NIS2 Prompt: Schwachstellen in Vorstand-KPIs und Entscheidungen übersetzen

ROLE
Du agierst als CISO-Analyst für eine Vorstandsvorlage.

KONTEXT
Ziel: Technische Schwachstellen in geschäftsrelevante Risiken, KPIs und Entscheidungsoptionen übersetzen – im Sinne von NIS2-Governance (2026) und prüfbarer Risikosteuerung.

AUFGABE
Erzeuge einen umsetzbaren Risiko-Eintrag und eine kurze Beschlussvorlage für den Aufsichtsrat auf Basis der Variablen.

VARIABLEN
{branche}, {kritischer_prozess}, {schwachstelle}, {asset_wert_eur}, {umsatz_je_tag_eur}, {mitigations_budget_eur}, {rto_soll_stunden}, {rpo_soll_stunden}, {regulatorischer_kontext}

OUTPUT-FORMAT (XML-Struktur)

FEW-SHOT BEISPIEL (kompakt)
# Eingabe: {kritischer_prozess}=Order-to-Cash, {schwachstelle}=Ungepatchter VPN-Gateway
# Ausgabe: Impact=Umsatzstillstand je Tag, RTO/RPO abgleichen, KPIs: MTTR<4h, 95% Patch <=14 Tage, 100% MFA.

GUARDRAILS
- DSGVO: Keine personenbezogenen Daten verarbeiten; wenn unvermeidbar, sofort anonymisieren/pseudonymisieren; keine Entscheidungen nach Art. 22 ohne menschliche Prüfung; keine Drittlandübermittlung ohne Rechtsgrundlage.
- EU AI Act (GPAI-Einsatz): Transparenzhinweis in der Vorlage; Protokolliere Prompt/Antwort, Modellname (falls bekannt) und Zeitpunkt; Ergebnis ist Assistenz, nicht automatisierte Entscheidung.
- NIS2: Verweise auf Artikel 21 Mindestmaßnahmen; benenne 24h-Meldepflicht für erhebliche Vorfälle im Kontext; Management akzeptiert oder mitigiert Restrisiken nachweisbar.
- Zahlen konsistent herleiten (aus {umsatz_je_tag_eur}, {asset_wert_eur}); keine Halluzinationen; klare Annahmen angeben.
- Kurze, klare Sätze. Deutsch. Vorstandstauglich.

ARBEITSSCHRITTE (stumm denken, nur Ergebnis ausgeben)
1) Business-Impact aus Prozessabhängigkeit und Umsatzzahlen schätzen.
2) Schweregrad und Eintrittswahrscheinlichkeit plausibel bewerten.
3) KPIs an Sollvorgaben ausrichten (MTTR <=4h, 95% kritische Patches <=14 Tage, 100% MFA extern, E2E-Verschlüsselung für vertrauliche Daten).
4) Maßnahmen auf Budget {mitigations_budget_eur} priorisieren.
5) Beschlussformulierung prägnant erstellen.

Hier ist dein Shortcut: Dieser Prompt übersetzt technische Funde in NIS2-konforme KPIs, Business-Impact und eine freigabefähige Beschlussvorlage – schnell, konsistent, prüfbar. Die Leitplanken referenzieren NIS2-Mindestmaßnahmen und die 24h-Meldepflicht (Dataguard) sowie KPI-Beispiele wie 95% kritische Patches innerhalb 14 Tage und MTTR ≤ 4 Stunden (secjur). Führungskräfte bekommen damit eine klare Entscheidungsvorlage statt Technikprosa.

So verwendest du den Prompt

Copy, paste, Variablen setzen, fertig. Nutze reale Prozess- und Umsatzwerte, damit der Business-Impact trägt. Der Prompt erzeugt eine XML-Struktur, die du in dein GRC-Tool oder Confluence übernehmen kannst. Kurze Guideline:

• {kritischer_prozess}: z. B. Order-to-Cash, Produktion, Claims-Handling
• {schwachstelle}: prägnante Beschreibung inkl. CVE/CWE, System und Standort
• {umsatz_je_tag_eur}, {asset_wert_eur}: harte Zahlen für Impact-Berechnung
• {rto_soll_stunden}, {rpo_soll_stunden}: Zielwerte aus BCM
• {mitigations_budget_eur}: Budgetrahmen für Sofortmaßnahmen
• {regulatorischer_kontext}: NIS2, KRITIS, branchenspezifische Pflichten

Tipp aus der Praxis: Starte mit 3–5 Top-Risiken je Prozess und konsolidiere KPIs auf Vorstandsebene (MTTD, MTTR, RTO/RPO, Patch-Quote, MFA-Abdeckung). Das schließt die Lücke zwischen IT und Aufsichtsgremium, wie es datensicherheit.de für NIS2 fordert. Wenn du ein externes Sprachmodell nutzt, dokumentiere Prompt/Antwort und den Transparenzhinweis – das zahlt auf EU-AI-Act-Pflichten ein.

Warum dieser Prompt funktioniert

Role Prompting plus eine feste XML-Zielstruktur eliminieren Format-Chaos. Die eingebauten Few-Shot-Hinweise definieren, wie aus CVEs Geschäftsrisiken werden. Die Guardrails zwingen zu NIS2- und DSGVO-Sauberkeit und adressieren den EU-AI-Act-Transparenzbedarf. KPIs orientieren sich an etablierten NIS2-Mindestmaßnahmen wie Patch-Quote ≤ 14 Tage, MTTR ≤ 4 Stunden und 100% MFA für externe Zugriffe (secjur). Und ja, die 24h-Meldeschwelle ist im Prompt verankert (Dataguard). Ergebnis: Vorstandstaugliche Risiken statt verstreuter Findings.