In dem jüngst erschienenen „Allianz Risk Barometer 2025 [1]“ haben die befragten Unternehmen Cyber-Attacken als das größte Risiko für ihren Geschäftsbetrieb im Jahr 2025 identifiziert. Es wird deutlich, dass die Wichtigkeit einer flächendeckenden und nachhaltigen Steigerung des Niveaus von IT- und Informationssicherheit immer mehr in den Fokus rückt. Parallel dazu wächst die Anzahl der diesbezüglichen regulatorischen Anforderungen für Unternehmen und Institute stetig. So werden seit der KRITIS-Novellierung im vergangenen Jahr mehr Betreiber als kritisch für die Versorgung der Allgemeinheit bewertet, als ursprünglich zu erwarten war. Ergänzend werden absehbar außerdem NIS-2-Anforderungen durch die betroffenen Unternehmen und Institute implementiert werden müssen. Mit einer GAP-Analyse können sich Unternehmen strukturiert auf steigende regulatorische Anforderungen vorbereiten und erhalten entsprechende Umsetzungsoptionen, mithilfe derer die Richtung für eine Maßnahmenumsetzung festgelegt werden kann.
Was ist eine GAP-Analyse und wie unterstützt sie bei der Umsetzung von Anforderungen?
Die GAP-Analyse ist ein bewährtes Instrument, um den Ist-Zustand der Dokumentationen, Prozesse und Vorgaben mit den Soll-Anforderungen des BSI-Gesetzes (BSIG) bzw. des Energiewirtschaftsgesetzes (EnWG) zu vergleichen. Dazu wird zunächst der aktuelle Zustand eines Unternehmens (Ist-Zustand) erhoben. Anschließend wird der Soll-Zustand skizziert, der den jeweiligen regulatorischen Anforderungen entspricht. Ziel ist es, bestehende Lücken („Gaps“) in technischen und organisatorischen Schutzmaßnahmen, Prozessen, Dokumentationen und deren jeweiliger Umsetzung zu identifizieren. Aus der GAP-Analyse lässt sich demnach auch ein Handlungsplan ableiten, der sowohl ausstehende Aufgaben als auch erreichte Anforderungen definiert. Die GAP-Analyse lässt sich in drei Schritte unterteilen:
1. Bestandsaufnahme: Im ersten Schritt wird die aktuelle Infrastruktur, einschließlich aller relevanten Prozesse, IT-Systeme und Dokumentationen, erfasst. Gleichzeitig erfolgt eine Bewertung hinsichtlich ihrer Relevanz und Konformität mit der jeweiligen gesetzten Norm (BSIG oder EnWG). Ziel ist es, ein detailliertes Bild des Status quo zu erhalten. Diese umfassende Bestandsaufnahme bildet die Basis für gezielte Verbesserungen.
2. Analyse (Lücken identifizieren): Im zweiten Schritt werden die Anforderungen des BSIG bzw. des EnWG mit dem Ist-Zustand abgeglichen. Hierbei helfen standardisierte Bewertungskriterien und branchenspezifische Benchmarks, um
Lücken präzise zu identifizieren. Klare Zielvorgaben schaffen Orientierung und erleichtern die nachfolgende Umsetzung.
3. Action Plan: Basierend auf der Analyse der Abweichungen zwischen Ist- und Soll-Zustand werden konkrete Maßnahmen definiert. Diese reichen von der Implementierung technischer Schutzmaßnahmen über die Anpassung von Prozessen bis hin zur Erstellung fehlender Dokumentationen. Der Fokus liegt auf pragmatischen und umsetzbaren Lösungen, die eine nachhaltige Erfüllung der Anforderungen sicherstellen.
Dabei liefert die Methodik ein hohes Maß an Flexibilität, sodass eine Anpassung an unterschiedliche Unternehmensgrößen und -Arten unkompliziert möglich ist. Mit der klaren Struktur ermöglicht die GAP-Analyse nicht nur die Umsetzung normativer Anforderungen, sondern dient auch als hervorragender Ausgangspunkt für die Umsetzung weiterer regulatorischer Anforderungen.
Vorteile einer GAP-Analyse
Eine frühzeitige GAP-Analyse bietet Unternehmen mehrere entscheidende Vorteile. Zum einen ermöglicht sie eine gezielte Priorisierung von Maßnahmen, wodurch Ressourcen effizient geplant und eingesetzt werden können. Außerdem identifiziert sie bereits bestehende Stärken, was Kosten und Implementierungszeit reduziert. Sie schafft darüber hinaus Klarheit zu notwendigen Anpassungen. Besonders bei komplexen Anforderungen wie denen des BSIG bzw. des EnWG hilft die Analyse, Ressourcen zu schonen und Risiken zu minimieren. Durch die Vereinheitlichung der Regulierungen bietet die Umsetzung der KRITIS-Verordnung den Betreibern die Möglichkeit, operative Risiko-Kontrollkapazitäten zu bündeln. Gleichzeitig wird ein hohes Maß an operativer Bereitschaft und Widerstandsfähigkeit in der Organisation erreicht.
Damit ist die GAP-Analyse ein zentraler Ausgangspunkt für jeden KRITIS-Betreiber auf dem Weg zur erfolgreichen Umsetzung von Verordnungen und die Stärkung der Unternehmensresilienz.
Quellen:
[1] Allianz Risk Barometer 2025, abgerufen am 13.02.2025 https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2025.html