Artikel vom 3. Februar 2026
Audit-Vorbereitung NIS2: Checkliste für IT-Leiter
1. Was NIS2-Audits von klassischen IT-Audits unterscheidet #
NIS2-Prüfungen sind keine Papierchecks. Das BSI prüft nicht nur, ob Dokumente existieren. Es prüft, ob die beschriebenen Maßnahmen technisch umgesetzt und nachweislich getestet wurden.
Drei Unterschiede gegenüber klassischen IT-Compliance-Prüfungen:
Evidenzbasiert: Auditoren verlangen Logs, Testprotokolle, Screenshots, Konfigurationsnachweise. Ein Dokument, das beschreibt, was sein sollte, ohne Belege, was ist, reicht nicht.
Managementverantwortung: §38 BSIG verpflichtet die Geschäftsleitung, Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und selbst an Schulungen teilzunehmen. Auditoren fragen nach Vorstandsbeschlüssen, Management-Reviews und Eskalationswegen.
Kontinuierliche Verbesserung: Einmalige Maßnahmen reichen nicht. Prüfer fragen, wann der -Plan zuletzt getestet, wann das Datensicherungskonzept zuletzt aktualisiert wurde, wann zuletzt Schulungen stattfanden.
2. Checkliste: §30 BSIG, alle Prüfbereiche #
Bereich 1: Risikoanalyse und Sicherheitskonzepte #
Was Auditoren prüfen:
- Existiert eine aktuelle Risikoanalyse für alle kritischen Systeme?
- Sind Risiken priorisiert und mit Maßnahmen hinterlegt?
- Wurde die Risikoanalyse in den letzten 12 Monaten aktualisiert?
Checkliste:
- Risikoanalyse aller kritischen IT-Systeme dokumentiert (Datum, Methodik, Ergebnis)
- Risikobewertung nach Vertraulichkeit, Integrität, Verfügbarkeit
- Behandlungsplan für identifizierte Risiken mit Verantwortlichen und Terminen
- Risikoanalyse regelmäßig (mindestens jährlich) überprüft und freigegeben
- Geschäftsleitung hat Risikoanalyse dokumentiert zur Kenntnis genommen
Typischer Auditbefund: Risikoanalyse existiert, ist aber 3 Jahre alt und wurde nach dem letzten Umzug ins neue Rechenzentrum nie aktualisiert.
Bereich 2: Incident Handling und Meldepflicht #
Was Auditoren prüfen:
- Existiert ein Incident-Response-Plan mit definierten Rollen?
- Werden Vorfälle erkannt, klassifiziert und eskaliert?
- Sind die Meldepflichten an das BSI bekannt und in Prozessen verankert?
Meldepflichten im Überblick:
- Frühwarnung an das BSI: innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls
- Meldung mit erster Bewertung: innerhalb von 72 Stunden
- Abschlussbericht: spätestens 1 Monat nach der Meldung
Checkliste:
- Incident-Response-Plan schriftlich dokumentiert
- Rollen im IR-Plan besetzt und bekannt: Incident Commander, IT-Forensik, Kommunikation, Rechtsabteilung
- BSI-Meldeverfahren bekannt; Zugang registriert und getestet
- 24-Stunden-Eskalationspfad ohne Abhängigkeit von IT-Infrastruktur (wenn Systeme ausgefallen sind: wie geht die Meldung raus?)
- Kriterien für „erheblicher Vorfall” intern definiert und kommuniziert
- Letzter Incident-Response-Test (Tabletop oder Real-Test) dokumentiert
Typischer Auditbefund: IR-Plan existiert, enthält aber Handynummern von Mitarbeitern, die das Unternehmen verlassen haben. Letzter Test: unbekannt.
Bereich 3: Backup-Management und Wiederherstellung #
Dieser Bereich ist erfahrungsgemäß der häufigste Schwachpunkt in NIS2-Prüfungen.
Was Auditoren prüfen:
- Existiert ein Datensicherungskonzept nach BSI CON.3?
- Werden Backups regelmäßig durchgeführt und regelmäßig getestet?
- Ist mindestens eine Backup-Kopie physisch vom Produktionsnetz getrennt?
- Sind RTO und RPO je kritisches System definiert und durch Tests belegt?
Checkliste:
- Datensicherungskonzept nach BSI CON.3 schriftlich vorhanden und aktuell
- RPO und RTO für alle kritischen Systeme dokumentiert
- Backup-Frequenz in Linie mit RPO-Zielen (tägliches Backup bei RPO = 24 h; stündlich bei RPO = 1 h)
- Mindestens eine Backup-Kopie offline beziehungsweise physisch getrennt vom Produktionsnetz (Air-Gap-Regel)
- Recovery-Test-Protokolle der letzten vier Quartale vorhanden
- Letzter Test: vollständiger Restore eines kritischen Systems mit gemessener Restorezeit
- Restorezeit liegt innerhalb des dokumentierten RTO
- Backup-Systeme werden mit separaten Administratorkonten verwaltet
- Backup-Erfolgsquote wird überwacht; Fehler werden eskaliert
Audit-Frage, auf die Sie vorbereitet sein müssen: „Bitte zeigen Sie mir das Protokoll des letzten vollständigen Recovery-Tests von [kritischem System X]. Wann war das? Wie lange hat die Wiederherstellung gedauert? Lagen Sie innerhalb Ihres RTO?”
Bereich 4: Business Continuity und Krisenmanagement #
Was Auditoren prüfen:
- Existiert ein Business Continuity Plan (BCP)?
- Ist eine Business Impact Analysis (BIA) durchgeführt worden?
- Werden Notfall-Kommunikationswege regelmäßig getestet?
Checkliste:
- Business Impact Analysis (BIA) für alle kritischen Geschäftsprozesse durchgeführt
- Maximum Tolerable Downtime (MTD) je Prozess dokumentiert
- Business Continuity Plan schriftlich vorhanden, Datum der letzten Überarbeitung bekannt
- Krisenmanagement-Team definiert mit Vertretungsregelungen
- Notfall-Kommunikationsplan: Wer informiert wen wie (auch wenn IT-Systeme ausgefallen sind)?
- BCP-Test (Tabletop oder Real-Test) in den letzten 12 Monaten durchgeführt und dokumentiert
- -Plan ist offline verfügbar (gedruckt, im Tresor; oder verschlüsselt auf Medium ohne Netzabhängigkeit)
Typischer Auditbefund: BCP existiert als Dokument, wurde aber nie getestet. Mitarbeiter kennen ihre Rolle im Krisenfall nicht. Notfall-Kontaktliste enthält veraltete Nummern.
Bereich 5: Sicherheit der Lieferkette #
Was Auditoren prüfen:
- Werden kritische IT-Lieferanten und Dienstleister auf Sicherheitsrisiken bewertet?
- Existieren vertragliche Anforderungen an die Cybersicherheit von Lieferanten?
- Sind Abhängigkeiten von kritischen Einzellieferanten bekannt und bewertet?
Checkliste:
- Inventar kritischer IT-Lieferanten (Hardware, Software, Cloud-Dienste, Managed Services)
- Sicherheitsbewertung kritischer Lieferanten (Fragebögen, Zertifikate, Audit-Rechte)
- Vertragliche Cybersicherheitsanforderungen in Neuverträgen enthalten
- Ausfall eines kritischen Lieferanten als Szenario im BCP berücksichtigt
- Cloud-Abhängigkeiten bewertet: Was passiert, wenn der Cloud-Anbieter ausfällt oder gesperrt wird?
- Hardware-Herkunft bewertet: Lieferkettensicherheit für Komponenten kritischer Systeme
Wichtig: Für den Backup-Bereich bedeutet das: Der Backup-Hardware-Hersteller ist ein kritischer Lieferant. Dessen Ausfallszenario und Lieferkette müssen bewertet sein.
Bereich 6: Technische Sicherheitsmaßnahmen und Schwachstellenmanagement #
Was Auditoren prüfen:
- Werden bekannte Schwachstellen zeitnah behoben?
- Ist Multi-Faktor-Authentifizierung für privilegierte Zugänge umgesetzt?
- Ist Netzwerksegmentierung vorhanden?
Checkliste:
- Patch-Management-Prozess dokumentiert: Kritische Patches innerhalb wie vieler Tage?
- Schwachstellenscans regelmäßig (mindestens quartalsweise) und Ergebnisse dokumentiert
- MFA für alle privilegierten Konten (Admin, Backup-Admin, Firewall-Admin) erzwungen
- MFA für Remote Access (VPN, RDP) erzwungen
- Netzwerksegmentierung vorhanden: Backup-Systeme in eigenem VLAN/Segment
- Endpunktschutz (E/X) auf allen kritischen Systemen aktiv
- Zentrale Log-Sammlung und SIEM-Auswertung für sicherheitsrelevante Ereignisse
Bereich 7: Schulungen und Cyberhygiene #
Checkliste:
- Sicherheitsschulungen für alle Mitarbeiter mindestens jährlich (Nachweis: Teilnehmerlisten)
- Phishing-Simulationen regelmäßig durchgeführt und dokumentiert
- IT-Sicherheits-Policy kommuniziert und von Mitarbeitern bestätigt
- Schulung der Geschäftsleitung: §38 BSIG verpflichtet die Leitungsebene zur Teilnahme an Schulungen; Nachweise dokumentieren
Bereich 8: Verschlüsselung und Kryptografie #
Checkliste:
- Verschlüsselungsstandards dokumentiert (AES-256 für ruhende Daten; TLS 1.2+ für Übertragung)
- Backup-Daten im Ruhezustand verschlüsselt
- Schlüsselmanagement dokumentiert: Wo werden Verschlüsselungsschlüssel aufbewahrt?
- Schlüssel offline verfügbar (wenn die IT ausgefallen ist: kann der Restore trotzdem entschlüsselt werden?)
3. Die 10 häufigsten Auditbefunde und wie man sie vermeidet #
- Recovery-Tests fehlen. Ursache: „Haben keine Zeit gehabt.” Gegenmittel: Kalender-Eintrag, 4 Quartalstests pro Jahr, Protokollpflicht.
- Veralteter -Plan. Ursache: Plan nie aktualisiert nach letzter Infrastrukturveränderung. Gegenmittel: jährlicher Review-Termin.
- Keine Offline-Backup-Kopie. Ursache: Backup nur auf netzgebundenen Systemen. Gegenmittel: Air-Gap-Layer einführen (Silent Brick System).
- Backup mit Produktions-Credentials. Ursache: ein Admin-Konto für alles. Gegenmittel: separate Backup-Admin-Konten einrichten.
- IR-Plan ohne Meldepflichten. Ursache: Plan stammt aus der Zeit vor NIS2. Gegenmittel: IR-Plan mit den BSIG-Meldepflichten (24 h / 72 h / 1 Monat) aktualisieren.
- BIA nie durchgeführt. Ursache: wird als optional betrachtet. Gegenmittel: BIA als Projekt aufsetzen, Ergebnis dem Vorstand vorlegen.
- Kein SIEM, kein SOC. Ursache: bisher kein Druck. Gegenmittel: Minimalimplementierung mit Log-Aggregation und Alarmierung.
- MFA nicht erzwungen. Ursache: VPN nur mit Passwort. Gegenmittel: MFA für alle privilegierten Zugänge binnen 30 Tagen.
- Lieferantenrisiko unbekannt. Ursache: kein Inventar. Gegenmittel: kritische Lieferanten inventarisieren, Fragebögen versenden.
- Schulungsnachweise fehlen. Ursache: Schulungen fanden mündlich statt. Gegenmittel: digitale Bestätigungen, LMS-System oder Unterschriftenlisten.
4. Zeitplan: Was wann bereit sein muss #
- BSI-Registrierung (NIS2): Frist war der 6. März 2026. Falls noch nicht erfolgt: sofort nachholen.
- Technische Maßnahmen nach §30 BSIG: Pflicht seit 6. Dezember 2025, laufend. Priorität: kritisch.
- Umsetzungsnachweis besonders wichtiger Einrichtungen: bis Dezember 2028 gegenüber dem BSI. Wer erst 2028 anfängt, schafft den Nachweis nicht.
- Datensicherungskonzept BSI CON.3: vor der ersten Prüfung. Priorität: hoch.
- Recovery-Testprotokoll (letzter Test): vor der ersten Prüfung. Priorität: hoch.
- Business Continuity Plan: vor der ersten Prüfung. Priorität: hoch.
- Air-Gap-Layer (wenn fehlend): 4 bis 8 Wochen Umsetzungszeit einplanen. Priorität: hoch.
- Schulungsnachweise: laufend, mindestens jährlich. Priorität: mittel.
Hinweis: BSI-Prüfungen finden statt. Einrichtungen, die auf den Prüftermin warten, bevor sie handeln, haben zu wenig Zeit für Maßnahmen wie die Einführung eines Air-Gap-Layers.
5. Audit-Tag: Was Sie bereithalten müssen #
Bereiten Sie folgende Dokumente für den Audit-Tag vor, gedruckt oder sofort abrufbar:
- Datensicherungskonzept (aktuell, Datum sichtbar)
- Recovery-Testprotokolle der letzten vier Quartale
- Business Continuity Plan mit Datum der letzten Aktualisierung
- Incident-Response-Plan mit aktuellen Kontaktdaten
- Risikoanalyse mit Datum und Freigabe der Geschäftsleitung
- Lieferantenbewertungen für kritische IT-Anbieter
- Nachweis der BSI-Registrierung
- Schulungsnachweise (letztes Jahr)
- Patch-Management-Dokumentation (letztes Quartal)
- Netzwerkdokumentation und Segmentierungsnachweis
Weiterführende Ressourcen #
→ NIS2 und IT-Resilienz: Was das Gesetz konkret fordert (/de/blog/nis2-it-resilienz-anforderungen/) → Backup-Architektur für KRITIS: Referenzdesign (/de/blog/backup-architektur-kritis-referenzdesign/) → Tabletop Exercise Ransomware: Anleitung und Szenarien (/de/blog/tabletop-exercise-ransomware/) → IT-Resilienz: Leitfaden für widerstandsfähige IT (/de/blog/it-resilienz-leitfaden/)
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Business Continuity Management
Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.