NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz
2026-02-22
By Anna Bley

NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz

NIS2 gibt Aufsichtsbehörden das Recht, jederzeit Nachweise anzufordern. Nicht beim nächsten Audit. Nicht nach Vorankündigung. Jederzeit. Was das für Ihre Nachweisführung bedeutet – und warum die meisten Unternehmen darauf nicht vorbereitet sind.

NIS2
Security
Compliance

NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz

Die meisten Unternehmen behandeln Compliance-Nachweise wie Steuererklärungen: einmal im Jahr zusammensammeln, aufbereiten, einreichen, abheften. Ein ISMS nach ISO 27001 funktioniert im Dreijahreszyklus – Zertifizierung, Überwachungsaudit, Re-Zertifizierung. Dazwischen: interne Audits nach Plan. Das funktioniert, solange niemand zwischen den Zyklen nachfragt.

NIS2 fragt zwischen den Zyklen nach. Die Nachweispflicht unter NIS2 ist nicht periodisch, sondern permanent. Dieser Artikel zeigt, was das konkret bedeutet, warum die Umstellung von Audit-Vorbereitung auf kontinuierliche Evidenz der unterschätzteste Teil der NIS2-Compliance ist – und wie Sie den Übergang gestalten.

Direkt zu:


Was NIS2 an Nachweisen verlangt {#was-nis2-verlangt}

Die Nachweispflicht unter NIS2 ergibt sich nicht aus einer einzelnen Vorschrift, sondern aus dem Zusammenspiel mehrerer Regelungen. Im deutschen Kontext:

§ 30 BSIG – Risikomanagementmaßnahmen: Die zehn Maßnahmen aus Artikel 21(2) müssen nicht nur implementiert, sondern in ihrer Wirksamkeit nachgewiesen werden. „Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" – das Wort „wirksam" ist der entscheidende Unterschied zu einer reinen Implementierungspflicht.

§§ 61–65 BSIG – Aufsicht und Durchsetzung: Das BSI erhält erweiterte Aufsichtsbefugnisse. Für besonders wichtige Einrichtungen: proaktive Aufsicht mit Vor-Ort-Prüfungen, Sicherheitsaudits, Nachweisanforderungen – ohne konkreten Anlass. Für wichtige Einrichtungen: reaktive Aufsicht, aber mit der gleichen Befugnis zur Nachweisanforderung, sobald ein Anlass besteht.

§ 32 BSIG – Meldepflichten: Die dreistufige Meldepflicht erzeugt eigene Nachweisanforderungen: Jede Meldung muss inhaltlich korrekt, fristgerecht und nachvollziehbar dokumentiert sein. Der Abschlussbericht nach einem Monat ist ein umfassender Nachweis der gesamten Vorfallbehandlung.

Artikel 32 und 33 der NIS2-Richtlinie – Aufsicht: Aufsichtsbehörden können verlangen: Nachweise über die Umsetzung der Cybersicherheitsstrategien. Ergebnisse von Sicherheitsaudits. Daten, Dokumente und Informationen, die zur Erfüllung der Aufsichtsaufgaben erforderlich sind. Nachweise über die Umsetzung der Risikomanagementmaßnahmen.

Kurz: NIS2 verlangt nicht „haben Sie einen Prozess?", sondern „können Sie jetzt beweisen, dass Ihr Prozess wirksam ist?"


Das Audit-Vorbereitungs-Problem {#audit-vorbereitungs-problem}

Die meisten Unternehmen – auch solche mit einem ausgereiften ISMS – betreiben Nachweisführung im Modus „Audit-Vorbereitung". Das bedeutet:

Zyklischer Rhythmus: Nachweise werden gesammelt, wenn ein Audit ansteht. Internes Audit einmal im Jahr, externes Audit nach Zertifizierungszyklus. Dazwischen: Dokumentation wird gepflegt, aber Nachweise werden nicht aktiv vorgehalten.

Retrospektive Zusammenstellung: Wenn der Auditor kommt, beginnt die Suche: Wo liegt der aktuelle Risikobericht? Wann war das letzte Management-Review? Welche Maßnahmen wurden nach dem letzten Audit umgesetzt? Wer hat die letzte Lieferantenbewertung freigegeben? Die Nachweise existieren meistens – aber sie sind verstreut, uneinheitlich formatiert und nicht sofort abrufbar.

Vertrauensbasierte Zwischenzeit: Zwischen den Audits vertraut man darauf, dass die Prozesse wie dokumentiert laufen. Stichproben sind selten. Die tatsächliche Wirksamkeit wird nicht kontinuierlich überprüft, sondern beim nächsten Audit nachträglich bewertet.

Dieses Modell funktioniert unter ISO 27001. Es funktioniert nicht unter NIS2.

Der Unterschied:

EigenschaftISO-27001-AuditmodellNIS2-Nachweismodell
RhythmusGeplant (jährlich/dreijährlich)Jederzeit auf Anforderung
AuslöserAuditkalkenderBehördenanfrage, Vorfall, Routineprüfung
VorbereitungszeitWochen bis MonateTage
Erwarteter Zustand„Wir waren zum Auditzeitpunkt konform"„Wir sind jetzt konform"
NachweisformatAuditbericht, ManagementbewertungAktuelle Artefakte mit Metadaten
Konsequenz bei LückenNebenabweichung, KorrekturmaßnahmeAnordnung, Bußgeld, persönliche Haftung

Die kritische Implikation: NIS2 verlangt nicht, dass Sie zum nächsten geplanten Audit konform sind. NIS2 verlangt, dass Sie jetzt konform sind – und das jederzeit nachweisen können.


Was kontinuierliche Evidenz konkret bedeutet {#kontinuierliche-evidenz}

Kontinuierliche Evidenz bedeutet nicht „ständig auditiert werden". Es bedeutet: Der Nachweis Ihrer Compliance ist zu jedem Zeitpunkt abrufbar, aktuell und verifizierbar.

Drei Eigenschaften, die jeder Nachweis haben muss:

  1. Aktuell: Der Nachweis bildet den heutigen Stand ab – nicht den Stand vom letzten Audit. Ein Risikobericht von vor sechs Monaten ist ein historisches Dokument, kein Nachweis der aktuellen Risikolage.

  2. Verifizierbar: Der Nachweis enthält Metadaten, die seine Gültigkeit belegen: Wer hat ihn erstellt? Wann? In welchem Kontext? Ist er freigegeben? Von wem? Diese Metadaten sind nicht optional – sie sind es, die ein Dokument von einem Nachweis unterscheiden.

  3. Abrufbar: Der Nachweis kann innerhalb von Stunden – nicht Wochen – zusammengestellt und vorgelegt werden. Nicht „wir müssen erst beim Verantwortlichen nachfragen" oder „das liegt irgendwo im SharePoint."

Was das in der Praxis heißt:

Statt eines jährlichen Risikoberichts: ein lebendes Risikoinventar, das bei jeder Änderung aktualisiert wird und dessen letzte Aktualisierung sofort sichtbar ist.

Statt einer Liste abgeschlossener Schulungen: ein Nachweis, wer wann welche Schulung absolviert hat – einschließlich der Geschäftsführung – mit Gültigkeitsdatum und automatischer Erinnerung bei Ablauf.

Statt eines Ordners mit Lieferantenfragebögen: eine Übersicht aller Lieferantenbewertungen mit Status, Datum der letzten Bewertung, nächster geplanter Bewertung und ggf. Ergebnis anlassbezogener Re-Assessments.

Statt eines archivierten Incident-Response-Plans: der Nachweis, dass der Plan getestet wurde – wann, mit welchem Szenario, mit welchen Ergebnissen und welchen daraus abgeleiteten Verbesserungen.


Die fünf Evidenzkategorien {#fuenf-kategorien}

Nicht jeder Nachweis hat die gleiche Struktur. Für eine systematische Nachweisführung unter NIS2 lassen sich fünf Kategorien unterscheiden:

1. Governance-Nachweise

Was: Richtlinien, Strategien, Rahmenwerke – die dokumentierte Grundlage Ihrer Cybersicherheit.

Beispiele: Informationssicherheitsleitlinie, Risikomanagement-Rahmenwerk, Incident-Response-Plan, Lieferantensicherheitsrichtlinie, Kryptographierichtlinie.

Anforderung unter NIS2: Müssen existieren, aktuell sein, von der Geschäftsführung freigegeben und den Mitarbeitenden bekannt sein. Regelmäßige Überprüfung nachweisbar.

Typische Lücke: Die Dokumente existieren, aber die letzte Überprüfung liegt zwei Jahre zurück. Oder: Die Freigabe durch die Geschäftsführung ist nicht dokumentiert.

Aktualisierungsrhythmus: Mindestens jährlich oder bei wesentlichen Änderungen. Freigabe mit Datum und Unterschrift.

2. Operative Nachweise

Was: Belege dafür, dass die Governance-Dokumente tatsächlich umgesetzt werden – dass Prozesse nicht nur beschrieben, sondern gelebt werden.

Beispiele: Durchgeführte Risikobewertungen, abgeschlossene Lieferantenbewertungen, durchgeführte Patch-Management-Zyklen, abgeschlossene Schulungen, Ergebnisse von Penetrationstests, Protokolle von Management-Reviews.

Anforderung unter NIS2: Regelmäßig und nachvollziehbar. Nicht „wir machen das", sondern „hier ist der Nachweis, dass wir es gemacht haben – wann, von wem, mit welchem Ergebnis."

Typische Lücke: Die Prozesse laufen, aber die Dokumentation ist lückenhaft. Oder: Einzelne Verantwortliche führen ihre Nachweise in persönlichen Ordnern, die für andere nicht zugänglich sind.

Aktualisierungsrhythmus: Fortlaufend, entsprechend dem jeweiligen Prozesszyklus.

3. Wirksamkeitsnachweise

Was: Belege dafür, dass die implementierten Maßnahmen tatsächlich wirksam sind – nicht nur dass sie existieren.

Beispiele: Ergebnisse von Tabletop-Übungen (mit dokumentierten Verbesserungen), KPIs für Incident Response (Reaktionszeiten, Eskalationszeiten), Ergebnisse von Security Audits, Vulnerability-Scan-Ergebnisse mit Trend, Metriken zur Patch-Geschwindigkeit.

Anforderung unter NIS2: Explizit gefordert in Artikel 21(2)(f) – „Konzepte und Verfahren zur Bewertung der Wirksamkeit." Die Behörde will nicht wissen, dass Sie einen Prozess haben. Sie will wissen, ob er funktioniert.

Typische Lücke: Die mit Abstand häufigste Lücke. Die meisten Unternehmen können nachweisen, dass Maßnahmen implementiert sind. Die wenigsten können nachweisen, dass sie wirksam sind. Tabletop-Übungen werden nicht durchgeführt oder nicht dokumentiert. KPIs werden nicht erhoben. Die Wirksamkeitsbewertung beschränkt sich auf „keine Vorfälle = alles funktioniert."

Aktualisierungsrhythmus: Mindestens halbjährlich für Übungen, fortlaufend für Metriken.

4. Vorfallbezogene Nachweise

Was: Dokumentation der Vorfallbehandlung – von der Erkennung bis zum Abschlussbericht.

Beispiele: Triage-Protokolle, Lagebilder (versioniert), Entscheidungslogs, regulatorische Meldungen (alle drei Stufen), Kommunikationsprotokolle (intern und extern), technische Analysen, Post-Incident-Reviews, Abschlussberichte.

Anforderung unter NIS2: Vollständig, versioniert, nachvollziehbar. Der Abschlussbericht nach einem Monat muss eine umfassende Dokumentation der gesamten Vorfallbehandlung enthalten – einschließlich Ursachenanalyse und ergriffener Maßnahmen.

Typische Lücke: Vorfallnachweise werden nachträglich rekonstruiert statt in Echtzeit dokumentiert. Oder: Die verschiedenen Artefakte liegen in verschiedenen Systemen und können nicht zusammengeführt werden.

Aktualisierungsrhythmus: Echtzeit während des Vorfalls, Konsolidierung innerhalb von 30 Tagen.

5. Lieferkettennachweise

Was: Dokumentation der Sicherheitsbewertung und -überwachung von Lieferanten und Dienstleistern.

Beispiele: Lieferantenrisikoklassifizierung, Assessment-Ergebnisse (initial und laufend), vertragliche Sicherheitsvereinbarungen, Monitoring-Ergebnisse, Dokumentation anlassbezogener Re-Assessments, Nachweis über Lieferanten-Vorfallkommunikation.

Anforderung unter NIS2: Berücksichtigung der „spezifischen Schwachstellen jedes einzelnen Lieferanten" und der „Gesamtqualität der Cybersicherheitspraktiken" (Art. 21(2)(d)). Das geht über eine jährliche Checkliste hinaus.

Typische Lücke: Lieferantennachweise sind veraltet (letztes Assessment vor 18 Monaten), unvollständig (nur kritische Lieferanten bewertet) oder nicht abrufbar (Ergebnisse liegen beim Einkauf, nicht bei Security).

Aktualisierungsrhythmus: Fortlaufendes Monitoring, anlassbezogene Re-Assessments, mindestens jährliche Vollbewertung kritischer Lieferanten.


Nachweis ist nicht gleich Dokument

Ein häufiges Missverständnis: Mehr Dokumente bedeuten bessere Nachweisführung. Das Gegenteil ist der Fall.

Ein Dokument wird zum Nachweis erst durch Kontext:

  • Wer hat es erstellt? (Verantwortlichkeit)
  • Wann wurde es erstellt oder zuletzt aktualisiert? (Aktualität)
  • Ist es freigegeben? Von wem? (Autorisierung)
  • Wie lange ist es gültig? (Geltungsbereich)
  • Wo liegt es? Wer hat Zugriff? (Abrufbarkeit)
  • Welche Version ist aktuell? (Versionierung)

Ohne diese Metadaten ist eine 50-seitige Risikobewertung weniger wert als eine einseitige Zusammenfassung mit klarer Verantwortlichkeit, Datum und Freigabe.

Die Konsequenz für die Praxis: Es geht nicht darum, mehr zu dokumentieren. Es geht darum, das Vorhandene so zu strukturieren, dass es jederzeit als Nachweis dienen kann – mit den richtigen Metadaten, an einem zentralen Ort, in einem konsistenten Format.


Der Aufbau in der Praxis {#aufbau}

Phase 1: Inventur (Woche 1–2)

Bevor Sie etwas Neues aufbauen, erfassen Sie, was bereits existiert. Die meisten Unternehmen haben deutlich mehr Nachweise, als sie denken – sie sind nur verstreut und nicht als solche gekennzeichnet.

Für jede der fünf Evidenzkategorien:

  • Welche Nachweise existieren bereits?
  • Wo liegen sie? (ISMS-Tool, SharePoint, E-Mail, lokale Ordner?)
  • Wie aktuell sind sie?
  • Haben sie die nötigen Metadaten?
  • Wer ist verantwortlich?

Das Ergebnis ist eine Bestandsmatrix: Fünf Kategorien, aktuelle Abdeckung, Lücken.

Phase 2: Konsolidierung (Woche 3–6)

Zentralisieren Sie die vorhandenen Nachweise. Nicht unbedingt in einem neuen Tool – aber an einem zentralen Ort mit einheitlicher Struktur:

  • Jeder Nachweis bekommt Metadaten: Verantwortlicher, Erstellungsdatum, Gültigkeitsdatum, Freigabestatus, Version.
  • Verknüpfung mit der Anforderung: Welche NIS2-Maßnahme deckt dieser Nachweis ab? (Referenz auf Art. 21(2)(a-j) oder § 30 BSIG)
  • Status-Tracking: Aktuell / Überprüfung fällig / Abgelaufen / Fehlt.

Phase 3: Lücken schließen (Monat 2–4)

Jetzt die Lücken aus Phase 1 adressieren. Typische Prioritäten:

  1. Wirksamkeitsnachweise aufbauen: Das ist fast immer die größte Lücke. Tabletop-Übungen planen und dokumentieren. KPIs für Kernprozesse definieren und erheben. Erste Wirksamkeitsbewertung durchführen.

  2. Lieferkettennachweise aktualisieren: Veraltete Assessments erneuern. Monitoring-Fähigkeit aufbauen. Vertragliche Grundlagen prüfen.

  3. Vorfallnachweise vorbereiten: Templates für Echtzeit-Dokumentation. Strukturen für versionierte Lagebilder. Archivierungsprozess für abgeschlossene Vorfälle.

Phase 4: Automatisierung (Monat 3–6)

Identifizieren Sie, welche Nachweise automatisch generiert oder aktualisiert werden können:

  • Schulungsnachweise aus dem LMS
  • Patch-Status aus dem Vulnerability Management
  • Zugriffsprotokolle aus dem IAM
  • Lieferanten-Monitoring aus der Trust-Center-Plattform
  • Vorfallprotokolle aus dem Incident-Management-System

Automatisierung reduziert den manuellen Aufwand und erhöht die Aktualität. Nicht alles muss automatisiert sein – aber alles, was sich automatisieren lässt, sollte automatisiert werden.

Phase 5: Test (Monat 4–6)

Der ultimative Test: Simulieren Sie eine BSI-Anfrage.

Szenario: Das BSI fordert innerhalb von fünf Werktagen Nachweise an zu:

  • Ihrer aktuellen Risikolage und den getroffenen Risikomanagementmaßnahmen
  • Der Wirksamkeit Ihrer Incident-Management-Fähigkeit
  • Dem aktuellen Status Ihrer Lieferantensicherheit
  • Den Schulungsnachweisen Ihrer Geschäftsführung

Können Sie das liefern? In fünf Tagen? Vollständig, aktuell, verifizierbar?

Wenn ja: Sie sind vorbereitet. Wenn nein: Sie wissen jetzt, was fehlt.


Interne Steuerung und externe Kommunikation

Ein ISMS steuert die interne Sicherheit: Risiken identifizieren, Maßnahmen umsetzen, Wirksamkeit bewerten, kontinuierlich verbessern. Das ist und bleibt unverzichtbar.

Die Nachweispflicht unter NIS2 fügt eine externe Dimension hinzu: Die Fähigkeit, Dritten – Aufsichtsbehörden, Kunden, Partnern – jederzeit zu zeigen, dass die interne Steuerung funktioniert. Nicht mit einem Audit-Bericht von gestern, sondern mit aktuellen, verifizierbaren Nachweisen.

Das sind zwei verschiedene Aufgaben. Die interne Steuerung braucht ein ISMS. Die externe Kommunikation braucht eine Ebene, die Nachweise strukturiert, aktuell hält und auf Abruf bereitstellt – ein Trust Center, das die Brücke zwischen interner Governance und externer Nachweispflicht bildet.


Quellen

  1. Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) – Volltext – Artikel 21(2)(f) zur Wirksamkeitsbewertung, Artikel 32 und 33 zu den Aufsichtsbefugnissen.
  2. BSI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – § 30 BSIG zu Risikomanagementmaßnahmen, §§ 61–65 zu Aufsicht und Durchsetzung.
  3. ENISA – Implementing Guidance on NIS2 Security Measures – Umsetzungsempfehlungen einschließlich Nachweisanforderungen.
  4. ISO/IEC 27001:2022 – Informationssicherheitsmanagementsysteme – Anforderungen an interne Audits, Management-Reviews und kontinuierliche Verbesserung als Vergleichsbasis.
  5. BSI – Orientierungshilfe NIS-2 für die Wirtschaft – Orientierungshilfe zur praktischen Umsetzung.

Weiterführende Inhalte