Du willst heute eine prüfbare NIS2-Gap-Analyse abliefern? Hier ist der fertige Prompt. Er erzwingt eine vierstufige, nachvollziehbare Herleitung und erzeugt eine auditierbare Roadmap – kompatibel mit gängigen LLMs. NIS2 verlangt u. a. eine Erstmeldung von Vorfällen binnen 24 Stunden und einen Abschlussbericht binnen eines Monats (Quelle: Inclus). Die Richtlinie definiert zehn Kernthemen von Risikomanagement bis Lieferkette (Quelle: Metomic) und wird durch ENISA-Leitlinien zur technischen Umsetzung ergänzt (Juni 2025, ENISA). Die rechtliche Basis findest du im Amtsblatt (Directive (EU) 2022/2555, EUR-Lex).
ROLE
You are a senior NIS2 assessor for DACH companies.
KONTEXT
- Ziel: Erstelle eine auditierbare Gap-Analyse nach NIS2 in 4 Schritten.
- Normgrundlagen: Directive (EU) 2022/2555 (NIS2), ENISA Risk Management Guidance (06/2025).
- Schnittstellen: ISO 27001/IEC 27002, KRITIS-Umfeld, Lieferkette.
- Sprache: Deutsch.
AUFGABE (Chain-of-Thought intern ausführen, keine Gedankenschritte offenlegen)
1) Bestandsaufnahme strukturieren
2) Soll-Vorgaben gemäß NIS2 artikulieren (Artikel 21-Themen u. a. Risikomanagement, Incident-Response, Lieferkette)
3) Gaps je Kontrollziel begründen
4) Maßnahmen priorisieren (Impact, Aufwand, Risiko, Frist, Owner)
VARIABLEN
{Branche}
{Mitarbeiterzahl}
{Standorte_DE_AT_CH}
{Kritische_Prozesse_und_Assets}
{IT_OT_Landschaft}
{Bestehende_Standards_Frameworks}
{Aktueller_Reifegrad_1_5}
{Lieferkette_und_Dienstleister}
{Incident_Response_Status}
{Nachweise_Policies_Prozeduren_Artefakte}
{Zeitbudget_in_Wochen}
{Budgetrahmen_EUR}
OUTPUT-FORMAT (XML)
<branche>{Branche}</branche>
<size>{Mitarbeiterzahl}</size>
<sites>{Standorte_DE_AT_CH}</sites>
<budget_eur>{Budgetrahmen_EUR}</budget_eur>
<timeline_weeks>{Zeitbudget_in_Wochen}</timeline_weeks>
</meta>
<assets>{Kritische_Prozesse_und_Assets}</assets>
<it_ot>{IT_OT_Landschaft}</it_ot>
<frameworks>{Bestehende_Standards_Frameworks}</frameworks>
<ir_status>{Incident_Response_Status}</ir_status>
<evidence>{Nachweise_Policies_Prozeduren_Artefakte}</evidence>
</step1_bestandsaufnahme>
<kontrollziel id="RM">Risikomanagement</kontrollziel>
<kontrollziel id="IR">Incident-Response inkl. 24h-Erstmeldung/1M-Abschluss</kontrollziel>
<kontrollziel id="BCM">Business Continuity/Backup</kontrollziel>
<kontrollziel id="SUP">Supply-Chain-Security</kontrollziel>
<kontrollziel id="IAM">Identity/Access Management</kontrollziel>
<kontrollziel id="VULN">Vulnerability/Patch Management</kontrollziel>
<kontrollziel id="MON">Monitoring/Logging</kontrollziel>
<kontrollziel id="AWARE">Awareness/Training</kontrollziel>
<kontrollziel id="POL">Policies/Prozesse</kontrollziel>
<kontrollziel id="GOV">Governance/Aufsicht</kontrollziel>
</step2_sollvorgaben>
<gap kontrollziel="IR" severity="hoch" evidence_ref="IR-Playbook v0.9">Kein 24h-Meldeprozess definiert</gap>
<gap kontrollziel="SUP" severity="mittel" evidence_ref="SupplierList.xlsx">Kein Due-Diligence für kritische Dienstleister</gap>
</step3_gaps>
<maßnahme id="M1" ziel="IR" impact="hoch" aufwand="mittel" risiko_reduction="hoch" frist_wochen="2" owner="CISO" kosten_eur="15000">24h-Incident-Meldeprozess inkl. Runbook und Kontaktmatrix einführen</maßnahme>
<maßnahme id="M2" ziel="SUP" impact="mittel" aufwand="mittel" risiko_reduction="mittel" frist_wochen="4" owner="Einkauf" kosten_eur="10000">Supplier-Due-Diligence-Checkliste + Vertragsklauseln (Security/Notification) implementieren</maßnahme>
</step4_priorisierung>
<nachweis id="E1" typ="Policy">IS-Policy v1.2, 2026-03</nachweis>
<nachweis id="E2" typ="Prozess">IR-Playbook v0.9</nachweis>
</audit_trace>
</gap_analysis>
GUARDRAILS
- Keine Rechtsberatung. Verweise auf Normtexte (NIS2, ENISA). Kennzeichne Annahmen klar.
- DSGVO: Falls personenbezogene Daten betroffen sind, ergänze Hinweise zu Datenschutz-Folgenabschätzung und Meldepflichten an Aufsichtsbehörden.
- EU AI Act: Falls KI-Systeme in kritischen Prozessen genutzt werden, nenne die relevanten Meilensteine (Feb 2025 Verbote/Literacy, Aug 2025 GPAI/Governance, ab Aug 2026 Hauptteil) und weise auf mögliche Pflichten hin.
- Bleibe konkret, nummeriere Maßnahmen, nenne Owner, Fristen, Kostenrahmen. Keine schwammigen Formulierungen.
Beispiel-Output (gekürzt)
Ein mittelständischer Maschinenbauer (350 MA) mit Standorten in München und Linz. Budget: 40.000 EUR, 6 Wochen. Gaps: Fehlender 24h-Meldeprozess (hoch), unvollständige Lieferantenprüfung (mittel). Prioritäten: 1) 24h-Incident-Meldeprozess mit Runbook und Kontaktmatrix (2 Wochen, 15.000 EUR, Owner: CISO). 2) Supplier-Due-Diligence inkl. Sicherheitsklauseln (4 Wochen, 10.000 EUR, Owner: Einkauf). Ergebnis: prüffähige Roadmap, abgestimmt auf NIS2 und ENISA-Leitfaden.
So verwendest du den Prompt
Kopiere den Prompt in dein LLM, fülle die Variablen sauber aus und lass dir das XML-Resultat generieren. Importiere es in dein GRC-Tool oder in ein Spreadsheet für Tracking. Wenn dir Angaben fehlen, schreibe „unbekannt“ – die KI markiert Annahmen im Output.
- Vorbereitung: Sammle Policies, Netzdiagramme, Assetlisten, Lieferantenverträge, IR-Playbooks.
- Variablen: Branche, Mitarbeiterzahl, Standorte, Reifegrad (1–5), Budget/Zeitrahmen, kritische Assets.
- Run: Erzeuge das XML, prüfe Plausibilität, ergänze Evidenzen, veröffentliche die Maßnahmenliste im Team.
- Audit: Hänge artefaktbezogene Nachweise an die jeweiligen Gaps/Maßnahmen; halte Versionen fest.
Hinweis: Die 24h-Erstmeldung und der Abschlussbericht nach einem Monat sind harte Vorgaben aus NIS2 (vgl. Inclus). Die zehn Kernthemen geben dir die Kontrollziele für die Soll-Seite (vgl. Metomic). Für die technische Auslegung orientiere dich an ENISA (06/2025, Guidance).
Warum dieser Prompt funktioniert
Die Kombination aus Role Prompting (du setzt die KI in die Rolle eines NIS2-Assessors), XML-Structuring (klare, maschinenlesbare Artefakte), und Chain-of-Thought (internes, nicht offengelegtes Reasoning) erzwingt Stringenz. Das Vier-Schritte-Schema spiegelt bewährte Gap-Analyse-Workflows wider und verdichtet umfangreiche Prüfkataloge mit oft über einem Dutzend Tätigkeiten – von Bestandsaufnahme bis Aktionsplan – in eine prüffähige Roadmap (vgl. Kiteworks, Netwrix). Supply-Chain-Security ist bewusst separat adressiert, weil Risiken hier oft über Verträge und Due-Diligence steuerbar sind (vgl. JD Supra).
Praxisnutzen: Du bekommst eine priorisierte Maßnahmenliste mit Aufwand, Wirkung, Risiko, Frist und Owner – inklusive Audit-Trace. Damit kannst du Budget verargumentieren, Fortschritt tracken und bei einem Audit zeigen, wie Entscheidungen hergeleitet wurden. Wenn KI in kritischen Prozessen steckt, weist der Prompt explizit auf EU-AI-Act-Meilensteine hin; bei personenbezogenen Daten erinnert er an DSGVO-Pflichten. Kurz: klare Outputs, wenig Blindleistung – „Mach es einfach und mach es schnell“.
📚 Quellen
- EUR-Lex: Directive (EU) 2022/2555 (NIS2)
- ENISA: Technical Implementation Guidance on Cybersecurity Risk Management Measures (06/2025)
- Inclus: NIS2 directive: How Inclus Gap Analysis supports compliance
- Metomic: A complete guide to NIS2
- Kiteworks: Best Practices Checklist: NIS2 Gap Analysis
- Netwrix: NIS2 Compliance: Requirements & Best Practices
- JD Supra: NIS2 explained – Supply-chain security
- Originalquelle: vailor://ideation/2
