NIS-2 Readiness: Warum das Assessment vor der Roadmap kommt

Wo stehen Sie bei NIS-2?

Diese Frage klingt einfach. Sie ist es nicht. "Wir sind auf einem guten Weg" ist keine Antwort, die vor einer Aufsichtsbehoerde oder einem Vorstand besteht. Eine belastbare Antwort erfordert ein belastbares Ist-Bild.

Ohne dieses Fundament gibt es keine Planung, die funktioniert. Nur Aktionismus.

Das Problem mit Roadmaps ohne Assessment

Viele Unternehmen beginnen mit der Roadmap, bevor sie den aktuellen Zustand kennen. Das fuehrt zu Roadmaps, die schoen aussehen und nichts sagen.

Was fehlt: Eine ehrliche Bewertung des heutigen Reifegrads. Nicht nach Wunschbild, sondern nach tatsaechlichem Stand. Das Assessment schafft dieses Bild – strukturiert, methodisch, handlungsfaehig.

Was das NIS-2 Assessment liefert

Das betreute Assessment bei Cybervize folgt einer klaren Struktur:

Kick-off: Erwartungen klaeren, Umfang definieren, Teilnehmer einbeziehen – ohne endlose Vorbereitung.

Questionnaire in der Cybervize Plattform: Strukturierte Selbstbewertung entlang der NIS-2-Anforderungsbereiche. Kein Raten, kein freier Text – klare Aussagen, prueffaehig dokumentiert.

Zwei Workshops: Im ersten Workshop werden die Schwachstellen besprochen, Zusammenhaenge erklaert. Im zweiten wird die Priorisierung gemeinsam festgelegt.

Ergebnis-Praesentation: Keine PDF, die niemand liest. Eine Praesentation, die Entscheidungen ermoeglicht: Was ist dringend? Was kann warten? Was kostet was?

Der Output: Mehr als eine Statusuebersicht

Der Output des Assessments ist vierfach:

Erstens eine Roadmap: Priorisierte Massnahmen mit klarem Zeitrahmen und realistischem Aufwand.

Zweitens Verantwortlichkeiten: Wer ist fuer welche Massnahme verantwortlich? Nicht pauschal "IT".

Drittens Aufwandsschaetzung: Was kostet die Umsetzung intern und extern? Ohne diese Zahl gibt es kein Budget.

Viertens Empfehlungen: Welche Quick Wins lassen sich sofort umsetzen? Wo sind die kritischen Pfade?

Das Ist-Bild als Fuehrungsinstrument

Die Ist-Bild-Scorecard aus dem Assessment ist kein internes Arbeitsdokument. Sie ist ein Fuehrungsinstrument.

Format: Je Anforderungsbereich (Governance, Meldeprozess, Krisenorganisation, Lieferanten, Nachweise) gibt es eine Ampelbewertung plus den naechsten konkreten Schritt.

Gruen bedeutet: Im Regelbetrieb verankert, Nachweis vorhanden. Gelb: In Umsetzung, aber noch nicht nachweisbar. Rot: Risiko oder Blocker, Entscheidung erforderlich.

Mit dieser Scorecard kann jede Fuehrungskraft sofort sehen, wo das Unternehmen steht. Ohne technisches Vorwissen. Ohne Interpretation.

Warum das Assessment vor der Roadmap kommt

Eine Roadmap ohne Assessment optimiert das Falsche. Sie investiert Ressourcen dort, wo jemand vermutet, dass Handlungsbedarf besteht – nicht dort, wo er tatsaechlich ist.

Das Assessment macht den Unterschied zwischen gut gemeinten Massnahmen und wirksamen Massnahmen. Es ist der erste Schritt, nicht der letzte.