Kostenloses Tool
Prüfen Sie in rund 10 Minuten, wie belastbar Ihr NIS2-Umsetzungsstand heute ist. Das Tool bewertet zehn Kernfragen zu Governance, Cyberhygiene, Lieferkette und Vorfallmanagement und zeigt sofort, wo der größte Handlungsdruck liegt.
Das NIS2 Reifegrad-Assessment zeigt sofort, ob Ihre Organisation bei Verantwortlichkeiten, Risikoanalyse, MFA, Backups, Schulungen, Lieferkette und Vorfallmeldung tragfähig aufgestellt ist. Hohe Punktzahlen bedeuten keine automatische Rechtssicherheit, niedrige Punktzahlen zeigen aber sehr klar, wo Governance und Cyberhygiene zuerst stabilisiert werden sollten.
Eine klar benannte Rolle beschleunigt Entscheidungen, Eskalationen und Nachweisführung im NIS2-Umfeld.
Gemeint ist eine verantwortliche Funktion mit definierten Zuständigkeiten, nicht zwingend ein eigener Vollzeitposten.
Das Tool priorisiert genau die Felder, in denen sich NIS2 in der Praxis schnell zeigt: Verantwortlichkeiten, Risikologik, Basisschutz, Schulung, Lieferkette und Vorfallreaktion. Art. 20 Abs. 2 NIS2 verpflichtet Leitungsorgane zur Befassung mit Cybersicherheits-Risikomanagement und zu Schulungen. Art. 21 Abs. 2 Buchst. a verlangt Risikoanalyse und Sicherheitskonzepte, Buchst. d adressiert die Lieferkette und Buchst. g nennt Cyberhygiene sowie Schulungen ausdrücklich.
Der Score ist deshalb kein abstrakter Reifegradwert, sondern eine pragmatische Management-Sicht auf die NIS2-Basisfähigkeit Ihrer Organisation. Wenn Sie nach dem Check direkt tiefer einsteigen wollen, ergänzen Sie das Ergebnis mit dem NIS2-Compliance-Rechner, der NIS2-Online-Schulung und der Schulung für Leitungsorgane.
0 bis 10 Punkte bedeuten kritischen Handlungsbedarf, weil mehrere Kernmaßnahmen fehlen. 11 bis 20 Punkte zeigen, dass erste Grundlagen vorhanden sind, aber Prozesse noch nicht belastbar ineinandergreifen. 21 bis 30 Punkte sprechen für einen guten Ausgangsstand, bei dem vor allem Nachweise, Testtiefe, Management-Reporting und Restlücken geschärft werden sollten.
Besonders wichtig ist der Zusammenhang zwischen Incident-Response und Meldeprozessen. Art. 23 NIS2 strukturiert die behördliche Meldelogik. Wenn Rollen, Eskalationspfade und Kommunikationsbausteine intern nicht vorbereitet sind, helfen auch gute Policies im Ernstfall nur begrenzt. Dasselbe gilt für Lieferanten: Art. 21 Abs. 2 Buchst. d NIS2 verlangt keine Papierprüfung, sondern belastbare Steuerung kritischer Dienstleister.
Jede Frage wird mit Ja = 3 Punkten, Teilweise beziehungsweise In Arbeit = 1 Punkt und Nein = 0 Punkten bewertet. Die Summe aus zehn Fragen ergibt maximal 30 Punkte.
Ein Score von 0 bis 10 Punkten zeigt grundlegende Lücken in Governance, Cyberhygiene oder Vorfallsteuerung. In diesem Fall sollten Verantwortlichkeiten, Risikoanalyse, Incident-Prozesse und Basisschutz zuerst priorisiert werden.
Nein. Das Assessment ist ein strukturierter Bereitschaftscheck für den Umsetzungsstand. Es ersetzt weder die Betroffenheitsprüfung noch eine rechtliche oder technische Detailanalyse.
Das Tool deckt insbesondere Management-Verantwortung aus Art. 20 Abs. 2 NIS2, Risikoanalyse und Sicherheitsmaßnahmen aus Art. 21 Abs. 2 Buchst. a, d und g NIS2 sowie Meldeprozesse aus Art. 23 NIS2 ab.