IT-Dokumentation: Aufbau, Pflichten und Pflege im Überblick

Das Wichtigste in Kürze:

• Pflicht statt Kür: Seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 müssen über 30.000 Unternehmen in Deutschland ihre IT-Infrastruktur lückenlos dokumentieren. Wer das versäumt, riskiert Bußgelder bis 10 Mio. Euro und persönliche Haftung der Geschäftsführung.
• Methodik schlägt Tool: Eine belastbare IT-Dokumentation entsteht in drei Schichten – Bestandserfassung, Strukturierung, Pflege. Wer ohne diese Methodik startet, baut nur eine zweite Excel-Liste.
• Automatisierung ist die einzige skalierbare Antwort: Manuelle Pflege scheitert in den meisten IT-Abteilungen am dritten Monat. Agentenlose Inventarisierung löst das Aktualitäts-Problem strukturell.

Über 70 Prozent der deutschen IT-Abteilungen pflegen ihre Dokumentation noch in Word, Excel oder Visio – und drei Monate später ist sie veraltet. Seit dem 6. Dezember 2025 ist das ein direktes Haftungsthema: Das NIS-2-Umsetzungsgesetz verlangt eine nachweisbare Dokumentation aller IT-Systeme und Sicherheitsmaßnahmen. Dieser Artikel zeigt, was zu einer prüfungsfähigen IT-Dokumentation gehört, wie Sie sie systematisch aufbauen und welche Schritte 2026 nicht mehr verschiebbar sind.

Was ist IT-Dokumentation?

IT-Dokumentation hält fest, wie eine IT-Infrastruktur aufgebaut ist. Welche Hardware läuft, welche Software wo installiert ist, wie die Netzwerke verkabelt sind, wer welche Rechte hat und welche Schnittstellen die Systeme verbinden. Sie ist die Datengrundlage für den laufenden Betrieb, für Audits, für Notfallpläne und für strategische Entscheidungen.

Wichtig ist die Unterscheidung zwischen zwei Ebenen:

• System-Dokumentation: Was technisch da ist und wie es konfiguriert ist – Server, Clients, Switches, Anwendungen, Lizenzen. Diese Ebene lässt sich agentenlos automatisieren.
• Prozess-Dokumentation: Wer macht was, wann, mit welcher Verantwortung – also Change-Management, Incident-Response, Backup-Routinen, Berechtigungsvergabe. Diese Ebene bleibt teils manuell.

Beides gehört zusammen: Eine Asset-Liste ohne Prozesse ist Inventur, eine Prozess-Beschreibung ohne Bestand ist Theorie. Beides für sich allein reicht weder im Audit noch im Tagesgeschäft.

Warum ist IT-Dokumentation 2026 zur Pflicht geworden?

Was lange als „Best Practice" galt, ist seit Ende 2025 in Deutschland geltendes Recht. Drei Treiber wirken parallel:

• NIS-2-Umsetzungsgesetz: Seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die Maßnahmenpflichten. Betroffen sind rund 30.000 Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in 18 Sektoren. Die Geschäftsführung haftet persönlich.
• ISO 27001 und BSI-Grundschutz: Beide Standards setzen eine vollständige IT-Dokumentation voraus. Die ENISA-Guidance mappt NIS-2 explizit auf ISO 27001 – wer ein bestehendes ISMS pflegt, hat bereits die Hälfte erledigt.
• DSGVO und IDW PS 330: Datenschutz-Folgenabschätzungen und Wirtschaftsprüfungen brauchen belastbare Nachweise zu Datenflüssen, Berechtigungen und Sicherheitsmaßnahmen.

Die Realität dahinter ist ernüchternd. Bis zur Frist am 6. März 2026 hatten sich nur rund 11.500 von geschätzt 29.500 betroffenen Unternehmen registriert – das zeigen BSI-Daten zur NIS-2-Registrierung. Mehr als die Hälfte der betroffenen Organisationen ist also bereits im Verzug.

Der Cyber Security Report 2026 von Schwarz Digits liefert eine zweite Zahl. 48 Prozent der befragten Unternehmen unterschätzen ihre NIS-2-Pflichten. Bei Kleinunternehmen mit 10 bis 49 Mitarbeitenden schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl viele davon regulierungspflichtig sind.

Wenn der Admin geht – ein typisches Szenario

Ein realistischer Fall aus der Beratungspraxis: Der Senior-Admin eines mittelständischen Maschinenbauers kündigt nach zwölf Jahren. In seinem Kopf liegen Routing-Logik, VLAN-Zuordnungen und lokale Skripte. Dazu drei Generationen historisch gewachsener Sonderlösungen. Auf Papier liegt eine Visio-Datei von 2019.

Die Folgen sind nicht aus dem Lehrbuch, sondern aus dem Alltag: Wartungsfenster verdoppeln sich. Externe Beratung wird teuer. Beim ersten Audit nach seiner Kündigung fallen Lücken auf, die niemand mehr erklären kann. Genau dieses „Tribal Knowledge"-Risiko macht IT-Dokumentation geschäftskritisch – nicht erst die abstrakte Compliance-Pflicht.

Den Druck kennen IT-Verantwortliche längst, bevor er regulatorisch wird. Das schlechte Gewissen, dass die Excel-Liste seit Monaten nicht mehr stimmt. Die leise Sorge vor dem nächsten Audit. Das ungute Gefühl, wenn der einzige Mensch, der die Routing-Logik versteht, in Urlaub geht. NIS-2 macht aus diesem Bauchgefühl eine schriftliche Pflicht – aber das eigentliche Problem ist älter als jedes Gesetz.

Der zweite Effekt zeigt sich oft erst Monate später: Der Nachfolger oder die externe Beratung baut alles neu auf. Das kostet meist mehr als drei Jahre saubere Dokumentation gekostet hätten – und die Dokumentation entsteht ja trotzdem, nur unter Zeitdruck und ohne historische Tiefe. Wer rechtzeitig systematisch dokumentiert, zahlt weniger und schläft besser.

Wie ist der Aufbau einer IT-Dokumentation?

Der Aufbau folgt einer klaren Reihenfolge. Wer Schritte überspringt, baut auf Sand.

Schritt 1: Ist-Aufnahme der IT-Landschaft

Ohne aktuellen Bestand keine Dokumentation. Das klingt banal, ist aber in der Praxis der häufigste Stolperstein. Eine agentenlose Inventarisierung erfasst Server, Clients, Netzwerkgeräte, virtuelle Systeme und Cloud-Ressourcen in einem Durchlauf – ohne Software-Rollout auf jedem Endpunkt. Tools wie Docusnap arbeiten hier per SNMP, WMI und API-Abfragen.

Was viele unterschätzen: Schon dieser erste Schritt deckt regelmäßig Geräte auf, von denen niemand mehr wusste. Drucker im Keller, alte Test-Server unter dem Schreibtisch, Switches mit Default-Passwort. Die erste Inventarisierung ist oft schon ein Sicherheits-Audit für Arme.

Schritt 2: Daten ordnen und klassifizieren

Daten ohne Struktur sind ein Haufen, kein Modell. Drei Sichten haben sich in der Praxis bewährt:

• Asset-Sicht: Welche Geräte gibt es, wo stehen sie, wem gehören sie?
• Beziehungs-Sicht: Welche Systeme hängen voneinander ab? Welcher Server hostet welche Anwendung?
• Prozess-Sicht: Welche Geschäftsprozesse laufen über welche Systeme?

Die ITIL-konforme CMDB ist das passende Datenmodell für diese drei Sichten. Sie verknüpft Konfigurationselemente und ihre Beziehungen und legt damit das Fundament für Change- und Problem-Management.

Schritt 3: Standardisierte Formate und zentrale Plattform

Wer fünf Excel-Dateien, drei Visio-Pläne und eine OneNote-Sammlung führt, hat keine Dokumentation, sondern fünf parallele Wahrheiten. Eine zentrale Plattform mit Versionierung und Berechtigungssteuerung ist Pflicht – egal ob Eigenbau, CMDB oder spezialisierte IT-Dokumentationssoftware.

Dazu gehört auch ein klares Berechtigungskonzept. Wer darf welche Teile der Dokumentation lesen, ändern, exportieren? Eine Notfallkontakt-Liste, die jeder Praktikant einsehen kann, ist genauso problematisch wie eine Netzwerk-Topologie, die niemand außer dem Senior-Admin findet.

Schritt 4: Pflegen und aktuell halten

Hier scheitern die meisten Projekte. Eine einmal erstellte Dokumentation veraltet im Wochenrhythmus. Automatisierte, zeitgesteuerte Scans sind die einzige praktikable Antwort – manuelles Nachpflegen funktioniert in keiner IT-Abteilung dauerhaft.

Die Faustregel: Was sich automatisch erfassen lässt, sollte auch automatisch erfasst werden. Manuell gepflegt wird nur, was nicht anders geht – also Prozesse, Verantwortlichkeiten, Sonderlösungen. Diese Aufteilung entscheidet darüber, ob die Dokumentation in einem halben Jahr noch stimmt.

Welche Informationen gehören in die IT-System-Dokumentation?

Eine prüfungsfähige Dokumentation deckt vier Bereiche ab. Die Liste orientiert sich am IDW Prüfungshinweis zur IT-Systemprüfung (Nachfolger des IDW PS 330) und an § 30 BSIG-neu:

• IT-Umfeld und Organisation: IT-Strategie, Organigramme, Verantwortlichkeiten, Sicherheitsleitlinien
• IT-Infrastruktur: Hardware, Betriebssysteme, Netzwerke, Standorte, Verkabelung, Lizenzen
• IT-Anwendungen: Software-Inventar, Datenbank- und Dateiorganisation, Schnittstellen, Eigenentwicklungen
• IT-Geschäftsprozesse: Datenflussdiagramme, Anbindung an Buchhaltungssysteme, Sicherheitskonzepte (Firewalls, Zugriffskontrollen, Datensicherung)

Bei einer Revision werden diese Bereiche stichprobenartig geprüft. Wer die Daten nicht binnen Stunden zusammenstellen kann, hat ein Problem – nicht erst im Bußgeldbescheid, sondern bereits in der laufenden Prüfungskommunikation. Auditoren bewerten auch die Reaktionszeit – nicht nur den Inhalt.

Häufige Fehler bei der IT-Dokumentation

Aus Gesprächen mit IT-Verantwortlichen tauchen immer dieselben Anti-Muster auf:

• Excel-Friedhof: Listen, die niemand mehr pflegt, weil unklar ist, welche Version aktuell ist
• Tribal Knowledge: Wissen sitzt im Kopf von ein bis zwei Schlüsselpersonen, nicht im System
• Visio ohne Versionierung: Netzwerkpläne werden lokal bearbeitet, in Mail-Threads verteilt und nie konsolidiert
• Berechtigungs-Wildwuchs: Niemand weiß, wer warum Zugriff auf was hat – oft der Hauptbefund bei Berechtigungsanalysen
• Dokumentations-Inseln: Jede Abteilung pflegt eigene Listen, ein konsolidierter Blick existiert nicht

Diese Fehler haben einen gemeinsamen Kern: Sie entstehen nicht aus Unwissen, sondern aus Zeitmangel. Niemand will eine schlechte Dokumentation. Aber zwischen Ticket-Stapel und Roll-out bleibt sie liegen. In über zehn Jahren Beratungspraxis hat sich ein Muster gezeigt: Das Tool ist selten das Problem – die fehlende Methodik schon. Wer ohne klares Vorgehen startet, bekommt mit Software nur eine schnellere Variante derselben Excel-Probleme.

Was hat sich 2026 für die IT-Dokumentation geändert?

2026 ist regulatorisch das Jahr der harten Fakten. Vier Termine markieren die neue Realität:

• 6. Dezember 2025: NIS-2-Umsetzungsgesetz tritt in Kraft – ohne Übergangsfrist für die Maßnahmenpflichten
• 6. Januar 2026: BSI-Portal für Registrierung und Vorfallsmeldung freigeschaltet
• 6. März 2026: Ablauf der dreimonatigen Registrierungsfrist – nur 11.500 von geschätzt 29.500 betroffenen Einrichtungen waren rechtzeitig registriert
• Juni 2026: Erste formale NIS-2-Compliance-Audits für besonders wichtige Einrichtungen

Parallel dazu hat die Europäische Kommission am 20. Januar 2026 Anpassungen an der NIS-2-Richtlinie vorgeschlagen. Diese Anpassungen sollen die Umsetzung für rund 28.700 Unternehmen vereinfachen. Darunter sind 6.200 Kleinst- und Kleinunternehmen, die bislang unverhältnismäßig belastet wurden. Die Verhandlungen laufen 2026, die bestehenden Pflichten gelten in der Zwischenzeit weiter.

Für die IT-Dokumentation heißt das: Wer jetzt nicht systematisch aufstellt, was vorhanden ist, kann auch nicht nachweisen, dass es geschützt ist. Und der Nachweis ist seit Dezember 2025 keine Kür mehr, sondern Gesetz.

NIS-2 vertiefen: Welche zehn Pflichtbereiche § 30 BSIG-neu konkret verlangt und wie die Anforderungen sich auf bestehende ISO-27001-Strukturen abbilden lassen, fasst unser Beitrag NIS-2-Richtlinie 2026: Anforderungen, Strafen & Umsetzung zusammen.

Welche Vorteile bringt eine automatisierte IT-Dokumentation?

Wer den Schritt von manueller zu automatisierter Dokumentation geht, sieht in der Praxis vier Effekte:

• Aktualität ohne Aufwand: Zeitgesteuerte Scans halten Bestandsdaten auf Tagesebene aktuell, statt einmal pro Quartal nachzuziehen
• Audit-Bereitschaft in Stunden, nicht Tagen: Compliance-Reports für ISO 27001, NIS-2 oder DSGVO entstehen aus dem Datenbestand heraus, nicht durch händische Recherche
• Notfallplanung mit echten Daten: Ein IT-Notfallhandbuch ist nur so gut wie der Bestand, auf dem es aufsetzt – und aktuelle Inventardaten sind die Voraussetzung
• Entlastung der IT: Die Stunden, die nicht mehr in manuelle Pflege fließen, stehen für die Arbeit zur Verfügung, für die IT-Teams eigentlich da sind

Agentenlose Inventarisierungstools decken Schritt 1 und 4 in einem Durchgang ab – Bestand erfassen und Bestand aktuell halten. Strukturierung und Prozess-Beschreibung bleiben Sache der IT. Auf einer belastbaren Datengrundlage fallen sie aber deutlich leichter. Genau diese Arbeitsteilung trennt eine Dokumentation, die mitwächst, von einer, die hinterherläuft.

Welche Normen prägen die IT-Dokumentation?

Drei Standards bestimmen, was als „prüfungsfähig" gilt:

• ISO/IEC 27001: Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Verlangt nachweisbare Kontrolle über Assets und Risiken.
• BSI IT-Grundschutz: Deutscher Standard, vom BSI gepflegt. Kompatibel zu ISO 27001, mit konkreteren Maßnahmenkatalogen.
• NIS-2 / § 30 BSIG-neu: Seit Dezember 2025 in Deutschland geltendes Recht. Enthält zehn konkrete Risikomanagement-Bereiche, die alle dokumentations- und nachweispflichtig sind.

ISO 27001 deckt nach Einschätzung von Compliance-Beratern rund 65 bis 75 Prozent der NIS-2-Anforderungen ab. Wer bereits zertifiziert ist, hat einen klaren Vorsprung – muss aber Lücken schließen bei BSI-Meldewegen, Geschäftsleitungs-Schulung und MFA-Spezifik.

Wie sieht eine IT-Dokumentation aus, die funktioniert?

Der Zielzustand lässt sich konkret beschreiben. Beim nächsten ISO-Audit liefern Sie die geforderten Daten in 20 Minuten statt in zwei Tagen. Der Prüfer fragt nach Berechtigungsstrukturen, Sie öffnen den Bericht, exportieren ihn als PDF. Keine Excel-Suche, keine Rückfragen an Kollegen, kein Stoßseufzer beim Anblick der Visio-Datei von 2019.

Ein neuer Mitarbeiter kommt am Montag und hat am Mittwoch verstanden, wo welcher Service läuft – nicht weil er es sich erfragt hat, sondern weil die Dokumentation aktuell ist. Wenn der Senior-Admin in den Urlaub geht, ist das eine Personalplanungsfrage, kein Risiko. Die Geschäftsführung weiß, dass die NIS-2-Pflichten erfüllt sind, ohne im Zweifel die Hand für etwas heben zu müssen, was sie nicht überprüfen kann.

Das ist kein Ideal, sondern erreichbar – wenn Bestand, Struktur und Pflege automatisiert ineinandergreifen.