.L1 – Betroffenheitsprüfung ↗
- L.L2 – Registrierung beim BSI ↗
- L.L3 – Meldeprozess für Sicherheitsvorfälle ↗
- L.L4 – Nachweispflichten ↗
- L.L5 – Kommunikation mit Betroffenen ↗