Wir haben für Sie einen exemplarischen Fragebogen in allen relevanten Bereichen für die NIS2-Erfüllung (Compliance) erstellt. Die Fragen pro Kategorie sind nicht vollständig, dennoch adressieren sie alle wichtigen Themenstellungen und zeigen Ihnen wie unser NIS2-Assessment aufgebaut ist.
Mit Abschluss des Assessments erhalten Sie von uns die vollständige Auswertung mit den identifizierten Defiziten und notwendigen / empfohlenen Maßnahmen zum Schließen der Lücken. Zusätzlich erhalten Sie von uns jeweils einen Katalog von technischen Experten die Sie gegebenenfalls dabei unterstützen können.
Fragebogen
Firmenangaben
Bitte geben Sie die folgenden Informationen über Ihr Unternehmen an:
- Firmenname:
- Anzahl der Mitarbeitenden:
- Branche:
- Standort(e):
- Name und Funktion der ausfüllenden Person(en):
1. Risikomanagement (Risk Management)
1.1 Werden regelmäßig Risikomanagement-Analysen durchgeführt, um potenzielle Sicherheitsrisiken zu identifizieren und zu bewerten?
1.2 Existiert eine dokumentierte Strategie zur Risikobewältigung, die auf identifizierte Risiken reagiert?
1.3 Werden Risiken, die die Netzwerksicherheit betreffen, zeitnah und effektiv adressiert?
1.4 …
[Offenes Kommentarfeld]
2. Zugangskontrolle (Access Control)
2.1 Werden Zugangskontrollen implementiert, um sicherzustellen, dass nur autorisierte Benutzer auf kritische Systeme zugreifen können?
2.2 Existiert ein Prozess zur regelmäßigen Überprüfung und Anpassung von Zugriffsrechten?
2.3 Wird Multi-Faktor-Authentifizierung (MFA) für sensible Systeme eingesetzt?
2.4 …
[Offenes Kommentarfeld]
3. Asset Management (Vermögensverwaltung)
3.1 Werden alle Unternehmensressourcen (Geräte, Netzwerke, Software) regelmäßig inventarisiert und dokumentiert?
3.2 Ist es gewährleistet, dass alle Geräte im Netzwerk den Sicherheitsanforderungen entsprechen?
3.3 Wird eine regelmäßige Überprüfung auf unautorisierte Geräte im Netzwerk durchgeführt?
3.4 …
[Offenes Kommentarfeld]
4. Incident-Management (Vorfallmanagement)
4.1 Existiert ein dokumentierter Prozess zur Meldung und Behebung von Sicherheitsvorfällen?
4.2 Werden Vorfälle schnell und effizient analysiert und behandelt, um weitere Schäden zu verhindern?
4.3 Werden alle Vorfälle regelmäßig dokumentiert und für spätere Analysen gespeichert?
4.4 …
[Offenes Kommentarfeld]
5. Business Continuity & Disaster Recovery (BC/DR)
5.1 Gibt es einen umfassenden Business-Continuity-Plan (BCP), der alle kritischen IT-Systeme abdeckt?
5.2 Werden regelmäßig Notfallübungen durchgeführt, um die Wirksamkeit des BC/DR-Plans zu testen?
5.3 Existiert ein Dokumentationsprozess, um nach einem Vorfall eine schnelle Wiederherstellung der IT-Systeme sicherzustellen?
5.4 …
[Offenes Kommentarfeld]
6. Netzwerksicherheit (Network Security)
6.1 Sind Netzwerke durch Firewalls und Intrusion Detection Systems (IDS) geschützt?
6.2 Wird der gesamte Netzwerkverkehr regelmäßig überwacht und auf verdächtige Aktivitäten überprüft?
6.3 Existiert eine Netzwerksegmentierung, um die Auswirkungen von Sicherheitsvorfällen zu minimieren?
6.4 …
[Offenes Kommentarfeld]
7. System- und Informationssicherheit (System & Information Security)
7.1 Werden alle Systeme regelmäßig auf bekannte Sicherheitslücken geprüft?
7.2 Sind Systeme durch Antivirus-Software und regelmäßige Updates vor bekannten Bedrohungen geschützt?
7.3 Wird sicherheitsrelevante Software nur aus vertrauenswürdigen Quellen installiert und gepflegt?
7.4 …
[Offenes Kommentarfeld]
8. Kryptografischer Schutz (Cryptographic Protection)
8.1 Wird sensible Kommunikation innerhalb des Unternehmens durch Verschlüsselung geschützt?
8.2 Existiert eine Richtlinie zur Verwendung von Verschlüsselung für die Speicherung sensibler Daten?
8.3 Werden regelmäßig die Verschlüsselungsprotokolle überprüft, um sicherzustellen, dass sie aktuellen Sicherheitsstandards entsprechen?
8.4 …
[Offenes Kommentarfeld]
9. Lieferketten- und Drittanbieter-Management (Supply Chain Security)
9.1 Werden Drittanbieter auf ihre Cybersicherheitspraktiken hin überprüft, bevor Geschäftsbeziehungen aufgenommen werden?
9.2 Wird regelmäßig überprüft, ob Drittanbieter den Sicherheitsanforderungen des Unternehmens entsprechen?
9.3 Existiert ein Verfahren zur schnellen Reaktion auf Sicherheitsvorfälle in der Lieferkette?
9.4 …
[Offenes Kommentarfeld]
10. Mitarbeitersensibilisierung und Schulung (Awareness & Training)
10.1 Werden Mitarbeiter regelmäßig in Bezug auf Cybersicherheitsrichtlinien und -praktiken geschult?
10.2 Gibt es einen klaren Prozess zur Schulung von Mitarbeitern bei der Erkennung von Phishing-Angriffen und anderen Bedrohungen?
10.3 Werden neue Mitarbeiter zur Cybersicherheit und zum Umgang mit sensiblen Informationen geschult?
10.4 …
[Offenes Kommentarfeld]
11. Physische Sicherheit (Physical Security)
11.1 Werden Zugriffe auf physische Standorte, die kritische IT-Infrastruktur beherbergen, streng kontrolliert?
11.2 Existiert eine Videoüberwachung und Alarmanlagen an strategisch wichtigen Punkten im Unternehmen?
11.3 Werden alle Geräte und Server in gesicherten, nicht öffentlichen Bereichen aufbewahrt?
11.4 …
[Offenes Kommentarfeld]
12. Governance und Compliance (Governance & Compliance)
12.1 Wird regelmäßig überprüft, ob das Unternehmen die geltenden Sicherheitsrichtlinien und gesetzlichen Vorschriften einhält?
12.2 Existiert eine dokumentierte Compliance-Strategie, die alle relevanten Gesetze und Standards umfasst?
12.3 Werden bei der Entwicklung neuer Sicherheitsstrategien gesetzliche Anforderungen und Best Practices berücksichtigt?
12.4 …
[Offenes Kommentarfeld]