NIS2-Audit-Vorbereitung: Dokumentation und Nachweise

NIS2-Audit-Vorbereitung: Dokumentation und Nachweise.

Zusammenfassung

The NIS2 Directive (Directive (EU) 2022/2555) does not merely require entities to implement cybersecurity measures — it requires them to prove they have done so. Article 32(1) gives competent authorities broad powers to conduct on-site and remote audits, request any documentation, and interview personnel. For the approximately 30,000+ entities newly brought into scope across the EU, the question is no longer whether they will be audited, but when.

Germany’s BSI has already announced it will audit all ~29,000 in-scope entities on a rolling basis through 2028 (Source: BSI Lage- und Entwicklungstand der Informationssicherheit in Deutschland, 2025). France’s ANSSI is building a dedicated NIS2 inspection unit. Italy’s ACN has published its audit methodology for essential and important entities. The enforcement wave is building.

Kernpunkte

• NIS2-Compliance ist 2026 keine Option — sie ist Pflicht
• Die Strafen sind erheblich: bis zu 10 Mio. Euro oder 2% des weltweiten Umsatzes
• Persönliche Haftung für Leitungsorgane ist Realität
• Cyber-Versicherung und NIS2-Compliance ergänzen sich

Praktische Schritte

1. Klassifizierung klären — Wesentlich oder wichtig?
2. Gap-Analyse durchführen — Aktuelle Maßnahmen vs. Artikel 21
3. Maßnahmen priorisieren — Höchste Wirkung zuerst
4. Dokumentieren — Vollständiges Nachweispaket erstellen
5. Versicherung prüfen — NIS2-Compliance aktiv kommunizieren

Nützliche Tools

• NIS2-Checker — Kostenlose Bereitstellungsprüfung
• NIS2-Checkliste PDF — 15-Punkte-Download
• FAIR-Risikorechner — Finanzielle Risikoquantifizierung
• Cyber-Risikorechner — Versicherungsspezifische Risikobewertung

Verwandte Leitfäden:

• NIS2-Compliance-Leitfaden | NIS2-Strafen erklärt | NIS2-Gap-Analyse | NIS2-Audit-Vorbereitung