NIS2-Nachweispflichten: Welche Artefakte wirklich zählen – und welche nicht

NIS2-Nachweispflichten: Welche Artefakte wirklich zählen – und welche nicht

NIS2 wird in vielen Unternehmen gerade mit hohem Tempo umgesetzt. Das ist verständlich: Die Erwartungshaltung ist groß, der Druck ist real, und niemand möchte in eine Situation kommen, in der man im Ernstfall oder in einer Prüfung erklären muss, warum etwas „noch nicht fertig“ ist. Genau hier entsteht aber ein typisches Nebenproblem, das ich in der Praxis immer wieder sehe: Nachweise werden zu früh als „Dokumentationsprojekt“ verstanden. Dann wächst die Menge an Artefakten schnell – aber die Prüfbarkeit wird nicht automatisch besser. Im Gegenteil: Wenn zu viele Dinge als Nachweis gelten sollen, wird es unklar, was wirklich zählt. Und Unklarheit ist im Audit der schnellste Weg zu Nachforderungen.

Dieser Artikel hilft Ihnen, die NIS2-Nachweispflichten pragmatisch zu sortieren. Nicht nach dem Motto „möglichst viel sammeln“, sondern nach dem Prinzip: Welche Artefakte belegen im Zweifel wirklich, dass Ihr Betrieb sicher und handlungsfähig ist? Und welche Artefakte sehen zwar ordentlich aus, bringen Ihnen aber wenig, weil sie weder Entscheidungen stützen noch die Umsetzung im Alltag nachvollziehbar machen?

Wichtig ist dabei eine einfache Unterscheidung, die im Alltag oft vermischt wird: Ein Dokument kann „wichtig“ sein, ohne ein guter Nachweis zu sein. Und ein Nachweis kann sehr unspektakulär aussehen, aber im Audit extrem stark sein. Prüfer sind selten beeindruckt von perfekt formatierten Konzepten. Sie sind beeindruckt von einer stabilen Spur: Entscheidung, Umsetzung, Ergebnis – schnell auffindbar und eindeutig.

Warum NIS2-Nachweise so oft „aufblähen“

NIS2 berührt viele Bereiche: Governance, Risiko, Maßnahmen, Meldewesen, Lieferkette. Sobald mehrere Teams parallel arbeiten, entsteht fast automatisch ein Artefakt-Mix. Security schreibt Richtlinien, IT schreibt Prozessbeschreibungen, Einkauf sammelt Lieferantendokumente, Risk baut Register, interne Revision formuliert Prüfprogramme. Wenn dann niemand einen gemeinsamen Nachweisstandard vorgibt, wird alles irgendwie zum „Nachweis“. Das führt zu zwei Effekten: Erstens steigt die Pflege- und Suchlast. Zweitens sinkt die Aussagekraft, weil nicht mehr klar ist, was der Prüfer als belastbar akzeptieren wird.

Der beste Gegenhebel ist deshalb nicht „noch ein Ordner“, sondern eine klare Nachweislogik. Und diese Nachweislogik ist im Kern sehr bodenständig: NIS2 will sehen, dass Sie im Alltag in der Lage sind, Risiken zu steuern, Vorfälle zu beherrschen und Lieferkettenabhängigkeiten nicht blind zu akzeptieren. Nachweise müssen genau diese Fähigkeit sichtbar machen.

Die wichtigste Regel: Artefakte müssen eine Funktion haben

Ein Artefakt, das nur existiert, „weil man es haben sollte“, ist selten ein starker Nachweis. Ein Artefakt wird dann stark, wenn es eine klare Funktion erfüllt. In der Praxis gibt es genau zwei Funktionen, die nahezu alles abdecken:

• Steuerung: Das Artefakt unterstützt eine Entscheidung oder eine Priorisierung (z. B. Risikoentscheidung, Freigabe, Eskalation, Ressourcen).
• Beleg: Das Artefakt zeigt nachvollziehbar, dass etwas umgesetzt wurde und wirksam ist (z. B. Ticketspur, Protokoll, Testresultat, Maßnahme abgeschlossen inkl. Validierung).

Wenn ein Artefakt weder Steuerung noch Beleg ist, wird es in Prüfungen oft zu „nice to have“ – und kostet Sie trotzdem Zeit.

Welche Artefakte unter NIS2 in der Praxis wirklich zählen

Ohne eine lange Liste zu bauen, lassen sich die wichtigsten Nachweise in wenige Kategorien bündeln. Das ist deshalb hilfreich, weil Prüfer typischerweise genauso denken: Sie prüfen nicht jedes Dokument, sondern wählen Stichproben entlang dieser Kategorien.

1) Nachweise, die zeigen, dass Verantwortlichkeit funktioniert
Hier geht es nicht darum, dass irgendwo eine Organigrammfolie liegt. Es geht darum, dass man im Ereignisfall und im Alltag klar benennen kann: Wer entscheidet, wer eskaliert, wer freigibt. Starke Nachweise sind deshalb häufig sehr simpel: eine Entscheidungsmatrix für kritische Entscheidungen (z. B. Einstufung schwerer Vorfälle, externe Kommunikation, Notbetrieb), dokumentierte Management-Entscheidungen in Reviews, und nachvollziehbare Stellvertretungsregelungen. Ein schwacher Nachweis ist dagegen oft eine Rollenbeschreibung ohne echte Verbindung zu Entscheidungen.

2) Nachweise aus dem Incident- und Meldeprozess (End-to-end)
Hier entscheidet sich viel. Prüfer wollen sehen, dass Vorfälle nicht nur technisch bearbeitet, sondern betrieblich geführt werden: Auswirkung, Einstufung, Kommunikation, Maßnahmen, Lernen. Der stärkste Nachweis ist meist ein „Incident-Paket“ aus realen Fällen (oder zumindest aus Übungen), das die komplette Kette sichtbar macht. Schwach ist dagegen eine Prozessbeschreibung ohne Fallbeispiele oder eine Sammlung von Tickets ohne klare Auswirkungs- und Entscheidungsspur.

3) Nachweise, dass Risiko Entscheidungen steuert
Ein Risikoregister allein ist oft zu wenig, wenn es keine Entscheidungsspur erzeugt. Starke Artefakte sind hier dokumentierte Risikoentscheidungen an klaren Decision Points: Go-Live kritischer Änderungen, wesentliche Provider-Änderungen, Ausnahmen vom Standard, Priorisierung von Maßnahmen. Schwach sind Register, die sehr „voll“ sind, aber nie sichtbar in Entscheidungen münden.

4) Nachweise zur Lieferkette, die echte Steuerung belegen
Unter NIS2 wird Lieferkette schnell zum Schwerpunkt. Entscheidend ist nicht, ob Sie Fragebögen haben, sondern ob Sie kritische Dienstleister laufend steuern: regelmäßige Reviews, dokumentierte Entscheidungen, Eskalationswege, nachvollziehbare Maßnahmenverfolgung. Ein kurzer, wiederkehrender Provider-Review mit klaren Outputs ist oft stärker als ein 80-seitiger Fragebogen, der einmal pro Jahr ausgefüllt wird und dann im Schrank verschwindet.

5) Nachweise der Wirksamkeit von Kontrollen
Viele Kontrollen klingen gut, solange man sie beschreibt. NIS2 will sehen, dass sie funktionieren. Der Unterschied zeigt sich in Artefakten wie Testresultaten, Stichprobenprotokollen, Monitoring-Auswertungen, Zugriffsreviews, Patch-/Schwachstellen-Reports inklusive Abweichungsbehandlung. Schwach sind Kontrollen, die nur als „erledigt“ bestätigt werden, ohne dass ein belastbares Ergebnis sichtbar wird.

Welche Artefakte oft viel Aufwand machen – aber wenig Wert liefern

Das ist der Teil, der im Alltag am meisten entlastet, wenn man ihn ehrlich adressiert. Ein paar typische Kandidaten, die ich in vielen Organisationen sehe:

• Überlange Policies, die alles abdecken wollen, aber im Alltag niemand nutzt und die kaum mit operativen Nachweisen verknüpft sind.
• Konzeptpapiere ohne Betriebsbezug (z. B. „Incident-Konzept“ ohne echte Incident-Pakete oder Übungen, „Lieferantenkonzept“ ohne Review-Takt und Entscheidungen).
• Mapping-Tabellen ohne Evidenz, die zwar Anforderungen zuordnen, aber nicht zeigen, ob die Umsetzung lebt.
• Maßnahmenlisten ohne Wirksamkeitscheck (geschlossen, aber nicht validiert; erledigt, aber ohne Nachweis, dass das Risiko gesunken ist).

Solche Artefakte sind nicht grundsätzlich „schlecht“. Sie werden nur dann problematisch, wenn sie die wirklichen Nachweise überdecken oder Teams in Pflegearbeit binden, statt Betriebsfähigkeit zu erhöhen.

Ein pragmatischer Nachweisstandard, der in Prüfungen funktioniert

Wenn Sie NIS2-Nachweise schlank und belastbar aufstellen wollen, hilft ein Standard, der nach Betriebsereignissen organisiert ist. Statt „Dokumentarten“ zu sammeln, definieren Sie „Pakete“, die im Audit schnell verständlich sind. Typischerweise reichen wenige Pakete, die immer gleich aufgebaut sind:

• Incident-Paket (Zeitlinie, Auswirkung, Entscheidungen, Kommunikation, Maßnahmen, Abschluss)
• Provider-Review-Paket (Leistung/Abweichungen, Änderungen, Security-Ereignisse, Maßnahmen, Entscheidung)
• Test-/Übungspaket (Szenario, Ziel, Ergebnis, Maßnahmen, Re-Test)
• Change-Paket für kritische Services (Risiko-Check, Freigaben, Rollback/Notbetrieb, Ergebnisnachweise)
• Management-Steuerungspaket (Top-Risiken, Entscheidungen, Prioritäten, Ressourcen/Fristen)

Der Vorteil ist sofort spürbar: Wenn ein Prüfer fragt, greifen Sie nicht zu „Ordnern“, sondern zu „Paketen“. Pakete sind schnell erklärbar und zeigen, dass Ihr System nicht nur existiert, sondern läuft.

Dezenter Qualitätscheck: Die Drei-Minuten-Regel

Ein einfacher Selbsttest, der erstaunlich gut funktioniert: Können Sie für eine Stichprobe (z. B. einen Incident oder einen Provider-Review) innerhalb von drei Minuten zeigen, wo der Nachweis liegt und warum er belastbar ist? Wenn ja, sind Sie auditseitig deutlich weiter als viele Organisationen. Wenn nein, fehlt meist nicht die Arbeit, sondern die Struktur: Ablage, Benennung, Paketlogik oder Entscheidungsspur.

Schlussgedanke

NIS2-Nachweispflichten sind nicht dazu da, Ihr Dokumentenarchiv zu vergrößern. Sie sind dazu da, Ihre Betriebsfähigkeit sichtbar zu machen. Die stärksten Artefakte sind deshalb die, die im Alltag ohnehin entstehen – wenn Sie sie konsequent als Pakete strukturieren und sauber ablegen. Sobald Sie das tun, sinkt der „Nachweisstress“ spürbar. Und Sie gewinnen gleichzeitig etwas, das in vielen Programmen fehlt: klare Steuerungsimpulse, die auch unter Druck funktionieren.