Free, 5 minutes, no signup
The official BSI check answers the question Whether. This check answers the question How far. 30 compact questions, three per measure, with an instant traffic-light evaluation and a top-three gap list. Detailed evaluation optionally by email.
Memberships, programmes and partnerships
Three questions per measure under §30 BSIG. Scale: implemented, partial, not, unknown.
Per measure green, yellow or red. Plus overall maturity percentage and top three gaps.
Detailed evaluation with 90-day roadmap optional via business email. No newsletter, no mandatory phone field.
Hinweis zur Abgrenzung
Dieser Check bewertet die Umsetzungstiefe Ihrer Cybersicherheits-Maßnahmen entlang der zehn NIS-2-Pflichtbereiche aus §30 BSIG. Er ersetzt nicht den offiziellen BSI-Betroffenheitsprüfung, die die Frage Bin ich überhaupt NIS-2-pflichtig? beantwortet. Eine rechtsverbindliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.
0 von 30 Fragen beantwortet
Bereich 1 von 10 · §30 Abs. 2 Nr. 1
Es gibt eine dokumentierte Methodik zur Bewertung von Cybersicherheits-Risiken (z. B. nach ISO 27005).
Risiken sind in einem aktuellen Risikoregister mit Eigentümern und Behandlungsplan erfasst.
Das Risikomanagement wird mindestens jährlich überprüft und an die Geschäftsführung berichtet.
Bereich 2 von 10 · Nr. 2
Ein dokumentierter Incident-Response-Plan mit Eskalationspfaden ist vorhanden.
Die 24- und 72-Stunden-Meldepflichten an das BSI sind organisatorisch abgebildet.
Vorfälle werden zentral erfasst und nach jedem Vorfall systematisch nachbereitet.
Bereich 3 von 10 · Nr. 3
Ein dokumentiertes Business-Continuity- und Disaster-Recovery-Konzept liegt vor.
Backups sind nach 3-2-1-Prinzip getrennt und mindestens jährlich auf Wiederherstellbarkeit getestet.
Krisenstabs- und Recovery-Übungen finden mindestens einmal pro Jahr statt.
Bereich 4 von 10 · Nr. 4
Es existiert eine aktuelle Liste kritischer Lieferanten mit Sicherheits-Risikoeinstufung.
Sicherheitsanforderungen sind vertraglich verankert (Audit-Recht, Meldepflichten, Mindestmaßnahmen).
Der Lieferanten-Sicherheitsstatus wird mindestens jährlich überprüft.
Bereich 5 von 10 · Nr. 5
Sicherheitsanforderungen sind fester Bestandteil von Beschaffungs- und Entwicklungsprozessen.
Schwachstellen werden im Lifecycle erkannt (z. B. SAST/DAST, SBOM, Pen-Tests).
Patch- und Update-Prozesse sind dokumentiert und werden konsequent umgesetzt.
Bereich 6 von 10 · Nr. 6
Sicherheits-Maßnahmen sind mit Wirksamkeits-Kennzahlen (KPI / KRI) hinterlegt.
Es gibt einen wiederkehrenden Wirksamkeits-Review (intern oder extern).
Ergebnisse fließen in die Risikobewertung zurück und werden dem Management berichtet.
Bereich 7 von 10 · Nr. 7
Eine Krypto-Richtlinie regelt verbindlich Algorithmen, Schlüssellängen und Lifecycle.
Vertrauliche Daten sind im Transport (TLS 1.2 oder höher) und im Ruhezustand verschlüsselt.
Die Schlüsselverwaltung ist getrennt von den Daten und dokumentiert.
Bereich 8 von 10 · Nr. 8
Joiner-Mover-Leaver-Prozesse sind formal definiert und werden eingehalten.
Privilegierte Zugänge sind separat verwaltet (PAM oder gleichwertig) und werden überprüft.
Ein aktuelles Asset-Inventar (IT, OT, Daten) liegt vor und wird gepflegt.
Bereich 9 von 10 · Nr. 9
MFA ist für alle administrativen und remote zugänglichen Konten verpflichtend.
Kommunikationsdienste (Email, Video, Chat) sind nach aktuellem Stand gehärtet.
Notfall-Kommunikationswege sind getrennt vom regulären Netz verfügbar.
Bereich 10 von 10 · Nr. 10
Alle Mitarbeitenden absolvieren mindestens einmal jährlich eine Sicherheits-Schulung.
Phishing-Simulationen oder vergleichbare Übungen finden regelmäßig statt.
Schulungs-Status und Vorfall-Lernen werden dokumentiert und in Berichte einbezogen.
Bitte alle 30 Fragen beantworten. Fehlt: 30.
This maturity check does not replace the official BSI applicability check nor a legally binding assessment by a specialised law firm. It only evaluates the implementation depth of cybersecurity measures along the ten §30 BSIG areas. The question Am I within NIS-2 scope is answered by the BSI check; the question What exactly do I have to do is answered by legal review.
Open the official BSI check