Wie gestaltet Artikel 2 von NIS 2 die Compliance-Landkarte für Ihr Unternehmen neu?
Artikel 2 der EU-Durchführungsverordnung 2024-2690 zieht eine klare Grenze zwischen Wunschkonformität und betrieblicher Realität. Das neue Regime verlangt von jeder Organisation, ob groß oder klein, eine kontinuierliche, faktenbasierte Bewertung, ob sie in den Geltungsbereich von NIS 2 fällt. Dabei handelt es sich nicht um eine einmalige Übung zum Abhaken von Kästchen. Die Regulierungsbehörden erwarten nun von Ihnen, dass Sie eine rigorose Selbstanalyse durchführen und aktualisieren: Sie müssen Ihre genauen Geschäftsaktivitäten, Ihre Rechtsform und Ihre Lieferkettenrollen den in den Anhängen von NIS 2 beschriebenen und durch lokale Gesetze präzisierten Sektorberechtigungen zuordnen. Die Selbstanalyse muss dokumentiert und aktuell sein und sowohl internen Audits als auch regulatorischen Herausforderungen standhalten. Sich auf den Status quo oder Ihr Bauchgefühl zu verlassen, ist ein klarer Weg, Compliance-Angriffe zu riskieren.
Sogar Randlieferanten und kleinere Teams können über Nacht in den Prozess einbezogen werden, wenn sich die Art Ihrer Betriebsabläufe oder Verträge unerwartet ändert.
Operativ bedeutet dies den Übergang von Patchwork Gefahrenregisters zu einer Living Scope-Datei – einer Datei, die Ihre juristischen Personen, deren Aktivitäten, Ihre Mitarbeiterzahl und Finanzen (insbesondere für den KMU-/Mikro-Status) sowie ein aktuelles Register der Verträge und Lieferkettenrollen auflistet. Für föderierte Gruppen und Holdinggesellschaften wird dieser Prozess kritisch: Der Nachweis des Status aller Tochtergesellschaften, Akquisitionen und Joint Ventures ist mittlerweile eine wiederkehrende Vorstandspflicht (ENISA-Branchenrichtlinien). Buchungsprotokolle müssen versioniert und detailliert sein. Die Aufsichtsbehörden und Ihre Kunden erwarten nichts weniger als eine sichtbare und vertretbare Einhaltung der Vorschriften.
Warum „Out of Scope“ nie in Stein gemeißelt ist
Artikel 2 von NIS 2 verändert die Rahmenbedingungen nach Oktober 2024. Der Geltungsbereich ist nun dynamisch, nicht statisch. Nationale Behörden aktualisieren Anhänge, Branchencodes und Schwellenwerte jährlich – manchmal sogar schneller, wenn neue Risiken auftreten. Ein Unternehmen, das im letzten Jahr nicht im Geltungsbereich lag, kann aufgrund eines Umsatzanstiegs, einer Fusion oder eines Vertrags mit einem kritischen Sektor neu aufgenommen werden. Es gibt keine sichere Bestandsschutzregelung – der maßgebliche Status ist immer die neueste offizielle Zuordnung und Ihre aktuelle Nachweisdatei. Compliance-Teams müssen Routinen entwickeln, um diese Änderungen zu überprüfen, den Unternehmensstatus zu aktualisieren und Sanierungsschritte nahezu in Echtzeit zu protokollieren.
Vorstände und Governance-Leiter sind für die Überwachung von Scope-Triggern – Akquisitionen, Umsatzspitzen, neue Märkte oder wichtige Supply-Chain-Deals – verantwortlich. Artikel 2 ermächtigt Regulierungsbehörden ausdrücklich, den KMU- oder Mikrostatus außer Kraft zu setzen und zuvor ausgenommene Unternehmen einzubeziehen, wenn systemische Risiken festgestellt werden oder kritische Wertschöpfungsketten unterstützt werden (OneTrust NIS2-Analyse). Langsame oder ungenaue Aktualisierungen werden als aktive Compliance-Verstöße behandelt – Unwissenheit schützt nicht vor Strafe.
KontaktWelche Auslöser führen dazu, dass meine Organisation in den Geltungsbereich von NIS 2 fällt?
Eine schier endlose Palette an Szenarien kann Ihr Unternehmen unter den Schutz von Artikel 2 bringen. Hat Ihr Unternehmen einen neuen Cloud-Dienst eingeführt, einen Regierungsauftrag unterzeichnet, einen hochkritischen Lieferanten übernommen oder ist es über die Mitarbeiterzahl oder den Umsatz eines KMU hinausgewachsen? Jedes dieser Szenarien ist ein bekannter „Scope Trigger“. Wann immer eines dieser Szenarien eintritt, ist eine sofortige und dokumentierte Neuzuordnung erforderlich – Verzögerungen sind ein Risiko.
Hier ist eine praktische Anleitung:
- Änderung der Lieferkette: Wenn Sie einen mehrjährigen Vertrag mit einem Betreiber kritischer Infrastrukturen abschließen, können Sie – selbst als „kleiner“ IT-Anbieter – sofort in den Geltungsbereich fallen.
- Organisatorische Umstrukturierung: Fusionen, Ausgliederungen oder der Kauf neuer Tochtergesellschaften erfordern eine sofortige Abbildung der Geschäftsbereiche, Vermögenswerte und Rechtsformen.
- Markterweiterung: Der Eintritt in einen neuen EU-Rechtsraum, insbesondere wenn die Mitgliedstaaten NIS 2 „vergoldet“ haben, kann dazu führen, dass Ihr Unternehmen (oder eine Geschäftseinheit) über Nacht in den Geltungsbereich gerät.
- Größenschwellenbewegung: Bei einer – auch nur vorübergehenden – Überschreitung von Mitarbeiter-, Umsatz- oder Bilanzgrenzen ist eine vierteljährliche Nachweisprüfung hinsichtlich des KMU-Status erforderlich.
Das Unterlassen einer jährlichen Neukartierung wird von den Aufsichtsbehörden mittlerweile als falsche Erklärung betrachtet – ein aktiver Verstoß gegen die Vorschriften.
Jeder Auslöser sollte zu einer aktualisierten Zuordnung, einer Benachrichtigung des Vorstands, einer Aktualisierung der Behördenregistrierung und einer Aktualisierung des Beweispakets führen. Diese Kette muss für jeden Prüfzyklus klar, schnell und vertretbar sein.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Warum sich Borderline-Entitäten ein „Abwarten“ nicht leisten können: Entmystifizierung der Entitätstypen von NIS 2
Kein Unternehmen ist vor einer Überprüfung gefeit, nur weil es sich als KMU oder Backoffice-Anbieter betrachtet. NIS 2 führt detaillierte Listen der Anhänge I (kritische Sektoren) und II (wichtige Sektoren) ein, die die Mitgliedstaaten nach eigenem Ermessen erweitern können. Lokale Regulierungsbehörden können Schwellenwerte senken, Servicekategorien für Randfälle hinzufügen oder unterstützende Technologie-/Geschäftseinheiten einbeziehen, wenn diese wichtige Funktionen betreffen (SimontBraun NIS2 Thresholds Update). Nationale Meldungen, Ausnahmebegründungen und Rechtsträgerdiagramme sind nicht länger optional – sie sind wesentliche Voraussetzungen für die Verteidigung.
Randfälle – Konzerne, multinationale Unternehmen, Verbände – müssen detaillierte und aktuelle Beweispakete vorhalten, die nicht nur Unternehmensstammbäume, sondern auch die Sektorcodelogik, jede registrierte juristische Person und explizite Ausschluss-/Einschlussentscheidungen abbilden, wie sie in den Aufzeichnungen der Managementprüfung dokumentiert sind.
- „Compliance ist ein lebendiger Zustand, kein einmaliges Abzeichen. Jede Richtlinie, jeder Vertrag und jede Geschäftsänderung kann Ihren Regulierungsrahmen bis zur Frist des nächsten Quartals verschieben.“
Stehen nationale Gesetze oder sich überschneidende Regelungen über Artikel 2 des NIS 2?
Ihre Compliance-Grenzen werden nicht nur durch NIS 2 selbst festgelegt. Nationale „Goldplating“- und verwandte Regelungen (DORA, Datenschutz, oder maßgeschneiderte Branchenvorschriften) erweitern häufig den Geltungsbereich der Verordnung oder regeln ihn sogar rückwirkend. Wenn Sie sich ausschließlich auf den Text der EU-Verordnung verlassen und Aktualisierungen der lokalen Behörden ignorieren, gehen Sie ein großes Betriebsrisiko ein.
Irland beispielsweise Nationales Cybersicherheitszentrum Sie können Ihr Unternehmen aufgrund Ihrer Rolle bei der Unterstützung der nationalen Infrastruktur rückwirkend als „im Geltungsbereich“ deklarieren, unabhängig von Ihrem Status bei Vertragsunterzeichnung (NCSC IE FAQ). Deutschland hat seine Sektorliste im Jahr 2024 erweitert und damit Technologieanbieter überrascht. Die Regulierungsbehörden erwarten von Ihnen, dass Sie jede relevante Änderung überwachen und dokumentieren. Andernfalls wird ein Compliance-Verstoß geahndet.
- Verwenden Sie immer die strengste anwendbare Regel - Überschneidungen sind häufig und Compliance-Fehlers in einem Regime (z. B. DSGVO-Datensicherheit) können sich auf NIS 2-Audits auswirken.
Eine ausgereifte Compliance-Operation sorgt für eine lebendige Entitätsregister: Abbildung aller Konzerneinheiten, zuständigen Behörden, Registrierungsereignisse und Supportdateien mit zeitnahen Aktualisierungen. Die zeitnahe Einreichung von Anträgen auf Ausnahmen oder Statusänderungen signalisiert Compliance-Reife und verschafft Ihnen Vertrauen bei Audits.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Welche Beweisdateien sollte ich bei einer Prüfung gemäß NIS 2 Artikel 2 bereithalten?
Prüfer akzeptieren keine vagen Behauptungen zur „Konformität“ mehr. Sie benötigen konkrete, aktuelle Nachweise – Geschäftsmapping, versionierte Dokumente und Freigabeprotokolle, die direkt zeigen, wie jeder Auslöser (Akquisition, Partnerschaft, Einbindung neuer Sektoren) zu einer Neubewertung des Umfangs und einer Aktualisierung des Registers geführt hat.
Praktischer Weg: Vom regulatorischen Auslöser zum Audit-Bestehen
1. Bilden Sie alle Geschäftseinheiten und Lieferkettenknoten ab zu den NIS 2-Anhängen und Sektor-/NACE-Codes- Stellen Sie sicher, dass jede Zuordnung durch Beweise gestützt wird.
2. Aktualisieren Sie nach jedem wichtigen Ereignis (F&A, neuer Vertrag, Umstrukturierung) die Zuordnung und die Nachweise sofort-keine Verzögerungen.
3. Führen Sie eine Vorregistrierung oder eine Statusaktualisierung in relevanten nationalen/Compliance-Registern durch.
4. Führen Sie Probeprüfungen durch und stellen Sie sicher, dass die Nachweisdateien aktuell, vom Vorstand genehmigt und versionskontrolliert sind.
5. Alle Aktualisierungen sollten protokolliert und vom Vorstand genehmigt werden.
6. Reagieren Sie sofort auf Auditanfragen mit aktuellen, indizierten Nachweisen.
ISO 27001 Brückentabelle: Zuordnung der Erwartungen zu Betrieb und Kontrolle
| Erwartung | Operationalisierung | ISO 27001 / Anhang A Referenz |
|---|---|---|
| Präzise und zeitnahe Geschäftskartierung | Ordnen Sie Sektoren/Einheiten den NIS 2-Anhängen und Organigrammen zu | Klausel 4, A.5.9 (Vermögensinventar), A.5.2 (Rollen) |
| Evidenzbasierter Geltungsbereichsstatus | Versioniertes Beweispaket; Registrierungsprotokolle | Abschnitt 6.1.2 (Risikobewertung), A.5.36 |
| Vom Vorstand geprüfter und genehmigter Status | Vierteljährliche/ereignisgesteuerte Vorstandsüberprüfung | Klausel 9.3 (Managementüberprüfung), A.5.4 (Management-Response) |
| Dokumentierte Ausnahmebegründung | Detaillierte Begründung für KMU/Kleinstunternehmen usw. | Abschnitt 4.2, A.5.36 (Konformität) |
| Sofortige Reaktion auf Audits | Verknüpfte Nachweise und Register für Nachweise auf Abruf | A.5.35 (Unabhängige Überprüfung), A.5.36, A.5.31 (Rechtliches) |
Diese Referenzen wandeln abstrakte Compliance-Anforderungen in umsetzbare, überprüfbare Routinen um, die den Kreis zwischen regulatorischem Text und alltäglichem Betrieb schließen.
Wer ist für die Erfassung von Umfang und Beweismitteln verantwortlich? Was fördert tatsächlich eine zuverlässige Compliance?
Die Zuweisung von Verantwortung ist nicht bürokratisch – ohne sie scheitert die Compliance bei Audits. Jede juristische Person, Geschäftseinheit oder Landesniederlassung sollte einen benannten „Scope Owner“ haben. Die Verantwortung sollte dokumentiert, regelmäßig überprüft und bei Rollenwechseln (Bestimmung von Stellvertretern) beständig sein. Vorlagen für Mapping, Registrierung und Nachweisdateien sollten mindestens jährlich und nach allen wichtigen Geschäftsereignissen aktualisiert werden.
Living Board Packs mit versionierten Registrierungsprotokollen und Umfangsaktualisierungsverläufen sind nach NIS 2 Artikel 2 zur Standardanforderung bei Audits geworden – und nicht zur Ausnahme.
Vierteljährliche oder anlassbezogene Überprüfungen müssen in die Governance-Routinen integriert werden und dürfen nicht nur als jährliche Notfallübung dienen. Die Zentralisierung der Entity-Mapping- und Beweismittelkontrolle verkürzt den Audit-Zeitraum, eliminiert das Risiko von Panik in letzter Minute und signalisiert operative Reife (ENISA NIS2-Leitlinien). Gruppen-Compliance-Audits zeigen immer wieder, dass diszipliniertes, automatisiertes Mapping informellen, fragmentierten Praktiken deutlich überlegen ist.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Wie kann mich die Live-Rückverfolgbarkeit schützen, wenn Audits oder Aufsichtsbehörden anrufen? (Aktionstabelle)
In einer Welt, in der Auditanfragen unangekündigt eintreffen und Fusionen, Übernahmen und Änderungen in der Lieferkette die Compliance beeinträchtigen, ist Rückverfolgbarkeit Ihre Lebensader. Jeder wichtige Auslöser muss eine verknüpfte Kette speisen: Risikobewertung, aktualisierte Kontrollen (SoA) und neue Beweise.
Beispiel einer Rückverfolgbarkeitsaktionstabelle
| Auslösendes Ereignis | Risiko-Update | Steuerung / SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Lieferantenvertrag unterzeichnet | Bewertung der Kritikalität/des Risikos des Lieferanten | Anlage I / A.5.19 | Lieferantenbericht, Vertragsabbildung |
| Unternehmensumstrukturierung | Organigramme/Entitätszuordnungen überprüfen | Anhang II / A.5.2 | Organigramme, Vorstandsprotokolle, Registrierungsaktualisierung |
| Start im neuen EU-Markt | Aktualisieren Sie den Geltungsbereichsstatus für das Land | National/Anhang II / A.5.36 | Nationales Gesetzesmemo, Registeraktualisierung, Behördenmitteilung |
| Neue Geschäftseinheit erwerben | Vermögenswerte/Risiken für die Akquisition abbilden | Anhang I/II / A.5.9 | Due-Diligence-Prüfung, Aktualisierung des Anlagenprotokolls |
| Befreiungsantrag eingereicht | Rechtliche Begründung einreichen, Genehmigung durch den Vorstand | Artikel 2 / A.5.36 | Rechtsnotiz, Statusnotizen, unterzeichneter Vorstandsbeschluss |
Wenn Protokolle und Nachweise digital vorliegen und automatisch mit den jeweiligen Ereignissen verknüpft werden, können Sie Ihre Argumentation „zeigen, statt sie zu erzählen“. Vorstand und Rechtsabteilung können sofort auf Prüfer reagieren – und so von Panik zu Resilienz gelangen.
Von Experten geprüfte Studien und Umfragen bei Regulierungsbehörden zeigen immer wieder, dass digital verwaltete, versionierte Beweisketten Halbieren Sie die Untersuchungsverzögerungen und reduzieren Sie die behördliche Haftung (Shoosmiths – NIS2).
Warum ISMS.online Ihr bestes Werkzeug für das Artikel-2-Umfangsmanagement ist
ISMS.online ermöglicht Ihrem Team, die strengsten Anforderungen von Artikel 2 umzusetzen, ohne sich zu verausgaben oder die Compliance „per Tabellenkalkulation“ abzuwickeln. Unsere Plattform ermöglicht die Echtzeit-Abbildung Ihrer Einheiten, Aktivitäten und Lieferkettenrollen und verbindet jedes Update mit einem Lebende Beweise Paket und Dashboard, das jederzeit auditbereit ist. Ihr Vorstand und Ihr Compliance-Team sehen die neuesten Registrierungsereignisse, Zuordnungsentscheidungen und versionierten Begründungsdateien – alles in einem einheitlichen System (ISMS.online, ENISA NIS2).
Mit ISMS.online wird die Nervosität hinsichtlich der Änderung des Umfangs zu einem sichtbaren Hebel für Reputation, Bereitschaft und Belastbarkeit.
Bereit für unerwartete Auftragsgewinne, Fusionen oder regulatorische Kontrollen? Unsere Tools automatisieren die Aktualisierung und Verknüpfung von Mapping, Registern und Nachweisen und helfen Ihnen so, Goldplating, nationale Gesetze oder DORA/DSGVO-Überschneidungen zu vermeiden. Mit Live-Dashboards und auditfähigen Dateipaketen sind Sie selbst mit der komplexesten Konzernstruktur EU-Behörden und Geschäftspartnern immer einen Schritt voraus.
Beim konformen Umfangsmanagement geht es nicht nur um rechtliche Absicherung – es ist Ihr Schlüssel zu betrieblichem Vertrauen, Kundenstabilität und Vertrauen in die Geschäftsführung. Machen Sie den Umfang zu einer Quelle des Vorteils. ISMS.online gibt Ihnen Sicherheit, nicht nur Konformität.
Häufig gestellte Fragen (FAQ)
Wer fällt wirklich unter NIS 2 Artikel 2 und wie können Sie die Einbeziehung bzw. Ausnahme Ihres Unternehmens genau nachweisen?
NIS 2 Artikel 2 bringt jede Organisation in der EU/EWR mit 50+ Mitarbeiter oder 10+ Millionen Euro Jahresumsatz in den Geltungsbereich, wenn es Kernaktivitäten in „wesentlichen“ Bereichen (Anhang I: Energie, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Dienste usw.) oder „wichtige“ (Anhang II: Lebensmittel, Post, Digitales, Fertigung, Forschung) Sektoren. Entscheidend ist, digitale Infrastruktur Anbieter - einschließlich Cloud, DNS und Vertrauensdienste – können unabhängig von der Größe integriert werden wenn deren Ausfallzeiten oder Sicherheitsverletzungen Märkte, Sicherheit oder den Staat schädigen könnten. Ausnahmen sind selten: Nur Kleinst-/Kleinunternehmen außerhalb dieser systemkritischen Aktivitäten können eine Ausnahme beanspruchen, und nur, wenn dies durch dokumentierte Nachweise belegt ist – niemals durch Vermutung. Wenn Sie Teil eines internationalen Konzerns sind, kritische Dienstleistungen erbringen oder an Sektorschnittstellen tätig sind, gehen Sie davon aus, dass Sie zum Geltungsbereich gehören, bis eine andere Zuordnung erfolgt. Beginnen Sie mit der Erfassung von Mitarbeiterzahl und Umsatz (der letzten 12 Monate, Unternehmen für Unternehmen), Sektorcodes (Link zu den Anhängen) und überprüfen Sie die Lieferanten-/Lieferantenpositionen. Aktualisieren Sie dieses Register bei jeder wichtigen Änderung und bewahren Sie alle Nachweise zur Verteidigung gegen Audits auf.
Angenommen, ein Ausschluss ohne strenge Zuordnung ist ein regulatorisches Schlamassel – hier lösen Lücken intensive Prüfungen und Kontrollen bei der Durchsetzung aus.
Schritte zur Einschluss-/Ausschlusszuordnung
- EU-Präsenz bestätigen (Registrierung, Niederlassung, Service).
- Verfolgen Sie die Mitarbeiterzahl und den Jahresumsatz für jede Einheit.
- Ordnen Sie Geschäftsaktivitäten mithilfe von NACE-Codes und ENISA-Leitfäden den Anhängen I/II zu.
- Bewerten Sie, ob Sie als „kritischer Lieferant“ oder Managed Service Provider agieren.
- Erfassen Sie die Verbindungen zwischen Muttergesellschaft, Tochtergesellschaft und Lieferkette. Diese erhöhen das Risiko einer konzernweiten Einbeziehung.
- Achten Sie auf nationale „Goldplating“-Maßnahmen oder sektorale Überlagerungen, die den Umfang erweitern.
- Speichern Sie für jede Aufnahme und jede ausdrückliche Ausnahme eine Begründung auf Vorstandsebene.
Wie verändern nationale Goldplating-Regelungen, DORA und andere sektorale Vorschriften den Geltungsbereich Ihres Artikels 2?
Während NIS 2 Mindestanforderungen der EU festlegt, jedes Land kann das Regelwerk erweitern oder neu interpretieren durch sektorale Einschlüsse oder Ausschlüsse. Beispielsweise kann ein Land Forschungseinrichtungen oder wichtige öffentliche Einrichtungen explizit hinzufügen, während andere davon ausgenommen sind. Sektorale Überlagerungen – wie DORA (Finanzen/IKT) oder Gesundheits-/Energievorschriften – können NIS 2 außer Kraft setzen oder ergänzen. Die Standardhierarchie: ob DORA das IKT-Risiko „vollständig abdeckt“ Für Banken und Versicherungen gilt DORA; andernfalls gilt NIS 2. Jedes Unternehmen – ob Tochtergesellschaft, Joint Venture oder Niederlassung – muss eine Tabelle mit dem geltenden Recht, der zuständigen Behörde und den Auslösern für Aktualisierungen des Geltungsbereichs führen. Wirtschaftsprüfer erwarten eine aktuelle Compliance-Matrix, keinen veralteten Jahresbericht.
| Szenario | Vorherrschende Regel | Aufsichtsgremium |
|---|---|---|
| Bank mit DORA und NIS 2 | DORA, wenn IKT/Finanzen vollständig abgedeckt sind | EZB/Nationale Finanzaufsichtsbehörde |
| Tochtergesellschaft durch nationales Recht hinzugefügt | Lokal vergoldet NIS 2 | Nationale Cyber-Behörde |
| Cloud-Service, entscheidend für den Markt | NIS 2, unabhängig von der Größe | Nationale/EU-Cyberagentur |
| Grenzüberschreitende Konzerntätigkeit | Es gelten sowohl nationale als auch EU-Overlays | Mehrere Behörden möglich |
Bewährte Vorgehensweise:
- Ordnen Sie den Sektorcode und die Gerichtsbarkeit jeder Entität sowohl den EU- als auch den nationalen Registern zu.
- Für jede Tabelle: Firmenname, Sektor, anwendbares Recht, Aufsichtsbehörde, Aktualisierungsauslöser und Eigentümer.
Welche betrieblichen Ereignisse erfordern eine sofortige Überprüfung des Geltungsbereichs gemäß Artikel 2 und welche Beweise müssen gesammelt werden?
Jedes Fusion, Übernahme, Desinvestition, Eintritt in einen neuen Markt/ein neues Land, Überschreiten der Personal- oder Umsatzschwelle oder Einstufung als kritischer Lieferant löst eine obligatorische Überprüfung des Umfangs aus. Selbst geringfügige Neuausrichtungen der Lieferkette oder neue Outsourcing-/IT-Verträge können dazu führen, dass Ihr Unternehmen in den Geltungsbereich fällt. Jedes Ereignis erfordert:
- Aktualisierung von Registern, Sektorzuordnungen, Organigrammen und NACE-Codes
- Gehalts- und Umsatzdateien mit Angabe der Größe auf Unternehmens-/Tochterebene
- Wiederholung der Selbstbewertung (ENISA oder Toolkit der lokalen Behörden)
- Genehmigung aller Ein-/Ausschlussentscheidungen durch den Vorstand und rechtliche Hinweise zu Grauzonen
- Benachrichtigung oder Registrierungsaktualisierung bei Ihrer zuständigen Behörde, wenn dies gesetzlich vorgeschrieben ist
| Auslösendes Ereignis | Aktualisierung/Nachweis erforderlich | ISO 27001/Anhang Ref | Beweisprobe |
|---|---|---|---|
| Neuer Lieferantenvertrag | Lieferantenrisiko-/Kritikalitätskarte | A.5.19 | Mapping-Datei, Lieferantenvertrag |
| Strukturwandel bei Fusionen und Übernahmen | Organigramm, Registeraktualisierung | A.5.2, A.5.36 | Neuanmeldung, Rechtsakte, Abmeldung |
| KMU überschreitet Schwelle | Größenzuordnung (Lohn- und Gehaltsabrechnung/Umsatz) | A.5.36 | Gehaltsabrechnung, Umsatzakte, unterschriebene Begründung |
| Neuer regulierter Sektor | NACE-Code, Sektorneuzuordnung | A.5.36 | Dokument mit Branchencodes, Memo |
Was erwartet eine Aufsichtsbehörde oder ein Prüfer vom Nachweis des Geltungsbereichs gemäß Artikel 2 – und wie können Sie Ihren Prüfpfad hieb- und stichfest machen?
Prüfer/Aufsichtsbehörden erwarten eine versioniertes Echtzeitpaket-ein lebendes Register von:
- Zuordnung nach Anhang I/II für jede juristische Person (mit Begründung, Aktualisierung und Freigabe)
- Lohn- und Gehaltsabrechnungs- und Umsatzprotokolle zur Größenprüfung
- Drittanbieter- und Lieferantenzuordnungen für kritische Abhängigkeiten
- Organigramme und Registerdateien, die alle Fusionen und Übernahmen sowie Tochterunternehmen abdecken
- Genehmigungen des Vorstands/der Rechtsabteilung, Memos und Begründungen für alle Einschlüsse und Ausschlüsse
- Protokolle, die die vierteljährliche (oder mindestens jährliche) Überprüfung bestätigen, mit Zeitstempel versehen und vom Eigentümer validiert
Ein lebendiges, eigenes Beweisregister – kein statischer Ordner – ist der einzige Schutz gegen Auditabweichungen und regulatorische Risiken.
Integrieren Sie die Umfangsprüfung in die Änderungs-Workflows Ihrer Personal-, Rechts- und Beschaffungsteams. Verwenden Sie eine Plattform (wie ISMS.online), die zeitgestempelte, rollenbasierte Nachweise, versionierte Protokolle und digitale Kennzeichnungen für jeden Einschluss/Ausschluss oder jedes auslösende Ereignis unterstützt.
Wie gewährleisten Sie die Rückverfolgbarkeit in Echtzeit, sofortige Umfangsänderungen und prüfungssichere Nachweise – insbesondere für Gruppen und Lieferketten?
Betriebsleiter verlassen sich auf ein digitales Rückverfolgbarkeits-Dashboard: Jede Änderung - neuer Markt, Lieferant, Personalaufstockung oder Sektorerweiterung - wird protokolliert, einem Eigentümer zugewiesen und abgebildet ISO 27001 Anhangskontrollen (A.5.2, A.5.19, A.5.36). In einer Gruppe werden Scope-/Trigger-Dateien, Lieferantenkritikalitätsprotokolle und Aktualisierungsnachweise automatisch synchronisiert und der Vorstand oder die Compliance-Leitung benachrichtigt. Mit ISMS.online befindet sich jeder Trigger, jede Richtlinie und jede Nachweisdatei in einem einzigen Live-Register. Automatisierte Erinnerungen und Überprüfungsordner reduzieren Audit-Panik, vermeiden verpasste Updates und halten Sie stets auf Anfragen von Aufsichtsbehörden vorbereitet.
Rückverfolgbarkeitstabelle: Vom Auslöser zum auditfähigen Datensatz
| Auslösen | Eigentümer | ISO 27001 Referenz | Beweisdatei/Artefakt |
|---|---|---|---|
| Neue Entität innerhalb der Gruppe | Unternehmenssekretär | A.5.2 | Organigramm, Register, Rechtsvermerk |
| Personal- oder Umsatzsprung | Compliance/HR-Leiter | A.5.36 | Gehaltsabrechnung, Umsatzbericht, Aktualisierungsprotokoll |
| Wichtige Lieferanten an Bord | Beschaffungs | A.5.19 | Lieferantenmapping, Due Diligence |
| Sektor- oder Aktivitätsverschiebung | Compliance/Recht | A.5.36 | NACE-Mapping, vom Vorstand validierte Datei |
Welcher einzelne Schritt ist für Führungskräfte, die sich Sorgen über Fehler im Umfang oder Prüfungslücken machen, am wirkungsvollsten – und wie gewährleistet ISMS.online die Prüfungssicherheit?
Führungskräfte, die Seelenfrieden wollen Benennen Sie einen „Scope Owner“, führen Sie eine detaillierte Zuordnung anhand nationaler/EU-Leitfäden durch, digitalisieren Sie alle Begründungen und integrieren Sie die Überprüfung in das Änderungsmanagement in den Bereichen Personalwesen, Recht und Lieferkette.– nicht nur im jährlichen Audit-Hype. Jede Nachverfolgung – ob für eine neue regulierte Aktivität oder eine Ausnahmeregelung – muss in einem einheitlichen System überprüfbar, mit einem Zeitstempel versehen und vom Vorstand validiert werden. ISMS.online wurde hierfür entwickelt: Automatisieren Sie Erinnerungen, zentralisieren Sie das Register, steuern Sie den Zugriff nach Rollen und verknüpfen Sie alle Lieferanten-/Lieferanten-Updates, Nebenereignisse und rechtlichen Freigaben in einem Audit-Paket. Unternehmen, die diesen Workflow operationalisieren, sind nicht nur auditfähig – sie werden zu vertrauenswürdigen Partnern für Kunden, Lieferanten und Aufsichtsbehörden und beweisen echte Widerstandsfähigkeit, die über die bloße Brandbekämpfung hinausgeht.
Kompakter ISO 27001/NIS 2 Brückentisch
| Erwartung | Operationalisierung | ISO 27001/Anhang A Referenz |
|---|---|---|
| Aktueller, zugeordneter Bereich (ein/aus) | Live-Registrierung, Mapping, Freigabe | A.5.36, A.5.2, Artikel 2 |
| Lieferanten-/Drittanbieter-Mapping | Kritisches Lieferantenprotokoll, Updates | A.5.19, A.5.21 |
| Ereignisgesteuerte Überprüfung und Freigabe | Board-Protokolle, zeitgestempelte Updates | A.5.35, A.5.36, A.5.2 |
| Nachweis für jede Einbeziehung/Befreiung | Rechtliche/vorstandsbezogene Begründung im Register | Artikel 2, A.5.36 |
Minitabelle zur Audit-Rückverfolgbarkeit
| Auslösen | Risiko-Update | Steuerung / SoA-Link | Beweise protokolliert |
|---|---|---|---|
| M&A / Konzernaktivitäten | Registrierung, Statusänderung | A.5.2 | Diagramme, Einreichungen |
| Lieferanten-Onboarding | Lieferantenrisiko, Zuordnung | A.5.19 | Lieferantenakte, Due Diligence |
| Mitarbeiterzahl überschreitet Schwelle | KMU → vollständige Entitätszuordnung | A.5.36 | Personalprotokolle, Begründung |
| Sektor-/Annexverschiebung | Sektor, Aktivitätsupdate | A.5.2 / A.5.36 / Art. 2 | Freigabe durch den Vorstand, Kartierung |
Sind Sie bereit, den NIS 2-Umfang über Tabellenkalkulationen und jährliche „Feuerwehrübungen“ hinaus zu erweitern? Weisen Sie formale Verantwortlichkeiten zu, führen Sie ein dynamisches Beweisregister und integrieren Sie die Rückverfolgbarkeit in jeden wichtigen Prozess – so können Aufsichtsbehörden, Prüfer und Stakeholder Ihre Belastbarkeit und Compliance in Echtzeit überprüfen. ISMS.online rüstet Sie für diesen Standard: proaktive, transparente und reibungslose Compliance, die über den Audit-Alltag hinausgeht.
