Es ist eines der Schlagwörter in unserer heutigen Zeit: Cyber-Resilienz. Was früher rein als Wettbewerbsvorteil galt, ist heute zudem gesetzliche Notwendigkeit. Schließlich fordert die NIS2-Richtlinie von (KRITIS-)Unternehmen, ihre Sicherheitslücken zu schließen, Prozesse nachweisbar zu gestalten und Angriffe nicht nur abzuwehren, sondern frühzeitig zu unterbinden.

Fallen Unternehmen unter NIS2, müssen sie eine unabhängige und systematische Prüfung durchführen – für alle anderen ist diese angesichts der unsicheren Lage empfehlenswert. Doch viele Verantwortliche fordert dieses Projekt heraus – erst recht in multinationalen Settings.

Unser Leitfaden hilft, das NIS2-Audit in 7 Schritten souverän zu bestehen und Compliance als kontinuierlichen Prozess in der Organisation zu etablieren.

#1 Projektteam und Governance 

Jedes Projekt beginnt mit der Zusammenstellung eines Teams. Beim NIS2-Audit gilt klar: Die Mischung macht’s. Unternehmen sollten daher eine Steuerungsgruppe aus IT, Legal, Compliance und HR zusammenstellen. Unbedingt vergeben werden sollte auch die Rolle des NIS2-Audit-Leiters, der unter anderem den Kontakt zum Management herstellt.

Wichtig: Ist ein Unternehmen unter den Anwendungsbereich von NIS2 gefallen, muss die Organisation einen (Chief) Information Security Officer ernennen, der bei den Behörden registriert sein muss. Diese Person ist künftig Ansprechpartner für die verschiedenen Behörden. Gleichzeitig trägt sie die Verantwortung für die betroffenen Bereiche. Ist bereits ein CISO im Unternehmen tätig, kann er diese Aufgaben ebenso übernehmen. Um Interessenkonflikte zu vermeiden, muss diese Person unabhängig sein und über die entsprechenden Befugnisse verfügen. Sie darf demnach nicht zur IT-Abteilung gehören.

Sind alle Projektverantwortlichen benannt, geht es an die Verteilung von Rollen und Verantwortlichkeiten. Die internen Zuständigkeiten und Aufgaben lassen sich beispielsweise mit dem RACI-Modell schnell abbilden.

To-dos:

  • Stellen Sie eine interdisziplinäre Steuerungsgruppe zusammen (IT, Security, Recht, Compliance, HR).
  • Definieren Sie Rollen, Verantwortlichkeiten und interne Zuständigkeiten.

 Was ist das RACI-Modell?

RACI steht führ Responsible, Accountable, Consulted, Informed und ist ein gängiges Projektmanagement-Tool. Sein Mehrwert liegt darin, Projekte übersichtlich darzustellen. Basis bildet die Unterteilung und grafische Darstellung zweier Dimensionen: den anstehenden Aufgaben (x-Achse) und den Projektbeteiligten (y-Achse). Egal, ob bei kleinen oder großen Projekten diese Vorgehensweise hilft, den Arbeitsalltag zu erleichtern.

 

#2 Zeitplan

Sind wir bereits in der Pflicht? Bis wann sollten wir ein NIS2-Audit umgesetzt haben? Diese Fragen lassen sich nicht pauschal beantworten. Denn die Umsetzung der NIS2-Richtlinie variiert zwischen den EU-Mitgliedsstaaten – und deren Umsetzung in nationales Recht. Doch Mitgliedsstaaten befinden sich mit der Umsetzung der Richtlinie in nationales Recht im Rückstand, obwohl die Frist hierfür bereits abgelaufen ist. Das bedeutet, dass in mehreren Rechtsordnungen weiterhin Unsicherheit herrscht.

Hier gilt es also, wachsam zu bleiben und im Fall der Fälle nicht zu lange zu warten. Ein realistischer Zeitplan beinhaltet auch Vorbereitungszeit – für Gap-Analyse, Maßnahmenumsetzung und Nachweisvorbereitung.

Tipp:  Multinationale Unternehmen können durch die Benennung einer federführenden Jurisdiktion ein einziges NIS2-Audit durchlaufen, dessen Ergebnisse dann für alle EU-Standorte gelten. Eine strategische Entscheidung, die gut durchdacht sein will.

To-dos:

  • Prüfen Sie den nationalen Umsetzungsstand der NIS2-Richtlinie in Ihrem Mitgliedstaat.
  • Binden Sie Rechts- und Compliance-Abteilungen frühzeitig ein, um gesetzliche Fristen und Audit-Vorgaben sicher einzuhalten.
  • Erstellen Sie einen Zeitplan mit Meilensteinen.
  • Legen Sie eine federführende Jurisdiktion fest.

#3 Gap-Analyse

Bevor es an die Planung konkreter Maßnahmen geht, müssen Unternehmen wissen, wo sie aktuell stehen – und wo sie hinwollen. Das Werkzeug der Wahl dafür ist eine Gap-Analyse, die Ist- und Sollzustand gegenüberstellt.

Zunächst vergleicht das Projektteam also die Anforderungen der NIS2-Richtlinie mit den bestehenden technischen und organisatorischen Kontrollen. Im Mittelpunkt stehen jedoch nicht nur Policies und Prozesse. Auch operative Umsetzungen müssen in die Gap-Analyse einfließen. 

Tipp: Ein strukturierter, risikobasierter Ansatz hilft, Prioritäten zu setzen. Nicht jede Lücke ist gleich kritisch. Daher sollten sich Teams auf die Themen fokussieren, die Betriebsfähigkeit oder Compliance am stärksten gefährden.

To-dos:

  • Vergleichen Sie NIS2-Anforderungen mit bestehenden Sicherheitsmaßnahmen und organisatorischen Kontrollen.
  • Dokumentieren Sie bestehende Nachweise, Prozesse und Richtlinien.
  • Priorisieren Sie die Lücken und mögliche Maßnahmen nach Einfluss auf Compliance und Betriebsstabilität.

#4 Operationale Anforderungen

Die identifizierten Maßnahmen müssen Projektteams im nächsten Schritt in bestehende Prozesse und Strukturen integrieren. Ankerpunkte in Richtlinien, Change-Management-Prozessen und Incident-Response-Plänen sind hierbei nötig. Jede Anpassung sollte nachvollziehbar zeigen, wie das Unternehmen gesetzliche Verpflichtungen konkret in Handlungen übersetzt.

Dabei hilft eine Art interne „NIS2-Erzählung“ – ein gemeinsames Verständnis darüber aufzubauen, wie der Betrieb die regulatorischen Anforderungen interpretiert, priorisiert und in den täglichen Betrieb überführt. Diese Konsistenz ist nicht nur intern wichtig, sondern auch im Audit selbst, wenn Auditoren nach der Umsetzungspraxis fragen.

To-dos:

  • Integrieren Sie NIS2-Anforderungen in bestehende Richtlinien, Sicherheits- und Notfallprozesse.
  • Aktualisieren Sie Change-Management-Prozesse auf Basis der neuen Vorgaben.
  • Schulen Sie relevante Teams regelmäßig, um Bewusstsein und Verantwortlichkeit zu stärken und fördern damit eine NIS2-bewusste Unternehmenskultur.
  • Prüfen Sie regelmäßig, ob Verantwortliche neue Prozesse ebenso nachweisbar umgesetzt haben.

#5 Dokumentation und Nachweise

Das NIS2-Audit prüft nicht allein die Sicherheitsarchitektur, sondern vor allem ihre Transparenz und Nachweisfähigkeit. Deshalb ist es nur logisch, dass vor allem auch die Dokumentation sämtlicher Maßnahmen, die auf Cyber-Resilienz einzahlen, entscheidend ist.

Sicherheitsrichtlinien, Risikobewertungen, Protokolle von Tests und Schulungen ebenso wie Prozessbeschreibungen und interne Kommunikationswege müssen Teams frühzeitig sauber und nachvollziehbar dokumentieren. Eine gut gepflegte Nachweisstruktur spart im Audit Zeit und vermeidet hektische Sammelaktionen in letzter Minute.

Tipp:  Auditoren fragen häufig umfangreiche Informationen an. Ein projektfähiger Datenraum für das NIS2-Audit, auf den Interne wie Externe zugreifen können, erleichtert die Arbeit. Engage ist hierfür ein Paradebeispiel.

To-dos:

  • Erfassen Sie alle sicherheitsrelevanten Richtlinien, Verfahren und Kontrollen.
  • Halten Sie Nachweise zu Tests, Schulungen und Prozessänderungen stets aktuell.
  • Nutzen Sie einen Datenraum, um den Zugriff für Auditoren zu erleichtern.
  • Etablieren Sie ein Dokumentenmanagement, das Änderungen und Versionen automatisch nachverfolgt.

#6 NIS2-Audit

Vorbereitung ist die halbe Compliance: Haben Unternehmen bis hier alle Tipps und Tricks für die Vorbereitung des NIS2-Audits verwirklicht, ist der Weg geebnet. Nun heißt es: Endspurt!

Auch wenn jedes Audit leicht anders abläuft, lässt sich der Prozess in Phasen gliedern. Meist beginnt er mit einem umfangreichen Fragebogen, der mehrere Hundert Punkte zu Richtlinien, Prozessen, technischen Kontrollen und organisatorischen Abläufen umfasst. Darauf folgen in der Regel Dokumenten-Uploads, Interviews, Eröffnungs- und Abschlussgespräche sowie der finale Auditbericht mit Bewertung und Handlungsempfehlungen.

Tipp:  Rückmeldungen der Auditoren sollten Unternehmer beherzigen. In ihnen liegen meistens Potenziale verborgen, Prozesse weiter zu schärfen oder Nachweise zu verbessern. So wird aus der Pflichtübung ein Impuls zur Weiterentwicklung der eigenen Sicherheitskultur. 

To-dos:

  • Planen Sie Interviews und Review-Termine mit allen relevanten Verantwortlichen (IT, Compliance, Management).
  • Beachten Sie, dass Auditoren unterschiedliche Schwerpunkte setzen – passen Sie Ihre Argumentation entsprechend an.
  • Nutzen Sie das Audit als Feedback-Schleife, um Sicherheits- und Compliance-Prozesse langfristig zu verbessern.

#7  Kontinuierliche Compliance

Erledigt! Nach dem erfolgreichen NIS2-Audit sollten Unternehmen das Thema aber nicht auf Wiedervorlage in der Zukunft setzen. Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess.

Die Gleichung ist einfach: Kontinuierliches Monitoring, Verbesserungen und interne Audits sichern langfristige Audit-Bereitschaft und im Endergebnis stetige Cyber-Resilienz.

To-dos:

  • Etablieren Sie Prozesse, um NIS2-Themen stetig zu überprüfen.
  • Setzen Sie auf eine Compliance-konforme Unternehmenskultur: NIS2 ist eine dauerhafte Notwendigkeit für Sicherheit und Cyber-Resilienz.

NIS2-Audit gemeistert!

Die NIS2-Richtlinie fordert von Unternehmen mehr als technische Sicherheitsmaßnahmen – sie verlangt nachweisbare Cyber-Resilienz. Dass der Weg dorthin nicht steinig sein muss, zeigt die Roadmap in 7 Schritten. Am Ende bleibt nur noch ein freudiger Ausruf „Wir haben das NIS2-Audit erfolgreich gemeistert!“.

Ist Ihre Organisation bereit für NIS2?

Bereiten Sie sich auf NIS2 mit Tresorits E2E-verschlüsselter Plattform vor!

Brigitta Finta