NIS2 — Internes Audit / Gap-Analyse

Internes NIS2-Audit durchführen

NIS2 verlangt nicht nur Sicherheitsmaßnahmen, sondern auch den Nachweis, dass sie wirken. Ein internes Audit zeigt, wo Sie stehen — und macht Prioritäten belastbar.

Beratung anfragen NIS2-Übersicht

Warum ein internes Audit?

Wer ohne Statusanalyse investiert, verschwendet Budget

Ein internes Audit ist keine bürokratische Pflicht — es ist der effizienteste Weg, knappes Budget dort einzusetzen, wo die größten Risiken liegen. Und es liefert die Dokumentation, die das BSI im Ernstfall einfordern kann.

Hinweis zur Begrifflichkeit: Das erste interne Audit für eine neue Norm — hier NIS2 — wird häufig als Gap-Analyse bezeichnet. Es ist der empfohlene Startpunkt jedes NIS2-Compliance-Projekts.

Strukturierter Ablauf

Das NIS2-Audit in vier Schritten

1. Planung

Scope und Maßstab festlegen: Welche Standorte, Systeme und Prozesse werden geprüft? Welche Anforderungen gelten als Maßstab?

NIS2-relevante Dienste definieren
Prüfkriterien aus § 30 BSIG ableiten
Ansprechpartner benennen
Zeitplan und Ressourcen planen

2. Statusanalyse

Belastbare Bestandsaufnahme: Was ist umgesetzt, was fehlt, was ist dokumentiert aber nicht gelebt?

Interviews mit Verantwortlichen
Dokumentenprüfung
Realitätstest: Funktionieren Prozesse im Ernstfall?
Technische Stichproben

3. Bewertung

Lücken identifizieren und nach Risiko priorisieren — nicht alle Findings sind gleich kritisch.

Risikoanalyse, Vorfallmanagement
Lieferkette, Schwachstellenmanagement
Schulungen, Dokumentation
Technische Schutzmaßnahmen

4. Maßnahmenplan

Priorisierter Plan mit Verantwortlichkeiten, Terminen und Ressourcenbedarf — als Steuerungsinstrument für die Geschäftsleitung.

Kurzfristig: Quick Wins
Mittelfristig: Strukturmaßnahmen
Langfristig: Strategische Investitionen

Was ein belastbares Audit liefert

Drei Dinge, die am Ende vorliegen müssen

Nachvollziehbare Bewertung aller NIS2-Bausteine: Risikoanalyse, Vorfallmanagement, Lieferkette, Schwachstellenmanagement, Schulungen, Dokumentation
Priorisierter Maßnahmenplan mit Verantwortlichkeiten und realistischem Zeitplan
Prüffähige Dokumentation: Nachweise, Protokolle und Aufzeichnungen, die die Umsetzung im Ernstfall belegen
Klare Einschätzung, ob und wann ein externer Auditor sinnvoll ist
Grundlage für die BSI-Registrierung und spätere Behördenprüfungen

Häufige Fragen

Internes Audit und NIS2

Kann das interne Audit von der eigenen IT-Abteilung durchgeführt werden?

Teilweise. Technische Checks können intern durchgeführt werden. Für eine belastbare Gesamtbewertung empfiehlt sich externe Unterstützung — nicht weil interne Teams inkompetent sind, sondern weil externe Prüfer blinde Flecken aufdecken und eine unabhängige Bewertung liefern, die gegenüber dem BSI mehr Gewicht hat.

Wie unterscheidet sich ein internes Audit von einer ISO-27001-Zertifizierung?

Ein internes Audit ist eine Selbstbewertung mit oder ohne externe Begleitung. Eine ISO-27001-Zertifizierung ist eine externe Bestätigung durch eine akkreditierte Stelle. Beide haben ihren Platz — das interne Audit ist der schnellere, kostengünstigere Einstieg; die Zertifizierung liefert den stärksten externen Nachweis.

Wie oft sollte ein internes NIS2-Audit wiederholt werden?

Mindestens jährlich, ergänzt durch anlassbezogene Prüfungen nach wesentlichen Änderungen der IT-Infrastruktur, nach Sicherheitsvorfällen oder nach Änderungen der regulatorischen Anforderungen. Ein Audit ist kein einmaliges Projekt, sondern Teil eines kontinuierlichen ISMS-Prozesses.

Verwandte Themen

Weiterführende NIS2-Themen

NIS2-Gap-Analyse durch erfahrene Experten

Wir führen Ihre Gap-Analyse durch, bewerten alle NIS2-Bausteine und übergeben einen priorisierten Maßnahmenplan — als solide Entscheidungsgrundlage für Ihre Geschäftsleitung.

Gap-Analyse anfragen