Kostenlos, 5 Minuten, ohne Anmeldung
Der offizielle BSI-Check beantwortet die Frage Ob. Dieser Check beantwortet die Frage Wie weit. 30 kompakte Fragen, je drei pro Pflichtbereich, mit sofortiger Ampel-Auswertung und einer Top-3-Lücken-Liste. Detail-Auswertung optional per Email.
Mitgliedschaften, Programme und Partnerschaften
Drei Fragen je Pflichtbereich nach §30 BSIG. Skala Umgesetzt, Teilweise, Nicht, Weiß nicht.
Pro Pflichtbereich grün, gelb oder rot. Plus Gesamt-Reifegrad in Prozent und Top-3-Lücken.
Detail-Auswertung mit 90-Tage-Roadmap optional per Geschäftsemail. Kein Newsletter, kein Telefon-Pflichtfeld.
Hinweis zur Abgrenzung
Dieser Check bewertet die Umsetzungstiefe Ihrer Cybersicherheits-Maßnahmen entlang der zehn NIS-2-Pflichtbereiche aus §30 BSIG. Er ersetzt nicht den offiziellen BSI-Betroffenheitsprüfung, die die Frage Bin ich überhaupt NIS-2-pflichtig? beantwortet. Eine rechtsverbindliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.
0 von 30 Fragen beantwortet
Bereich 1 von 10 · §30 Abs. 2 Nr. 1
Es gibt eine dokumentierte Methodik zur Bewertung von Cybersicherheits-Risiken (z. B. nach ISO 27005).
Risiken sind in einem aktuellen Risikoregister mit Eigentümern und Behandlungsplan erfasst.
Das Risikomanagement wird mindestens jährlich überprüft und an die Geschäftsführung berichtet.
Bereich 2 von 10 · Nr. 2
Ein dokumentierter Incident-Response-Plan mit Eskalationspfaden ist vorhanden.
Die 24- und 72-Stunden-Meldepflichten an das BSI sind organisatorisch abgebildet.
Vorfälle werden zentral erfasst und nach jedem Vorfall systematisch nachbereitet.
Bereich 3 von 10 · Nr. 3
Ein dokumentiertes Business-Continuity- und Disaster-Recovery-Konzept liegt vor.
Backups sind nach 3-2-1-Prinzip getrennt und mindestens jährlich auf Wiederherstellbarkeit getestet.
Krisenstabs- und Recovery-Übungen finden mindestens einmal pro Jahr statt.
Bereich 4 von 10 · Nr. 4
Es existiert eine aktuelle Liste kritischer Lieferanten mit Sicherheits-Risikoeinstufung.
Sicherheitsanforderungen sind vertraglich verankert (Audit-Recht, Meldepflichten, Mindestmaßnahmen).
Der Lieferanten-Sicherheitsstatus wird mindestens jährlich überprüft.
Bereich 5 von 10 · Nr. 5
Sicherheitsanforderungen sind fester Bestandteil von Beschaffungs- und Entwicklungsprozessen.
Schwachstellen werden im Lifecycle erkannt (z. B. SAST/DAST, SBOM, Pen-Tests).
Patch- und Update-Prozesse sind dokumentiert und werden konsequent umgesetzt.
Bereich 6 von 10 · Nr. 6
Sicherheits-Maßnahmen sind mit Wirksamkeits-Kennzahlen (KPI / KRI) hinterlegt.
Es gibt einen wiederkehrenden Wirksamkeits-Review (intern oder extern).
Ergebnisse fließen in die Risikobewertung zurück und werden dem Management berichtet.
Bereich 7 von 10 · Nr. 7
Eine Krypto-Richtlinie regelt verbindlich Algorithmen, Schlüssellängen und Lifecycle.
Vertrauliche Daten sind im Transport (TLS 1.2 oder höher) und im Ruhezustand verschlüsselt.
Die Schlüsselverwaltung ist getrennt von den Daten und dokumentiert.
Bereich 8 von 10 · Nr. 8
Joiner-Mover-Leaver-Prozesse sind formal definiert und werden eingehalten.
Privilegierte Zugänge sind separat verwaltet (PAM oder gleichwertig) und werden überprüft.
Ein aktuelles Asset-Inventar (IT, OT, Daten) liegt vor und wird gepflegt.
Bereich 9 von 10 · Nr. 9
MFA ist für alle administrativen und remote zugänglichen Konten verpflichtend.
Kommunikationsdienste (Email, Video, Chat) sind nach aktuellem Stand gehärtet.
Notfall-Kommunikationswege sind getrennt vom regulären Netz verfügbar.
Bereich 10 von 10 · Nr. 10
Alle Mitarbeitenden absolvieren mindestens einmal jährlich eine Sicherheits-Schulung.
Phishing-Simulationen oder vergleichbare Übungen finden regelmäßig statt.
Schulungs-Status und Vorfall-Lernen werden dokumentiert und in Berichte einbezogen.
Bitte alle 30 Fragen beantworten. Fehlt: 30.
Dieser Reifegrad-Check ersetzt weder die offizielle BSI-Betroffenheitsprüfung noch eine rechtsverbindliche Bewertung durch eine spezialisierte Kanzlei. Er bewertet ausschließlich die Umsetzungstiefe der Cybersicherheits-Maßnahmen entlang der zehn Pflichtbereiche aus §30 BSIG. Die Frage Bin ich überhaupt NIS-2-pflichtig klärt der BSI-Check, die Frage Was muss ich konkret tun klärt die juristische Bewertung.
Zum offiziellen BSI-Check