Yast another Security Text about NIS2 – diesmal: Wie ein echtes NIS2-Audit wirklich abläuft

Ein Blick hinter die Kulissen der Aufsicht – ohne Schönfärbung, aber mit Humor

Die Frage klingt zunächst harmlos und ein wenig naiv, aber sie taucht in Gesprächen mit Unternehmen immer wieder auf:
„Ruft uns jemand an und kündigt eine NIS2-Prüfung an?“

Die kurze Antwort lautet: Nein.
Die lange Antwort: Auf gar keinen Fall.
Und die fachlich korrekte Antwort: Behörden rufen grundsätzlich nicht an.

NIS2-Kontrollen laufen nicht wie ein Termin mit dem Schornsteinfeger, der mit seiner Bürste und einem Kalenderbuch an der Haustür steht und freundlich ankündigt, dass er kommenden Donnerstag vorbeischaut. Die Art, wie NIS2-Audits tatsächlich funktionieren, ist strukturierter, formaler und teilweise deutlich plötzlicher, als viele Unternehmen erwarten – allerdings immer nachvollziehbar und immer entlang klar definierter Mechanismen.

Und genau diese Mechanismen schauen wir uns jetzt an.
Nicht als langweilige Liste, sondern als fachlich fundierte Beschreibung dessen, was wirklich im Hintergrund passiert, inklusive der manchmal überraschenden Prozesslogiken, die Behörden nutzen.

Phase 0 – Der stille Anfang: Du weißt noch nichts, aber du stehst bereits auf der Liste

Bevor überhaupt ein Schreiben in deinem Posteingang landet, bevor ein Auditor deinen Namen googelt oder ein Dokument angefordert wird, sind längst Entscheidungen gefallen, von denen du als Unternehmen zunächst nichts mitbekommst. Die Einstufung beginnt nämlich nicht mit einem Audit, sondern mit deinem NACE-/WZ-Code, also der wirtschaftlichen Tätigkeit, die dein Unternehmen offiziell gemeldet hat. Diese Codes entscheiden, ob dein Betrieb in eine der NIS2-relevanten Kategorien fällt.

Sobald das der Fall ist, wirst du automatisch Teil eines internen Aufsichtsregisters. Dieses Register ist nicht öffentlich und nicht für Unternehmen zugänglich, aber es definiert, welcher Behörde du unterstehst, wann eine Prüfung wahrscheinlich wird und welche Risiken man dir zuschreibt. Viele Unternehmen glauben, sie würden über ihre NIS2-Pflichtigkeit aktiv und explizit informiert – aber das stimmt nicht. In Wirklichkeit weiß die Behörde über deine Einstufung Bescheid, bevor du überhaupt eine Ahnung davon hast.

Phase 1 – Die erste Kontaktaufnahme: Ein Schreiben, kein Anruf

Wenn eine Prüfung beginnt, dann passiert das immer nach demselben Muster, völlig unabhängig von Branche oder Unternehmensgröße:
Es kommt ein offizielles Schreiben, meist sowohl digital als auch postalisch. Dieses Schreiben ist kein freundlicher Hinweis, sondern eine formelle Prüfungsankündigung, die exakt benennt, auf welcher Rechtsgrundlage (NIS2UmsuCG, NIS2UmsuV) man dich prüft, welche Fristen gelten, welche Dokumente vorzulegen sind und wie der Prozess ablaufen wird.

Das Schreiben ist rechtlich bindend und der Startschuss für einen Prozess, der nicht verschoben werden kann. Die Behörde ruft dich nicht an, sie schickt dir keine Erinnerungs-SMS und sie nutzt auch nicht WhatsApp – es läuft ausschließlich schriftlich. Das ist wichtig, weil nur schriftliche Anordnungen rechtswirksam sind.

Im Unternehmen führt diese Ankündigung fast immer zu zwei sehr unterschiedlichen Reaktionen:
Die Security-Abteilung sagt erleichtert: „Gut, endlich lässt sich das Management wachrütteln.“
Das Management sagt irritiert: „Wie bitte, wir haben ein Audit? Von wem? Wieso wir? Warum jetzt?“

Ab diesem Moment läuft die Uhr – und jede Verzögerung wirkt sich nachteilig aus.

Phase 2 – Die Dokumentenanforderung: Der eigentliche Kern jeder Prüfung

Die meisten Unternehmen unterschätzen die Bedeutung dieser Phase.
Ein NIS2-Audit beginnt nicht mit Technik, sondern mit Dokumenten. Die Behörde möchte wissen, ob du die grundlegenden Pflichten erfüllt hast, bevor sie überhaupt darüber nachdenkt, deine Firewalls anzuschauen oder dein SOC zu interviewen.

Du wirst deshalb aufgefordert, eine breite Palette an Nachweisen vorzulegen, die zeigen, dass du deine Risiken kennst, deine Prozesse beherrschst, dein Management eingebunden ist und deine technischen Maßnahmen dokumentiert und kontrolliert sind. Das BSI erwartet an dieser Stelle keine PowerPoint-Präsentationen, sondern echte Dokumente: schriftliche Risikoanalysen, nachvollziehbare Gap-Analysen, Sicherheitskonzepte, die nicht nur generische Textbausteine enthalten, sondern deine echte Architektur widerspiegeln, und nachvollziehbare Incident-Prozesse, die zeigen, wie du im Ernstfall handelst.

Ebenso wichtig ist die Lieferkettenkontrolle. Die Behörde möchte sehen, dass du nicht nur deine eigene Sicherheit im Blick hast, sondern auch die deiner Dienstleister – und dass du bewerten kannst, ob diese Dienstleister ein Risiko darstellen. Das umfasst Verträge, Dokumentationen, Sicherheitsklauseln und nachvollziehbare Bewertungsmethoden.

Kurz gesagt:
Wenn du etwas nicht dokumentiert hast, dann existiert es nicht.
NIS2 misst Realität nicht an Absicht, sondern am Nachweis.

Phase 3 – Die digitale Vorprüfung: Der erste echte Reality Check

Nachdem du die Dokumente eingereicht hast, beginnt die Behörde mit der Vorprüfung. Diese passiert fast immer digital und oft erstaunlich schnell. Je nach Belastung des Sektors, Relevanz des Unternehmens oder Hinweislage kann diese Vorprüfung bereits innerhalb von 24 bis 48 Stunden stattfinden.

Die Auditoren bewerten dabei nicht dein gesamtes Unternehmen, sondern zunächst die Frage, wie gut du vorbereitet bist. Sie prüfen, ob deine Dokumente vollständig sind, ob sie inhaltlich tragfähig wirken und ob offensichtliche Lücken existieren. Auf dieser Basis entscheidet sich, wie tief das eigentliche Audit gehen muss.

Es gibt drei typische Varianten:
Die Vorprüfung ergibt, dass du solide aufgestellt bist, und das Audit läuft normal weiter.
Oder sie ergibt, dass wichtige Dinge fehlen, was zu Rückfragen und ergänzenden Anforderungen führt.
Oder sie zeigt gravierende Mängel, die bereits vor der Hauptprüfung Sofortmaßnahmen erforderlich machen.

Phase 4 – Die Hauptprüfung: Remote oder vor Ort

Die Hauptprüfung ist der zentrale Teil des Audits und entscheidet, wie dein Unternehmen bewertet wird. Sie findet zunehmend remote statt, insbesondere bei mittelgroßen Unternehmen und solchen ohne spezifische physische Kritikalität. Dabei gehen Auditoren systematisch durch deine Dokumente, stellen Verständnisfragen, verlangen Stichproben, lassen sich Live-Ansichten aus deinem SOC zeigen und wollen konkret nachvollziehen können, wie du Sicherheitsmaßnahmen umsetzt.

Es ist üblich, dass Auditoren beispielsweise verlangen, einen aktuellen Logeintrag zu sehen, ein EDR-Event zu öffnen oder den Status deiner Backup-Strategie live zu demonstrieren. Reine Aussagen wie „Wir haben MFA überall aktiv“ reichen nicht – sie wollen es sehen.

Bei Betreibern kritischer Infrastrukturen oder hochsensiblen Bereichen, etwa Energie, Gesundheit oder Wasser, erfolgt der Großteil der Prüfung vor Ort. Dort wird zusätzlich auf physische Sicherheit geachtet: Serverräume, Zutrittssysteme, organisatorische Abläufe und teilweise sogar Gebäudewege werden überprüft. Die Behörde möchte sicherstellen, dass nicht nur digitale, sondern auch physische Angriffe erschwert werden.

Phase 5 – Der Maßnahmenkatalog: Der Moment der Wahrheit

Nach der Hauptprüfung erstellt die Behörde einen Maßnahmenkatalog. Dieser ist nicht als Vorschlag zu verstehen, sondern als verbindlicher Auftrag, der mit Fristen versehen ist und klare Anforderungen enthält.

Typische Maßnahmen betreffen fehlende technische Kontrollen (etwa unvollständige MFA-Umsetzung), organisatorische Defizite (wie unklare Rollen und Verantwortlichkeiten), unzureichende Prozesse oder mangelhafte Lieferantenbewertung. Die Fristen bewegen sich meist im Bereich weniger Wochen, was angesichts der Komplexität einiger Maßnahmen durchaus herausfordernd sein kann.

Der Maßnahmenkatalog ist das vielleicht wichtigste Dokument des gesamten Verfahrens, denn er bestimmt, ob du als „konform“, „konform unter Auflagen“ oder „nicht konform“ eingestuft wirst.

Phase 6 – Die Nachweisphase: Jetzt musst du liefern

Sobald du den Maßnahmenkatalog erhalten hast, beginnt die Phase, in der du beweisen musst, dass du die Anforderungen auch wirklich umgesetzt hast. Das bedeutet: Du musst Logs, Reports, Screenshots, Testprotokolle und aktualisierte Dokumente vorlegen. Jeder Nachweis muss aktuell sein – alte Unterlagen werden fast immer abgelehnt.

Diese Phase entscheidet darüber, ob du NIS2-konform wirst oder ob du in die Kategorie „konform unter Auflagen“ fällst und weitere Fristen erhältst. Für Unternehmen, die schlecht vorbereitet sind, ist diese Phase extrem anspruchsvoll, weil in kurzer Zeit viele technische und organisatorische Maßnahmen umgesetzt und dokumentiert werden müssen.

Phase 7 – Abschluss und Bewertung: Drei mögliche Ausgänge

Am Ende der Prüfung gibt es drei mögliche Ergebnisse. Dein Unternehmen kann als vollständig konform eingestuft werden, was eine gewisse Erleichterung bringt, aber keinesfalls bedeutet, dass in Zukunft keine weiteren Prüfungen stattfinden. Es kann auch in die Kategorie „konform unter Auflagen“ fallen, was bedeutet, dass du auf dem richtigen Weg bist, aber noch nacharbeiten musst.

Und schließlich kann das Ergebnis auch „nicht konform“ lauten. In diesem Fall drohen Maßnahmenanordnungen, Bußgelder, engmaschige Überwachung und im Extremfall sogar öffentlichkeitswirksame Bekanntmachungen. Gerade Letzteres ist für viele Unternehmen ein großes Risiko, weil Reputationsschäden oft schlimmer sind als finanzielle Sanktionen.

Phase 8 – Die Zeit danach: NIS2 ist kein Ereignis, sondern ein Zustand

Viele glauben, ein Audit sei ein einmaliges Ereignis. NIS2 funktioniert jedoch wie ein Dauerlauf. Unternehmen müssen kontinuierlich Risiken bewerten, Prozesse anpassen, Nachweise pflegen, Vorfälle melden und regelmäßig auditsicher sein. Ein NIS2-Unternehmen ist also immer in einem Zustand permanenter Auditbereitschaft – und genau das ist politisch gewollt.

Wenn es in Audits schlecht läuft, dann fast immer aufgrund derselben drei Fehler:
Erstens glauben viele Unternehmen, dass PowerPoints echte Dokumente ersetzen können.
Zweitens erstellen sie Nachweise erst dann, wenn die Behörde sie anfordert – was sofort auffällt und Vertrauen zerstört. Und drittens fehlt häufig die aktive Einbindung der Geschäftsführung, was bei NIS2 sofort als strukturelles Problem gilt.

Fazit

Kurz gesagt: NIS2-Audits sind kein Schreckgespenst – aber sie funktionieren anders, als viele erwarten. Kein Anruf, keine Vorwarnung, keine freundliche Erinnerung. Alles beginnt mit einem Schreiben, setzt sich über strukturierte Nachweisverfahren fort und endet in einem klaren Maßnahmenkatalog, der bestimmt, wie ernst ein Unternehmen Sicherheit tatsächlich nimmt. Wer seine Prozesse kennt, seine Dokumentation im Griff hat und seine Risiken nicht verdrängt, hat wenig zu befürchten. Alle anderen erleben sehr schnell, warum NIS2 kein „nice to have“, sondern ein gesetzlicher Reifegradmesser für echte Cyber-Resilienz ist.

Euer Simon

#NIS2 #CyberSecurity #Compliance #Governance #SecurityArchitecture #ITSecurity #RiskManagement #Audit #Kritis #CISO

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert