Wer entscheidet wirklich über die Qualifikation Ihres Prüfers? Warum die Regeln unterschiedlich sind – und Ihr Bestehen des Audits davon abhängt
Wenn Sie Compliance leiten, stellt sich die Frage, ob Ihre ISO 27001 oder NIS 2-Auditor ist „qualifiziert“ kann wie ein Rätsel in bürokratischen Schwierigkeiten erscheinen. Die Realität vor Ort ist anders als die ordentlichen Checklisten, die das Produktmarketing Ihnen glauben machen möchte: Die Eignung des Auditors ist ein Flickenteppich aus nationalen, sektorale und gelegentlich lokale EntscheidungenEs gibt keine zentrale ENISA-Liste mit „Super-Auditoren“. Stattdessen führen Behörden von Berlin bis Amsterdam oder von Paris bis Prag ihre eigenen Register, legen unterschiedliche Zugangsbedingungen fest, wenden politische Auslegungen an und verlangen regelmäßige Erneuerungen. Was einem Auditor in einem Land die Tür öffnet, kann dazu führen, dass er in einem anderen Land ausgeschlossen oder ignoriert wird (Noerr).
Ein Zertifikat, das bei einer Behörde Vertrauen schafft, bedeutet der benachbarten Behörde möglicherweise nichts – wenn es um die Akzeptanz bei Audits geht, zählt nur das lokale Spiel.
Die Zulassung wird in der Regel von nationalen Behörden, Branchenkommissionen und – für regulierte Branchen – zusätzlich von branchenspezifischen Vorschriften kontrolliert. Sich ausschließlich auf das „Lead Auditor“-Zertifikat eines Prüfers von der ISO oder einer internationalen Organisation zu verlassen, ist zu einem Glücksspiel geworden – manchmal wird eine Qualifikation in einer Jurisdiktion akzeptiert, hält aber anderswo der rechtlichen Prüfung nicht stand. Das deutsche BSI, das niederländische NCSC und die französische ANSSI arbeiten jeweils mit eigenen Listen, Audits und Validierungszyklen. Wenn Ihr Prüfer nicht im richtigen Register vertreten ist und keinen Nachweis dafür vorweisen kann, ist Ihr Prüfergebnis gefährdet, unabhängig von seinem internationalen Ruf oder seinen Zertifikaten. Für eine doppelte Abdeckung in ISO 27001 und NIS 2müssen sich Prüfer in jeder Region und jedem Sektor wiederholt selbst validieren – ein Prozess, der ebenso fortlaufend wie politisch ist.
Nationale Register: Mehr als eine Formalität
Viele EU-Länder führen offizielle Register, die kontrolliert, aktualisiert und reguliert werden. In kritische Sektoren (Energie, Telekommunikation, Gesundheitswesen, Banken), sind diese Listen oft die ultimativen Torwächter: Der Name Ihres Prüfers muss aufgeführt sein, die Referenzen müssen gültig sein und die Branchenanerkennung muss aktuell sein. Für multinationale Unternehmen stellt dies eine zusätzliche Hürde dar: Was für ein Land oder eine Branche funktioniert, lässt sich nicht ohne neue Unterlagen übertragen. Selbst innerhalb eines Landes kann es aufgrund branchenübergreifender Unterschiede vorkommen, dass ein Prüfer, der für das Gesundheitswesen gelistet ist, in der Finanzsektor sofern sie nicht gesondert erfasst und ausgewertet werden.
Dual ausgebildete Auditoren: Selten und nie die Regel
Trotz steigender Nachfrage sind Auditoren, die sowohl ISO 27001- als auch NIS 2-Qualifikationen besitzen und zudem in allen relevanten Branchen- und nationalen Registern eingetragen sind, Mangelware und erhalten ihren Status selten zufällig. Die Listung bei einer Behörde garantiert nicht automatisch auch die Anerkennung anderer Stellen. Bevor Sie einen Auditor beauftragen, insbesondere bei länder- oder branchenübergreifenden Projekten, verlangen Sie schriftliche, aktuelle Nachweise für alle relevanten Register. Diese Sorgfaltspflicht trägt mehr zu Ihrer Erfolgsaussicht bei einem Audit bei als ein Markenname oder selbstbescheinigte jahrzehntelange Erfahrung.
KontaktEin Audit oder zwei? So vermeiden Sie Redundanz bei kollidierenden Frameworks
Die Frage ist berechtigt: „Können wir die Konformität mit ISO 27001 und NIS 2 mit einem einzigen Audit erreichen?“ Die ehrliche Antwort der meisten Unternehmen lautet: „Nur wenn Sie die Dokumentation sorgfältig aufeinander abstimmen und Ihr Auditor für beide Standards von allen relevanten Stellen anerkannt wird.“ Ohne doppelte Qualifikation und übergreifende Nachweise laufen Sie Gefahr, zwei verschiedene Auditzyklen zu durchlaufen – jeder mit eigenem Papierkram, eigenen Interviews und eigenen Interpretationen. Selbst wenn sich Kontrollen und Ergebnisse überschneiden, erfordern lokale Gesetze oder branchenspezifische Richtlinien oft explizite Querverweise, Index-Mapping und maßgeschneiderte Dossiers für jedes System (NCSC UK).
Überlappende Audits sind nicht nur zeitaufwendig, sondern verdoppeln auch die Kosten und erschöpfen die Teams, die für die fortlaufende Sicherheit am dringendsten benötigt werden.
Frühzeitige Planung: Überprüfen, nicht annehmen
Bevor Sie einen Auditor beauftragen, sollten Sie sowohl mit Ihrem ISO-Zertifizierungspartner als auch mit Ihren lokalen NIS 2-Behörden ins Gespräch kommen. Klären Sie, wo Nachweise genutzt werden können, wo Dokumentationen abgebildet oder übersetzt werden müssen und – ganz wichtig – wie branchenspezifische Leitlinien einen „akzeptablen“ Auditumfang interpretieren. In kritischen Infrastrukturen, im Gesundheitswesen oder im Bankwesen müssen Sie damit rechnen, dass die Aufsichtsbehörden auf branchenspezifischen, kontextspezifischen Audits bestehen. Der schnellste Weg, ein Audit zu verhindern? Gehen Sie davon aus, dass ein einziges Zertifikat ausreicht, nur um nach wochenlanger Vorbereitung mit einer Ablehnung konfrontiert zu werden. Holen Sie sich die ausdrückliche, schriftliche Genehmigung Ihres Auditors in allen relevanten Registern ein – er sollte die Prüfung erwarten und begrüßen.
| Praktikum | Erwartung | Realität | Was funktioniert |
|---|---|---|---|
| Vorverlobung | „Ein Audit wird beiden Rahmenbedingungen dienen.“ | Anmeldeinformationen/Registrierungen stimmen selten überein. | Überprüfen Sie die einzigartigen Anforderungen beider Standards. |
| Auditplanung | „Unser ISO 27001-Nachweis wird akzeptiert.“ | Sektorale Vorschriften und Vorlagen überschreiben. | Sichern Sie sich Anleitungen direkt von den Regulierungsbehörden. |
| Verlobung | „Mit Vorlagen kommen wir problemlos durch.“ | Die Gerichtsbarkeiten verlangen kartierte Fußgängerüberwege. | Erstellen und testen Sie Ihre eigenen Compliance-Indizes. |
Warum Patchwork? Lokale Regeln setzen sich durch
ENISA erstellt Richtlinien, führt Prüfungen durch und verbreitet Best Practices – hat jedoch keine rechtliche Befugnis zur nationalen oder branchenspezifischen Registrierung. Das deutsche BSI, das niederländische NCSC und ähnliche Einrichtungen führen eigene Validierungsprozesse durch, legen eigene Zyklen für Registeraktualisierungen fest, verlangen eigene Unterlagen und behalten sich das Recht vor, Zertifikate abzulehnen, die nicht ausdrücklich unter ihrer Schirmherrschaft (ENISA) validiert wurden. Selbst innerhalb der EU ist die gegenseitige Anerkennung selten; branchenübergreifende Übertragungen sind nahezu unbekannt. Teams, die eine Rationalisierung anstreben, müssen alle relevanten Register überwachen – und die erneute Validierung von Anmeldeinformationen ist ein wiederkehrender Vorgang.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Zwischen den Zeilen gefangen: Warum Dokumentations- und Kontrollanforderungen nicht synchron sind
Während sowohl NIS 2 als auch ISO 27001 kontinuierliche Verbesserung, Beweissammlung und robuste Risikomanagement, unterscheiden sich ihre Umsetzungswege zum Zeitpunkt der Durchsetzung erheblich. Nationale Behörden können die Berichterstattung in ihrem eigenen Format, spezifischen Vorlagenlayouts, Vorfallbenachrichtigung innerhalb länderspezifischer Fristen oder sogar „Live“-Demonstrationen. In kritischen Sektoren bestimmen zusätzliche gesetzliche Regelungen Reifegrad und Umfang und zwingen Compliance-Teams dazu, mit dualer Logik, kreuzindizierten Beweisen und branchenspezifischem Vokabular umzugehen.
Die Hindernisse, die Prüfungen verlangsamen oder blockieren, sind in der Regel nicht technischer Natur. Es handelt sich vielmehr um Diskrepanzen zwischen den Anforderungen der Behörden an die Organisation von Beweismitteln, Berichten und Kontrollen.
Verzögerungen, Streitigkeiten und Auditablehnungen sind oft die Folge ungeprüfter Annahmen – beispielsweise wenn ISO 27001-Nachweise unverändert bei einem NIS 2-Audit eingereicht werden und dann festgestellt wird, dass die Nachweise nicht dem von der zuständigen Aufsichtsbehörde geforderten Berichts- oder Dokumentationsraster entsprechen. Teams in mehreren Ländern stehen vor noch größeren Herausforderungen: Sowohl das niederländische NCSC als auch das deutsche BSI sind befugt, individuelle Vorlagen und Zeitpläne festzulegen. Schwache Zuordnungen, nicht dokumentierte Nachweisverknüpfungen oder fehlende Registrierungsnachweise sind die häufigsten, aber vermeidbaren Ursachen für unerwartete Überraschungen am Audittag. Erstellen Sie explizite Zuordnungsindizes, führen Sie sorgfältige Nachweisprotokolle und verknüpfen Sie jedes Nachweisartefakt mit dem erforderlichen Rahmen.
Akkreditierung in der Praxis: Beratung durch ENISA, Urteil der lokalen Behörden
Die ENISA hat einen rein beratenden Auftrag: Sie stellt Leitlinien, Toolkits und Ressourcenzentren für bewährte Verfahren bereit. Sie führt keine Register, erteilt keine Auditgenehmigungen und vermittelt nicht bei Berechtigungsstreitigkeiten. Diese Befugnis liegt ausschließlich bei den Gatekeepern – den nationalen und sektoralen Behörden. Diese Stellen legen ihre eigenen Registrierungsregeln, Aktualisierungszyklen und Erneuerungsverfahren fest, und es wird von Ihnen erwartet, mit diesen Schritt zu halten (auch wenn die Änderungen häufig oder undurchsichtig sind) (ENISA NIS 2 Leitfaden).
Deutschland vs. Niederlande: Registrierung, Erneuerung und Auswirkungen in der realen Welt
- Deutschland (BSI): Führt ein zentrales Register mit zwei Standards; länder- oder sogar branchenübergreifende Zulassungen sind nicht übertragbar. Prüfer müssen ihre Kenntnisse für jede Branche, die sie bedienen, regelmäßig revalidieren und auf dem neuesten Stand nachweisen.
- Niederlande (NCSC): Stellt sektorspezifische Register aus; ausländische Zulassungen (auch von EU-Nachbarn) werden nicht automatisch akzeptiert. Die Dokumentation muss den jeweiligen Anforderungen entsprechend aktualisiert werden, und die Erneuerungszeiträume können je nach Sektor variieren.
Die Überprüfung von Anmeldeinformationen ist so dynamisch geworden wie die Bedrohungslandschaft selbst: Listen ändern sich, Richtlinienaktualisierungen wirken sich auf alle Branchen aus, und Unternehmen müssen jede Genehmigung im Zusammenhang mit der Audit-Bereitschaft regelmäßig überprüfen. Ein fehlender Registrierungseintrag kann Ihren gesamten Audit-Prozess zum Stillstand bringen.
Am Ball bleiben: Compliance als gelebte Disziplin
Die Verwaltung von Anmeldeinformationen ist heute ein Live-Prozess und keine „Einstellen und Vergessen“-Aufgabe. Führende Organisationen verfolgen Registrierungsaktualisierungen, Ablaufdaten und CPD-Protokolle über dedizierte Eigentümer oder automatisierte Plattformen (KPMG). Andernfalls entsteht ein Ursache von fehlgeschlagenen Audits und behördlichen Sanktionen. Da sich Anforderungen oft kurzfristig ändern, müssen interne Compliance-Teams die Validierung von Anmeldeinformationen als festen Tagesordnungspunkt behandeln. Digitale Nachweise, Erinnerungen und Erneuerungsnachweise sollten bei jeder Inspektion bereitgehalten werden.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Was macht einen Auditor „voll qualifiziert“? Es ist mehr als nur ein Zertifikat
Damit ein Auditor „vollständig qualifiziert“ ist, Ihre NIS 2- und ISO 27001-Anforderungen zu erfüllen, müssen drei Dinge nachgewiesen, aktuell und auf Ihre Branche und Ihr Land zugeschnitten sein:
- Ein gültiges ISO 27001 Lead Auditor-Zertifikat: Neu, nicht abgelaufen und von einer anerkannten Stelle ausgestellt.
- Aktuelle Präsenz in den NIS 2-Sektorregistern: Gelistet in allen relevanten Gerichtsbarkeiten und Branchenbehörden für Ihren Geschäftskontext.
- Dokumentierte, fortlaufende CPD: Einschließlich szenariobasierter Schulungen, jährlicher Datensatzaktualisierungen und direkter Verweise auf beide Standards.
Organisationen wie PECB oder AENOR weisen darauf hin, dass der „duale“ oder „vollständige“ Status nicht automatisch in die Konformitätsstufe verfallen kann; er muss bewusst aufrechterhalten werden und kann – ohne Vorankündigung – von jeder Behörde widerrufen werden, wenn es bei Protokollen, Anwesenheit oder Erneuerung zu Verzögerungen kommt.
Die Eintragung in das Register ist ein fortlaufender Vorgang. Ein Ablauf, eine verpasste Weiterbildung oder eine Sektorabweichung genügen, um den Status der Vollqualifizierung zunichte zu machen.
Qualifizierung in Aktion: Tabellenreferenzen
Lebenszyklus der Prüfer-Anmeldeinformationen
| Phase | Kritische Beweise | Kontrollreferenz |
|---|---|---|
| Onboarding | Zertifiziert nach ISO 27001 LA, NIS 2-Register | ISO 27001 Anhang A.7.2, NIS 2 Art. 20 |
| Wartung | Neue CPD-Protokolle, Registrierungsaktualisierungen | ISO 27001 Klauseln 7/9, NIS 2 Art. 21 |
| Erneuerung | Referenzen, Crosswalk-Mappings, Audits | ISO 27001 A.7.2, NIS 2 Art. 20/21 |
Rückverfolgbarkeit: Mini-Tabelle „Änderung zum Beweis“
| Auslösen | Risikoänderung | Steuerungs-/SoA-Link | Beweise erfasst |
|---|---|---|---|
| Auditoren-Onboarding | Anmeldeinformationen/Registrierungsscan | SoA A.7.2, NIS 2 Art. 21 | Registerlinks, CPD, Referenznachweis |
| Jahresrückblick | Registrierung + CPD aktualisiert | SoA A.7.2, NIS 2 Art. 21 | Aktualisierte digitale Protokolle und Einträge |
| Regelungsänderung | Szenario/Peer-Sitzung, Update | SoA A.7.2, NIS 2 Art. 24 | Schulung, CPD-Nachweis, Überprüfungsprotokoll |
Nachweis vor dem Audit: Machen Sie die Überprüfung von Anmeldeinformationen zu einer alltäglichen Disziplin, nicht zu einer Panik in letzter Minute
Führende Compliance-Unternehmen integrieren die Validierung von Anmeldeinformationen in ihren regulären Arbeitsablauf. Bevor ein Prüfer vor Ort ist – intern oder extern –, muss er Folgendes einholen:
- Digital überprüfbare, aktive Zertifikate von anerkannten ISO 27001 Lead Auditor-Stellen.
- Schriftliche Registereinträge aus allen relevanten Ländern und Branchen.
- Mit Zeitstempel versehene Protokolle von CPD- und Schulungsveranstaltungen (einschließlich Simulationsübungen, sofern möglich).
- Dokumentarischer Nachweis über die Durchführung eines kürzlich durchgeführten Audits oder die Einbindung in ein Szenario.
Globale und branchenübergreifende Teams mit proaktiver Qualifikationsdisziplin berichten regelmäßig von weniger Überraschungen und schnelleren, saubereren Auditergebnissen (ICAEW). Jede fehlende Qualifikation bedeutet eine potenzielle Verzögerung oder im schlimmsten Fall eine vollständige Ablehnung.
Organisationen, die die Nachverfolgung von Anmeldeinformationen automatisieren – mithilfe der Überwachungs- und Dashboard-Tools von ISMS.online – sind am besten aufgestellt, um Panik in letzter Minute zu vermeiden und schnelle, wiederholbare Audit-Abschlüsse sicherzustellen.
Vermeidung des Last-Minute-Stresses
Weisen Sie für jedes Framework einen Compliance-Verantwortlichen zu; nutzen Sie, wo immer möglich, digitale Erinnerungen und automatisierte Validierung. Konsolidieren Sie Registrierungslinks und Ablaufdaten für ISO 27001 und NIS 2 in einem System. Fordern Sie Nachweise bereits Wochen vor jedem Audit an, nicht gleich zu Beginn. So wird Compliance zu einer wiederkehrenden Disziplin, nicht zu einem hektischen Unterfangen.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Aufbau belastbarer, dual-konformer Auditteams: Von Zertifikaten zur kontinuierlichen Praxis
Ein auditfähiges Team wird heute durch kontinuierliche Schulungen, Dokumentation und situationsbezogene Belastbarkeit gestärkt – nicht nur durch einmaliges Papier. Der nachhaltigste Erfolg wird durch die Einbettung von Qualifikationsprüfungen in die internen und externen Prüfermanagementroutinen, die Festlegung einer doppelten Zertifizierung und eines Registrierungsstatus in allen Verträgen sowie die Einrichtung von Feedbackschleifen zur Verbesserung nach jedem Auftrag (AENOR) erzielt.
Auditbereite Teams sind diejenigen, die sich zu ständiger Erneuerung und nicht zum Abhaken von Kästchen verpflichten.
Auditverträge und interne Kontrollen – für heute und morgen
- Fordern Sie in allen Prüfungsvereinbarungen die Einbeziehung von zwei im Register eingetragenen Prüfern.
- Integrieren Sie szenariobasierte Schulungs- und Qualifikationsüberprüfungsklauseln in Verträge.
- Überwachen Sie Anmeldeinformationen für interne und externe Prüfteams.
- Führen Sie nach jedem Audit retrospektive Überprüfungen durch: Untersuchen Sie Lücken in der Berechtigung, beheben Sie Prozessabweichungen und dokumentieren Sie Aktualisierungen für den nächsten Zyklus.
Rückverfolgbarkeit: Erneuerungsereignis-Referenztabelle
| Erneuerungsereignis | Erforderlicher Schritt | Nachweis erforderlich |
|---|---|---|
| Regulatorisches Update | Peer-/Sitzungstraining | Neue Zertifizierung, CPD/Ereignisprotokolle |
| Audit-Erneuerung | Registry-/Vertragsscan | Aktuelle Registrierung, Prüfverlauf |
| Neuer Wirtschaftsprüfer | Onboarding, Transfer | Checkliste für das Onboarding, Übertragung der Anmeldeinformationen |
Bereiten Sie sich auf die Dual-Compliance vor – bevor Ihr nächstes Audit-Fenster schließt
Ihr Weg zu wiederholbarer, reibungsloser Compliance beginnt mit der Einbettung der Anmeldeinformationsverwaltung in Ihren Alltag. ISMS.online bietet Ihnen ein zentrales, übersichtliches Repository für den Status des Audit-Partnerregisters, die Zertifikatsüberwachung und CPD-Protokolle. Richten Sie rollenbasierte Dashboards, Ablaufkennzeichnungen und Erneuerungserinnerungen ein, um Last-Minute-Drama durch ruhiges Vertrauen zu ersetzen.
- Verknüpfen Sie ISO 27001- und NIS 2-Richtlinien-, Risiko- und Kontrollaufzeichnungen in vorgefertigten Frameworks. Prüfungsbereitschaft für jedes Land, jeden Sektor oder jeden Standard.
- Automatisieren Sie Erinnerungen für das Ablaufen und die erforderliche Erneuerung von Anmeldeinformationen, sowohl intern als auch extern.
- Behalten Sie stets den Überblick über Registrierungseinträge, da Regeln nach einmaliger Aktualisierung überall angezeigt werden.
Die Qualität einer Auditprüfung ist das Ergebnis täglicher Disziplin bei der Erlangung der erforderlichen Qualifikationen und nicht von Heldentaten unter Druck.
Durch die Abstimmung von Mitarbeitern, Prozessen und Nachweisen verwandeln Sie Compliance von einer Reibungsquelle in eine Wettbewerbskompetenz. Auf diese Weise erreichen Sie nicht nur ein Bestehen, sondern eine Audit-Resilienz, die mit jedem Zyklus wächst und regulatorische Änderung- Bleiben Sie vorbereitet, verbessern Sie sich mit jeder Wendung und geben Sie Ihren Teams die Freiheit, das Geschäft voranzutreiben.
Häufig gestellte Fragen (FAQ)
Wer legt fest, ob NIS 2-Auditoren eine ISO 27001-Schulung absolvieren müssen, und ändert sich die Regel je nach Land?
Die nationale Cybersicherheits- oder Branchenregulierungsbehörde jedes EU-Mitgliedstaats entscheidet direkt über die Eignung von NIS 2-Auditoren - einschließlich der Frage, ob ISO 27001-Zertifikate als relevant oder ausreichend angesehen werden. Es gibt keine einheitliche EU-weite oder von der ENISA anerkannte Zulassungsliste: Behörden wie das deutsche BSI, die französische ANSSI oder das niederländische NCSC führen jeweils eigene Register und Durchsetzungsmodelle. In einigen Ländern sind Zertifikate als leitender Auditor oder interner Auditor nach ISO 27001 eine erforderliche Voraussetzung – allerdings immer verbunden mit weiteren Anforderungen wie NIS 2-spezifischer Ausbildung, Branchenerfahrung und Eintragung in ein lokales Register. Ein in einem Mitgliedstaat zugelassener Auditor hat keine Garantie für die Anerkennung in einem anderen; die rechtliche Anerkennung erfolgt nicht automatisch (ENISA, 2023).
Die Eignung als Auditor für NIS 2 wird nicht allein durch den ISO 27001-Status impliziert. Erkundigen Sie sich immer bei der zuständigen nationalen oder branchenspezifischen Behörde, bevor Sie Auditvereinbarungen bestätigen.
Wie sind die für NIS 2- und ISO 27001-Audits erforderlichen Fähigkeiten im Vergleich und wo unterscheiden sich die Anforderungen?
Die für NIS 2- und ISO 27001-Audits erforderlichen Fähigkeiten überschneiden sich erheblich. Beide erfordern Kenntnisse mit Informationssicherheit Rahmenbedingungen, Kontrollen und kontinuierliche Verbesserung. Allerdings NIS 2-Audits erfordern insbesondere die Kenntnis staatlicher Vorschriften, branchenspezifischer Gesetze, den Nachweis von Szenarienübungen und den Nachweis der Governance auf Vorstandsebene.ISO 27001-Auditoren konzentrieren sich auf ISMS-Design, interne Kontrollen, Dokumentation und Risikobehandlung; NIS 2-Auditoren müssen Kenntnisse der lokalen Umsetzungsgesetze und branchenübergreifender Aspekte (z. B. Gesundheit, Energie, Finanzen) nachweisen und können für falsche Angaben direkt haftbar gemacht werden. Ein erfahrener NIS 2-Auditor verfügt über Erfahrung in der Dokumentation von Nachweisen nach den Standards der Branchenbehörden und weist praxisnahe Meldefähigkeit und Ergebnisse von Szenarioübungen nach – nicht nur die Überprüfung von Kontrolldokumenten (BSI Group, 2023).
Auditoren mit Doppelqualifikation nach ISO 27001 und Branchenregistrierung für NIS 2 sind besonders bei grenzüberschreitenden oder kritischen Infrastrukturarbeiten sehr gefragt.
Welche Arten von Zertifizierungen, Protokollen oder Dokumentationen werden von Prüfern und Organisationen bei NIS 2- und ISO 27001-Audits verlangt?
Beide Rahmenwerke erwarten von Organisationen und ihren Prüfern die Vorlage von:
- Aktive Berufszertifikate: Status als ISO 27001-Leiter/interner Prüfer sowie nationale oder sektorale Listung für NIS 2 (digitales Abzeichen oder offizielle Registrierungs-ID).
- Dokumentierter Registrierungsstatus: Direktes Zitat oder Screenshot der Aufnahme in jedes relevante nationale/sektorale Register.
- Protokolle zur kontinuierlichen beruflichen Weiterbildung (CPD): Jährliche oder regelmäßige Aufzeichnungen genehmigter Schulungen, Szenario-Workshops und Peer-Reviews – in verschiedenen Ländern ist eine Zuordnung zu lokalen Vorlagen erforderlich.
- Sektorale Nachweise und Prüfhistorie: Nachweis über aktuelle Engagements in relevanten Sektoren (insbesondere für CNI-Einheiten).
Fehlende oder abgelaufene Dokumentation oder fehlende CPD-Protokolle verzögern oder blockieren regelmäßig den Abschluss von Audits (PECB, 2024).
Die Dokumentationsstandards steigen – nationale Register und CPD-Protokolle sind mittlerweile genauso wichtig wie Zertifikate.
Kann ein ISO 27001 Lead Auditor ein NIS 2-Audit ohne weitere Registrierung oder Branchenzulassung durchführen?
Der Status als leitender Auditor gemäß ISO 27001 allein verleiht niemals die rechtliche Befugnis, NIS 2-Audits durchzuführen. Die nationalen Vorschriften der einzelnen Branchen und Mitgliedstaaten schreiben weitere Anforderungen vor, wie etwa die Eintragung in ein Register, branchenspezifische Prüfungen und die lokale rechtliche Anerkennung.
- Germany: Erfordert eine BSI-Registrierung und kann Branchenprüfungen verlangen, unabhängig von ISO-Anmeldeinformationen.
- Niederlande: Auditoren müssen im NCSC-Register eingetragen sein; ein vorheriger ISO-Status reicht nicht aus.
- Großbritannien (ab 2025): Nur vom NCSC zugelassene Praktiker dürfen zusätzlich zu allen ISO-Zertifikaten offizielle NIS 2-Auditarbeiten durchführen.
Bestätigen Sie immer die Aufnahme in das nationale NIS 2-Register, bevor Sie Prüfarbeiten vergeben – und gehen Sie niemals davon aus, dass ein „Zertifikat“ ohne lokale Genehmigung und gültige Branchenregistrierung ausreicht.
Ist es möglich, NIS 2- und ISO 27001-Audits in einem Auftrag zu kombinieren und welche Dokumentation ist für die Abnahme erforderlich?
Kombinierte (integrierte) Audits können durchgeführt werden - allerdings nur, wenn der Auditor formal in alle relevante nationale und sektorale Register, verfügt über aktuelle Übersichtskarten der Kontrollen und Verpflichtungen und kann Zulassungsschreiben (oder Äquivalente) sowohl von sektoralen Regulierungsbehörden als auch von ISO-Zertifizierungsstellen vorlegen.
- Der integrierte Revisionsnachweis muss Folgendes umfassen:
- Name/ID in jedem aktiven Register vorhanden, das mit dem Umfang des Engagements verknüpft ist;
- Explizite Querverweistabellen von ISO 27001 und nationalen/sektoralen NIS 2-Overlays mit jeweils zugeordneten Nachweisen;
- Schriftliche Genehmigung oder Korrespondenz der Sektorregulierungsbehörden und der zertifizierenden ISO-Stelle, aus der die Akzeptanz des kombinierten Audits hervorgeht (AENOR, 2023; ENISA, 2023).
Wenn ein Register-, Crosswalk- oder Akzeptanznachweis fehlt, müssen Sie damit rechnen, dass kombinierte Audits bei der Überprüfung abgelehnt oder fragmentiert werden.
Was ist der zuverlässigste Ansatz, um die Compliance zukunftssicher zu machen und die Auditbereitschaft sicherzustellen?
- Zentralisieren Sie Anmeldeinformationen, Registrierungsreferenzen und CPD-Protokolle: innerhalb eines einzigen Compliance-Dashboards (ISMS.online ist dafür konzipiert).
- Überprüfen Sie regelmäßig Registrierungseinträge und CPD-Aufzeichnungen: für alle internen und externen Prüfer – nicht nur für diejenigen, die einmal im Jahr vorbeikommen.
- Aggregieren Sie strukturierte Beweise über Rahmen und Sektoren hinweg: Gewährleistung der Rückverfolgbarkeit bei jedem Audit oder jeder Rezertifizierungsveranstaltung.
- Planen Sie vierteljährliche Dokumentations- und Berechtigungsprüfungen ein: Die Auditbereitschaft muss zu einer ständigen Governance-Aktivität werden und darf nicht zu einem Gerangel vor Fristen werden.
Die Organisationen, die Audits stressfrei bestehen, verfügen über Live-Tracking, digitalisierte Registernachweise und geplante Überprüfungen – und nicht diejenigen, die Audits als einmaliges Ereignis behandeln.
ISMS.online führt alle Zertifikate, Register und CPD-Nachweise an einem stets verfügbaren Ort zusammen, sodass Sie Kontrolle, Belastbarkeit und Bereitschaft demonstrieren, unabhängig davon, wie sich die Anforderungen der Prüfer oder das NIS 2-Gesetz weiterentwickeln.
Tabelle der Auditanforderungen für ISO 27001 und NIS 2
| Anforderung | ISO 27001 Auditor (Global) | NIS 2 Auditor (Sektor/National) |
|---|---|---|
| Zertifikat | Ja (globaler Standard) | Ja (Inland, Branchenzulassung/Erneuerung) |
| Eintrag im nationalen Register | Nein | Ja (jährliche oder sektorale Rezertifizierung) |
| Branchenerfahrung | Nicht erforderlich | Oft für kritische Sektoren erforderlich |
| Szenario-/Vorfallübung | Manchmal; nicht immer branchenspezifisch | Erforderlich, mit Peer-/Autoritätsprüfung |
| Internationale Anerkennung | Ja, aber die lokale NIS 2-Registrierung überschreibt weiterhin | Selten; muss ausdrücklich akzeptiert werden |
| CPD/Weiterbildung | Best Practice; nicht immer überprüft | Erforderlich; muss dokumentiert und aktuell sein |
Tabelle zur Nachweisrückverfolgbarkeit: Aktualisierungen der Prüfberechtigungsnachweise
| Prüfauslöser | Risiko- oder Kontrollaktualisierung | SvA/Registry-Referenz | Beispiel für einen Prüfungsnachweis |
|---|---|---|---|
| ISO 27001-Zertifikat erneuern | Interne Audits, Teamänderungen | ISO 27001 Abschnitt 9.2, 7.2: Kompetenz | Gültiges LA-Zertifikat, Registereintrag |
| NIS 2-Registrierungsupdate | Neueintragung oder Entfernung aus dem Register | Sektorales/nationales NIS 2-Register, SoA | Screenshot der Registrierung, offizielle E-Mail |
| Aktualisierung des CPD-Protokolls | Neue Rollen- oder Branchenzuordnung | ISO 27001 7.2, NIS 2 CPD-Codes | Trainingsverlauf, Peer-Review-Protokolle |
| Sektorale Tischbohrmaschine | Richtlinien-/Prozessverbesserung | ISO 27001 Anhang A (6), NIS 2 lokales Recht | Übungsbericht, Nachbesprechung |
Um zu erfahren, wie ISMS.online die Verwaltung von Anmeldeinformationen, die Dokumentation der Registrierungskonformität und die Vorbereitung auf ISO 27001- und NIS 2-Audits optimieren kann, fordern Sie eine praktische Führung an. Ihre Audits (und Ihr Vorstand) werden es Ihnen danken.
