NIS2 Audit: So bereiten Sie sich auf die Prüfung vor

Sie haben die BSI-Registrierung hinter sich, die Betroffenheitsprüfung ist abgeschlossen – und jetzt steht die nächste Frage im Raum: Was passiert, wenn das BSI tatsächlich prüft? Oder wenn ein externer Auditor Ihre NIS2-Nachweise sehen will?

Die Unsicherheit ist nachvollziehbar. Denn das NIS2-Umsetzungsgesetz nennt zwar zehn Maßnahmenbereiche, aber es sagt Ihnen nicht, welche konkreten Dokumente auf dem Tisch liegen müssen, wenn der Auditor klingelt. Genau das klären wir in diesem Artikel: Was wird geprüft, welche Nachweise erwartet ein Prüfer – und wie bereiten Sie sich so vor, dass die Prüfung kein Stresstest wird, sondern eine Bestätigung Ihrer Arbeit.

Was genau ist ein NIS2 Audit – und welche Formen gibt es?

Ein NIS2 Audit ist die formale Überprüfung, ob Ihr Unternehmen die Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) umsetzt, dokumentiert und wirksam betreibt. Es geht also nicht nur um das Vorhandensein von Sicherheitsmaßnahmen – sondern um deren Nachweisbarkeit und Wirksamkeit.

In der Praxis begegnen Ihnen drei Audit-Formen:

• Internes Audit: Ihr eigenes Team prüft die Umsetzung der NIS2-Anforderungen. Ideal als regelmäßiger Selbst-Check und zur Vorbereitung auf externe Prüfungen.
• Behördliches Audit: Das BSI kann bei besonders wichtigen Einrichtungen jederzeit Audits anordnen und Tiefenprüfungen durchführen – nach §61 BSIG sogar ohne konkreten Anlass.
• Audit durch Dritte: Unabhängige Prüfgesellschaften oder Auditoren führen eine Compliance-Prüfung durch – häufig im Rahmen einer ISO-27001-Zertifizierung oder als dediziertes NIS2-Assessment.

Besonders wichtige Einrichtungen – also Unternehmen mit 250+ Mitarbeitenden in kritischen Sektoren – müssen dem BSI innerhalb von vier Jahren nach Inkrafttreten die Umsetzung der Maßnahmen nachweisen. Für alle anderen gilt: Das BSI kann Nachweise jederzeit verlangen.

Was hat sich 2025/2026 beim NIS2 Audit geändert?

Die regulatorische Landschaft hat sich seit Ende 2025 grundlegend verschoben. Der wichtigste Meilenstein: Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 geltendes Recht – nach über einem Jahr Verzögerung gegenüber der EU-Frist.

Was das für Ihre Audit-Vorbereitung bedeutet:

• Keine Übergangsfrist: Die Pflichten aus §30 BSIG gelten ab dem Tag des Inkrafttretens. Unternehmen müssen die Umsetzung begonnen haben und bei einem Vorfall meldepflichtig sein.
• BSI-Registrierung abgeschlossen: Die dreimonatige Registrierungsfrist über das BSI-Portal MUK lief am 6. März 2026 ab. Wer noch nicht registriert ist, befindet sich in einer Compliance-Lücke.
• Rund 30.000 Unternehmen betroffen: Der Anwendungsbereich wurde von ehemals 4.500 KRITIS-Betreibern auf über 30.000 Einrichtungen in 18 Sektoren ausgeweitet.
• Bußgelder bis 10 Millionen Euro: §65 NIS2UmsuCG sieht Geldbußen von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor – plus die persönliche Haftung der Geschäftsführung nach §38.

Die Konsequenz: Wer bislang keine Gap-Analyse durchgeführt hat, befindet sich faktisch bereits in einer Compliance-Lücke. Das BSI hat angekündigt, Unternehmen zu priorisieren, die weder registriert sind noch erkennbare Maßnahmen ergriffen haben. Einen strukturierten Einstieg in die Gap-Analyse bietet das kostenlose NIS2 Framework von Docusnap – ein Excel-basierter Kontrollkatalog mit integrierter Reifegrad-Bewertung.

Welche Bereiche werden im NIS2 Audit geprüft?

Das Audit orientiert sich an den zehn Maßnahmenbereichen aus §30 BSIG. Für jeden Bereich gilt: Der Auditor will nicht nur hören, dass etwas existiert – er will es sehen, nachvollziehen und bewerten können.

Was prüft der Auditor bei der Risikoanalyse?

Der Prüfer erwartet eine dokumentierte, aktuelle Risikoanalyse. Dazu gehören die Identifikation kritischer Assets, eine Bedrohungs- und Schwachstellenbewertung sowie abgeleitete Maßnahmen mit klarer Priorisierung. Eine Risikoanalyse von 2023 reicht nicht – sie muss regelmäßig aktualisiert und von der Geschäftsleitung freigegeben sein.

Typische Auditor-Frage: „Hat die Geschäftsführung die Ergebnisse der Risikoanalyse formell zur Kenntnis genommen und die daraus abgeleiteten Maßnahmen gebilligt?" Wer hier kein datiertes Protokoll vorlegen kann, hat ein Problem.

Wie wird das Vorfallmanagement geprüft?

Der Auditor will wissen, ob ein Incident-Response-Plan existiert und ob die Meldewege klar definiert sind. Die NIS2-Meldepflichten sind konkret: 24 Stunden für die Frühwarnung, 72 Stunden für die detaillierte Meldung, ein Monat für den Abschlussbericht. Die Frage ist nicht, ob ein Plan auf dem Papier steht – sondern ob Ihr Team die 24-Stunden-Frist auch an einem Freitagabend einhalten kann.

Empfehlung: Führen Sie mindestens einmal jährlich eine Tabletop-Übung durch, bei der Sie einen Sicherheitsvorfall simulieren und den Meldeprozess durchspielen. Die dokumentierte Auswertung dieser Übung ist ein starker Nachweis im Audit.

Was erwartet der Auditor bei Betriebskontinuität und Krisenmanagement?

Notfall- und Wiederanlaufpläne müssen vorhanden, aktuell und getestet sein. „Getestet" bedeutet konkret: Es gibt ein dokumentiertes Datum der letzten Übung, eine Auswertung der Ergebnisse und – falls Mängel aufgetreten sind – einen Maßnahmenplan zur Behebung. Ein Notfallplan, der seit drei Jahren unverändert in einem Ordner liegt, überzeugt keinen Prüfer.

Wie wird die Lieferkettensicherheit auditiert?

Dieser Bereich wird häufig unterschätzt – und führt regelmäßig zu den größten Überraschungen im Audit. Der Auditor fragt nach Lieferantenbewertungen, vertraglichen Sicherheitsklauseln und einem Prozess zur regelmäßigen Überprüfung. Bei einem mittelständischen Unternehmen können 50 bis 200 Lieferanten mit Systemzugang relevant sein.

Der Aufwand ist nicht zu unterschätzen: Für jeden kritischen Lieferanten brauchen Sie einen Sicherheitsfragebogen, vertragliche Anpassungen (Meldepflichten, Audit-Rechte) und eine dokumentierte Bewertung. Planen Sie mindestens drei Monate für den Aufbau des Prozesses ein und starten Sie mit den zehn kritischsten Lieferanten.

Welche weiteren Bereiche gehören zur Prüfung?

Die zehn Maßnahmenbereiche umfassen darüber hinaus: Sicherheit bei Beschaffung und Entwicklung von IT-Systemen, Zugriffskontrollen und Identitätsmanagement, Kryptografie und Verschlüsselung, Schulungs- und Awareness-Programme, Sicherheit des Personals sowie die regelmäßige Bewertung der Wirksamkeit aller Maßnahmen.

Besonders bei Schulungsnachweisen gilt: Eine einzige jährliche Schulung erfüllt nicht die Anforderung an „regelmäßige" Trainings. Auditoren erwarten ein kontinuierliches Programm – idealerweise monatliche Micro-Lerneinheiten, ergänzt durch Phishing-Simulationen und dokumentierte Teilnahmenachweise.

Für jeden dieser Bereiche gilt derselbe Grundsatz: Maßnahme implementiert + dokumentiert + Wirksamkeit nachgewiesen = auditfest.

Welche Nachweise erwartet ein Auditor konkret?

Die häufigste Lücke in der Audit-Vorbereitung ist nicht das Fehlen von Maßnahmen – sondern das Fehlen von Nachweisen. Typische Fragen, die ein Auditor stellt, und die Dokumente, die auf dem Tisch liegen sollten:

• „Wurde die Cybersicherheits-Policy von der Geschäftsführung genehmigt?" → Datiertes, unterzeichnetes Richtliniendokument (z. B. Informationssicherheitsleitlinie)
• „Hat die Geschäftsleitung die Risikoanalyse formell zur Kenntnis genommen?" → Protokoll einer Management-Sitzung mit expliziter Genehmigung der Risikobehandlungspläne
• „Wie stellen Sie sicher, dass Sicherheitsmaßnahmen wirksam sind?" → Management-Review-Protokolle, Ergebnisse interner Audits, Auswertungen von Sicherheitsvorfällen
• „Wie wird die Lieferkettensicherheit überwacht?" → Lieferantenbewertungen, Audit-Berichte von Dienstleistern, vertragliche Sicherheitsklauseln

Der rote Faden: Jede Maßnahme braucht ein Dokument, jedes Dokument braucht ein Datum, und jede Entscheidung braucht ein Protokoll. Wer diese Kette lückenlos aufbauen kann, besteht das Audit.

Wie bereiten Sie sich strukturiert auf das NIS2 Audit vor?

Die Audit-Vorbereitung lässt sich in vier Phasen gliedern. Planen Sie – je nach Ausgangslage – drei bis sechs Monate ein.

Wo stehen Sie heute? Standortbestimmung (Woche 1–4)

Beginnen Sie mit einer Gap-Analyse: Vergleichen Sie die zehn Maßnahmenbereiche aus §30 BSIG mit Ihrem IST-Zustand. Für jeden Bereich dokumentieren Sie, ob die Maßnahme existiert, ob sie dokumentiert ist und ob die Wirksamkeit nachgewiesen werden kann. Das Ergebnis ist eine priorisierte Liste der Lücken.

Parallel dazu: Inventarisieren Sie Ihre IT-Infrastruktur vollständig. Ohne ein aktuelles Inventar aller Systeme, Netzwerke, Anwendungen und Berechtigungen fehlt die Grundlage für jede weitere Maßnahme. Agentenlose Inventarisierungstools wie Docusnap machen diesen Schritt in wenigen Stunden möglich – statt in Wochen manueller Arbeit.

Welche Maßnahmen haben Priorität? (Woche 5–16)

Arbeiten Sie die priorisierten Lücken ab. Beginnen Sie mit den Bereichen, die bei einem Audit am stärksten ins Gewicht fallen: Risikoanalyse, Vorfallmanagement und Dokumentation. Erst danach folgen Lieferkettensicherheit und Schulungsnachweise.

Wichtig: Dokumentieren Sie nicht erst am Ende, sondern während der Umsetzung. Jede Maßnahme, jede Entscheidung, jede Änderung – zeitnah, datiert, nachvollziehbar.

Warum sollten Sie sich selbst prüfen? (Woche 17–20)

Führen Sie ein internes Audit durch, bevor der externe Prüfer kommt. Lassen Sie idealerweise jemanden prüfen, der nicht an der Umsetzung beteiligt war. Das interne Audit deckt Lücken auf, die im Tagesgeschäft untergehen.

Was kommt nach dem Audit? (fortlaufend)

Ein Audit ist kein einmaliger Check, sondern der Startpunkt eines kontinuierlichen Prozesses. Die Erkenntnisse fließen zurück in die Risikoanalyse, die Maßnahmenplanung und die Dokumentation.

Welche Rolle spielt die IT-Dokumentation im Audit?

Wenn es einen Bereich gibt, der im NIS2 Audit über Bestehen oder Nicht-Bestehen entscheidet, dann ist es die Dokumentation. Denn ohne Nachweis keine Compliance – egal wie gut Ihre Maßnahmen in der Praxis funktionieren.

Was eine auditkonforme IT-Dokumentation leisten muss:

• Vollständiges Inventar aller IT-Assets, Netzwerkkomponenten und Abhängigkeiten
• Aktuelle Berechtigungsübersichten – wer hat Zugriff auf welche Systeme?
• Nachvollziehbare Änderungshistorie: Was wurde wann geändert?
• Exportierbare Berichte für die Vorlage im Audit

Genau hier setzt eine automatisierte Lösung wie Docusnap als NIS2-Software an: Sie erfasst IT-Systeme, Berechtigungen und Netzwerkstrukturen automatisch, versioniert Änderungen und stellt auditfähige Berichte auf Knopfdruck bereit. Das spart nicht nur Zeit – es eliminiert die typischen Dokumentationslücken, die Auditoren am häufigsten beanstanden.

‍

FAQ: Häufig gestellte Fragen zum NIS2 Audit

Gibt es eine offizielle NIS2-Zertifizierung?

Nein, aktuell existiert keine dedizierte NIS2-Zertifizierung. Das EU-Cybersicherheitspaket für 2026 sieht allerdings zertifizierungsbasierte Compliance-Wege vor. Eine ISO-27001-Zertifizierung deckt bereits rund 70 % der NIS2-Anforderungen ab und wird von Auditoren als solide Grundlage anerkannt.

Wie oft muss ein NIS2 Audit durchgeführt werden?

Das NIS2UmsuCG schreibt keine feste Audit-Frequenz vor. Besonders wichtige Einrichtungen müssen dem BSI innerhalb von vier Jahren die Umsetzung nachweisen. Das BSI kann darüber hinaus jederzeit Audits anordnen. Empfehlung: Führen Sie mindestens jährlich ein internes Audit durch, um dauerhaft auditbereit zu bleiben.

Was passiert, wenn mein Unternehmen das Audit nicht besteht?

Bei festgestellten Mängeln setzt das BSI Fristen zur Nachbesserung. Bei schwerwiegenden Verstößen drohen Bußgelder nach §65 NIS2UmsuCG von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zusätzlich kann die Geschäftsführung nach §38 persönlich haftbar gemacht werden.

Welchen Unterschied gibt es zwischen NIS2 Audit und ISO-27001-Audit?

Ein ISO-27001-Audit prüft die Konformität mit einem internationalen Standard für Informationssicherheits-Managementsysteme (ISMS). Ein NIS2 Audit prüft die Einhaltung gesetzlicher Pflichten aus dem NIS2UmsuCG. Die Überschneidung ist groß – wer ein ISMS nach ISO 27001 betreibt, hat bereits eine solide Basis für die NIS2-Compliance. Die NIS2-spezifischen Meldepflichten und die Geschäftsführerhaftung gehen jedoch über ISO 27001 hinaus.

Weiterführende Artikel:

• https://www.docusnap.com/it-dokumentation/nis-2-richtlinie-umsetzung-deutschland
• https://www.docusnap.com/it-dokumentation/nis2-wer-ist-betroffen
• https://www.docusnap.com/it-dokumentation/nis2-compliance