MATTALNET
Назад к блогу
Compliance & Sicherheit

NIS2-Audit: Ablauf, Checkliste und Vorbereitung

MATTALNETОпубликовано 16 июня 2026 г.3 мин. чтения
NIS2AuditComplianceCybersecurityRisikomanagement

Ein NIS2-Audit prüft, ob Ihre Cybersicherheitsmaßnahmen den Anforderungen der NIS2-Richtlinie entsprechen – vorhanden, dokumentiert und wirksam. Dieser Leitfaden erklärt den Ablauf, liefert eine konkrete NIS2 Audit Checklist und zeigt, wie Sie sich vorbereiten.

Was ist ein NIS2-Audit?

Beim NIS2-Audit wird überprüft, ob ein Unternehmen die Risikomanagementpflichten aus Artikel 21 und die Meldepflichten aus Artikel 23 der NIS2-Richtlinie erfüllt. Geprüft wird nicht nur, ob Maßnahmen existieren, sondern ob sie dokumentiert, gelebt und nachweisbar wirksam sind. Eine reine Absichtserklärung genügt nicht – es zählen Nachweise.

Wenn Sie noch klären müssen, ob und wie Ihr Unternehmen betroffen ist, lesen Sie zuerst unsere NIS2-Checkliste mit allen Pflichten im Überblick.

Wer prüft – und wie?

In Deutschland ist das BSI die zuständige Aufsichtsbehörde. NIS2 unterscheidet bei der Aufsicht nach Einrichtungstyp:

  • Wesentliche Einrichtungen: proaktive Aufsicht – regelmäßige und anlassbezogene Prüfungen, Vor-Ort-Kontrollen und Sicherheitsaudits sind möglich.
  • Wichtige Einrichtungen: reaktive Aufsicht – Prüfungen vor allem bei konkretem Anlass (z. B. nach einem Vorfall oder Hinweis).

Unabhängig davon empfiehlt sich ein internes Vor-Audit (Self-Assessment), um Lücken früh zu finden, bevor es die Behörde oder ein Kunde in der Lieferkette tut.

NIS2 Audit Checklist: die Prüfbereiche

Diese Audit-Checkliste orientiert sich an den zehn Maßnahmenbereichen aus Artikel 21. Für jeden Punkt gilt die Leitfrage: Existiert die Maßnahme – ist sie dokumentiert – ist sie wirksam – gibt es Nachweise?

  1. Risikomanagement: aktuelle Risikoanalyse und Informationssicherheits-Leitlinie vorhanden und freigegeben?
  2. Incident Handling: dokumentierter Prozess für Erkennung, Reaktion und Nachbereitung von Vorfällen?
  3. Business Continuity: Backup-Konzept, getestete Wiederherstellung und Krisenmanagementplan?
  4. Lieferkettensicherheit: Sicherheitsanforderungen vertraglich an Dienstleister weitergegeben und überprüft?
  5. Sichere Entwicklung & Beschaffung: Schwachstellenmanagement, Patch-Prozess und sichere Software-Entwicklung?
  6. Wirksamkeitsmessung: Kennzahlen, Tests oder Audits, die die Wirksamkeit der Maßnahmen belegen?
  7. Cyberhygiene & Schulung: regelmäßige Awareness-Trainings mit Teilnahmenachweis?
  8. Kryptografie: Verschlüsselungskonzept für Daten in Ruhe und bei Übertragung?
  9. Zugriffskontrolle & Assets: Berechtigungskonzept, Asset-Inventar und Personalsicherheit?
  10. MFA & sichere Kommunikation: Multi-Faktor-Authentifizierung und gesicherte Kommunikationswege im Einsatz?

Welche Nachweise das Audit verlangt

Bereiten Sie für jeden Bereich Belege vor. Typische Nachweise:

  • Richtlinien und Konzepte (Informationssicherheit, Backup, Zugriff, Kryptografie)
  • Risikoanalyse mit Datum und Verantwortlichen
  • Vorfall- und Meldeprotokolle inkl. eingehaltener 24/72-Stunden-Fristen
  • Schulungsnachweise und Teilnahmequoten
  • Lieferantenverträge mit Sicherheitsklauseln
  • technische Logs, Patch- und Schwachstellenberichte
  • Protokoll der Freigabe und Überwachung durch die Geschäftsleitung

In 6 Schritten audit-fähig

  1. Scope festlegen – betroffene Systeme, Standorte und Prozesse abgrenzen.
  2. Gap-Analyse – Ist-Zustand gegen die Audit-Checklist abgleichen.
  3. Lücken schließen – fehlende Maßnahmen umsetzen und priorisieren.
  4. Dokumentation schaffen – Nachweise strukturiert und auffindbar ablegen.
  5. Ernstfall testen – Incident-Response und Meldekette üben.
  6. Internes Vor-Audit – Self-Assessment durchführen und nachsteuern.

Häufige Lücken im NIS2-Audit

Immer wieder fallen dieselben Schwachstellen auf: fehlende oder veraltete Dokumentation, keine getesteten Backups, MFA nicht flächendeckend, ungeprüfte Zulieferer, keine messbare Wirksamkeit und eine Geschäftsleitung, die Maßnahmen nicht nachweislich freigegeben hat. Viele dieser Punkte entscheiden sich auf Software-Ebene – sichere Entwicklung, Zugriffskontrolle, Verschlüsselung und revisionssichere Protokollierung lassen sich nicht nachträglich „aufkleben“.

MATTALNET baut Systeme so, dass diese Anforderungen von Anfang an erfüllt sind – mit sauberer Architektur, Tests und nachweisbaren Sicherheitsmechanismen, die einem NIS2-Audit standhalten.

Häufige Fragen zum NIS2-Audit

Muss jedes Unternehmen ein externes NIS2-Audit machen?

Nicht zwingend regelmäßig – das hängt vom Einrichtungstyp ab. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht, wichtige Einrichtungen eher reaktiver. Ein internes Vor-Audit ist in beiden Fällen sinnvoll.

Wie oft sollte man auditieren?

Mindestens einmal jährlich sowie nach größeren Änderungen an Systemen oder nach einem Sicherheitsvorfall.

Was passiert bei Mängeln?

Die Behörde kann Anordnungen treffen, Fristen setzen und Bußgelder verhängen; die Geschäftsleitung trägt persönliche Verantwortung.

Weiterlesen: NIS2-Risikomanagement – Prozess, Maßnahmen und Nachweise.

Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechts- oder Sicherheitsberatung.

Назад к блогу