NISG
AnmeldenKostenlos prüfen

NIS2 Gap-Analyse: Wo stehen Sie — und was fehlt zur NISG-2026-Reife?

NISG-Plattform-RedaktionStand Juni 20265 Min Lesezeit

In Kürze: Eine NIS2-Gap-Analyse stellt die gesetzlichen Anforderungen (Soll) Ihrem tatsächlichen Stand (Ist) gegenüber und macht die Lücken sichtbar. Geprüft wird entlang von vier Feldern: Geltungsbereich & Registrierung (§ 24/§ 25/§ 29), Governance & Schulung (§ 31), Risikomanagement mit den zehn Mindestinhalten a–j (§ 32) und Wirksamkeitsnachweis (§ 33). Das Ergebnis ist ein priorisierter Maßnahmenplan mit Fristen — die Grundlage, um bis 31.12.2026 registriert und bis 30.9.2027 selbstdeklariert zu sein. Erster Schritt: → Geltungsbereich kostenlos prüfen.

Die Checkliste sagt Ihnen, was zu tun ist. Die Gap-Analyse zeigt, wo Sie heute stehen — und welche dieser Punkte bei Ihnen bereits erfüllt sind, welche nur teilweise und welche noch offen. Sie ist der ehrliche Kassensturz vor dem Projektplan: ohne Ist-Aufnahme priorisieren Sie blind.

Was ist eine NIS2-Gap-Analyse?

Eine Gap-Analyse (auch Soll-Ist-Abgleich oder Reifegrad-Bewertung) beantwortet drei Fragen je Anforderung des NISG 2026 (BGBl. I Nr. 94/2025):

  1. Soll — was verlangt das Gesetz? (z. B. „Multi-Faktor-Authentifizierung", § 32 Abs. 4 lit. j)
  2. Ist — was ist bei uns tatsächlich umgesetzt und belegbar?
  3. Gap — wie groß ist der Abstand, welches Risiko trägt er, und mit welchem Aufwand schließen wir ihn?

Wichtig: Maßgeblich ist nicht das Bauchgefühl, sondern der prüffeste Nachweis. Eine Maßnahme, die zwar gelebt, aber nicht dokumentiert ist, zählt im Aufsichts- oder Prüffall nur eingeschränkt — die Gap-Analyse deckt genau solche „weichen" Lücken auf.

Die vier Prüffelder der NIS2-Gap-Analyse

Prüffeld Soll (Gesetz) Typische Gap-Fragen
1. Geltungsbereich & Registrierung Einstufung als wesentlich/wichtig (§ 24/§ 25), Registrierung mit 7 Angaben bis 31.12.2026 (§ 29) Sind wir überhaupt erfasst? Kennen wir unsere Kategorie? Sind die 7 Angaben beisammen?
2. Governance & Schulung Leitungsorgan stellt § 32 sicher und beaufsichtigt; Schulungspflicht (§ 31) Ist die Aufsicht dokumentiert? Hat das Leitungsorgan geschult? Werden Mitarbeitende geschult?
3. Risikomanagement Zehn Mindestinhalte a–j, Stand der Technik, verhältnismäßig (§ 32) Welche der a–j sind umgesetzt, welche nur teilweise, welche belegt?
4. Wirksamkeit & Nachweis Selbstdeklaration bis 30.9.2027, prüffeste Nachweise (§ 33) Können wir die Umsetzung belegen? Sind Nachweise versioniert und auffindbar?

Das Herzstück ist Prüffeld 3. Die zehn Mindestinhalte des § 32 Abs. 4 bilden die eigentliche Gap-Matrix:

  • a) Risikoanalyse & Sicherheitskonzepte · b) Incident Handling · c) Betriebskontinuität (Backup, Wiederherstellung, Krisenmanagement) · d) Lieferkettensicherheit · e) Sicherheit bei Erwerb/Entwicklung/Wartung (inkl. Schwachstellenmanagement) · f) Bewertung der Wirksamkeit · g) Cyberhygiene & Schulung · h) Kryptografie/Verschlüsselung · i) Personalsicherheit, Zugriffskontrolle, Asset-Management · j) Multi-Faktor-Authentifizierung & gesicherte Kommunikation.

Bewerten Sie jeden Punkt z. B. mit erfüllt / teilweise / offen und hinterlegen Sie den Beleg. Umsetzungshinweise zu jedem Buchstaben: Die 10 § 32-Maßnahmen.

Schritt für Schritt zur Gap-Analyse

  1. Geltungsbereich bestätigen — Sektor, Größe, Einstufung (wesentlich/wichtig/außerhalb). Ohne diesen Schritt kennen Sie den Pflichtumfang nicht. → Betroffenheit prüfen
  2. Soll definieren — die einschlägigen § -Anforderungen je Prüffeld auflisten (für die meisten Einrichtungen: § 29, § 31, § 32, § 33, § 34).
  3. Ist erheben — je Anforderung den tatsächlichen, belegbaren Stand aufnehmen (Dokumente, Konzepte, Protokolle, technische Nachweise).
  4. Lücken bewerten — jede Gap nach Risiko (Eintrittswahrscheinlichkeit × Schwere) und Aufwand einstufen; § 32 ist ausdrücklich verhältnismäßig umzusetzen (§ 32 Abs. 3).
  5. Maßnahmenplan mit Fristen — Lücken in priorisierte Aufgaben übersetzen, an den gesetzlichen Stichtagen ausrichten (31.12.2026 Registrierung, 30.9.2027 Selbstdeklaration).
  6. Nachweise sichern — Umsetzung prüffest und versioniert ablegen, damit die Wirksamkeit im Sinne des § 33 belegbar ist.

Typische Lücken in der Praxis

Diese Punkte fehlen erfahrungsgemäß am häufigsten — prüfen Sie sie zuerst:

  • Asset-Inventar inkl. OT (lit. i) — gerade in Produktion und Logistik unvollständig.
  • Lieferkettensicherheit (lit. d) — Anforderungen an unmittelbare Anbieter sind selten vertraglich verankert.
  • Multi-Faktor-Authentifizierung (lit. j) — oft nur für einzelne Systeme aktiv.
  • Schulung des Leitungsorgans (§ 31 Abs. 2) — wird häufig übersehen, ist aber Pflicht.
  • Meldeprozess (§ 34) — 24-h-/72-h-Kette und Erheblichkeitsschwelle (§ 35) nicht eingeübt.
  • Änderungsmeldung (§ 29 Abs. 4) — kein Prozess, um neue Niederlassungen/Kontakte fristgerecht nachzumelden.
  • Fehlende prüffeste Nachweise — Maßnahmen existieren, sind aber nicht dokumentiert/versioniert.

Von der Analyse zum Maßnahmenplan

Eine Gap-Analyse ist nur so viel wert wie das, was daraus folgt. Die NISG-Plattform leitet aus Ihrer Einstufung die einschlägigen Anforderungen ab, hält den Soll-Ist-Stand strukturiert fest und übersetzt offene Lücken in datierte Aufgaben mit Fristen-Tracking — mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger als prüffestem Nachweis. Die fachliche Bewertung und die Umsetzung verbleiben bei Ihnen; die Plattform unterstützt die Strukturierung und Dokumentation.

Machen Sie den Soll-Ist-Abgleich — strukturiert statt im Excel

Klären Sie zuerst Ihre Einstufung und lassen Sie daraus die für Sie geltenden Pflichten ableiten — der Ausgangspunkt jeder belastbaren Gap-Analyse. Jetzt kostenlos starten

Häufige Fragen (FAQ)

Was ist eine NIS2-Gap-Analyse? Ein Soll-Ist-Abgleich: Sie stellen die Anforderungen des NISG 2026 (insbesondere § 29, § 31, § 32, § 33) Ihrem tatsächlichen, belegbaren Stand gegenüber und identifizieren die Lücken. Ergebnis ist ein priorisierter Maßnahmenplan mit Fristen.

Was ist der Unterschied zur NIS2-Checkliste? Die Checkliste listet die Schritte auf, die zu tun sind. Die Gap-Analyse bewertet, wie weit Sie diese Schritte bereits umgesetzt haben — sie misst den Abstand zum Soll und priorisiert ihn nach Risiko.

Wie oft sollte ich eine Gap-Analyse durchführen? Mindestens einmal als Ausgangsaufnahme und danach anlassbezogen — bei wesentlichen Änderungen (neue Systeme, Standorte, Lieferanten) sowie vor der Selbstdeklaration (§ 33 Abs. 1, bis 30.9.2027). Der Stand der Technik (§ 32 Abs. 2) entwickelt sich weiter, die Bewertung ist also keine Einmal-Übung.

Brauche ich dafür externe Berater? Nicht zwingend. Eine strukturierte Selbsterhebung entlang der vier Prüffelder ist möglich; externe Expertise kann bei der technischen Bewertung helfen. Die verbindliche Einstufung trifft ohnehin allein die Behörde mit Bescheid.

Ersetzt die Gap-Analyse die Selbstdeklaration nach § 33? Nein. Die Gap-Analyse ist die interne Vorbereitung; die Selbstdeklaration (§ 33 Abs. 1) ist die strukturierte Information an die Behörde über die umgesetzten § 32-Maßnahmen. → Selbstdeklaration & Nachweis.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.