NIS-2 Gap-Analyse: Wo steht Ihr Unternehmen?

Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 – ohne Übergangsfristen. Viele Unternehmen fragen sich: Erfüllen wir die Anforderungen bereits? Wo bestehen Lücken? Unsere NIS-2 Gap-Analyse liefert Ihnen in wenigen Tagen Klarheit und einen konkreten Maßnahmenplan.

Gap-Analyse anfragen Erst Betroffenheit prüfen
Definition

Was ist eine NIS-2 Gap-Analyse?

Eine NIS-2 Gap-Analyse (auch: NIS-2-Reifegradanalyse oder NIS-2-Assessment) ist eine systematische Bewertung Ihrer aktuellen Informationssicherheitsmaßnahmen im Vergleich zu den gesetzlichen Anforderungen des NIS-2-Umsetzungsgesetzes. Das Ergebnis zeigt präzise, welche der 10 Mindestmaßnahmen nach § 30 BSIG Sie bereits erfüllen – und wo Handlungsbedarf besteht.

Der Begriff „Gap" (englisch für „Lücke") beschreibt die Differenz zwischen Ihrem Ist-Zustand und dem geforderten Soll-Zustand. Je größer die Lücke, desto dringender der Handlungsbedarf. Eine professionelle Gap-Analyse identifiziert nicht nur diese Lücken, sondern priorisiert sie auch nach Risiko und Aufwand.

Wichtig zu wissen: Eine Gap-Analyse ist keine Zertifizierung. Es gibt keine offizielle „NIS-2-Zertifizierung" – mehr dazu in unserem Fachartikel. Die Gap-Analyse ist vielmehr ein internes Werkzeug, um Ihren Compliance-Status zu ermitteln und die Umsetzung zu steuern.

Umfang

Was wir in der NIS-2 Gap-Analyse prüfen

Unsere Gap-Analyse orientiert sich an den 10 Mindestmaßnahmen nach § 30 BSIG und berücksichtigt die spezifischen Anforderungen für Ihr Unternehmen.

01

Risikoanalyse und Informationssicherheitskonzept

Existiert ein systematischer Risikomanagementprozess? Werden Risiken dokumentiert, bewertet und behandelt? Gibt es eine aktuelle Informationssicherheitsleitlinie?

02

Incident Management

Sind Prozesse für die Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen etabliert? Können Sie die Meldefristen (24h/72h/30 Tage) einhalten?

03

Business Continuity und Krisenmanagement

Existieren Backup-Konzepte und Wiederherstellungspläne? Wurden diese getestet? Gibt es ein Krisenmanagement für den Ernstfall?

04

Lieferkettensicherheit

Wie bewerten Sie die Cybersicherheit Ihrer Lieferanten und Dienstleister? Sind Sicherheitsanforderungen vertraglich verankert?

05

Schwachstellenmanagement

Gibt es Prozesse für die zeitnahe Installation von Sicherheitsupdates? Werden Schwachstellen systematisch erfasst und bewertet?

06

Wirksamkeitsprüfung

Werden die implementierten Maßnahmen regelmäßig auf ihre Wirksamkeit geprüft? Gibt es interne Audits oder Penetrationstests?

07

Schulungen und Awareness

Werden alle Mitarbeiter regelmäßig geschult? Hat die Geschäftsleitung die Schulungspflicht nach § 38 BSIG erfüllt?

08

Kryptografie

Werden Daten angemessen verschlüsselt – sowohl bei der Übertragung als auch bei der Speicherung? Gibt es ein Schlüsselmanagement?

09

Zugriffskontrolle und Personalsicherheit

Gilt das Need-to-know-Prinzip? Werden Berechtigungen regelmäßig überprüft? Gibt es Regelungen für das Ausscheiden von Mitarbeitern?

10

Multi-Faktor-Authentifizierung

Ist MFA für kritische Systeme und Remote-Zugänge implementiert? Gibt es sichere Kommunikationskanäle für den Notfall?

Ablauf

So läuft unsere NIS-2 Gap-Analyse ab

Tag 1

Kick-off und Dokumentenanalyse

Wir klären den Scope, sammeln relevante Dokumente (Richtlinien, Prozessbeschreibungen, Netzwerkpläne) und verschaffen uns einen ersten Überblick über Ihre Ausgangssituation.

Tag 2-3

Interviews und Vor-Ort-Analyse

In strukturierten Interviews mit IT-Leitung, Informationssicherheit, Fachabteilungen und Geschäftsführung erfassen wir den tatsächlichen Umsetzungsstand. Optional prüfen wir technische Maßnahmen vor Ort.

Tag 4-5

Auswertung und Berichterstellung

Wir bewerten die identifizierten Lücken nach Kritikalität und Aufwand, erstellen einen detaillierten Gap-Report und entwickeln eine priorisierte Roadmap zur Schließung der Lücken.

Tag 6

Ergebnispräsentation

In einem Workshop präsentieren wir die Ergebnisse der Gap-Analyse, beantworten Ihre Fragen und besprechen die nächsten Schritte. Sie erhalten alle Unterlagen als Dokumentation.

Ergebnisse

Was Sie nach der Gap-Analyse erhalten

Gap-Report

Detaillierte Dokumentation aller 10 Prüfbereiche mit Ist-Zustand, Soll-Anforderung und identifizierten Lücken. Inklusive Bewertung nach Ampelsystem.

Reifegrad-Übersicht

Visualisierung Ihres NIS-2-Reifegrads je Maßnahmenbereich. Auf einen Blick sehen Sie, wo Sie gut aufgestellt sind und wo Handlungsbedarf besteht.

Priorisierte Roadmap

Maßnahmenplan mit klarer Priorisierung nach Risiko und Aufwand. Quick Wins zuerst, strategische Maßnahmen mit realistischem Zeitrahmen.

Handlungsempfehlungen

Konkrete Empfehlungen für jede identifizierte Lücke – von der Richtlinienänderung bis zur technischen Implementierung.

Management Summary

Zusammenfassung der wichtigsten Erkenntnisse für die Geschäftsleitung. Inklusive Risikoeinschätzung und Ressourcenbedarf.

Anschlussfähigkeit

Die Ergebnisse sind direkt anschlussfähig für eine ISO-27001-Implementierung oder die Beauftragung eines externen ISB.

Zielgruppe

Für wen ist die NIS-2 Gap-Analyse geeignet?

Unternehmen ohne ISMS

Sie haben noch kein formales Informationssicherheits-Managementsystem? Die Gap-Analyse zeigt Ihnen, welche Strukturen Sie aufbauen müssen – und wo Sie vielleicht schon weiter sind, als Sie denken.

Unternehmen mit bestehendem ISMS

Sie haben bereits ein ISMS nach ISO 27001 oder BSI IT-Grundschutz? Die Gap-Analyse prüft, ob dieses die NIS-2-spezifischen Anforderungen (Meldepflichten, Lieferkette, Geschäftsführerhaftung) abdeckt.

Unsichere Betroffenheit

Sie sind sich nicht sicher, ob Sie unter NIS-2 fallen? Nutzen Sie zunächst unseren kostenlosen Betroffenheitscheck. Danach macht die Gap-Analyse Sinn.

Lieferanten betroffener Unternehmen

Auch wenn Sie selbst nicht direkt betroffen sind: Ihre Kunden fordern zunehmend Nachweise. Die Gap-Analyse hilft Ihnen, sich als sicherer Partner zu positionieren.

Jetzt anfragen
Investition

Pakete und Preise

Gap-Analyse Kompakt

Für kleine Unternehmen (50-100 MA)

ab 3.900 €
zzgl. MwSt.

  • Dokumentenanalyse
  • 2 Interviews (IT-Leitung, GF)
  • Gap-Report mit Ampelbewertung
  • Priorisierte Roadmap
  • Management Summary
  • Ergebnispräsentation (remote)
Anfragen
Empfohlen

Gap-Analyse Standard

Für mittlere Unternehmen (100-500 MA)

ab 6.900 €
zzgl. MwSt.

  • Umfassende Dokumentenanalyse
  • 4-6 Interviews (IT, ISB, HR, GF)
  • Optionale Vor-Ort-Begehung
  • Detaillierter Gap-Report
  • Reifegrad-Visualisierung
  • Roadmap mit Ressourcenschätzung
  • Handlungsempfehlungen je Gap
  • Ergebnisworkshop (vor Ort oder remote)
Anfragen

Gap-Analyse Enterprise

Für größere Unternehmen (500+ MA)

auf Anfrage
individuelles Angebot

  • Alle Leistungen aus Standard
  • Mehrere Standorte/Gesellschaften
  • Technische Prüfung (optional)
  • Einbindung externer Prüfer
  • Integration in GRC-Tools
  • Begleitung der Umsetzung
Anfragen
Weiterführend

Nach der Gap-Analyse: So geht es weiter

Umsetzungsbegleitung

Wir begleiten Sie bei der Implementierung der identifizierten Maßnahmen – von der Richtlinienerstellung bis zur technischen Umsetzung.

NIS-2-Beratung im Detail

Externer ISB

NIS-2 erfordert qualifiziertes Personal für Informationssicherheit. Als externer ISB übernehmen wir diese Rolle.

Externer ISB im Detail

ISO 27001 Zertifizierung

Ein ISMS nach ISO 27001 erfüllt viele NIS-2-Anforderungen und bietet zusätzliche Wettbewerbsvorteile.

ISO 27001 Beratung
Selbsteinschätzung

Vorab-Check: Wie gut sind Sie vorbereitet?

Mit unserer interaktiven NIS-2-Checkliste können Sie bereits vor der Gap-Analyse eine erste Selbsteinschätzung vornehmen. Die Checkliste deckt alle 10 Mindestmaßnahmen ab und zeigt Ihnen, in welchen Bereichen Sie voraussichtlich Lücken haben.

FAQ

Häufige Fragen zur NIS-2 Gap-Analyse

Wie lange dauert eine NIS-2 Gap-Analyse?

Je nach Unternehmensgröße und Komplexität dauert unsere Gap-Analyse 3-6 Arbeitstage. Den Ergebnisbericht erhalten Sie spätestens 2 Wochen nach Abschluss der Interviews.

Kann die Gap-Analyse auch remote durchgeführt werden?

Ja, die Dokumentenanalyse und Interviews können vollständig remote erfolgen. Bei der Standard- und Enterprise-Variante empfehlen wir jedoch eine optionale Vor-Ort-Begehung, um auch technische Aspekte zu prüfen.

Was unterscheidet Ihre Gap-Analyse von einem Self-Assessment?

Ein Self-Assessment (wie unsere kostenlose Checkliste) gibt eine erste Orientierung. Eine professionelle Gap-Analyse geht tiefer: Wir prüfen nicht nur, ob etwas existiert, sondern ob es wirksam ist und den gesetzlichen Anforderungen entspricht. Zudem erhalten Sie eine unabhängige Bewertung und fundierte Handlungsempfehlungen.

Können wir die identifizierten Lücken auch selbst schließen?

Selbstverständlich. Die Gap-Analyse und die daraus resultierende Roadmap sind so aufbereitet, dass Sie die Maßnahmen auch intern umsetzen können. Bei Bedarf unterstützen wir Sie punktuell oder als externer ISB kontinuierlich.

Ist eine Gap-Analyse Pflicht nach NIS-2?

Eine Gap-Analyse ist gesetzlich nicht vorgeschrieben. Allerdings müssen Sie nachweisen, dass Sie die Anforderungen des § 30 BSIG umsetzen. Eine dokumentierte Gap-Analyse ist der beste Weg, um Ihren Status zu ermitteln und den Nachweis der Compliance-Bemühungen zu erbringen.

Jetzt NIS-2 Gap-Analyse starten

Kostenlose Erstberatung — klären Sie Ihre Anforderungen und erhalten Sie ein individuelles Angebot.

Beratungstermin buchen Erst Betroffenheit prüfen