Alain Rees · 07-07-2026 · 3 min leestijd
Es kommt ein Moment, den jede IT-Leiterin und jeder IT-Leiter eines NIS2-pflichtigen Unternehmens kennt. Die Tabelle mit dem Kontrollrahmenwerk ist ausgefüllt, die Informationssicherheitsrichtlinie steht im Intranet, und das Bauchgefühl sagt, dass alles geregelt ist. Dieses Gefühl hält an, bis ein großer Kunde eine Lieferantenbewertung schickt, ein Auditor um Belege bittet oder die Aufsichtsbehörde sich meldet. In diesem Moment zeigt sich, wie groß der Unterschied zwischen etwas haben und etwas nachweisen können ist.
Zunächst verdient diese Tabelle mehr Wertschätzung, als sie meist bekommt. Wer ein NIS2-Kontrollrahmenwerk ausgefüllt hat, hat über die zehn Risikomanagementmaßnahmen aus Artikel 21 nachgedacht, von Risikoanalyse und Incident-Behandlung über Lieferkettensicherheit bis zu Cyberhygiene. Diese Denkarbeit ist die halbe Miete, und genau deshalb ist die Tabelle ein idealer Ausgangspunkt.
Das Problem liegt also nicht im Inhalt, sondern in den Grenzen des Werkzeugs.
Ein Urteil in einer Zelle, etwa „erfüllt", lässt drei Fragen offen, und das sind genau die Fragen, die ein Auditor oder Kunde stellt. Die erste Frage ist, warum die Anforderung erfüllt ist, denn die Begründung fehlt oder steckt im Kopf derjenigen Person, die die Zelle ausgefüllt hat. Die zweite Frage ist, wo der Nachweis liegt. Das Richtliniendokument, der Screenshot der Konfiguration oder der Testbericht liegt irgendwo in einem Ordner oder Postfach, aber nicht beim Urteil. Und die dritte Frage ist, ob das Bild noch aktuell ist, denn eine Tabelle veraltet ab dem Tag, an dem man sie speichert, und niemand bekommt ein Signal, wenn das Überprüfungsdatum der Richtlinie verstreicht oder eine Maßnahme nie getestet wird.
Es gibt zudem eine vierte Grenze, die erst später sichtbar wird. Eine Tabelle kennt keinen Zusammenhang. Das Risiko weiß nicht, welche Maßnahmen es abdecken, der Vorfall vom letzten Monat hat die Risikoeinschätzung nicht angepasst, und der Lieferant, der Ende letzten Jahres in den Schlagzeilen war, ist nirgends mit den Prozessen verknüpft, die von ihm abhängen.
Der Umstieg von einer statischen Übersicht zu einem nachweisbaren Register ist kleiner, als er scheint, gerade weil die Denkarbeit bereits getan ist.
Der erste Schritt ist, das zu importieren, was schon da ist. Nehmen Sie die bestehende Tabelle als Ausgangspunkt und überführen Sie jede Anforderung in eine Statuszeile mit einem Verantwortlichen. Was „erfüllt" war, bleibt erfüllt; es kommt lediglich ein Begründungsfeld und ein fester Platz für den Nachweis hinzu.
Der zweite Schritt ist, den Nachweis an das Urteil zu hängen. Jedes „erfüllt" ohne Beleg bleibt eine Meinung. Verknüpfen Sie deshalb je Anforderung das Dokument, den Screenshot oder den Verweis auf den Fundort. Ab diesem Moment ist die Frage eines Auditors keine wochenlange Suche mehr, sondern eine Sache von einem Klick.
Der dritte Schritt ist, die Überwachung einzuschalten: Überprüfungsdaten für Richtlinien, Testdaten für Maßnahmen und Enddaten für Ausnahmen. Das tun Sie nicht, weil die Norm es vorschreibt, sondern weil das Register nur so aktuell bleibt, ohne dass jemand wöchentlich daran denken muss.
Nein, und das ist auch nicht schlimm. Nachweislich alles im Griff zu haben ist keine Ziellinie, sondern ein Rhythmus: Sie erkennen, was sich ändert, Sie bewerten, was das bedeutet, Sie lösen, was fehlt, und Sie weisen nach, was vorhanden ist. Die Organisationen, die diesen Rhythmus verinnerlicht haben, erkennt man an einer Sache. Wenn ein Kunde oder eine Aufsichtsbehörde unerwartet die Unterlagen anfordert, muss nicht gesucht, sondern exportiert werden.
Die Tabelle war ein guter Anfang. Das Ziel ist, sie auch zeigen zu können.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo