NISG 2026 Gap-Analyse

Gap-Analyse

Gap-Analyse

Gap-Analyse zur Bewertung Ihres Reifegrads

Sollte Ihr Unternehmen von der NIS 2 betroffen sein, so gilt es die Prozesse und Maßnahmen der Informationssicherheit zu überprüfen.

Gemäß der NIS 2-Richtlinie müssen Leitungsorgane die Umsetzung der notwendigen technischen, organisatorischen und rechtlichen Maßnahmen sicherstellen und deren Umsetzung überwachen. Bei Nichteinhaltung können Geschäftsführer:innen persönlich für Verstöße haftbar gemacht werden.

Im Rahmen einer Gap-Analyse (=Standortbestimmung) gleichen unsere unabhängigen, erfahrenen BDO Mitarbeiter:innen anhand von Interviews, Begehungen und Dokumenteneinsichten die regulatorischen Anforderungen der NIS 2-RL (Soll-Zustand) mit den bereits gesetzten Maßnahmen im Unternehmen (Ist-Zustand) ab.

Unsere Gap-Analyse zeigt strukturiert auf, wie gut Ihr Unternehmen die Anforderungen des NISG 2026 und der NIS2‑Richtlinie bereits erfüllt und wo noch Handlungsbedarf besteht. Dabei berücksichtigen wir auch die Durchführungsverordnung (EU) 2024/2690, die methodischen Mindestanforderungen für Risikomanagementmaßnahmen und deren Bewertung konkretisiert.

 

Analyse der Cybersicherheit (Gap-Analyse)


Wir bewerten Ihren Ist-Zustand technisch, organisatorisch und prozessual:
  • Analyse der bestehenden Sicherheitsorganisationen, Prozesse und Richtlinien gemäß § 31 (Governance) und § 32 (Risikomanagementmaßnahmen) NISG 2026
  • Nutzung etablierter Reifegradmodelle (z. B. ISO 27001, NIST CSF, BSI Grundschutz), um Ihr Sicherheitsniveau messbar zu machen.
  • Bewertung der Lieferkette: Einbezug von Lieferant:innen und Partner:innen, wie es § 32 Abs. 4 lit. d NISG 2026 zur Sicherheit der Lieferkette verlangt.

Die Gap-Analyse erfolgt in 3 Phasen

1. Vorbereitung

  • In einem gemeinsamen Kick-off-Termin koordinieren wir die Ansprechpersonen und weitere Termine.
  • BDO übermittelt Ihnen vorab eine Liste möglicher Nachweise zur Sichtung.
  • Wir ordnen die Ansprechpersonen zu den Kapiteln/Artikeln des NISG zu und erstellen einen Assessmentplan.
2. Durchführung
  • Das Assessment erfolgt wahlweise vor Ort oder remote und basiert auf Interviews.
  • Je nach NISG 2026-Anforderung können Systemeinsichten notwendig sein.
  • BDO bewertet jeden anwendbaren Artikel und dokumentiert sämtliche Abweichungen.
3. Berichterstattung
Das Ergebnis wird in einem Bericht vorgelegt. Die Bewertung der anwendbaren Kapitel erfolgt nach folgendem Schema:
  • Vorhanden
  • Teilweise vorhanden
  • Fehlend
  Für alle identifizierten Abweichungen erhalten Sie priorisierte Maßnahmenempfehlungen.

 
Themengebiete NIS2 Artikel 21
 
Kapitel Thema Ersteinschätzung zur Konformität
#1 (a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme  Erfüllt
#2 (b) Bewältigung von Sicherheitsvorfällen  Teilweise erfüllt
# 3 (c Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement  Teilweise erfüllt
#4 (d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbieters Teilweise erfüllt
#5 (e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen Erfüllt
#6 (f) Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersecurity-Risikomanagement Erfüllt
#7 (g) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit Erfüllt
#8 (h Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung Erfüllt
#9 (i Sicherheitsrichtlinien für das Personal, Maßnahmen zur Zugriffkontrolle und Management von Anlagen Teilweise erfüllt
#10 (j) Einsatz von Mehrfaktorauthentifizierung oder kontinuierlichen Authentifizierungslösungen Erfüllt
 



 

Maßnahmenempfehlungen ableiten und priorisieren

Basierend auf den Analyseergebnissen leiten wir konkrete Maßnahmen ab:
  • Erstellung von Kritikalitätsbewertungen und Risikomatrizen, die exakt auf Ihre Dienste und Risikoexposition abgestimmt sind.
  • Sortierung der Maßnahmen in „Quick Wins“ vs. kritische Schwachstellen, unter Berücksichtigung aller relevanten Abhängigkeiten.
  • Abschätzung von Ressourcenbedarf, Verantwortlichkeiten und Umsetzungszeiträumen, um eine realistische Roadmap zu entwickeln.
Damit schaffen wir die Grundlage, um Anforderungen wie Selbstdeklaration und Prüfungen durch unabhängige Stellen strukturiert vorzubereiten.
BERATUNGSTERMIN VEREINBAREN
 

Unsere NISG-Experten