Angebot

NIS-2 Gap-Analyse: Wo steht Ihr Unternehmen?

Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 – ohne Übergangsfristen. Viele Unternehmen fragen sich: Erfüllen wir die Anforderungen bereits? Wo bestehen Lücken? Unser NIS-2 Assessment liefert Ihnen in wenigen Tagen Klarheit und einen konkreten Maßnahmenplan.

Gap-Analyse anfragen Erst Betroffenheit prüfen
Definition

Was ist eine NIS-2 Gap-Analyse?

Eine NIS-2 Gap-Analyse (auch: NIS-2 Assessment, NIS-2 Reifegrad-Analyse oder Compliance Check) ist eine systematische Bewertung Ihrer aktuellen Informationssicherheitsmaßnahmen im Vergleich zu den gesetzlichen Anforderungen des NIS-2-Umsetzungsgesetzes. Das Ergebnis zeigt präzise, welche der 10 Mindestmaßnahmen nach § 30 BSIG Sie bereits erfüllen – und wo Handlungsbedarf besteht.

Der Begriff „Gap" (englisch für „Lücke") beschreibt die Differenz zwischen Ihrem Ist-Zustand und dem geforderten Soll-Zustand. Je größer die Lücke, desto dringender der Handlungsbedarf. Eine professionelle Gap-Analyse identifiziert nicht nur diese Compliance-Lücken, sondern priorisiert sie auch nach Risiko und Aufwand – so erhalten Sie einen klaren Reifegrad-Überblick.

Wichtig zu wissen: Eine Gap-Analyse ist keine Zertifizierung. Es gibt keine offizielle „NIS-2-Zertifizierung" – mehr dazu in unserem Fachartikel. Das NIS-2 Assessment ist vielmehr ein internes Werkzeug, um Ihren Cybersicherheits-Reifegrad zu ermitteln und die Umsetzung zu steuern.

Jetzt handeln: Die Umsetzungsfrist ist abgelaufen

Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Betroffene Unternehmen müssen die Anforderungen erfüllen – ohne Übergangsfrist. Eine Gap-Analyse zeigt Ihnen sofort, wo Sie stehen.

Kostenlose Erstberatung buchen
Umfang

Was wir im NIS-2 Assessment prüfen

Unsere Gap-Analyse orientiert sich an den 10 Mindestmaßnahmen nach § 30 BSIG und bewertet Ihren Cybersicherheits-Reifegrad in jedem Bereich.

01

Risikoanalyse und Informationssicherheitskonzept

Existiert ein systematischer Risikomanagementprozess? Werden Risiken dokumentiert, bewertet und behandelt? Gibt es eine aktuelle Informationssicherheitsleitlinie?

02

Incident Management und Meldepflichten

Sind Prozesse für die Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen etabliert? Können Sie die Meldefristen (24h/72h/30 Tage) einhalten?

03

Business Continuity und Krisenmanagement

Existieren Backup-Konzepte und Wiederherstellungspläne? Wurden diese getestet? Gibt es ein Krisenmanagement für den Ernstfall?

04

Lieferkettensicherheit

Wie bewerten Sie die Cybersicherheit Ihrer Lieferanten und Dienstleister? Sind Sicherheitsanforderungen vertraglich verankert?

05

Schwachstellenmanagement

Gibt es Prozesse für die zeitnahe Installation von Sicherheitsupdates? Werden Schwachstellen systematisch erfasst und bewertet?

06

Wirksamkeitsprüfung

Werden die implementierten Maßnahmen regelmäßig auf ihre Wirksamkeit geprüft? Gibt es interne Audits oder Penetrationstests?

07

Schulungen und Awareness

Werden alle Mitarbeiter regelmäßig geschult? Hat die Geschäftsleitung die Schulungspflicht nach § 38 BSIG erfüllt? Hier unterstützen wir auch mit unserer NIS-2 Inhouse-Schulung.

08

Kryptografie

Werden Daten angemessen verschlüsselt – sowohl bei der Übertragung als auch bei der Speicherung? Gibt es ein Schlüsselmanagement?

09

Zugriffskontrolle und Personalsicherheit

Gilt das Need-to-know-Prinzip? Werden Berechtigungen regelmäßig überprüft? Gibt es Regelungen für das Ausscheiden von Mitarbeitern?

10

Multi-Faktor-Authentifizierung

Ist MFA für kritische Systeme und Remote-Zugänge implementiert? Gibt es sichere Kommunikationskanäle für den Notfall?

Ablauf

So läuft unsere NIS-2 Gap-Analyse ab

Tag 1: Kick-off

Scope klären, relevante Dokumente sammeln (Richtlinien, Prozessbeschreibungen, Netzwerkpläne), ersten Überblick verschaffen.

Tag 2-3: Interviews

Strukturierte Interviews mit IT-Leitung, Informationssicherheit, Fachabteilungen und Geschäftsführung. Optional: Vor-Ort-Begehung.

Tag 4-5: Auswertung

Bewertung der identifizierten Lücken nach Kritikalität und Aufwand, Gap-Report erstellen, priorisierte Roadmap entwickeln.

Tag 6: Präsentation

Workshop mit Ergebnispräsentation, Fragen beantworten, nächste Schritte besprechen. Alle Unterlagen als Dokumentation.

Ergebnisse

Was Sie nach der NIS-2 Gap-Analyse erhalten

Gap-Report

Detaillierte Dokumentation aller 10 Prüfbereiche mit Ist-Zustand, Soll-Anforderung und identifizierten Lücken. Inklusive Bewertung nach Ampelsystem.

Reifegrad-Übersicht

Visualisierung Ihres NIS-2-Reifegrads je Maßnahmenbereich. Auf einen Blick sehen Sie, wo Sie gut aufgestellt sind und wo Handlungsbedarf besteht.

Priorisierte Roadmap

Maßnahmenplan mit klarer Priorisierung nach Risiko und Aufwand. Quick Wins zuerst, strategische Maßnahmen mit realistischem Zeitrahmen.

Handlungsempfehlungen

Konkrete Empfehlungen für jede identifizierte Lücke – von der Richtlinienänderung bis zur technischen Implementierung.

Management Summary

Zusammenfassung der wichtigsten Erkenntnisse für die Geschäftsleitung. Inklusive Risikoeinschätzung und Ressourcenbedarf.

Anschlussfähigkeit

Die Ergebnisse sind direkt anschlussfähig für eine ISO-27001-Implementierung oder die Beauftragung eines externen ISB.

Zielgruppe

Für wen ist die NIS-2 Gap-Analyse geeignet?

Unternehmen ohne ISMS

Sie haben noch kein formales Informationssicherheits-Managementsystem? Die Gap-Analyse zeigt Ihnen, welche Strukturen Sie aufbauen müssen – und wo Sie vielleicht schon weiter sind, als Sie denken.

Unternehmen mit bestehendem ISMS

Sie haben bereits ein ISMS nach ISO 27001 oder BSI IT-Grundschutz? Die Gap-Analyse prüft, ob dieses die NIS-2-spezifischen Anforderungen (Meldepflichten, Lieferkette, Geschäftsführerhaftung) abdeckt.

Unsichere Betroffenheit

Sie sind sich nicht sicher, ob Sie unter NIS-2 fallen? Nutzen Sie zunächst unseren kostenlosen Betroffenheitscheck. Danach macht die Gap-Analyse Sinn.

Lieferanten betroffener Unternehmen

Auch wenn Sie selbst nicht direkt betroffen sind: Ihre Kunden fordern zunehmend Nachweise zur Cybersicherheit. Die Gap-Analyse hilft Ihnen, sich als sicherer Partner zu positionieren.

Investition

NIS-2 Gap-Analyse: Pakete und Preise

Gap-Analyse Kompakt

Für kleine Unternehmen (50-100 MA)

ab 3.900 €
zzgl. MwSt.

  • Dokumentenanalyse
  • 2 Interviews (IT-Leitung, GF)
  • Gap-Report mit Ampelbewertung
  • Priorisierte Roadmap
  • Management Summary
  • Ergebnispräsentation (remote)
Anfragen
Empfohlen

Gap-Analyse Standard

Für mittlere Unternehmen (100-500 MA)

ab 6.900 €
zzgl. MwSt.

  • Umfassende Dokumentenanalyse
  • 4-6 Interviews (IT, ISB, HR, GF)
  • Optionale Vor-Ort-Begehung
  • Detaillierter Gap-Report
  • Reifegrad-Visualisierung
  • Roadmap mit Ressourcenschätzung
  • Handlungsempfehlungen je Gap
  • Ergebnisworkshop (vor Ort oder remote)
Anfragen

Gap-Analyse Enterprise

Für größere Unternehmen (500+ MA)

auf Anfrage
individuelles Angebot

  • Alle Leistungen aus Standard
  • Mehrere Standorte/Gesellschaften
  • Technische Prüfung (optional)
  • Einbindung externer Prüfer
  • Integration in GRC-Tools
  • Begleitung der Umsetzung
Anfragen
Weiterführend

Nach der Gap-Analyse: So geht es weiter

Umsetzungsbegleitung

Wir begleiten Sie bei der Implementierung der identifizierten Maßnahmen – von der Richtlinienerstellung bis zur technischen Umsetzung.

NIS-2-Beratung im Detail

Externer ISB

NIS-2 erfordert qualifiziertes Personal für Informationssicherheit. Als externer ISB übernehmen wir diese Rolle für Sie.

Externer ISB im Detail

ISO 27001 Zertifizierung

Ein ISMS nach ISO 27001 erfüllt viele NIS-2-Anforderungen und bietet zusätzliche Wettbewerbsvorteile.

ISO 27001 Beratung
Selbsteinschätzung

Vorab-Check: Wie gut sind Sie vorbereitet?

Mit unserer interaktiven NIS-2 Checkliste können Sie bereits vor dem Assessment eine erste Selbsteinschätzung vornehmen. Die Checkliste deckt alle 10 Mindestmaßnahmen ab und zeigt Ihnen, in welchen Bereichen Sie voraussichtlich Lücken haben.

NIS-2 Betroffenheitsanalyse

Prüfen Sie in 5 Minuten, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt.

Jetzt prüfen →

NIS-2 Checkliste

Alle 10 Mindestmaßnahmen übersichtlich zum Selbstcheck.

Zur Checkliste →
FAQ

Häufige Fragen zur NIS-2 Gap-Analyse

Was kostet eine NIS-2 Gap-Analyse?

Unsere NIS-2 Gap-Analyse beginnt ab 3.900 € netto für kleine Unternehmen (50-100 Mitarbeiter). Für mittlere Unternehmen (100-500 MA) liegt der Preis ab 6.900 €. Bei größeren Unternehmen oder komplexen Strukturen erstellen wir ein individuelles Angebot. Im Preis enthalten sind Dokumentenanalyse, Interviews, Gap-Report, priorisierte Roadmap und Ergebnispräsentation.

Wie lange dauert eine NIS-2 Gap-Analyse?

Je nach Unternehmensgröße und Komplexität dauert unsere Gap-Analyse 3-6 Arbeitstage verteilt über ca. 2-3 Wochen. Den Ergebnisbericht mit Reifegrad-Bewertung und Roadmap erhalten Sie spätestens 2 Wochen nach Abschluss der Interviews.

Kann ich eine NIS-2 Gap-Analyse selbst durchführen?

Eine erste Selbsteinschätzung ist mit unserer kostenlosen NIS-2 Checkliste möglich. Für eine fundierte Compliance-Bewertung empfehlen wir jedoch eine professionelle Gap-Analyse: Wir prüfen nicht nur, ob etwas existiert, sondern ob es wirksam ist und den gesetzlichen Anforderungen entspricht. Zudem erhalten Sie eine unabhängige Bewertung und fundierte Handlungsempfehlungen.

Kann die NIS-2 Gap-Analyse auch remote durchgeführt werden?

Ja, die Dokumentenanalyse und Interviews können vollständig remote erfolgen. Bei der Standard- und Enterprise-Variante empfehlen wir jedoch eine optionale Vor-Ort-Begehung, um auch technische Aspekte und den gelebten Reifegrad zu prüfen.

Was ist der Unterschied zwischen Gap-Analyse und NIS-2 Audit?

Eine Gap-Analyse (oder Assessment) ist ein internes Werkzeug zur Standortbestimmung – sie zeigt, wo Lücken bestehen und wie Sie diese schließen können. Ein Audit hingegen ist eine formale Prüfung durch externe Prüfer, die Ihre Compliance bestätigt oder Mängel feststellt. Die Gap-Analyse bereitet Sie optimal auf ein eventuelles Audit vor.

Können wir die identifizierten Lücken auch selbst schließen?

Selbstverständlich. Die Gap-Analyse und die daraus resultierende Roadmap sind so aufbereitet, dass Sie die Maßnahmen auch intern umsetzen können. Bei Bedarf unterstützen wir Sie punktuell bei der NIS-2-Umsetzung oder als externer ISB kontinuierlich.

Ist eine Gap-Analyse Pflicht nach NIS-2?

Eine Gap-Analyse ist gesetzlich nicht vorgeschrieben. Allerdings müssen Sie nachweisen, dass Sie die Anforderungen des § 30 BSIG umsetzen. Eine dokumentierte Gap-Analyse ist der beste Weg, um Ihren Status zu ermitteln und den Nachweis der Compliance-Bemühungen zu erbringen – insbesondere im Hinblick auf die persönliche Haftung der Geschäftsleitung.

Was passiert, wenn wir bereits ISO 27001 zertifiziert sind?

ISO 27001 ist eine sehr gute Grundlage für NIS-2-Compliance. Allerdings adressiert NIS-2 zusätzliche Punkte wie Meldepflichten an das BSI, sektorspezifische Anforderungen, erweiterte Lieferkettensicherheit und die explizite Haftung der Geschäftsleitung. Unsere Gap-Analyse zeigt Ihnen, welche ISO-27001-Bausteine Sie bereits nutzen können und wo Sie für NIS-2 nachschärfen müssen.

Jetzt NIS-2 Gap-Analyse starten

Kostenlose Erstberatung — klären Sie Ihre Anforderungen und erhalten Sie ein individuelles Angebot für Ihr NIS-2 Assessment.

Beratungstermin buchen Erst Betroffenheit prüfen