NIS2-Selbstcheck: Wie bereit ist Ihr Unternehmen?

Existiert eine von der Geschäftsleitung verabschiedete Cybersicherheitsstrategie?

Ist die Geschäftsleitung nachweislich in die Überwachung der Cybersicherheitsmaßnahmen eingebunden (NIS2 Art. 20)?

Nimmt die Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teil?

Werden Cybersicherheitsrisiken im unternehmensweiten Risikomanagement berücksichtigt?

Existiert ein dokumentierter Incident-Response-Plan für Cybersicherheitsvorfälle?

Ist der Meldeprozess an das BSI gemäß NIS2-Fristen implementiert (Frühwarnung 24h, Erstmeldung 72h, Abschlussbericht 1 Monat)?

Werden regelmäßig Incident-Response-Übungen oder Tabletop-Exercises durchgeführt?

Wurde eine Business-Impact-Analyse (BIA) für geschäftskritische Prozesse durchgeführt?

Existiert ein IT-Disaster-Recovery-Plan mit definierten RTO/RPO-Werten?

Werden Cybersicherheitsanforderungen vertraglich mit kritischen Lieferanten vereinbart?

Existiert ein Prozess zur Überwachung der Sicherheitslage kritischer Lieferanten?

Existiert eine Netzwerksicherheitsarchitektur mit Segmentierung und Zonenkonzept?

Werden Sicherheitsereignisse zentral gesammelt und korreliert (SIEM)?

Werden regelmäßig Penetrationstests oder Vulnerability Scans durchgeführt?

Werden Daten bei Übertragung und Speicherung durch aktuelle Verschlüsselungsverfahren geschützt?

Existiert ein Schlüsselmanagement-Prozess mit definierten Verantwortlichkeiten?

Ist Multi-Faktor-Authentifizierung (MFA) für alle Remote-Zugänge und privilegierten Konten implementiert?

Wird das Prinzip der minimalen Rechtevergabe (Least Privilege) konsequent umgesetzt?

Werden Zugriffsrechte regelmäßig überprüft und rezertifiziert?