Skip to Content

Gap-Analyse

Die Gap-Analyse misst Ihre Lage anhand der Risikomanagementmaßnahmen für Cybersicherheit nach Artikel 21 der NIS2 und macht aus dem Ergebnis einen priorisierten Plan.

Das Compliance-Dashboard nach einem Gap-Assessment — Gesamtscore und Aufschlüsselung nach Maßnahmenbereich

Was bewertet wird

Artikel 21 Absatz 2 nennt die Basismaßnahmen, die jede betroffene Einrichtung ergreifen muss — Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme, Behandlung von Sicherheitsvorfällen, Geschäftskontinuität und Krisenmanagement, Sicherheit der Lieferkette, sichere Beschaffung und Entwicklung, Verfahren zur Bewertung der Wirksamkeit, grundlegende Cyberhygiene und Schulung, Kryptografie, Zugriffskontrolle und Asset-Management, Multi-Faktor-Authentifizierung und sichere Kommunikation.

Reglyze gliedert diese in Kontrollen und Unterkontrollen und bewertet jede auf zwei Achsen:

  • Umsetzung — ist die Maßnahme tatsächlich vorhanden?
  • Dokumentation — können Sie sie nachweisen?

Nationale Umsetzung

NIS2 ist eine EU-Richtlinie: Sie gilt über das Recht des jeweiligen Mitgliedstaats, und mehrere nationale Behörden veröffentlichen einen Maßnahmenkatalog, der sich den Artikel-21-Maßnahmen zuordnen lässt. Reglyze bewertet Sie anhand des Artikel-21(2)-Sockels — des gemeinsamen Kerns —, sodass dieselben Nachweise auf das für Sie geltende Rahmenwerk übertragbar sind:

  • Frankreich — das ReCyF der ANSSI (Référentiel Cyber France): verbindliche Sicherheitsziele (das „Was”) plus empfohlene Maßnahmen (das „Wie”), die als anerkannter Nachweis gegenüber der ANSSI dienen.
  • Deutschland — das BSI nach dem NIS2-Umsetzungsgesetz (NIS2UmsuCG), mit IT-Grundschutz als etablierter Methodik.
  • Italien — die ACN nach dem D.Lgs 138/2024, das die grundlegenden Sicherheitsmaßnahmen und Meldepflichten festlegt.
  • Portugal — das CNCS und das Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Wo ein nationales Rahmenwerk eine Maßnahme ergänzt oder verfeinert, behandeln Sie Ihre Gap-Assessment-Bewertungen als Ausgangsbasis für den Nachweis, nicht als letztes Wort.

Bewertung & Schweregrad

Jede Kontrolle erhält einen Umsetzungs- und einen Dokumentationsscore; zusammen ergeben sie einen Gesamtscore der Lage und einen Schweregrad je Kontrolle (wie dringend die Lücke ist). Das Dashboard zeigt die Verteilung, sodass Sie auf einen Blick sehen, ob Sie es mit wenigen kritischen Lücken oder vielen oberflächlichen zu tun haben.

Von Lücken zum Plan

Jede Lücke kann eine Remediation-Aufgabe mit Verantwortlichem, Fälligkeit und Schweregrad speisen — die Analyse ist also kein statischer Bericht, sondern der Beginn einer nachverfolgten Aufgabenliste. Siehe Richtlinien & Dokumente, um die zu einer Lücke passenden Artefakte zu erzeugen, und Multi-Framework, um dieselbe Arbeit auf ISO 27001 / NIST CSF / DORA abzubilden.

Neubewertung

Führen Sie die Analyse regelmäßig und nach wesentlichen Änderungen durch. Artikel 21 Absatz 1 der NIS2 erwartet, dass Maßnahmen dauerhaft wirksam bleiben — verfolgen Sie den Trend Ihrer Scores, um dies nachzuweisen.

Erste Schritte