• Geschätzte Lesezeit: 9 Minuten

Wie lässt sich NIS2-Compliance nachweisen?

Inhalt

Compliance mit der NIS2-Richtlinie zu erreichen ist eine Herausforderung. Die NIS2-Konformität nachzuweisen zu können, eine weitere. Wir erklären, worauf es dabei ankommt, ob bestehende Zertifizierungen helfen und wie Nachweise gegenüber dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) zu erfolgen haben.

Welche Nachweisform schreibt die NIS2-Richtlinie vor?

Die NIS2-Richtlinie kennt keine einheitliche Nachweisform. In seinen Fragen und Antworten zu NIS2 stellt das BSI aus Aufsichtsbehörde ausdrücklich klar, dass es kein allgemeines Zertifikat zum Nachweis der Erfüllung der NIS2-Anforderungen gibt.

Von NIS2 betroffene Unternehmen haben stattdessen eine angemessene, strukturierte und nachvollziehbare Dokumentation der umgesetzten Cybersicherheitsmaßnahmen zu führen.

  • So müssen beispielsweise Betreiber kritischer Infrastrukturen (KRITIS) gemäß § 39 BSIG alle zwei Jahre Sicherheitsaudits durch qualifizierte Dritte durchführen lassen und die Ergebnisse dem BSI vorlegen.
  • Für sonstige besonders wichtige Einrichtungen gilt ein vergleichbarer Prüfturnus, wobei das BSI die Prüfgrundlagen mit den Unternehmen abstimmen kann.
  • Wichtige Einrichtungen unterliegen keiner regelmäßig vorgeschriebenen externen Prüfung. Sie müssen jedoch eine umfassende interne Dokumentation vorhalten, die auf Anforderung des BSI jederzeit vorgelegt werden muss.

Nein, eine ISO-27001-Zertifizierung ist kein vollständiger Ersatz für die geforderten Nachweise einer NIS2-Compliance.

Inhaltlich deckt die ISO 27001 jedoch einen sehr großen Teil der NIS2‑Anforderungen ab. Ein ISO-27001-Zertifikat kann also als wertvoller Baustein dienen. Denn eine solche Zertifizierung belegt die Einführung und den Betrieb eines strukturierten Informationssicherheits-Managementsystems (ISMS). Genau diese Elemente stehen auch im Zentrum von NIS2:

  • systematisches Risikomanagement,
  • klare Verantwortlichkeiten auf Management‑Ebene,
  • definierte Sicherheitsmaßnahmen,
  • regelmäßige Schulungen,
  • dokumentierte Prozesse sowie
  • kontinuierliche Überprüfung und Verbesserung.

Unternehmen mit einem etablierten ISMS erfüllen damit bereits den überwiegenden Teil der organisatorischen und technischen Anforderungen aus NIS2. In der Praxis bedeutet dies, dass ein nach ISO 27001 zertifiziertes Unternehmen bereits rund 80 bis 90 % der organisatorischen und technischen Anforderungen der NIS2‑Richtlinie erfüllt und damit über eine sehr belastbare Ausgangsbasis für den NIS2‑Nachweis verfügt.

Für die vollständige NIS2‑Compliance sind jedoch zusätzliche, gesetzesspezifische Nachweise erforderlich. Nicht oder nur teilweise durch ISO 27001 abgedeckt sind dabei insbesondere:

  • die gesetzlich konkretisierten und fristgebundenen Meldepflichten der NIS2 gegenüber den zuständigen nationalen Behörden,
  • die verpflichtende Einbindung der Geschäftsleitung, einschließlich Haftungs‑, Aufsichts‑ und Schulungspflichten auf Leitungsebene,
  • die explizit geforderte Bewertung und Steuerung von Risiken entlang der gesamten Lieferkette,
  • sowie einzelne sektorspezifische Risiko‑ und Bedrohungsszenarien, die nicht Gegenstand der ISO‑Norm sind.

Ergänzend können andere Standards oder branchenspezifische Rahmenwerke wie TISAX im Automobilindustrie, B3S/IT-Grundschutz für kritische Infrastrukturen oder DORA im Finanzsektor herangezogen werden, da sie ebenfalls NIS2-relevante Anforderungen abdecken (z. B. Risikomanagement, Incident-Response oder Third-Party-Risiken).

Tipp: Wenn Sie bereits über eine Zertifizierung im Bereich der Informationssicherheit verfügen, hilft eine NIS2-Gap-Analyse dabei, die noch abzudeckenden Bereiche zu identifizieren und gezielt zu bearbeiten.

Was muss für NIS2 dokumentiert werden – und in welcher Tiefe?

Die Dokumentationspflicht bildet das Herzstück des NIS2-Nachweises. Sie dient nicht nur der internen Steuerung, sondern ist auch das zentrale Beweismittel gegenüber Aufsichtsbehörde, um zu belegen, dass Sicherheitsmaßnahmen tatsächlich umgesetzt wurden.

Grundlage für die NIS2-Dokumentation ist in Deutschland § 30 BSIG, der einen Katalog von Mindestmaßnahmen vorschreibt. Deren Umsetzung ist mit geeigneten, verhältnismäßigen und wirksamen technischen sowie organisatorischen Maßnahmen (TOM) nachzuweisen.

Um den Anforderungen der Aufsichtsbehörden zu entsprechen, müssen Unternehmen die Umsetzung dieser Maßnahmen lückenlos dokumentieren. Relevant sind dabei folgende Bereiche:

  • Risikoanalyse und Informationssicherheits-Konzepte: Dokumentation der identifizierten und bewerteten Risiken sowie der daraus abgeleiteten und umgesetzten Maßnahmen.
  • Incident-Response-Prozesse: Dokumentation der Verfahren zum Umgang mit Sicherheitsvorfällen, einschließlich der Zuständigkeiten und der definierten Eskalationswege.
  • Business-Continuity-Management (BCM): Dokumentierte Notfallpläne, Backup-Konzepte und Wiederherstellungsszenarien.
  • Lieferkettensicherheit: Bewertung der Cybersicherheitsrisiken durch Dienstleister und Zulieferer, sowie ggf. vertragliche Absicherungen.
  • Schulungsnachweise: Belege über durchgeführte NIS2-Schulungen der Geschäftsleitung und relevanter Mitarbeitender.
  • Technische Sicherheitsmaßnahmen: Verschlüsselung, Zugriffskontrollen, Netzwerksegmentierung – jeweils mit Nachweis der Implementierung.

Die Dokumentationstiefe muss sich am tatsächlichen Risiko sowie an der Größe des Unternehmens orientieren. Auch hier gilt das Gebot der Verhältnismäßigkeit: Für wichtige Einrichtungen sind abgestufte Anforderungen gegenüber besonders wichtigen Einrichtungen anerkannt.

Entscheidend ist jedoch in allen Fällen, dass die Dokumentation lückenlos, nachvollziehbar und aktuell ist, denn veraltete oder lückenhafte Unterlagen können im Prüffall nicht als Nachweis dienen.

Praxistipp: In der Praxis zeigt sich, dass das BSI besonderen Wert auf eine strukturierte, vollständige und jederzeit nachvollziehbare Dokumentation legt. Inhaltlich korrekte, aber unübersichtliche oder fragmentierte Nachweise führen im Prüf- oder Anforderungsfall häufig zu Nachbesserungen.

Best Practices: So gelingt der NIS2-Nachweis in der Praxis

Die gesetzlichen Anforderungen lassen bei der konkreten Ausgestaltung des NIS2-Compliance-Nachweises einige Spielräume. Dies bietet Chancen zur unternehmensspezifischen Optimierung, birgt aber auch Unsicherheiten bezüglich der Akzeptanz durch das BSI.

Bewährte Praktiken, insbesondere ein ISMS nach ISO 27001, helfen dabei, eine effiziente und belastbare Dokumentation und Nachweisführung aufzubauen. Ergänzend können auch BSI‑Standards oder branchenspezifische Rahmenwerke herangezogen werden.

Cybersicherheit ist Chefsache – das schreibt die NIS2-Richtlinie explizit vor. Die Geschäftsleitung trägt die Gesamtverantwortung und haftet persönlich für die Umsetzung der Pflichten. Im Organigramm sollten die Zuständigkeiten für alle NIS2-relevanten Prozesse klar und schriftlich festgelegt sein.

Praxistipp: In der Praxis empfiehlt es sich, ein internes Kontrollsystem (IKS) zu etablieren oder das bestehende um NIS2-Prozesse, wie etwa um die jährliche Cybersicherheitsschulung der Leitungsebene als dokumentierten Pflichtprozess, zu erweitern.

Ein ISMS nach ISO/IEC 27001 bietet einen erheblichen Vorteil: Die Norm verlangt viele der von NIS2 geforderten Maßnahmen – von der Risikoanalyse über das Management-Review bis zur Dokumentenlenkung. Auch TISAX oder das BSI-Grundschutz-Kompendium können als strukturierte Basis dienen.

Langfristig könnten spezifische BSI-konforme Zertifikate entstehen. Bis dahin gilt: Wer einen anerkannten Standard erfüllt und die Lücken zu NIS2 explizit schließt, ist im Prüffall gut aufgestellt.

Interne Audits, idealerweise jährlich durchgeführt, schaffen die Grundlage für einen kontinuierlichen Verbesserungsprozess und liefern die relevanten Nachweise über den Stand der Umsetzung zu einem bestimmten Zeitpunkt.

Die Ergebnisse des Audits sollten schriftlich festgehalten, Maßnahmen zur Mängelbehebung dokumentiert und deren Umsetzung kontrolliert werden.

KRITIS-Betreiber und besonders wichtige Einrichtungen benötigen zusätzlich externe Prüfungen. Hierfür sollte frühzeitig ein qualifizierter Prüfdienstleister eingebunden werden.

Warum lohnt sich der Einsatz von Compliance-Software?

Die Menge der zu dokumentierenden Prozesse, Maßnahmen und Nachweise ist beträchtlich. Eine manuelle Verwaltung in Tabellenkalkulationen oder unstrukturierten Ablagesystemen ist nicht nur mit einem hohen Pflegeaufwand verbunden, sondern birgt auch das Risiko von Lücken und Versionskonflikten. Beides kann im Prüffall problematisch werden.

Hier bietet ein spezialisierte Compliance- und ISMS-Software strukturelle Vorteile: Sie bildet den gesamten NIS2-Maßnahmenkatalog strukturiert ab und verknüpft ihn mit den zugehörigen Dokumenten, Verantwortlichen und Fristen. Automatisierte Erinnerungen stellen sicher, dass Review-Zyklen, beispielsweise für Risikoanalysen oder Schulungsnachweise, nicht versäumt werden. Durch Änderungshistorien und Versionierung ist transparent nachvollziehbar, wer wann welche Maßnahme angepasst hat. Dies ist ein zentrales Qualitätsmerkmal für Auditsicherheit.

Tipp: Mit unserer auf NIS2 spezialisierten SaaS-Lösung activeMind.cloud dokumentieren Sie Ihr ISMS effektiv und erreichen in Rekordzeit Auditreife.

Solche Tools erleichtern darüber hinaus die Abbildung von Querverbindungen: So lassen sich Risiken mit konkreten Maßnahmen verknüpfen, Schulungen mit Verantwortlichkeiten und Sicherheitsvorfälle mit ausgelösten Prozessen verknüpfen. So entsteht ein lebendiges, jederzeit abrufbares Compliance-Bild, das im Falle einer BSI-Anfrage oder eines externen Audits unmittelbar als Nachweis dienen kann.

Praxistipp: Die NIS2-Richtlinie versteht Cybersicherheit als kontinuierlichen Prozess und nicht als einmaliges Projekt. Eingesetzte ISMS-Software sollte diesen Prozesscharakter abbilden. Dann wird sie vom Komfortwerkzeug zu einem strategischen Instrument der dauerhaften Compliance-Sicherung.

Fazit: NIS2-Nachweise dienen einem höheren Zweck

Der Nachweis von NIS2-Compliance erfordert von Unternehmen einigen Aufwand. Selbst, wer schon über ein zertifiziertes ISMS verfügt, muss Lücken zu den umfangreicheren NIS2-Anforderungen identifizieren und schließen. Dies betrifft insbesondere Art, Umfang und Inhalt der geforderten Nachweise, wie etwa die dokumentierte Umsetzung der Sicherheitsmaßnahmen, das Risikomanagement, Incident‑Response‑Prozesse sowie Melde‑ und Berichtspflichten gegenüber den zuständigen Behörden. Für KRITIS-Betreiber und besonders wichtige Einrichtungen ist zudem eine externe Prüfung durch zugelassene Stellen zwingend vorgeschrieben.

Dabei sollte nicht vergessen werden, dass die Cybersicherheit nicht nur für den Nachweis der NIS2-Konformität gegenüber den Aufsichtsbehörden verbessert werden soll. Denn neben allen scheinbar lästigen Dokumentationspflichten geht es darum, das eigene Unternehmen besser gegen Angriffe zu schützen – und damit langfristig Werte und Arbeitsplätze zu sichern.

Compliance mit der NIS2-Richtlinie

Erfüllen Sie die Vorgaben der NIS2-Richtlinie und des deutschen NIS2-Umsetzungsgesetzes - und wahren Ihre Compliance.
Jetzt beraten lassen

Weiterlesen

  • Datensicherheit, KRITIS

NIS2 vs. DORA: Unterschiede und verbreitete Missverständnisse

NIS2-Richtlinie und DORA-Verordnung sollen die digitale Resilienz von Unternehmen stärken. Beide Regelwerke haben jedoch verschiedene Ansätze, die betroffene Unternehmen unbedingt beachten sollten.
  • Datensicherheit

NIS2 vs. ISO 27001 vs. BSI-Grundschutz

Unterschiede, Gemeinsamkeiten und Zusammenwirken der Regelwerke zur Informations- und Cybersicherheit.
  • Beschäftigtendatenschutz, Datensicherheit, New Work

Metadaten in Dokumenten als Sicherheitsrisiko

Warum Metadaten von Dokumenten ein Problem für Unternehmen werden können – und wie sie dem effektiv begegnen können.
  • Beschäftigtendatenschutz, Datensicherheit

Abwesenheitsnotizen als Schwachstelle

Was Ihre Out-of-Office-Benachrichtigungen auf keinen Fall preisgeben sollten – und wie Sie sichere Abwesenheitsnotizen gestalten.
  • Datensicherheit, KRITIS

Das deutsche NIS2-Umsetzungsgesetz ist da!

Mit dem NIS2-Umsetzungsgesetz wird die NIS2-Richtlinie in deutsches Recht umgesetzt. Was bedeutet das für Unternehmen hierzulande?
  • Datensicherheit

BSI zu NIS2-Geschäfts­leitungsschulungen

Wie müssen die Geschäftsleitungen von durch NIS2 betroffenen Unternehmen geschult werden? Wir erläutern die Empfehlungen des BSI.
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.