Zum Inhalt
ISMS.online

Schritt-für-Schritt-Anleitung zur Einhaltung von NIS 2 für Organisationen

Das regulatorische Risiko hat sich still und leise ausgeweitet – der weitreichende Anwendungsbereich von NIS 2 bedeutet, dass selbst etablierte Unternehmen nun mit strengen Cyber-Verpflichtungen konfrontiert sind. Die Rechenschaftspflicht des Vorstands, die Branchenzuordnung und die Beweisverfolgung sind unerlässlich. Wer einen Auslöser verpasst, riskiert dringende und kostspielige Compliance-Feuerwehrübungen. Prüfbare Beweise sind jetzt Ihre einzige wirkliche Verteidigung gegen die anspruchsvolle Prüfung durch Kunden und Aufsichtsbehörden.

Autorin
Mark Sharron
Aktualisiert Oktober 17, 2025
4 / 5 Sterne

Fällt Ihre Organisation in den Geltungsbereich von NIS 2 – und warum ist das jetzt wichtig?

Für viele Unternehmen hat sich der Horizont regulatorischer Risiken gerade verändert – und still und leise hat die NIS-2-Richtlinie möglicherweise dazu geführt, dass Ihr Alltagsgeschäft nun einigen der strengsten Cybersicherheitsanforderungen Europas unterliegt. Dieses Gesetz ist nicht nur eine Aktualisierung: Es definiert neu, wer die rechtliche, operative und Vorstandsverantwortung für die Informationssicherheit trägt. Die alte Bequemlichkeit, „außerhalb des Geltungsbereichs“ zu sein, wird nun zur Belastung.

Sie erkennen Ihre Compliance-Lücke erst, wenn die Dringlichkeit keine Zeit lässt, sie zu beheben.

Die erste und strategisch wichtigste Frage ist trügerisch einfach: Sind Sie betroffen? Das lässt sich nicht pauschal mit Ja oder Nein beantworten. NIS 2 erweitert die Definitionen und bezieht digitale Lieferketten, kritische Dienste, SaaS-Plattformen und eine Vielzahl von Branchen ein, die vom ersten NIS-Regime bisher ignoriert wurden. Wenn Ihr Unternehmen Direktanbieter, digitaler Vermittler oder sogar Vorlieferant für regulierte Kunden ist, hat sich das Risikoprofil geändert.

Beginnen Sie mit einer umfassenden Bestandsaufnahme. Überprüfen Sie die offiziellen NIS-2-Sektorlisten (Anhang I und II) und beobachten Sie die Warnmeldungen der nationalen Aufsichtsbehörden. Gehen Sie nicht davon aus, dass alte Ausnahmeregelungen weiterhin gelten. Aktuelle Aktualisierungen priorisieren nun die Aufnahme vor dem Ausschluss, und Sie müssen begründen, wenn Sie glauben, außerhalb des Geltungsbereichs zu liegen. Wenn Sie diese Begründung nicht dokumentieren, kann dies zu gescheiterten Geschäften, Vertrauensverlust oder dringenden (und kostspieligen) Notfallübungen führen, sobald die Aufsichtsbehörden auf Sie aufmerksam werden.

Vorstände stehen nun an vorderster Front: Unter NIS 2 sind Direktoren nicht nur organisatorisch, sondern auch persönlich für die Einhaltung der Vorschriften verantwortlich. Die Erwartung hat sich von der technischen Aufsicht hin zur Führung auf Vorstandsebene und zu einer überprüfbaren Unternehmensführung verlagert. Wurden Entscheidungsträger zuvor durch IT- oder operatives Ermessen geschützt, ist dieser Schutz dahin. Jedes ISMS muss nun einen Nachweis über die Beteiligung des Vorstands und klare Nachweislinien enthalten.

Wenn Sie sich bisher auf Ausnahmeregelungen verlassen haben, ist es jetzt Zeit für einen Realitätscheck. Überprüfen Sie alle Verträge – insbesondere solche mit regulierten Kunden –, da vertragliche Weiterverläufe zu „Compliance by Association“ führen können. Die Sicht eines Wirtschaftsprüfers: Wenn Sie nach Nachweisen gefragt werden, gehen Sie davon aus, dass Sie im Geltungsbereich der Verordnung behandelt werden.


Welche Sektoren, Unternehmen und Regionen bestimmen Ihren NIS 2-Fußabdruck?

Die Abbildung des NIS 2-Fußabdrucks Ihres Unternehmens ist die Grundlage für die Einhaltung der Vorschriften. Viele Teams scheitern jedoch an der falschen Zuordnung von Sektorgrenzen oder geografischen Zuständigkeiten. Hier entscheidet sich der Unterschied zwischen einer vereinfachten Zertifizierung und einem Jahr Nacharbeit.

Wenn Sie Ihren Sektor heute falsch klassifizieren, werden Sie morgen Monate damit verbringen, fehlerhafte Kontrollen zu verlernen.

Beginnen Sie damit, Ihre Kerndienste mit den offiziellen Branchenlisten von NIS 2 abzugleichen:

  • Verankern Sie alle Hauptgeschäftsbereiche direkt in Anhang I (Energie, Banken, Gesundheit, digitale Infrastruktur) oder Anhang II (Abfall, Lebensmittel, Produktion). Unternehmen der Lieferkette, digitale Marktplätze und Infrastrukturplattformen sind oft im Netz, auch wenn sie nicht explizit genannt werden.
  • Überschneidungen identifizieren: Die meisten Unternehmen sind sowohl digital als auch physisch tätig. Wenn Sie in mehreren Branchen tätig sind (z. B. Cloud-Hosting und Fertigung), sollten Sie ein duales Compliance-Mapping durchführen und die Branchenprüfungen gegebenenfalls getrennt durchführen, um bereichsspezifische Kontrollen zu dokumentieren.
  • Verfolgen Sie Ihre operative Geografie: Jede Rechtsordnung bringt ihre eigene Variante der NIS 2-Implementierung mit sich. Wenn Sie Dienstleistungen über EU-Grenzen hinweg anbieten oder Tochtergesellschaften im Ausland verwalten, müssen Sie Dokumentation, Unternehmensregistrierungen und Compliance-Protokolle für jede lokale Rechtseinheit anpassen. Beginnen Sie mit einem detaillierten Register: Was wird von der Zentrale aus kontrolliert und was delegiert?
  • Überprüfen Sie die Konzernstrukturen: Mutter-, Tochter- oder Zweigstellenstruktur? Compliance darf nie an der Grenze eines Diagramms enden – sie muss sich auf jeden Betrieb, über Grenzen hinweg und bis in die Lieferkette erstrecken.
  • Kontinuierliche Überwachung: Nationale Regulierungsbehörden können die Liste der Sektoren oder Einheiten im Laufe der Zeit erweitern (und tun dies auch). Die Governance muss eine Live-Überwachungsfunktion in den Bereichen Compliance, IT oder Recht umfassen.

Der taktische Schachzug: Erstellen und aktualisieren Sie regelmäßig eine „Scope-Rationale-Tabelle“, in der Sie die Entscheidungen zur Sektorzuordnung, die geltenden Gesetze und die Dokumente/Beweise, die jede Entscheidung stützen, auflisten. Betrachten Sie diese Tabelle als Teil Ihrer ISMS-Aufzeichnungen – kein Prüfer, Vorstandsmitglied oder Regulierer wird die Begründung „Wir waren uns nicht sicher“ als Verteidigung akzeptieren.



Illustrationen Schreibtisch Stapel

NIS 2 meistern ohne Tabellenchaos

Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.

Buchen Sie Ihre Demo


Ist Ihre Größe oder Rolle der Auslöser für eine direkte NIS 2-Konformität?

Größe ist kein Freifahrtschein mehr. Während die Standardschwellen bei über 50 Mitarbeitern oder einem Umsatz von 10 Millionen Euro liegen, gibt NIS 2 den Regulierungsbehörden Spielraum, auch kleinere Unternehmen als „systemrelevant“ einzustufen. Vertragsbeziehungen können zudem unerwartete Compliance-Verpflichtungen mit sich bringen, was insbesondere bei SaaS-Anbietern und kritischen Lieferanten häufig vorkommt.

Anzunehmen, dass Sie von der Steuer befreit sind, ist der schnellste Weg, unvorbereitet erwischt zu werden.

Führen Sie eine strenge, vierteljährliche Überprüfung durch:

  • Mitarbeiterzahl: Weisen Sie klare Verantwortliche für die Überwachung der Mitarbeiterzahl anhand der 50-VZÄ-Grenze zu. Wenn Sie Saisonkräfte beschäftigen oder diese Grenze auch nur vorübergehend überschreiten, dokumentieren Sie sowohl das Ereignis als auch Ihre Kontrollmaßnahmen.
  • Umsatz: Schwankt er um die 10 Millionen Euro? Verfolgen Sie den Umsatz monatlich und dokumentieren Sie das Vorgehen – proaktive Überwachung ist besser als nachträgliches Herumprobieren.
  • Branchenspezifische Regelungen: In einigen Branchen (insbesondere Cloud, Bankwesen, Telekommunikation und Gesundheitswesen) gelten Verpflichtungen ab dem ersten Mitarbeiter oder dem Nullumsatz. Informieren Sie sich über die Branchenregeln für jede Niederlassung, nicht nur für Ihren Hauptsitz.
  • Lieferantenkaskade: Verträge mit regulierten (im Geltungsbereich befindlichen) Unternehmen können Compliance-Verpflichtungen unabhängig von Ihrer eigenen Größe mit sich bringen – insbesondere für IT-Anbieter und digitale Lieferanten.
  • Dokumentation: Jeder Ausschluss oder Sonderanspruch sollte vom Vorstand geprüft und als formelle Begründung protokolliert werden. Eine Ausnahme ist nur so stark wie die letzte Unterschrift und die unterstützenden Beweise.
Auslösen Risiko-Update Steuerung / SoA-Link Beweise protokolliert
Überschreiten Sie die Schwelle von 50+ FTE Wechseln Sie zu „wichtig/wesentlich“ RACI zuweisen, Vorstandsaufsicht aktualisieren Mitarbeiterprotokolle, Vorstandsprotokolle
Sektor neu klassifiziert Definieren Sie den operativen Umfang neu Richtlinien neu zuordnen, Kontrollabdeckung anpassen E-Mail-Benachrichtigung, Kartenaktualisierung
Schwankende Einnahmen Vierteljährlich erneute Prüfung der Inklusion Auditbereitschaft, Behörde benachrichtigen Finanzprotokolle, Benachrichtigungen
Befreiung beantragt Vom Vorstand geprüfte Begründung Ausnahmeprotokoll aufbewahren, Risikoregister aktualisieren Unterschriebene Befreiungserklärung

Bestimmen Sie vierteljährlich einen Compliance-Verantwortlichen (häufig im Finanz- oder GRC-Bereich) und führen Sie eine formelle Überprüfung dieser Auslöser durch. Aktualisieren Sie dabei Ihr Register, Ihre Richtlinien und Ihr Beweisprotokoll entsprechend.



Haben Sie Ihr Beweisportfolio für die Prüfung durch die Revision und den Vorstand gesperrt?

Für interne und externe Stakeholder sind Beweise – nicht Behauptungen – die neue Lingua Franca der Compliance. Digitale, mit Zeitstempel versehene und vom Vorstand validierte Artefakte sind Ihre Antwort auf alle Prüfer, Aufsichtsbehörden und Kunden, die auf Anfrage Nachweise verlangen.

Was Sie für die Aufsichtsbehörde von morgen dokumentieren, wird im heutigen Sitzungssaal verstärkt.

Ein auditfähiges Nachweissystem sollte Folgendes umfassen:

  • Globales Beweisregister: Nicht nur ein Verzeichnis, sondern ein dynamisches Ablagesystem, das die Gründe für jede Einbeziehung, Ausnahme oder angewandte Richtlinie nachverfolgt. Zeitstempel für Genehmigungen durch Vorstand und C-Level.
  • Board-Authentifizierung: Kein Compliance-Dokument ist ohne die sichtbare Genehmigung des Direktors oder der Geschäftsführung vollständig. Regelmäßige Vorstandsprotokolle und digitale Genehmigungen sollten zentral verfügbar sein und jedem wichtigen Compliance-Ereignis zugeordnet werden.
  • Artefaktschichtung: Archivieren Sie sämtliche Versionen wichtiger Dokumente, Besprechungsprotokolle, Begründungsnotizen und Änderungsprotokolle. Eine interne Kommunikation, die zeigt, dass ein Risiko erkannt, behoben und behoben wurde, ist ebenso wichtig wie die aktualisierte Richtlinie.
  • Selbstauditkalender: Regelmäßige Scheininspektionen oder unabhängige Stichprobenprüfungen Ihres Nachweisportfolios sind unerlässlich, um Lücken aufzudecken, bevor externe Stakeholder sie entdecken. Jede Entdeckung wird zum Katalysator für iterative Verbesserungen.

ISMS.online unterstützt diese Ebene des Artefaktmanagements nativ. Mit seinem digitalen Beweisregister, verknüpften Freigaben und Prüfpfaden macht es Ihre Compliance-Haltung für Vorstände und Prüfer ebenso transparent wie für Ihr eigenes Team.

Jede Lücke, die bei einer Scheinprüfung gefunden wird, ist ein Gewinn – besser, Ihr Team entdeckt sie als ein Regulierer.

Planen Sie alle sechs Monate eine Überprüfung Ihrer Nachweise ein – betrachten Sie dies als einen betrieblichen Gesundheitscheck für Ihr ISMS.



Plattform-Dashboard NIS 2 Crop auf Minze

Seien Sie vom ersten Tag an NIS 2-bereit

Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.

Buchen Sie Ihre Demo


Ist Ihre NIS 2-Registrierung abgelegt, nachverfolgbar und für Echtzeit-Updates eingerichtet?

Die NIS 2-Registrierung ist nicht nur eine fristgebundene Formalität, sondern ein lebendiger Beweis für Ihre Compliance-Reife. Eine frühzeitige Einreichung schafft einen Puffer für Korrekturmaßnahmen und signalisiert Prüfern und Kunden Ihre Bereitschaftskultur.

  • Frühzeitige, verifizierte Einreichung: Bewahren Sie Aufzeichnungen (Screenshots, E-Mails) digitaler oder manueller Einreichungen und Bestätigungsbelege auf. Bewahren Sie diese als juristische Artefakte auf – die Anfragen der Aufsichtsbehörden nach einer erneuten Überprüfung nehmen zu.
  • Eigentumsverhältnisse sichtbar: Benennen Sie einen Verantwortlichen für die Registrierungsüberwachung, Änderungseinreichung und Aktualisierungsgenehmigung. Ordnen Sie diesen Ihrem RACI-Diagramm zu und machen Sie ihn für Mitarbeiter und Vorstand sichtbar.
  • Integration von Änderungsprozessen: Wenn Ihr Unternehmen fusioniert, umstrukturiert wird oder wesentliche geschäftliche Änderungen durchläuft, reichen Sie umgehend Registrierungsaktualisierungen ein und bewahren Sie Beweisspuren zur Begründung und Bestätigung durch die Aufsichtsbehörde auf.
  • Zweiwegeregleranschluss: Pflegen Sie einen konsistenten und dokumentierten Dialog mit Ihrer nationalen Behörde oder Branchenregulierungsbehörde. Speichern Sie jede Anfrage, Klarstellung und Aktualisierung in Ihrem ISMS.
  • ISMS.online-Verlinkung: Nutzen Sie Plattformfunktionen, um Registrierungsnachweise, Änderungs- und Genehmigungsketten zu verknüpfen und Zeitleisten zu aktualisieren – sofort zugänglich und für die Prüfung exportierbar.

Machen Sie Ihren Registrierungsverlauf revisionssicher – stellen Sie sicher, dass Nachweise, Aktualisierungen und Mitteilungen jederzeit zur Überprüfung zugänglich sind.

Durch proaktives Handeln vermeiden Sie nicht nur Bußgelder, sondern beweisen auch Ihre Compliance-Kultur.



Wem gehört was? Verantwortlichkeiten von Vorstand, Management und Mitarbeitern gemäß NIS 2

Verantwortlichkeit ist sowohl das Rückgrat als auch die Achillesferse von NIS 2. Jeder Vorstand, jede Führungskraft und jeder wichtige Mitarbeiter muss über explizite, dokumentierte Compliance-Rollen verfügen. Ein fehlender Verantwortungspfad untergräbt Ihre Audit-Verteidigung schneller als jede fehlende Richtlinie.

Interne Klarheit darüber, wer was macht, ist das Erste, was eine Aufsichtsbehörde prüft, und das Letzte, was bei einer Prüfung übersehen werden soll.

Wichtige Checkliste für verantwortungsvolles Eigentum:

  • Freigabe durch den Vorstand: Keine NIS 2-Registrierung, Richtlinienaktualisierung oder wesentliche Compliance-Änderung ist ohne die offizielle Genehmigung des Vorstands oder einer delegierten Führungskraft gültig. Bewahren Sie digitale Genehmigungsprotokolle und Sitzungsprotokolle aggregiert in einem System auf.
  • RACI-Zuordnung: Pflegen Sie eine Live-RACI-Matrix – jeder Compliance-Bereich ist einem benannten Mitarbeiter zugeordnet. Aktualisieren Sie diese sofort bei Personalwechseln, Neuzuweisungen von Verantwortlichkeiten oder nach Umstrukturierungen oder strategischen Veränderungen. Halten Sie diese Datensätze versioniert.
  • Nachfolgeprotokolle: Lassen Sie keinen Single Point of Failure zu. Übergabe-, Delegations- und Backup-Protokolle sollten vorhanden sein und bei jeder Neuzuweisung von Rollen nachgewiesen werden.
  • Führungstraining: Erstellen Sie für jedes Vorstandsmitglied, jeden Compliance-Verantwortlichen und jeden operativen Leiter ein Schulungs- und Bestätigungsregister. Zertifikate und Quittungen müssen datiert und dem ISMS zugeordnet werden.
Rolle/Bereich Erwartete Aktion Beweismittel/Artefakt ISO/SoA-Steuerung
Vorstand Konformität genehmigen/registrieren Unterschriebene Protokolle, Genehmigungsprotokolle A.5.2 (Rollen)
CISO/Compliance-Leiter NIS2-Operationen abbilden/überwachen RACI-Matrix, Registrierungseinreichung, Überprüfungsplan A.5.4, A.5.36 (Management-Überprüfung)
IT-/Sicherheitsbetrieb Aktualisieren Sie die technischen Kontrollen Vorfallprotokolle, Änderungsaufzeichnungen, Schulungsprotokolle A.5.7, A.8.7
Alle Mitarbeiter Umfassende Compliance-Schulung Schulungsnachweise, Empfangsbestätigungen A.6.3 (Bewusstsein)

ISMS.online unterstützt diese Artefaktzuordnung vom ersten Tag an – jede Person, jede Aktion, jedes Artefakt, immer auf dem neuesten Stand.

Die Dokumentation der Verantwortlichkeiten sorgt jetzt für Schnelligkeit und Klarheit später, wenn der Druck steigt.



Plattform-Dashboard NIS 2 Ernte auf Moos

Alle Ihre NIS 2, alles an einem Ort

Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.

Buchen Sie Ihre Demo


Verhindert Ihr Überprüfungsrhythmus Überraschungen bei der Prüfung auf der „letzten Meile“?

Selbst die stärkste Compliance-Haltung kann durch eine einzige verpasste Überprüfung oder änderungsbedingte Aktualisierung untergraben werden. Aufgrund des Betriebstempos von NIS 2 sind statische, jährliche Überprüfungen nicht ausreichend.

Eine regelmäßige Überprüfungsgewohnheit ist Ihre stärkste Verteidigung gegen Audits und das beliebteste Zeichen der Zuverlässigkeit der Aufsichtsbehörde.

Implementieren Sie einen Zeitplan für die Live-Überprüfung:

  • Jährliche Komplettprüfung: Überprüfen Sie mindestens einmal jährlich Branchen, Unternehmensgrößen, Kontrollen und Eigentumsverhältnisse. Protokollieren Sie jede Überprüfung, auch wenn sich nichts ändert.
  • Änderungsgesteuerte Benachrichtigungen: Erstellen und implementieren Sie Richtlinien, die eine sofortige Überprüfung auslösen, wenn kritische Bedingungen (Unternehmenswachstum, Fusion, Personalzuweisungen) Ihr Compliance-Profil ändern.
  • Live-Protokolle: Verwenden Sie Live-Überprüfungsprotokolle, auf die alle Mitarbeiter der Compliance-, IT- und Vorstandsebene zugreifen können. Auditprotokolle sollten für Prüfer- oder Kundenanfragen sofort exportierbar sein.
  • Benennen Sie juristische/sektorale Beobachter: Weisen Sie dedizierte Ressourcen oder rotierende Rollen für das Scannen von Rechts- und Branchenupdates zu. Nutzen Sie Feeds nationaler Behörden, Branchengruppen und die Update-Tools von ISMS.online.
  • Peer-Benchmarking: Vergleichen Sie wichtige regulatorische Meilensteine ​​und Prüfungsergebnisse mit Branchen-Benchmarks, um Erwartungen vorwegzunehmen und potenzielle blinde Flecken zu erkennen.

Der Planer, die Verknüpfung digitaler Artefakte und das Benachrichtigungssystem von ISMS.online automatisieren den Überprüfungsrhythmus, sodass das „Verpassen einer Überprüfung“ der Vergangenheit angehört.

Prüfer vertrauen auf das, was sie nachverfolgen können. Das sollten Sie auch tun.



Einseitige NIS 2-Rückverfolgbarkeitstabelle: Erwartungen, Maßnahmen und auditfähige Nachweise

Eine transparente, nachvollziehbare Abbildung aller Auslöser, Erwartungen und Ergebnisse ist nicht nur der beste Auditschutz, sondern auch die Grundlage für Compliance-Effizienz und Vertrauen.

Erwartung / Auslöser Betriebsschritt SOA / ISO 27001 Referenz Auditfähige Nachweise
Abgebildeter Sektor (Anhang I/II) Registersektorzuordnung 4.3/SvA Sektorliste, Registrierungs-Screenshot
Größengrenze überschritten (50+ VZÄ) Registrierung aktualisieren, Board benachrichtigen 5.2 (Rollen) HR-Protokolle, Vorstandsgenehmigung
Freistellungsanspruch Dateibegründung und unterstützende Dokumente 6.1.3, ...\u003e –  ...Seite Ausnahmeregelung, Genehmigung durch den Vorstand
Freigabe durch den Vorstand Jährliche Genehmigung der Einhaltung 5.3/9.3 Unterschriebenes Protokoll, E-Mail-Bestätigung
Registrierung übermittelt Behördenbeleg verfolgen/überprüfen 7.5.3, ...\u003e –  ...Seite Übermittlungsbestätigung, Eingangsprotokoll
RACI-Update (Personalwechsel) RACI geändert/intern kommuniziert. A.5.2, 9.3 RACI-Matrix, Mitarbeiternotiz/-protokoll
Beweise aufrechterhalten Laufende digitale Protokolle/Überprüfungen 7.5.3, ... SoA, 9.1 Aktives Protokoll, Überprüfungsprotokoll, Prüfpfad
Implementierte Kontrollen (Anhang A) Zuordnung zu Sektor/Größe; Dokument Anhang A-Kontrollen Kontrollimplementierungsaufzeichnungen
Vorfallsberichterstattung aktiviert Richtlinien, Berichtsprozess A.5.24, A.8.15 Vorgehensweise, Vorfallsbericht

Pflegen Sie diese Tabelle als lebendiges Dokument. Weisen Sie einen Compliance- oder Sicherheitsverantwortlichen zu und integrieren Sie neue Nachweise oder Aktualisierungen, sobald sich der Betrieb weiterentwickelt. ISMS.online ermöglicht die gemeinsame Bearbeitung in Echtzeit und den sofortigen Download für Audits oder behördliche Prüfungen.

Eine gut gepflegte Compliance-Tabelle ist ein Beweis für Kontrolle und nicht nur für das Gedächtnis.



Machen Sie den nächsten Schritt: ISMS.online noch heute

Bei der NIS 2-Konformität geht es nicht um Arbeitsblätter oder Kontrollkästchen – es geht um operatives Vertrauen, belastbare Beweise und eine Führung, die Aufsicht und Zuverlässigkeit nicht nur behauptet, sondern auch beweist. Jedes übersehene Artefakt, jeder undokumentierte Eigentumsweg oder jede verzögerte Überprüfung birgt ein Risiko, das nur darauf wartet, sich zu verwirklichen.

Vertrauen muss aufgebaut, nicht eingefordert werden – das richtige System ist Ihre Abkürzung.

ISMS.online transformiert die NIS 2-Umstellung. Durch die Bereitstellung einer einheitlichen Plattform für Nachweise, Genehmigungen, Live-Mapping und Prüfrhythmus bietet es regulatorische Stabilität und Auditbereitschaft ohne Fragmentierung. Sie erhalten zentrale Übersicht, peer-gestützt Vorlagen, Live-Dashboards und vollständige ISMS-Integration – unterstützt durch aktuelle Anleitungen und schnellen Support.

Sorgen Sie für Ihre Compliance – für die bevorstehenden Regulierungswellen in den Bereichen Datenschutz, Lieferkette und KI. Weisen Sie Rollen zu, automatisieren Sie Überprüfungen, sichern Sie Beweise und zeigen Sie Aufsichtsbehörden, Kunden und Ihrem Vorstand, dass Sie unter NIS 2 jeden Moment für sich entscheiden.


Häufig gestellte Fragen (FAQ)

Wer entscheidet, ob Ihr Unternehmen gemäß NIS 2 „wesentlich“ oder „wichtig“ ist, und was ist der erste konkrete Schritt?

Ausgangspunkt für den NIS-2-Umfang ist stets die systematische Zuordnung Ihres eigenen Unternehmens – keine Aufsichtsbehörde übernimmt dies für Sie. Sie sind dafür verantwortlich, jedes Produkt, jede Dienstleistung und jedes Unternehmen anhand der in Anhang I („wesentliche Unternehmen“ wie Energie, Verkehr, Gesundheit und digitale Infrastruktur) und Anhang II („wichtige Unternehmen“ wie Fertigung, Lebensmittel, IKT und Forschung) der NIS-2-Richtlinie aufgeführten Sektoren zu überprüfen, ergänzt um die nationalen Schwellenwerte oder Ergänzungen Ihres Landes. Prüfen Sie sorgfältig, ob Sie mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Umsatz/Bilanz haben – obwohl einige Hochrisikosektoren (wie Cloud, DNS oder öffentliche Verwaltung) unabhängig von der Größe eingeschlossen sind. Ignorieren Sie daher gängige Mythen über Ausnahmen. Dokumentieren Sie die Logik Ihrer Zuordnung, notieren Sie Sonderfälle und Tochtergesellschaften und übermitteln Sie Ihren Status (mit Begründung) an Ihre nationale NIS-2-Behörde oder zuständige Aufsichtsbehörde; die endgültige Entscheidung und etwaige Fragen werden von diesen getroffen. Überprüfen Sie Ihre Zuordnung unbedingt nach jeder Übernahme, Strukturänderung oder regulatorischen Aktualisierung; ein unveränderter Status kann zu Verstößen führen, wenn sich der Umfang unbemerkt weiterentwickelt.

Sorgen Sie dafür, dass jede Zuordnungsentscheidung transparent ist, vom Vorstand geprüft wird und für eine genaue Prüfung bereitsteht. Denn Registrierung bedeutet Vertrauen, nicht Rätselraten.

Schrittweise Checklisten und Aktualisierungen finden Sie in den NIS 2-Leitlinien der ENISA oder bei Ihrer nationalen Behörde.

Welche Belege sollten Sie bereithalten?

  • Kerndienste, die jedem NIS-2-Sektor zugeordnet sind (Anhang I/II und nationale Listen)
  • Diagramme der Rechtsstruktur, einschließlich Tochtergesellschaften im Ausland
  • Personalbestand und finanzieller Nachweis für Schwellenwerte
  • Vom Vorstand geprüfte Begründung der Zuordnung (Protokolle, Präsentationen)
  • Änderungsprotokoll zur Dokumentation von Überprüfungszyklen oder organisatorischen Änderungen

Welche Nachweise, Aufzeichnungen und Genehmigungen sind für die NIS 2-Konformität erforderlich (und wie sieht „auditbereit“ aus)?

Die Einhaltung von NIS 2 wird durch eine lebendige Dokumentation nachgewiesen: nicht nur durch eine Richtlinie, sondern durch zeitgestempelte, vom Vorstand geprüfte Protokolle, die den Umfang, die Struktur und alle Compliance-Entscheidungen Ihres Unternehmens nachverfolgen. Sie benötigen:

  • Sektorzuordnungsprotokolle: die Ihre Logik für Klassifizierung, Randfälle und nationale Sektorüberlagerungen mit formeller Genehmigung des Vorstands zeigen
  • Lohn- und Gehaltsabrechnungen: zur Begründung der Größe und etwaiger Befreiungsansprüche, die bei Änderungen Ihres Unternehmens überprüft werden
  • Unterzeichnete Protokolle des Vorstands/der Geschäftsführung: um die Zustimmung zu allen wichtigen Entscheidungen zu Umfang, Ausnahmen und Registrierung nachzuweisen
  • Digitale Meldebestätigungen: von zuständigen Behörden, einschließlich jeglicher Korrespondenz, Rückmeldungen oder Archivierungsartefakte
  • Eine RACI-Matrix (Rollen und Verantwortlichkeiten): , aktualisiert für jede Änderung der Compliance-Aufgaben, Mitarbeiterrollen oder Outsourcing-Vereinbarungen
  • Ein zentral verwaltetes Änderungsregister: , Dokumentation aller wichtigen Ereignisse – Fusionen, Wachstum, Markteintritt, Konzernänderungen – die den Umfang beeinflussen könnten, mit einem klaren Prüfpfad, der angibt, wer welche Entscheidung wann getroffen hat

Audit-Bereitschaft bedeutet, alle oben genannten Informationen für jede Kontrolle, Begründung oder Ausnahme innerhalb von Minuten, nicht Tagen, zu erstellen – idealerweise von einer einzigen ISMS-Plattform aus. Wenn Sie nicht nachweisen können, warum Sie innerhalb oder außerhalb des Geltungsbereichs liegen, wer wann die Genehmigung erteilt hat, sind Sie nicht NIS 2-konform.

Referenzen:,,

Wie wirkt sich die NIS 2-Konformität auf grenzüberschreitend tätige Gruppen, Lieferketten und Unternehmen aus?

Die NIS-2-Verpflichtungen gelten für jede betroffene juristische Person, unabhängig von der Komplexität der Gruppe oder der Lieferkette. Wenn Ihr Unternehmen Tochtergesellschaften, Niederlassungen oder Vertragspartner in mehreren EU-Ländern hat – insbesondere in unterschiedlichen NIS-2-Sektoren –, führen Sie für jede einzelne eine Erfassung des Geltungsbereichs und der Regulator-ID durch, nicht nur für die Muttergesellschaft. Einige EU-Länder verlangen eine strengere oder umfassendere Abdeckung („Goldplating“). Wenden Sie daher zur Sicherheit immer den strengsten Standard in Ihren Märkten an. Jede Einheit benötigt möglicherweise unabhängige Nachweisprotokolle, die Genehmigung des Vorstands und die direkte Zusammenarbeit mit der jeweiligen nationalen Behörde.

Konzernweite oder zentrale Compliance ist kein Allheilmittel: Stellen Sie sicher, dass Ihre Abbildung lokale Besonderheiten, die Verantwortlichkeiten des Vorstands und die Registrierung aller Einheiten (nicht nur der Zentrale) berücksichtigt. Führen Sie für wichtige Lieferanten oder digitale Anbieter eine aktuelle Matrix mit ihrem regulatorischen Status. Wenn Ihr kritischer Lieferant nicht von NIS 2 erfasst wird, Ihr Unternehmen aber Störungen aussetzt, müssen Sie damit rechnen, dass die Aufsichtsbehörden Ihre Sorgfaltspflicht und Resilienzplanung im Rahmen Ihrer eigenen Registrierung prüfen.

Die Compliance bricht zusammen, wenn Lieferketten oder Konzernstrukturen eine wesentliche Einheit vor der Zuordnung oder Beweisführung verbergen. Lassen Sie nicht zu, dass aus einer Versehen eine Aufdeckung wird.

Referenzen:,

Welches sind die häufigsten Fehler bei der NIS 2-Zuordnung und -Beweisführung – und welche Systeme verhindern diese?

Die häufigsten Fehlerquellen sind:

  • Verlassen Sie sich auf veraltete oder unvollständige Sektorzuordnungen, insbesondere nach Richtlinien- oder nationalen Aktualisierungen
  • Beantragung einer Ausnahmeregelung ohne aktuelle Größen-/Finanzprotokolle oder neue Zustimmung des Vorstands (nach Wachstum, Umstrukturierung oder Entlassungen)
  • Fehlende, nicht unterzeichnete oder mehrdeutige Genehmigungen des Vorstands für Umfangs-/Ausnahmeentscheidungen
  • Aufbewahrung von Beweismitteln in Tabellenkalkulationen, nicht unterstützten SharePoint-Ordnern oder Posteingängen der Mitarbeiter anstelle eines zentralen Registers
  • Versäumnis, Register und RACI-Matrix nach Fusionen, neuen Produkten oder schnellen Personalwechseln zu aktualisieren

Verhindern Sie diese mit einer robusten, zyklischen Governance:

  • Planen Sie vierteljährliche Compliance-Überprüfungen und ereignisgesteuerte Aktualisierungen für jedes Kernregister (Sektor, Größe, Lieferkette, RACI)
  • Verwenden Sie digitale Signaturen und erfassen Sie die Gründe für jede Ausnahme, Befreiung oder Statusänderung. Jeder Schritt muss einen Namen und einen Zeitstempel haben.
  • Beauftragen Sie einen Compliance-Leiter mit der Überwachung regulatorischer Änderungen, der Aktualisierung des Beweisprotokolls, der Information des Vorstands und der Auslösung von Überprüfungen auf Gruppen- oder Unternehmensebene unmittelbar nach jeder Änderung.
  • Speichern Sie jede Zuordnung, Ausnahme und Vorstandsfreigabe auf einer zentralen, kontrollierten ISMS-Plattform mit strenger Versionskontrolle.

Das Vernachlässigen von Echtzeitbeweisen oder Verantwortungsnachweisen macht aus einem Versehen im Sitzungssaal eine rechtliche Haftung und öffnet die Tür für Geldstrafen und Reputationsverlust.

Referenzen:,,

Wer ist für die Überwachung, Aufrechterhaltung und Überprüfung der NIS 2-Konformität im Zuge der Weiterentwicklung Ihres Unternehmens und der Gesetzgebung verantwortlich?

NIS 2 macht Compliance zu einer Aufgabe auf Vorstandsebene und nicht zu einem nachträglichen IT-Einfall:

  • Vorstand/Geschäftsführung: trägt die letztendliche Verantwortung für Umfangsentscheidungen, Registrierungsanträge und Ausnahmegenehmigungen und muss wesentliche Änderungen jährlich und nach jedem Geschäftsanlass aktenkundig überprüfen/genehmigen
  • Compliance/CISO-Leiter: führt die praktische Zuordnung durch, pflegt Registrierungsprotokolle, reicht erforderliche Aktualisierungen ein und überwacht rechtliche/sektorale Änderungen und berichtet sowohl über routinemäßige als auch über ereignisgesteuerte Zyklen nach oben
  • IT-/Sicherheitsbetrieb: verwaltet technische Kontrollen, Vorfallreaktionen und Änderungsprotokolle, die Beweise liefern und die Compliance auf Änderungen aufmerksam machen, die sich auf Risiken/Gefährdungen auswirken
  • Recht/Personalwesen: aktualisiert Konzernrichtlinien, verfolgt Fusionen, Umstrukturierungen, Änderungen der Mitarbeiterrollen und stellt sicher, dass alle Register mit der aktuellen Gesetzgebung und Organisationsstruktur übereinstimmen

Alle Verantwortlichen müssen im RACI genannt werden, mit kalenderbasierten und änderungsabhängigen Überprüfungsauslösern. Die Richtlinien müssen mit der tatsächlichen Aufsicht übereinstimmen. Wenn der Vorstand von der Registrierung überrascht ist oder der RACI veraltet ist, besteht ein Risiko. Die Vorgehensweise für die Auditvorbereitung ist einfach: Halten Sie Freigaben, Begründungen und Nachweise aktuell, zugänglich und jedem Compliance-Ergebnis klar zugeordnet.

Referenzen:, White & Case,

Was beinhaltet eine vollständige NIS 2-Nachweis- und Rückverfolgbarkeitstabelle und wie kann ISMS.online daraus einen lebendigen Regelkreis machen?

Eine NIS 2-fähige Nachweistabelle verknüpft alle geschäftlichen oder regulatorischen Auslöser mit spezifischen Compliance-Maßnahmen, Kontrollen und dokumentierten Aufzeichnungen. So wird sichergestellt, dass zwischen Sitzungssaal und Prüfdatei kein Schritt verloren geht. Hier ist eine prägnante Vorlage:

Auslöser/Ereignis Compliance-Maßnahme/Eigentümer ISO 27001/SoA-Ref. Beweise (Tafel/Log)
Abgebildeter Dienst/Sektor Entität registrieren, Protokollzuordnung 4.3 / SvA Mapping-Protokoll, Autoritätsbestätigung
Überschreiten/Ausnehmen der Größenschwelle Registrierung aktualisieren, Board-Abmeldung 5.2, 6.1.3 Gehaltsabrechnung, unterschriebene Begründung
Große Umstrukturierung/Akquisition Mapping aktualisieren, erneut benachrichtigen 4.3, 9.3 Vorstandsprotokolle, Änderungsprotokoll
Jährliche oder Trigger-Überprüfung Überprüfung durch den Vorstand, Aktualisierung von RACI 5.3, 9.3 RACI, Vorstandsabnahme
Lieferantenwechsel RACI-Update, Lieferkettenüberprüfung A.5.2, A.5.19 RACI/Log, Due-Diligence-Datei

ISMS.online integriert diese in eine Workflow-gesteuerte Echtzeit-Plattform: Jede Zuordnung, Ausnahme, Mitarbeiter-/Vorstandsunterschrift und Version wird kontrolliert, mit einem Zeitstempel versehen und kann vom Vorstand für Überprüfungen oder Anfragen von Aufsichtsbehörden exportiert werden. Im Gegensatz zu statischen Dokumenten oder Tabellenkalkulationen werden so Beweise „lebendig“: Sie sehen alle Änderungen im Zuge der Unternehmensentwicklung und verfügen stets über einen Prüfpfad. Echte Auditbereitschaft entsteht täglich, nicht nur einmal im Jahr.

Ihr Konformitätsnachweis besteht nicht darin, was Sie bei der Prüfung sagen, sondern darin, was Ihre Aufzeichnungen auf Anfrage sofort zeigen können.

Referenzen: (https://de.isms.online),,

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.