Was ist eine GAP-Analyse?
Eine GAP-Analyse ist ein systematischer Vergleich zwischen dem heutigen Stand einer Organisation (Ist-Zustand) und dem erforderlichen Zielzustand — in diesem Fall den NIS2-Anforderungen. Das Ergebnis zeigt, welche “Lücken” bestehen und geschlossen werden müssen.
Es ist der erste Schritt zur NIS2-Compliance: Bevor Sie die Reise planen können, müssen Sie wissen, wo Sie starten.
Der Wert: Eine gut durchgeführte GAP-Analyse verschafft der Geschäftsführung ein klares Bild des Umfangs, hilft bei der Priorisierung von Maßnahmen und schafft die Grundlage für Budget- und Ressourcenplanung.
Bevor Sie beginnen
Vorbereitungen:
-
Verankerung bei der Geschäftsführung — Die GAP-Analyse benötigt Zeit und erfordert die Mitwirkung mehrerer Personen. Sichern Sie sich zuerst das Mandat.
-
Umfang definieren — Welche Teile der Organisation fallen unter NIS2? Welche Systeme und Prozesse?
-
Dokumentation sammeln — Bestehende Richtlinien, Verfahren, Risikobewertungen, Incident-Reports, etc.
-
Interessengruppen identifizieren — Wer muss einbezogen werden? IT, Sicherheit, Recht, Fachbereiche, Geschäftsführung.
-
Methode wählen — Selbstbewertung, Workshops, Interviews oder eine Kombination?
6-Schritte-Prozess
- NIS2-Anforderungen kartieren Beginnen Sie damit, zu verstehen, was NIS2 tatsächlich erfordert. Artikel 21 listet 10 Hauptbereiche auf: Risikomanagement, Incident-Management, Business Continuity, Lieferantensicherheit, Netzwerksicherheit, Vulnerability-Richtlinien, Effektivitätsbewertung, Kryptografie, Personalschulung sowie Zugangs- und Asset-Management.
- Ist-Zustand dokumentieren Für jeden Anforderungsbereich: Was haben wir heute? Gibt es dokumentierte Prozesse? Implementierte technische Kontrollen? Wie reif sind wir? Verwenden Sie eine Skala (z.B. 0-4) zur Bewertung des Reifegrads.
- Lücken identifizieren Vergleichen Sie Ist-Zustand mit Anforderungen. Wo sind die Lücken? Kategorisieren Sie: Fehlt komplett, Teilweise implementiert, Vorhanden aber nicht dokumentiert, Vorhanden und dokumentiert. Priorisieren Sie basierend auf Risiko und Komplexität.
- Maßnahmen priorisieren Nicht alle Lücken sind gleich kritisch. Priorisieren Sie basierend auf: Risikoniveau (Was sind die Konsequenzen?), Komplexität (Wie schwer ist die Behebung?), Abhängigkeiten (Muss etwas anderes zuerst fertig sein?), Ressourcenbedarf (Was wird benötigt?).
- Maßnahmenplan erstellen Überführen Sie die GAP-Analyse in konkrete Aktivitäten. Definieren Sie: Was muss getan werden, Wer ist verantwortlich, Wann muss es fertig sein, Welche Ressourcen werden benötigt, Wie verfolgen wir nach.
- Nachverfolgen und berichten Die GAP-Analyse ist kein einmaliges Projekt. Verfolgen Sie regelmäßig nach, aktualisieren Sie den Status, berichten Sie an die Geschäftsführung. Nutzen Sie sie als Grundlage für kontinuierliche Verbesserung.
NIS2 Artikel 21 — Anforderungsbereiche
Hier sind die 10 Bereiche aus NIS2 Artikel 21, die Ihre GAP-Analyse abdecken sollte:
| # | Bereich | Was es bedeutet |
|---|---|---|
| 1 | Risikomanagement | Richtlinien und Verfahren für Risikobewertung |
| 2 | Incident-Management | Prozesse zur Behandlung von Sicherheitsvorfällen |
| 3 | Business Continuity | Backup, Disaster Recovery, Krisenmanagement |
| 4 | Lieferantensicherheit | Sicherheit in der Lieferkette |
| 5 | Netzwerksicherheit | Sicherheit bei Beschaffung, Entwicklung, Wartung |
| 6 | Vulnerability-Management | Richtlinien für den Umgang mit Schwachstellen |
| 7 | Effektivitätsbewertung | Prozesse zur Evaluierung von Sicherheitsmaßnahmen |
| 8 | Kryptografie | Richtlinien für Verschlüsselung |
| 9 | Personal und Schulung | HR-Sicherheit, Awareness, Schulung |
| 10 | Zugangskontrolle | Asset-Management, Authentifizierung |
Reifegrad-Skala
Verwenden Sie eine Reifegrad-Skala zur Bewertung des Ist-Zustands pro Anforderungsbereich:
Nichts ist vorhanden. Der Bereich wird nicht adressiert.
Ad-hoc-Aktivitäten vorhanden. Keine Struktur oder Dokumentation.
Prozesse sind dokumentiert, aber nicht konsistent befolgt.
Prozesse sind implementiert und werden konsistent befolgt.
Level 4: Optimiert — Prozesse werden gemessen, kontinuierlich verbessert und sind in das Geschäft integriert.
Zielniveau für NIS2: Mindestens Level 3 in allen Anforderungsbereichen.
Vorlage für GAP-Analyse
| Anforderungsbereich | Ist-Zustand (0-4) | Beschreibung des Ist-Zustands | Gap | Priorität | Maßnahme |
|---|---|---|---|---|---|
| Risikomanagement | 2 | Richtlinien vorhanden, Risikoregister fehlt | Risikoregister implementieren | Hoch | Q1 2026 |
| Incident-Management | 1 | Ad-hoc-Prozess, keine Dokumentation | Prozess dokumentieren, Vorlagen erstellen | Kritisch | Sofort |
| Business Continuity | 3 | Plan vorhanden, im letzten Jahr getestet | Kleinere Lücken | Mittel | Q2 2026 |
| … | … | … | … | … | … |
Beispiele für Lücken pro Bereich
Risikomanagement — Typische Lücken
- Keine dokumentierte Risikomethodik
- Risikoregister fehlt oder ist veraltet
- Risikobewertungen werden nicht regelmäßig durchgeführt
- Geschäftsführung ist nicht in Risikoakzeptanz eingebunden
Incident-Management — Typische Lücken
- Keine Definition von “erheblichem Incident”
- Kontaktwege zum BSI-CERT fehlen
- Vorlagen für Berichterstattung fehlen
- Bereitschaftsdienst fehlt
- Prozesse wurden nicht getestet
Lieferantensicherheit — Typische Lücken
- Kritische Lieferanten sind nicht identifiziert
- Sicherheitsanforderungen werden nicht in Verträgen gestellt
- Keine regelmäßige Nachverfolgung
- Subunternehmer werden nicht kontrolliert
Von der Lücke zur Handlung
Inhalt des Maßnahmenplans:
Für jede identifizierte Lücke definieren Sie:
- Maßnahme: Was soll konkret getan werden?
- Verantwortlicher: Wer besitzt die Aktivität?
- Deadline: Wann soll es fertig sein?
- Ressourcen: Was wird benötigt (Zeit, Geld, Kompetenz)?
- Abhängigkeiten: Muss etwas anderes zuerst fertig sein?
- Status: Begonnen, laufend, abgeschlossen
- Verifikation: Wie wissen wir, dass es erledigt ist?
Häufige Fehler
Nur "Ja/Nein" abzuhaken, ohne den Reifegrad zu verstehen. Die Tiefe ist wichtig.
Die Analyse ohne Unterstützung der Geschäftsführung durchzuführen. Das Ergebnis verstaubt im Regal.
Die GAP-Analyse einmal zu machen und dann nicht nachzuverfolgen. Es ist ein kontinuierlicher Prozess.
Lücken zu identifizieren, ohne Ressourcen für ihre Schließung sicherzustellen.
So kann Securapilot helfen
Securapilots GAP-Analysemodul automatisiert und optimiert den Prozess:
- Eingebaute Anforderungsframeworks — Alle NIS2-Anforderungen vorkonfiguriert
- Geführte Bewertung — Schritt-für-Schritt durch alle Bereiche
- Automatische Priorisierung — Basierend auf Risiko und Komplexität
- Maßnahmenplan-Generator — Von Lücken zu Aktivitäten automatisch
- Dashboards — Visualisierung von Ist-Zustand und Fortschritt
- Export-Funktion — Berichte für Geschäftsführung und Audit
Demo buchen und sehen Sie, wie wir Ihnen bei einer effektiven GAP-Analyse helfen können.
Häufig gestellte Fragen
Wie lange dauert eine GAP-Analyse?
Eine grundlegende GAP-Analyse kann je nach Größe und Komplexität der Organisation in 2-4 Wochen durchgeführt werden. Eine tiefere Analyse mit Interviews und Dokumentenprüfung dauert länger.
Können wir die GAP-Analyse selbst durchführen?
Ja, kleinere Organisationen mit interner Kompetenz können die Analyse selbst durchführen. Größere Organisationen oder solche ohne interne Expertise profitieren oft von externer Unterstützung für Objektivität und Vollständigkeit.
Was kostet eine GAP-Analyse?
Die Kosten variieren stark. Intern durchgeführt kostet es hauptsächlich Arbeitszeit. Externe Berater kosten typischerweise 50-200.000€ je nach Umfang. Automatisierte Tools wie Securapilot können Kosten und Zeit reduzieren.
Wie oft sollte die GAP-Analyse aktualisiert werden?
Führen Sie eine initiale GAP-Analyse durch und aktualisieren Sie diese jährlich oder bei größeren Änderungen im Betrieb, der IT-Umgebung oder den Vorschriften. Nutzen Sie das Ergebnis für kontinuierliche Verbesserung.
