Compliance-Audit vorbereiten: Checkliste für NIS2-Auditoren
NIS2-Audit vorbereiten: Diese Checkliste zeigt IT-Verantwortlichen in 8 Prüfbereichen, welche Nachweise Auditoren fordern – mit Wazuh- und M365-Beispielen.
Compliance-Audit vorbereiten: Checkliste für NIS2-Auditoren
Key Takeaways
- NIS2-Auditoren prüfen nicht nur, ob Sicherheitsmaßnahmen existieren – sondern ob sie nachweisbar, dokumentiert und tatsächlich wirksam sind
- Häufigste Schwachstellen: fehlende oder veraltete Risikoanalysen, unstrukturierte Incident-Dokumentation und lückenhafte Audit-Logs
- Eine gezielte Vorbereitung in acht Prüfbereichen reduziert das Risiko von Nachbesserungsfristen und Bußgeldern erheblich
- Log-Nachweise aus SIEM-Systemen wie Wazuh oder Microsoft Sentinel sind für technische Auditoren zentrale Belege
Warum NIS2-Audits anders sind als klassische IT-Prüfungen
NIS2 ist keine reine Papiercompliance. Die EU-Richtlinie – in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt – verlangt nachweisbare Risikominimierung. Ein Auditor liest nicht nur Ihre Richtlinien; er fordert technische Nachweise, Prozessbelege, Eskalationsprotokolle und Interview-Antworten von Schlüsselpersonen ein.
Der entscheidende Unterschied zu früheren IT-Prüfungen: Die Beweislast liegt beim geprüften Unternehmen. Was nicht dokumentiert ist, gilt als nicht vorhanden. Für KMU ohne dediziertes Security-Team ist das eine strukturelle Herausforderung – weil sicherheitsrelevante Maßnahmen oft existieren, aber nie systematisch festgehalten wurden.
Die gute Nachricht: Wer die acht Kernprüfbereiche kennt und gezielt vorbereitet, übersteht ein NIS2-Audit ohne böse Überraschungen.
Die acht Prüfbereiche im NIS2-Audit
1. Governance: Wer trägt die Verantwortung?
Auditoren beginnen fast immer mit der Governance-Struktur. NIS2 Artikel 20 macht Geschäftsführung und Vorstand persönlich haftbar für die Umsetzung von Cybersicherheitsmaßnahmen – ein Novum gegenüber dem alten IT-Sicherheitsgesetz.
Checkliste Governance:
- Schriftliche Benennung eines CISO oder IT-Sicherheitsverantwortlichen mit formaler Stellenbeschreibung
- Nachweis einer NIS2-Schulung für die Geschäftsführung (Teilnahmebestätigung mit Datum)
- Unterzeichnete Informationssicherheitsrichtlinie (Information Security Policy) durch die Geschäftsleitung
- Organigramm mit klar definierten Sicherheitsrollen und Vertretungsregelungen
- Protokoll des letzten Management-Reviews zur Informationssicherheit
Typisches Finding: Der IT-Leiter trägt faktisch die Sicherheitsverantwortung, aber es gibt kein Dokument, das das formalisiert – und die Geschäftsführung kann auf Nachfrage keine Sicherheitsziele benennen. Das reicht nicht.
2. Risikoanalyse und Risikomanagement
Artikel 21 NIS2 fordert eine risikobasierte Vorgehensweise. Auditoren erwarten eine dokumentierte Risikoanalyse – nicht als vergessene Excel-Datei, sondern als lebendes Dokument mit Überprüfungsdatum und Änderungshistorie.
Checkliste Risikoanalyse:
- Aktuelle Risikoanalyse (nicht älter als 12 Monate)
- Dokumentierte Risikobewertungsmethodik (z. B. nach ISO 27005 oder BSI IT-Grundschutz)
- Risikoregister mit Eintrittswahrscheinlichkeit, Schadenshöhe und Gegenmaßnahmen
- Nachweis der formalen Risikoakzeptanz durch die Geschäftsführung (Unterschrift oder Protokollauszug)
- Versionshistorie des Dokuments (wann geändert, von wem freigegeben)
Ein konkretes Beispiel aus der Praxis: Ein Auditor findet eine Risikoanalyse, die Ransomware als „unwahrscheinlich
Häufige Fragen
Welche Dokumente muss ich zwingend für ein NIS2-Audit bereithalten?
Auditoren fordern mindestens: eine unterzeichnete Informationssicherheitsrichtlinie, eine aktuelle Risikoanalyse (nicht älter als 12 Monate), einen Incident-Response-Plan, Patch-Management-Nachweise, SIEM-Logreports über mindestens 12 Monate, Schulungsnachweise für Geschäftsführung und IT sowie ein Dienstleisterverzeichnis mit Sicherheitsanforderungen. Alle Dokumente sollten mit Versionsnummer, Datum und Freigabe durch die Geschäftsführung versehen sein.
Wie lange vor einem NIS2-Audit sollte ich mit der Vorbereitung beginnen?
Planen Sie mindestens 12 Wochen ein. In den ersten vier Wochen führen Sie eine Gap-Analyse durch, die nächsten vier Wochen nutzen Sie zum Schließen technischer und dokumentarischer Lücken, und die letzten vier Wochen dienen der internen Mock-Prüfung, dem Briefing der Ansprechpartner und der Finalisierung der Dokumentenmappe. Wer erst zwei Wochen vorher anfängt, riskiert Nachbesserungsfristen.
Was passiert, wenn beim NIS2-Audit schwerwiegende Mängel festgestellt werden?
Das hängt von der zuständigen Behörde (in Deutschland das BSI), der Schwere des Befunds und der Einstufung Ihres Unternehmens ab. Bei wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Häufiger sind zunächst Nachbesserungsfristen mit verbindlichem Umsetzungsnachweis. Kritisch wird es, wenn Auditoren feststellen, dass Maßnahmen gar nicht implementiert wurden – nicht nur, dass Nachweise fehlen.