Cycademy

Bonus-Material zum Buch

NIS2-Checkliste
für die Geschäftsleitung

40 Prüffragen zur Cybersecurity-Governance auf Leitungsebene

Basierend auf dem Buch „Cybersecurity für Executives" von Marcel Küppers

Referenz: Art. 20 & 21 NIS2 / NIS2UmsuCG

Organisation:

Datum:

Durchgeführt von:

Anleitung zur Nutzung

Zweck dieser Checkliste

Diese Checkliste hilft Ihnen als Geschäftsleitung, den Stand Ihrer Cybersecurity-Governance systematisch zu bewerten. Die 40 Prüffragen decken die fünf wichtigsten Bereiche ab, die aus der NIS2-Richtlinie und dem NIS2UmsuCG für die Leitungsebene relevant sind.

So gehen Sie vor

Gehen Sie jede Prüffrage durch und kreuzen Sie Ja, Teilweise oder Nein an.
Nutzen Sie das Feld Anmerkungen, um Kontext, offene Punkte oder Verantwortlichkeiten zu notieren.
Werten Sie am Ende jeden Bereich und die Gesamtcheckliste aus.
Empfohlene Dauer: 30–45 Minuten mit dem CISO oder IT-Leiter gemeinsam.

Bewertungsschema

Zählen Sie pro Bereich die „Ja"-Antworten. „Teilweise" zählt als halber Punkt.

Grün

≥ 75 %

Gute Governance-Basis. Fokus auf Optimierung.

Gelb

50–74 %

Handlungsbedarf erkennbar. Priorisierung nötig.

Rot

< 50 %

Erhebliche Lücken. Sofortiger Handlungsbedarf.

Punktevergabe

Ja = 1 Punkt
Teilweise = 0,5 Punkte
Nein = 0 Punkte

Hinweis: Diese Checkliste dient als Orientierungshilfe und Selbsteinschätzung. Sie ersetzt keine Rechtsberatung und keine vollständige Compliance-Prüfung. Für eine verbindliche Bewertung Ihrer NIS2-Konformität konsultieren Sie bitte einen spezialisierten Rechtsanwalt oder Berater.

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 2 von 9

Bereich A

Grundlegende Leitungsverantwortung

Verankerung von Cybersecurity als Führungsaufgabe — Rollen, Governance und Verantwortlichkeiten auf Leitungsebene

Nr.	Prüffrage	Ja	Teilw.	Nein	Anmerkungen
A1	Ist Cybersecurity als Thema auf der Agenda der Geschäftsleitung verankert?
A2	Gibt es eine benannte Verantwortlichkeit für Informationssicherheit auf Führungsebene?
A3	Werden wesentliche Cyber-Risikomaßnahmen von der Geschäftsleitung ausdrücklich gebilligt?
A4	Existiert ein regelmäßiger Governance-Rhythmus für Cybersecurity-Themen?
A5	Sind die Schnittstellen zwischen CISO, IT, Risikomanagement und Geschäftsleitung klar definiert?
A6	Gibt es ein dokumentiertes Rollenmodell für Cybersecurity-Verantwortung auf Leitungsebene?
A7	Werden Cybersecurity-Entscheidungen nachvollziehbar protokolliert?
A8	Hat die Geschäftsleitung an einer Cybersecurity-Schulung teilgenommen?

Ergebnis Bereich A: / 8 Grün ≥ 6 · Gelb 4–5,5 · Rot < 4

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 3 von 9

Bereich B

NIS2-Aufsicht auf Leitungsebene

Überwachung, Reporting und aktive Steuerung der Cybersecurity-Maßnahmen durch die Geschäftsleitung

Nr.	Prüffrage	Ja	Teilw.	Nein	Anmerkungen
B1	Ist klar, welche Cyber-Risikomaßnahmen auf Leitungsebene ausdrücklich gebilligt wurden?
B2	Wird die Umsetzung dieser Maßnahmen regelmäßig überwacht?
B3	Gibt es ein belastbares Executive-Reporting mit klarem Entscheidungsbezug?
B4	Sind Restrisikoentscheidungen nachvollziehbar dokumentiert?
B5	Sind Eskalationsschwellen für erhebliche Vorfälle eindeutig festgelegt?
B6	Ist geregelt, wann ein Vorfall auf Geschäftsleitungsebene geführt wird?
B7	Gibt es einen festen Governance-Takt für Cybersecurity auf Leitungsebene?
B8	Werden wesentliche Abweichungen, Verzögerungen und Wirksamkeitslücken eskaliert?
B9	Sind Krisen- und Wiederanlaufannahmen auf Leitungsebene bekannt und mitgetragen?
B10	Ist die Geschäftsleitung ausreichend geschult und in Übungen eingebunden?

Ergebnis Bereich B: / 10 Grün ≥ 7,5 · Gelb 5–7 · Rot < 5

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 4 von 9

Bereich C

Kritische Leistungen, Kronjuwelen und Abhängigkeiten

Identifikation und Schutz der wichtigsten Geschäftsprozesse, Systeme und Abhängigkeiten

Nr.	Prüffrage	Ja	Teilw.	Nein	Anmerkungen
C1	Sind die wichtigsten geschäftskritischen Leistungen eindeutig benannt?
C2	Ist klar, welche Systeme, Daten, Identitäten und Plattformen diese Leistungen tragen?
C3	Sind die Kronjuwelen des Unternehmens explizit definiert?
C4	Ist sichtbar, welche Drittparteien für diese Leistungen kritisch sind?
C5	Sind IAM-, Cloud-, Integrations- und Dokumentationsabhängigkeiten berücksichtigt?
C6	Gibt es eine priorisierte Wiederanlaufreihenfolge für diese Leistungen?
C7	Ist bekannt, welche Leistungen auch im Notbetrieb weitergeführt werden müssen?
C8	Wurde eine geschäftliche Auswirkungsanalyse (BIA) für diese Leistungen durchgeführt?

Ergebnis Bereich C: / 8 Grün ≥ 6 · Gelb 4–5,5 · Rot < 4

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 5 von 9

Bereich D

Meldepflichten und Krisenfähigkeit

Vorbereitung auf Meldepflichten nach NIS2, Krisenstab-Fähigkeit und Kommunikationsplanung

Nr.	Prüffrage	Ja	Teilw.	Nein	Anmerkungen
D1	Sind die Meldepflichten nach NIS2 (24h Erstmeldung, 72h Update) bekannt?
D2	Gibt es einen definierten Meldeprozess mit klaren Verantwortlichkeiten?
D3	Ist geregelt, wer die Meldung an die zuständige Behörde auslöst?
D4	Existiert ein Krisenstab-Modell mit definierten Rollen?
D5	Sind Entscheidungsvorlagen für typische Krisenszenarien vorbereitet?
D6	Wurde die Krisenfähigkeit in den letzten 12 Monaten geübt?
D7	Kennt die Geschäftsleitung ihre Entscheidungsrolle im Krisenfall?
D8	Gibt es eine Kommunikationsstrategie für Vorfälle (intern, extern, regulatorisch)?

Ergebnis Bereich D: / 8 Grün ≥ 6 · Gelb 4–5,5 · Rot < 4

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 6 von 9

Bereich E

Supply Chain und Drittparteienrisiko

Steuerung von Lieferanten- und Dienstleisterrisiken mit Cybersecurity-Relevanz

Nr.	Prüffrage	Ja	Teilw.	Nein	Anmerkungen
E1	Sind kritische Dienstleister und Lieferanten mit Cyber-Relevanz identifiziert?
E2	Gibt es vertragliche Sicherheitsanforderungen für diese Drittparteien?
E3	Werden Drittparteienrisiken in die Gesamtrisikobewertung einbezogen?
E4	Ist bekannt, welche Drittparteien Zugang zu kritischen Systemen oder Daten haben?
E5	Gibt es einen Prozess zur regelmäßigen Überprüfung der Drittparteien-Sicherheit?
E6	Sind Eskalationswege für Sicherheitsvorfälle bei Drittparteien definiert?

Ergebnis Bereich E: / 6 Grün ≥ 4,5 · Gelb 3–4 · Rot < 3

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 7 von 9

Gesamtauswertung

Zusammenfassung aller Bereiche

Tragen Sie die Ergebnisse der einzelnen Bereiche hier zusammen

Bereich	Thema	Max	Prozent
A	Grundlegende Leitungsverantwortung	8	%
B	NIS2-Aufsicht auf Leitungsebene	10	%
C	Kritische Leistungen & Kronjuwelen	8	%
D	Meldepflichten & Krisenfähigkeit	8	%
E	Supply Chain & Drittparteienrisiko	6	%
	Gesamt	40	%

Gesamtbewertung

Grün

≥ 30 Punkte

Solide Basis vorhanden

Gelb

20–29 Punkte

Gezielter Handlungsbedarf

Rot

< 20 Punkte

Dringender Handlungsbedarf

Nächste Schritte

Vertiefen Sie Ihre Cybersecurity-Governance mit dem Executive-Training von Cycademy.

cycademy.de/exec-buch

NIS2-Checkliste für die Geschäftsleitung · Cycademy Seite 8 von 9

NIS2-Checklistefür die Geschäftsleitung