NIS2 Art. 21(2)(f)Wirksamkeitsbewertung

Werden implementierte Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit geprüft (z.B. durch interne Audits, Penetrationstests oder KPI-Messung)?

Worum geht es bei dieser Anforderung?

NIS2 Art. 21(2)(f) verlangt ausdrücklich die Bewertung der Wirksamkeit von Risikomanagementmaßnahmen. Maßnahmen, die nur 'auf dem Papier' existieren, schützen nicht. Erst die regelmäßige Prüfung zeigt, ob sie tatsächlich greifen.

Was Sie konkret prüfen sollten

  • 1Gibt es interne Audits, Penetrationstests oder gemessene Security-KPIs (z.B. Patch-Quote, Phishing-Klickrate, MTTR)?
  • 2In welchem Turnus?
  • 3Ist festgelegt, wer die Wirksamkeit bewertet?

Wo der Nachweis liegt

Typische Fundstelle für den Nachweis:

ISMS-Dokumentation → Audit-/Wirksamkeitsprüfungs-Programm

Weiterführende Quelle

Alle NIS2-Anforderungen auf einen Blick prüfen

Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.