Internes Audit für NIS2 durchführen

Inhalt

Die NIS2-Richtlinie verlangt nicht nur Sicherheitsmaßnahmen, sondern auch den Nachweis, dass sie wirken. Ein internes Audit zeigt, wo Sie stehen, klärt Prioritäten und macht Ihre Dokumentation prüffähig. Wir erklären Ihnen, wie Sie ein internes Audit durchführen, was Sie mit den Ergebnissen machen und wann sich ein externer Auditor lohnt.

Hinweis zur Begrifflichkeit: Interne Audits sind eine erprobte Methode zur Errichtung und fortlaufenden Optimierung von Informationssicherheits-Managementsystemen (ISMS). Das erste für eine neue Norm durchgeführte interne Audit wird dabei meist als Gap-Analyse bezeichnet – im hier diskutierten Kontext als NIS2-Gap-Analyse.

Warum sollten Unternehmen immer mit einem internen Audit beginnen?

Mit NIS2 reicht es nicht (mehr), Maßnahmen einfach nur einzuführen. Organisationen müssen auch zeigen können, dass ihre Sicherheitsorganisation tatsächlich funktioniert und dass sie Risiken nachvollziehbar steuern. Und zwar nicht nur im Falle eines Sicherheitsvorfalls, sondern auch jederzeit auf Anfrage der Aufsichtsbehörde.

Betreiber kritischer Infrastrukturen (KRITIS) kennen diese externe Prüfpflichten bereits – auch für sie ist das interne Audit eine sinnvolle Vorbereitung auf die vorgeschriebenen Audits durch externe Prüfe. Für alle anderen von NIS betroffenen Unternehmen gibt es keine behördlich angeordnete Prüfung, aber die Nachweispflicht besteht trotzdem.

Genau dafür ist ein internes Audit (als Gap-Analyse, siehe der Hinweis oben) der richtige Einstieg: Es liefert eine belastbare Statusanalyse, bevor Zeit und Budget in Einzelmaßnahmen fließen, die am Ende nicht zusammenpassen.

Hinzu kommt der strategische Vorteil: Wer Schwachstellen im eigenen Tempo aufdeckt, kann nachsteuern, solange noch Zeit dafür ist. Wer wartet, bis eine Behörde Nachweise anfordert oder ein Vorfall die Organisation unter Druck setzt, verhandelt aus der Defensive.

Was muss ein belastbares internes Audit liefern?

Eine Statusanalyse im internen NIS2-Audit ist die Standortbestimmung mit Blick auf Nachweisfähigkeit. Sie klärt, was bereits umgesetzt ist, wo Lücken bestehen und welche Unterlagen und/oder Systeme heute schon prüffähig sind.

Expertentipp: Es reicht nicht, dass Prozesse beschrieben sind. Sie müssen im Ernstfall funktionieren. Genau deshalb gehört zur Statusanalyse immer auch ein Realitätstest: Wer macht was, wann, mit welcher Freigabe und mit welchem Nachweis? Wissen alle Beteiligten von Ihren Aufgaben und Pflichten? Sind sie fachlich in der Lage, angemessen zu reagieren und verfügen sie über die dafür notwendigen Mittel (etwa Zugriffsrechte)?

Am Ende des internen NIS2-Audits sollten drei Dinge vorliegen:

  • Eine nachvollziehbare Bewertung der zentralen NIS2-Bausteine: Risikoanalyse, Vorfallmanagement, Lieferkette, Schwachstellenmanagement, Schulungen, Dokumentation.
  • Ein priorisierter Maßnahmenplan mit Verantwortlichkeiten und Zeitplan.
  • Eine prüffähige Dokumentation: Dokumente, Protokolle und Aufzeichnungen, die Ihre Umsetzung im Ernstfall belegen.

Wie führen Sie ein internes NIS2-Audit durch?

Für ein belastbares Ergebnis brauchen Sie einen festen Ablauf des internen Audits. Nicht weil Auditmethodik Selbstzweck wäre, sondern weil Sie sonst am Ende einzelne Befunde haben, aber keinen Gesamtblick, aus dem Entscheidungen werden. Auf Basis zahlreicher begleiteter interner Audits im Bereich der Informationssicherheit (etwa NIS2, DORA, ISO 27001, TISAX, B3S medizinische Versorgung) haben wir dabei folgendes Vorgehen entwickelt:

Klären Sie zuerst, was geprüft wird: Welche Standorte, Systeme und Prozesse sind im Scope? Welche Anforderungen gelten als Maßstab, also NIS2, BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) und Ihre internen Richtlinien? Welche Nachweise erwarten Sie als Ergebnis? Wer diese Fragen nicht vorab beantwortet, prüft ohne Maßstab.

Klären Sie in dieser Phase auch, wer beteiligt sein muss. Ein internes NIS2-Audit steht und fällt mit den richtigen Ansprechpersonen:

  • Der Informationssicherheitsbeauftragte kennt Anforderungen, Richtlinien und den Stand der Umsetzung. Ohne diese Rolle fehlt dem Audit der fachliche Anker.
  • IT-Betrieb und IT-Sicherheit liefern die technischen Fakten zu Schutzmaßnahmen, Schwachstellenmanagement und Systemen.
  • Die relevanten Fachbereiche werden oft vergessen, sind aber entscheidend. Einkauf für die Lieferkette, HR für Schulungsnachweise, Rechtsabteilung für Meldepflichten.
  • Der Datenschutzbeauftragte gehört überall dort dazu, wo es um Vorfälle, Meldewege und Dokumentation geht.
  • Die Geschäftsleitung ist kein Interviewpartner am Ende, sondern Adressat für Entscheidungen und Ressourcen. Sie trägt nach § 38 BSIG die gesetzliche Verantwortung und muss von Anfang an wissen, was das Audit bezweckt.

In dieser Phase kombinieren Sie Interviews, Dokumentenprüfung und Stichproben aus dem Betrieb. Technische Tests sind sinnvoll, wo sie zum Ziel passen, etwa als Nachweis zum Schwachstellenmanagement.

Expertentipp: Noch einmal, entscheidend ist: Prüfen Sie nicht nur, ob etwas vorhanden ist, sondern auch, ob es wirkt.

Hinweis zur Zeitplanung: Bei überschaubaren Strukturen sind belastbare Ergebnisse in wenigen Tagen bis zwei Wochen erreichbar. Bei komplexeren Organisationen mit mehreren Standorten, vielen Dienstleistern oder internationalen Einheiten sollten Sie vier bis acht Wochen einplanen.

Fassen Sie Abweichungen von den Vorgaben der Norm (hier: NIS2-Richtlinie bzw. BSIG) so zusammen, dass daraus Entscheidungen werden: Erfassen Sie Risiko, Auswirkung, Priorität, konkrete Empfehlung. Ein Bericht, der nur Mängel aufzählt, hilft nicht.

Setzen Sie einen festen Nachhalteprozess auf. Maßnahmen ohne Termin, Verantwortliche und Statussteuerung bleiben erfahrungsgemäß liegen. Genau hier entsteht die Beweiskraft: Sie können zeigen, dass Sie Befunde nicht nur kennen, sondern systematisch abarbeiten.

Praxiserfahrung: Wenn unsere Berater erst später zu einem ISMS hinzugezogen werden oder Mandate anderer Berater übernehmen sehen wir als häufigstes Problem bei Statusanalysen nicht die fehlenden Maßnahmen, sondern die fehlenden Nachweise. Risikoanalysen wurden erstellt, aber niemand kann zeigen, wann sie zuletzt aktualisiert wurden. Schulungen fanden statt, aber Teilnahmenachweise fehlen. Zuständigkeiten sind benannt, aber Freigaben wurden nie protokolliert.

Der Unterschied zwischen einer Dokumentation, die intern funktioniert, und einer, die im Behördenfall besteht, liegt genau hier.

Was müssen Sie im internen Audit konkret prüfen, damit die Ergebnisse Beweiskraft haben?

Beweiskraft eines internen Audits entsteht nicht durch viele Dokumente, sondern durch eine schlüssige Nachweislinie: Anforderung, Umsetzung, Verantwortlichkeit, Wirksamkeit und Dokumentation greifen ineinander. Genau darauf sollte Ihr internes NIS2-Audit zielen.

Die wichtigsten Bereiche für ein internes NIS2-Audit sind:

Gibt es eine Risikoanalyse, wird sie regelmäßig aktualisiert und leitet sie Maßnahmen nachvollziehbar ab? Eine Risikoanalyse, die einmal erstellt und nie wieder angefasst wurde, ist kein Nachweis – sie ist nur ein Dokument.

Sind Meldewege, Entscheidungsbefugnisse und Kommunikationspläne definiert und geübt? Hier zählt nicht, ob ein Prozess beschrieben ist, sondern ob er unter Zeitdruck funktioniert – und ob das durch Übungen belegt werden kann.

Tipp: Lesen Sie dazu auch unseren Ratgeber zur Umsetzung der NIS2-Meldepflichten.

Wie werden kritische Dienstleister bewertet, wie werden Anforderungen gesteuert und wie wird das dokumentiert? Ein Fragebogen, der einmal verschickt wurde, reicht nicht.

Tipp: Ausführliche Hinweise finden Sie in unserem Artikel zur NIS2-Lieferkettensicherheit.

Wie werden Schwachstellen erkannt, priorisiert, behoben und nachverfolgt? Entscheidend ist nicht nur, ob ein Prozess existiert, sondern ob er konsistent angewendet wird.

Gibt es zielgruppengerechte Schulungen inklusive Geschäftsleitung – und sind Teilnahme und Aktualität nachweisbar? § 38 BSIG verpflichtet die Geschäftsleitung ausdrücklich zur Schulung. Fehlende Nachweise sind hier kein Kavaliersdelikt.

Tipp: Erfahren Sie, wie eine NIS2-Geschäftsleitungsschulung funktioniert, damit die den Vorgaben von § 38 BSIG entspricht.

Sind Richtlinien aktuell, versioniert und auffindbar? Sind Nachweise konsistent und prüffähig? Eine Dokumentation, die intern funktioniert, aber im Behördenfall nicht standhält, erfüllt die NIS2-Anforderungen nicht.

Tipp: Vertiefen Sie Ihr Verständnis, wie Sie unter NIS2 Nachweise über Ihre Compliance erbringen und wie aus Richtlinien gelebte und nachweisbare Prozesse werden.

Woran erkennen Sie, ob das Audit etwas bewirkt hat?

Ein Auditbericht ohne Messgröße bleibt eine Momentaufnahme. Erst wenn Sie definieren, woran Sie Fortschritt erkennen, wird die Statusanalyse zum Steuerungsinstrument.

Bewährt haben sich folgende Schlüsselkennzahlen (KPIs):

  • Maßnahmenumsetzung: Wie viele der im Audit identifizierten Findings sind fristgerecht geschlossen? Gemessen pro Auditzyklus.
  • Dokumentationsreife: Wie viele der zentralen NIS2-Bausteine sind vollständig, versioniert und prüffähig abgelegt? Gemessen pro Auditzyklus.
  • Aktualität der Nachweise: Wie viele Kerndokumente (Risikoanalyse, Notfallplan, Richtlinien) wurden innerhalb der letzten zwölf Monate überprüft und freigegeben? Gemessen quartalsweise im Monitoring.
  • Schulungsabdeckung: Welcher Anteil der relevanten Mitarbeitenden und der Geschäftsleitung hat nachweislich an Schulungen teilgenommen? Gemessen pro Auditzyklus.
  • Übungsergebnisse: Wurden Notfall- und Meldeprozesse in Übungen getestet – und sind Ergebnisse und Verbesserungsmaßnahmen dokumentiert? Gemessen pro Auditzyklus.
  • Lieferantenbewertungen: Wie viele kritische Dienstleister sind bewertet, dokumentiert und aktuell? Gemessen quartalsweise im Monitoring.
  • Reifegrad offener Findings: Wie hoch ist der Anteil kritischer Findings, die nach dem letzten Audit noch offen sind? Gemessen quartalsweise im Monitoring.

Diese Kennzahlen erfüllen zwei Funktionen: Sie machen den Fortschritt zwischen zwei Audits sichtbar – und sie geben der Geschäftsleitung eine belastbare Grundlage, um Ressourcen gezielt einzusetzen.

Wie machen Sie aus dem Audit einen dauerhaften Prüfrhythmus?

Eine Statusanalyse zeigt den Stand heute. Nachweisfähig bleiben Sie nur, wenn Sie regelmäßig nachprüfen, ob Maßnahmen noch wirken und ob neue Risiken adressiert sind. Das ist zwar Zusatzaufwand, aber genau das, was NIS2 (und jede andere Informationssicherheits-Norm) verlangt.

Bewährt hat sich ein zweistufiger Rhythmus:

  • ein umfassender Auditdurchlauf pro Jahr über alle zentralen NIS2-Themen,
  • ergänzt durch anlassbezogene Prüfungen bei größeren Veränderungen wie neuen kritischen Dienstleistern, IT-Änderungen, Reorganisationen oder nach einem Sicherheitsvorfall.

Wer bereits ein ISMS nach einer anderen Norm (etwa 27001) betreibt, verankert das Auditprogramm dort. Statusanalysen, interne Audits und Management-Reviews laufen dann nicht nebeneinander, sondern als zusammenhängender Steuerungskreislauf nach dem Plan-Do-Check-Act-Prinzip (PDCA). Ein solches integriertes Managementsystem spart Aufwand und macht Ihre Nachweisfähigkeit dauerhaft belastbar.

Tipp: Lesen Sie auch, inwiefern die Vorgaben von NIS2 die ISO 27001 übersteigen, und wie Sie ein bestehendes ISMS für NIS2-Compliance anpassen.

Wann lohnt sich externe Beratung bei einem internen Audit?

„Intern“ beschreibt bei einem Audit vor allem den Auftrag: Sie stoßen die Prüfung selbst an, sie ist nicht behördlich angeordnet. Das heißt nicht, dass Sie das interne Audit ausschließlich mit internen Ressourcen durchführen müssen.

Externe Unterstützung bzw. Beratung lohnt sich besonders aus drei Perspektiven:

  • Unabhängigkeit und Klarheit: Externe Auditoren haben keine internen Interessenkonflikte und sprechen Befunde häufig direkter aus. Das verhindert Wegdiskutieren und Betriebsblindheit.
  • Methodik und Effizienz: Ein erfahrenes Auditteam bringt Vorgehen, Prüftiefe und Struktur mit. Denn was in einer Norm steht, ist nicht immer gleich umzusetzen. So reduzierten Sie Reibungsverluste und sorgen für vergleichbare Ergebnisse.
  • Nachweis- und Haftungsperspektive: Wenn Sie gegenüber Aufsicht oder im Streitfall belegen müssen, dass Sie Ihre Pflichten ernsthaft und systematisch geprüft haben, wirkt ein unabhängiger Blick von außen oft belastbarer als eine reine Selbstbewertung.

Externe Unterstützung ersetzt dabei nicht Ihre Verantwortung. Sie macht es aber deutlich leichter, aus der Statusanalyse eine prüffähige, saubere Dokumentation zu bauen.

Woran erkennen Sie einen passenden Auditor für NIS2?

Die Auswahl eines geeigneten Auditors für NIS2 ist keine Formalie. Sie entscheiden damit, ob Sie am Ende eine saubere Statusanalyse mit klaren Maßnahmen bekommen oder nur einen Bericht, der viele Punkte benennt, aber wenig steuert.

Achten Sie insbesondere auf:

  • Audit- und Methodenkompetenz: Nachweisbar durch einschlägige Qualifikationen (z. B. ISO-27001-Lead-Auditor, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)).
  • NIS2- und BSIG-Praxis: Fragen Sie konkret nach durchgeführten Statusanalysen, Gap-Analysen und Auditprogrammen im NIS2-Kontext.
  • Branchen- und Prozessverständnis: Gute Auditoren verstehen nicht nur Technik, sondern auch Abläufe und Entscheidungswege in Ihrer Organisation.
  • Unabhängigkeit: Vermeiden Sie Interessenkonflikte, etwa wenn dieselben Personen die zu prüfenden Strukturen zuvor umgesetzt haben.
  • Rechtlich-technischer Blick: NIS2 ist Regulierung plus IT-Sicherheit. Ideal ist ein Team, das beides zusammenbringt, ohne dass der Text am Ende zu juristisch oder zu technisch wird.

Wenn Sie diese Kriterien vorab klären, sparen Sie Zeit im Audit und bekommen ein Ergebnis, das Sie intern steuern und extern vertreten können.

Tipp: Wir erklären Ihnen, worauf Sie bei der Auswahl eines NIS2-Beraters unbedingt achten sollten.

Wie hilft Software beim internen Audit?

Projektmanagement per E-Mail und Excel ist bei einem ISMS zum Scheitern verurteilt. Das gilt auch schon für ein internes Audit, vor allem aber für die daraus abgeleiteten Aufgaben, deren Dokumentation und alle erstellten Richtlinien.

Mittlerweile gibt es ISMS-Software (meist als Software as a Service – SaaS), die für Normen wie NIS2 spezifiziert sind. Ein internes Audit lässt sich so leichter durchführen, vor allem, wenn die Anforderungen der Norm bereits in Aufgaben übersetzt sind. Erfüllte Vorgaben lassen sich leicht abhaken. Abweichungen von der Norm (Findings) direkt mit Deadline zur Umsetzung delegieren. Alle wichtigen Dokumente werden revisionssicher abgelegt und können einfach angepasst werden.

Sowohl in einem internen Audit als auch bei einer etwaigen externen Prüfung sind alle benötigten Informationen an einem Ort verfügbar und entsprechend der Prüflogik strukturiert.

Fazit: internes Audit starten, Wirksamkeit nachweisen, Routine etablieren

Ein internes NIS2-Audit ist kein Zusatzprojekt, sondern Ihr praktischer Compliance-Test. Als Statusanalyse zeigt es, wo Sie stehen, welche Lücken Priorität haben und welche Nachweise heute schon belastbar sind. Genau diese Beweiskraft entscheidet, ob Sie gegenüber Aufsicht und Geschäftsleitung handlungsfähig bleiben.

Der nächste Schritt ist Konsequenz: Machen Sie aus der einmaligen Statusanalyse ein Auditprogramm im Betrieb. Mit festen Takten, klaren Prüfschwerpunkten und einem Nachhalteprozess, der Maßnahmen sichtbar vorantreibt. Kombiniert mit einem NIS2-Projektplan wird die (angestrebte) NIS2-Compliance kein Stichtagsthema, sondern ein steuerbarer Zustand.

Compliance mit der NIS2-Richtlinie

Erfüllen Sie die Vorgaben der NIS2-Richtlinie und des BSIG. So schützen Sie Ihr Unternehmen wirksam vor Angriffen und bewahren Ihre Werte.
Jetzt beraten lassen

Weiterlesen

  • Informationssicherheit, NIS2-Richtlinie

Was kostet NIS2-Compliance?

Mit welchen Investitionen Sie kalkulieren müssen, wie Sie Ausgaben für NIS2 priorisieren und warum sich das ganze am Ende doch rechnet.
  • Informationssicherheit, NIS2-Richtlinie

Richtlinien, Prozesse und Dokumentation für NIS2-Compliance

Welche organisatorischen Maßnahmen Unternehmen umsetzen müssen, um die Anforderungen der NIS2-Richtlinie zu erfüllen – und wie sie dabei am besten vorgehen.
  • Informationssicherheit, NIS2-Richtlinie

BSI zu NIS2-Geschäfts­leitungsschulungen

Wie müssen die Geschäftsleitungen von durch NIS2 betroffenen Unternehmen geschult werden? Wir erläutern die Empfehlungen des BSI.
  • Informationssicherheit, NIS2-Richtlinie

Projektplan für Ihre NIS2-Compliance

Wie Sie die Umsetzung der NSI2-Richtlinie in Ihrem Unternehmen planen, koordinieren, dokumentieren und nachweisen.
  • Informationssicherheit, NIS2-Richtlinie

Auswahl und Beauftragung eines NIS2-Beraters

Wie Sie den richtigen Berater für Ihre Compliance mit der NIS2-Richtlinie finden, worauf Sie bei der Auswahl besonders achten sollten und wie Sie den Beratungsumfang optimal gestalten.
  • Informationssicherheit, NIS2-Richtlinie

Meldung von Sicherheitsvorfällen gemäß NIS2

Welche Vorfälle müssen wann an wen und mit welchen Informationen gemeldet werden? Ein praktischer Ratgeber für NIS2-Organisationen.
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.