{ "meta": { "title": "NIS2 Readiness Check: Organisatorischer Fragenkatalog", "version": "1.0", "language": "de", "legalBasis": { "richtlinie": "NIS2-Richtlinie (EU) 2022/2555, Artikel 20 und 21", "national": "BSIG in der Fassung vom 02.12.2025 (BGBl. 2025 I Nr. 301), insb. § 30 und § 38", "geltungAb": "2025-12-06", "hinweis": "Die § 30/§ 38 BSIG-Nummerierung wurde gegen die verkündete Fassung geprüft. Vor Go-live dennoch final gegenlesen, da Gesetzesänderungen jederzeit möglich sind. Gesetzesbezüge im Frontend dezent halten, nicht prominent vor GF anzeigen." }, "answerScale": [ { "value": "ja", "label": "Ja", "points": 2 }, { "value": "teilweise", "label": "Teilweise", "points": 1 }, { "value": "nein", "label": "Nein", "points": 0 }, { "value": "weiss_nicht", "label": "Weiß nicht", "points": 0, "trackSeparately": true } ], "scoring": { "method": "Pro Block: Summe erreichte Punkte / mögliche Punkte (beantwortete Fragen) → Prozent. Gesamt-Teaser: Mittel über beantwortete Blöcke.", "bands": [ { "id": "rot", "label": "kritisch", "min": 0, "max": 39 }, { "id": "gelb", "label": "grundlegend", "min": 40, "max": 70 }, { "id": "gruen", "label": "gut", "min": 71, "max": 100 } ], "weissNichtNote": "Als 0 in den Score, aber separat zählen, häufige 'Weiß nicht' sind ein Vertriebs- und Content-Signal." }, "totalQuestions": 30 }, "blocks": [ { "id": "block0", "title": "Governance & Leitungspflichten", "source": "NIS2 Art. 20 / § 38 BSIG", "intro": "Der Haftungsblock. Hier sitzt das persönliche Risiko der Geschäftsführung.", "questions": [ { "id": "gov_01", "text": "Hat die Geschäftsleitung die Cybersicherheits-Maßnahmen formal genehmigt und überwacht sie deren Umsetzung?", "hint": "Heißt: Die Chefetage hat das Thema nicht nur an die IT delegiert, sondern sich aktiv damit befasst, abgenickt und fragt regelmäßig nach. Wenn IT-Sicherheit bei Ihnen im Geschäftsführungs-Meeting ein Thema ist, ist die Antwort eher Ja.", "source": "NIS2 Art. 20 Abs. 1 / § 38 Abs. 1 BSIG" }, { "id": "gov_02", "text": "Hat die Geschäftsleitung an einer Cybersicherheits-Schulung teilgenommen?", "hint": "Das Gesetz verlangt, dass die Führung selbst geschult ist, nicht nur die Mitarbeiter. Schon ein halbtägiger Workshop oder Online-Kurs für die GF zählt. Gab es das schon mal? Falls nicht: klares Nein, das ist Pflicht.", "source": "NIS2 Art. 20 Abs. 2 / § 38 Abs. 3 BSIG" }, { "id": "gov_03", "text": "Ist eine verantwortliche Person für Informationssicherheit benannt?", "hint": "Gibt es jemanden, der namentlich für IT-Sicherheit zuständig ist? Das kann ein interner Mitarbeiter oder ein externer Dienstleister sein. 'Macht irgendwie die IT mit' reicht nicht, es braucht einen klaren Verantwortlichen.", "source": "NIS2 Art. 20 / § 38 BSIG" }, { "id": "gov_04", "text": "Wissen Sie, ob Sie unter NIS2 fallen, und sind Sie beim BSI registriert?", "hint": "NIS2 gilt nur für bestimmte Branchen ab einer gewissen Größe. Wer betroffen ist, muss sich aktiv beim BSI melden. Wenn Sie nicht sicher sind, ob Sie betroffen sind, das ist der erste Punkt, den wir für Sie klären.", "source": "§ 28 (Einrichtungsarten), § 33/§ 34 BSIG (Registrierung)" } ] }, { "id": "blockA", "title": "Risikoanalyse & Sicherheitsrichtlinien", "source": "NIS2 Art. 21 (2)(a) / § 30 Abs. 2 Nr. 1 BSIG", "intro": "Das Fundament. Ohne dokumentierten Rahmen hängt alles andere in der Luft.", "questions": [ { "id": "risk_01", "text": "Gibt es eine schriftliche, von der Leitung beschlossene IT-Sicherheitsrichtlinie?", "hint": "Ein Dokument, das festlegt, wie in Ihrem Unternehmen mit IT-Sicherheit umgegangen wird. Existiert so etwas schriftlich, oder sind die Regeln eher 'ungeschrieben im Kopf'?", "source": "§ 30 Abs. 2 Nr. 1 BSIG" }, { "id": "risk_02", "text": "Schauen Sie mindestens einmal im Jahr systematisch, wo Ihre größten IT-Risiken liegen?", "hint": "Eine bewusste Bestandsaufnahme: Was könnte schiefgehen, was wäre besonders schlimm? Einmal jährlich dokumentiert reicht. Falls das nie strukturiert passiert: Nein.", "source": "§ 30 Abs. 2 Nr. 1 BSIG" }, { "id": "risk_03", "text": "Haben Sie eine Liste Ihrer Risiken mit einem Plan, was Sie dagegen tun?", "hint": "Nicht nur Risiken kennen, sondern auch festhalten, wer sich bis wann darum kümmert. Eine einfache Tabelle genügt.", "source": "§ 30 Abs. 2 Nr. 1 BSIG" } ] }, { "id": "blockB", "title": "Umgang mit Sicherheitsvorfällen", "source": "NIS2 Art. 21 (2)(b) / § 30 Abs. 2 Nr. 2 BSIG", "intro": "Die technische Erkennung kommt aus dem Tenant-Scan. Hier geht es um den Prozess.", "questions": [ { "id": "inc_01", "text": "Gibt es einen Plan, was im Ernstfall (z. B. Hackerangriff) zu tun ist, wer macht was?", "hint": "Wenn morgen alle Rechner verschlüsselt wären: Wüsste jeder, wen er anruft und was zu tun ist? Ein einseitiger Notfallplan zählt schon.", "source": "§ 30 Abs. 2 Nr. 2 BSIG" }, { "id": "inc_02", "text": "Wissen Sie, dass Sie schwere Vorfälle innerhalb von 24 bzw. 72 Stunden ans BSI melden müssen?", "hint": "NIS2 schreibt enge Fristen vor: erste Frühwarnung binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden. Ist Ihnen das bekannt und ist geregelt, wer das macht?", "source": "§ 32 BSIG (Meldepflichten), NIS2 Art. 23" }, { "id": "inc_03", "text": "Haben Sie diesen Notfallplan im letzten Jahr mal durchgespielt?", "hint": "Ein Plan in der Schublade hilft nicht, wenn ihn keiner kennt. Schon ein Durchsprechen am Tisch ('Was würden wir jetzt tun?') zählt als Test.", "source": "§ 30 Abs. 2 Nr. 2 BSIG" } ] }, { "id": "blockC", "title": "Notbetrieb, Backup & Krisenmanagement", "source": "NIS2 Art. 21 (2)(c) / § 30 Abs. 2 Nr. 3 BSIG", "intro": "Kritisch, weil Microsoft 365 nativ kein dauerhaftes Backup hat.", "questions": [ { "id": "bcm_01", "text": "Werden Ihre Daten regelmäßig gesichert, auch die aus Microsoft 365 (Mails, Dateien, Teams)?", "hint": "Wichtig: Microsoft sichert Ihre Daten nicht automatisch dauerhaft. Wenn etwas gelöscht oder verschlüsselt wird, ist es ohne eigenes Backup oft weg. Haben Sie eine zusätzliche Sicherung?", "source": "§ 30 Abs. 2 Nr. 3 BSIG" }, { "id": "bcm_02", "text": "Haben Sie im letzten Jahr mal getestet, ob das Zurückholen der Daten auch wirklich klappt?", "hint": "Backups, die im Ernstfall nicht funktionieren, sind häufiger als man denkt. Haben Sie probeweise mal Daten wiederhergestellt?", "source": "§ 30 Abs. 2 Nr. 3 BSIG" }, { "id": "bcm_03", "text": "Gibt es einen Plan, wie der Betrieb bei einem längeren IT-Ausfall weiterläuft?", "hint": "Wenn die IT mehrere Tage ausfällt: Wie arbeiten Sie weiter, und wie lange dürfte es maximal dauern, bis alles wieder läuft? Ist das festgelegt?", "source": "§ 30 Abs. 2 Nr. 3 BSIG" }, { "id": "bcm_04", "text": "Können Sie noch kommunizieren, wenn Microsoft 365 selbst ausfällt?", "hint": "Wenn E-Mail und Teams weg sind, haben Sie einen Plan B, um Mitarbeiter und Kunden zu erreichen (z. B. Telefonliste, alternativer Messenger)?", "source": "§ 30 Abs. 2 Nr. 3 BSIG" } ] }, { "id": "blockD", "title": "Sicherheit bei Lieferanten & Dienstleistern", "source": "NIS2 Art. 21 (2)(d) / § 30 Abs. 2 Nr. 4 BSIG", "intro": "Das App-Risiko kommt aus dem Scan. Hier geht es um die Lieferanten-Governance.", "questions": [ { "id": "sup_01", "text": "Verlangen Sie von Ihren IT-Dienstleistern vertraglich, dass auch sie sicher arbeiten?", "hint": "Steht in Verträgen mit Dienstleistern etwas zu IT-Sicherheit drin, oder vertrauen Sie einfach darauf? Angreifer kommen oft über Dienstleister rein.", "source": "§ 30 Abs. 2 Nr. 4 BSIG" }, { "id": "sup_02", "text": "Haben Sie eine Übersicht, welche IT-Dienstleister für Sie kritisch sind?", "hint": "Welche Anbieter würden Sie im Ausfall richtig treffen (z. B. Ihr IT-Haus, Ihre Branchensoftware)? Gibt es dazu eine Liste mit Einschätzung, wie riskant der jeweilige ist?", "source": "§ 30 Abs. 2 Nr. 4 BSIG" }, { "id": "sup_03", "text": "Ist geregelt, dass Dienstleister Ihnen ihre eigenen Sicherheitsvorfälle melden?", "hint": "Wenn bei Ihrem Cloud-Anbieter eingebrochen wird, erfahren Sie das zeitnah? Steht das irgendwo fest, oder hoffen Sie auf Goodwill?", "source": "§ 30 Abs. 2 Nr. 4 BSIG" } ] }, { "id": "blockE", "title": "Sichere Beschaffung & Updates", "source": "NIS2 Art. 21 (2)(e) / § 30 Abs. 2 Nr. 5 BSIG", "intro": "Der technische Patch-Stand kommt aus dem Scan. Hier geht es um den Prozess.", "questions": [ { "id": "acq_01", "text": "Gibt es feste Regeln, wie schnell Sicherheitsupdates eingespielt werden?", "hint": "Werden Updates planvoll und zeitnah installiert, oder eher 'wenn man dran denkt'? Eine Faustregel wie 'kritische Updates binnen 14 Tagen' zählt als Ja.", "source": "§ 30 Abs. 2 Nr. 5 BSIG" }, { "id": "acq_02", "text": "Achten Sie beim Einkauf neuer Software/IT auf Sicherheit?", "hint": "Spielt Sicherheit eine Rolle, bevor Sie etwas Neues anschaffen, oder zählt nur Preis und Funktion?", "source": "§ 30 Abs. 2 Nr. 5 BSIG" } ] }, { "id": "blockF", "title": "Kontrolle der Wirksamkeit", "source": "NIS2 Art. 21 (2)(f) / § 30 Abs. 2 Nr. 6 BSIG", "intro": "Prüfen Sie, ob Ihre Maßnahmen überhaupt wirken, oder nehmen Sie es an?", "questions": [ { "id": "eff_01", "text": "Prüfen Sie regelmäßig, ob Ihre Sicherheitsmaßnahmen wirklich greifen?", "hint": "Z. B. durch externe Prüfungen oder einen beauftragten Sicherheitstest. Oder gehen Sie davon aus, dass alles passt, weil bisher nichts passiert ist?", "source": "§ 30 Abs. 2 Nr. 6 BSIG" }, { "id": "eff_02", "text": "Haben Sie Kennzahlen, an denen Sie Ihre IT-Sicherheit messen?", "hint": "Gibt es Zahlen, die Sie im Blick behalten (z. B. 'wie viele Mitarbeiter haben die Schulung gemacht', 'wie viele Geräte sind aktuell')? Oder gibt es kein Messbild?", "source": "§ 30 Abs. 2 Nr. 6 BSIG" } ] }, { "id": "blockG", "title": "Schulung & gesundes IT-Verhalten", "source": "NIS2 Art. 21 (2)(g) / § 30 Abs. 2 Nr. 7 BSIG", "intro": "Die Tool-Existenz kommt aus dem Scan. Hier geht es um Durchführung und Abdeckung.", "questions": [ { "id": "hyg_01", "text": "Werden alle Mitarbeiter regelmäßig in IT-Sicherheit geschult (mindestens jährlich)?", "hint": "Bekommt jeder, nicht nur die IT, regelmäßig Schulungen zu Themen wie Phishing? Einmal im Jahr ist das Minimum.", "source": "§ 30 Abs. 2 Nr. 7 BSIG" }, { "id": "hyg_02", "text": "Testen Sie Ihre Mitarbeiter mit simulierten Phishing-Mails?", "hint": "Verschicken Sie ab und zu harmlose Test-Phishing-Mails, um zu sehen, wer klickt? Das ist eine der wirksamsten Maßnahmen überhaupt.", "source": "§ 30 Abs. 2 Nr. 7 BSIG" }, { "id": "hyg_03", "text": "Gibt es einfache Verhaltensregeln, die alle kennen?", "hint": "Klare Basics wie 'Bildschirm sperren beim Weggehen', 'keine fremden USB-Sticks', 'sichere Passwörter'. Sind die irgendwo festgehalten und kommuniziert?", "source": "§ 30 Abs. 2 Nr. 7 BSIG" } ] }, { "id": "blockH", "title": "Verschlüsselung", "source": "NIS2 Art. 21 (2)(h) / § 30 Abs. 2 Nr. 8 BSIG", "intro": "Der technische Zustand kommt aus dem Scan. Hier geht es um die Richtlinie.", "questions": [ { "id": "cry_01", "text": "Gibt es eine Regelung, welche Daten verschlüsselt werden müssen?", "hint": "Ist festgelegt, dass z. B. Laptops und besonders sensible Daten verschlüsselt sein müssen? Oder hängt das vom Zufall ab?", "source": "§ 30 Abs. 2 Nr. 8 BSIG" } ] }, { "id": "blockI", "title": "Personal, Zugriffe & Geräte", "source": "NIS2 Art. 21 (2)(i) / § 30 Abs. 2 Nr. 9 BSIG", "intro": "Conditional Access und Inventar kommen aus dem Scan. Hier geht es um die Prozesse drumherum.", "questions": [ { "id": "acc_01", "text": "Gibt es einen festen Ablauf für Ein- und Austritte von Mitarbeitern?", "hint": "Bekommt ein neuer Mitarbeiter genau die richtigen Zugänge, und werden beim Austritt alle Konten und Geräte zuverlässig wieder eingezogen? Oder bleiben mal Konten von Ex-Mitarbeitern aktiv?", "source": "§ 30 Abs. 2 Nr. 9 BSIG" }, { "id": "acc_02", "text": "Haben Sie eine aktuelle Liste Ihrer IT-Geräte und Systeme?", "hint": "Wissen Sie, welche Laptops, Server, Netzwerkgeräte usw. im Einsatz sind? Man kann nur schützen, was man kennt.", "source": "§ 30 Abs. 2 Nr. 9 BSIG" }, { "id": "acc_03", "text": "Prüfen Sie regelmäßig, wer auf was zugreifen darf?", "hint": "Schaut jemand in Abständen nach, ob Berechtigungen noch passen, oder sammeln Mitarbeiter über die Jahre Zugriffe an, die sie längst nicht mehr brauchen?", "source": "§ 30 Abs. 2 Nr. 9 BSIG" } ] }, { "id": "blockJ", "title": "Anmeldung & sichere Kommunikation", "source": "NIS2 Art. 21 (2)(j) / § 30 Abs. 2 Nr. 10 BSIG", "intro": "Die MFA-Abdeckung kommt aus dem Scan. Hier geht es um die verbindliche Vorgabe.", "questions": [ { "id": "mfa_01", "text": "Gibt es eine verbindliche Regel zur Zwei-Faktor-Anmeldung für alle?", "hint": "Müssen sich wirklich alle Mitarbeiter mit einem zweiten Faktor anmelden (z. B. App aufs Handy), oder gibt es Ausnahmen? Den technischen Ist-Stand prüfen wir ohnehin, hier geht es um die verbindliche Vorgabe.", "source": "§ 30 Abs. 2 Nr. 10 BSIG" }, { "id": "mfa_02", "text": "Sind sichere Kommunikationswege für den Notfall festgelegt?", "hint": "Gibt es definierte, sichere Wege, um im Krisenfall vertraulich zu kommunizieren?", "source": "§ 30 Abs. 2 Nr. 10 BSIG" } ] } ] }