NIS2 Selbstcheck

1. Gibt es eine Person oder Funktion, die offiziell für Informationssicherheit oder Cybersecurity verantwortlich ist? (Art.21(2)a)
2. Beschäftigen Sie mehr als 50 Mitarbeiter oder erzielen Sie mehr als 10 Mio. € Jahresumsatz, oder sind Sie in einer kritischen Branche (z. B. Energie, Gesundheit, IT-Dienstleistungen, öffentliche Verwaltung)? (Art.2)
3. Ist das Thema Informationssicherheit auf Geschäftsleitungsebene bekannt und regelmäßig Bestandteil von Besprechungen oder Entscheidungen? (Art.20+21)
4. Gibt es ein Verfahren, um Risiken (z. B. Cyberangriffe, Ausfälle, Datenverlust) regelmäßig zu bewerten und zu behandeln? (Art.21(2)b)
5. Gibt es einen Plan, wie Ihr Unternehmen nach einem IT-Ausfall oder Cyberangriff weiterarbeiten kann (Notfallplan / Backup / Wiederanlauf)? (Art.21(2)e)
6. Prüfen Sie bei wichtigen Lieferanten oder IT-Dienstleistern, ob diese angemessene Sicherheitsmaßnahmen umgesetzt haben? (Art.21(2)f)
7. Sind alle IT-Systeme regelmäßig aktualisiert, mit Virenschutz versehen und durch starke Passwörter oder Mehrfaktor-Anmeldung geschützt? (Art.21(2)c)
8. Wissen Sie, wem und wann Sie Sicherheitsvorfälle (z. B. Cyberangriffe, IT-Ausfälle) melden müssen? (Art.23)
9. Werden Ihre Mitarbeitenden regelmäßig zu Cyber-Sicherheit und sicherem Umgang mit E-Mails, Passwörtern und Daten geschult? (Art.20)
10. Haben Sie Richtlinien, Verantwortlichkeiten und Sicherheitsmaßnahmen schriftlich dokumentiert (z. B. als IT-Sicherheitskonzept oder ISMS-Leitlinie)? (Art.21(2)g)
11. Gibt es eine formell benannte Verantwortung für Cybersicherheit auf Leitungsebene? (Art. 21(2) a)
12. Werden Cybersicherheits-Risiken regelmäßig berichtet (z. B. im Management-Review)? (Art. 21(2) d)
13. Existiert ein dokumentiertes Risiko-Management (inkl. Bewertung & Behandlung)? (Art. 21(2) b)
14. Gibt es einen dokumentierten Incident-Response-Prozess inkl. Meldewegen? (Art. 23)
15. Existieren Notfall-/Wiederanlaufpläne (BCP/DR) und werden sie getestet? (Art. 21(2) e)
16. Gibt es ein Asset-Register, Patch- und Schwachstellenmanagement? (Art. 21(2) c)
17. Sind starke Zugangskontrollen inkl. MFA für kritische Systeme umgesetzt? (Art. 21(2) c)
18. Gibt es Lieferantenbewertungen inkl. Sicherheitsanforderungen/Verträgen? (Art. 21(2) f)
19. Erhalten Mitarbeitende regelmäßige Security-Awareness-Trainings? (Art. 20)
20. Existiert zentrales Logging/Monitoring mit definierten Schwellen/Alarmen? (Art. 21(2) c)