14. März 2026 | Artikel drucken |

Das NIS2-Audit: So bereiten sich Unternehmen auf die erste Prüfung vor

8 Min. Lesezeit

48 Prozent der betroffenen Unternehmen wissen noch nicht einmal sicher, ob sie unter NIS2 fallen. Nur 12,1 Prozent hatten die Anforderungen zum Inkrafttreten im Dezember 2025 vollständig umgesetzt. Das Gesetz gilt trotzdem – ohne Übergangsfrist. Und die persönliche Haftung der Geschäftsführung mit dem Privatvermögen ist nicht verhandelbar: Kein Gesellschafterbeschluss kann sie ausschließen. Die ersten BSI-Prüfungen laufen. Was Prüfer finden und was Unternehmen jetzt tun müssen.

Das Wichtigste in Kürze

  • Readiness-Stand: Nur 12,1 Prozent der betroffenen Unternehmen hatten NIS2 zum Inkrafttreten vollständig umgesetzt, 48 Prozent sind unsicher ob sie überhaupt betroffen sind
  • 10 Pflichtmaßnahmen: Paragraf 30 BSIG definiert zehn Mindestmaßnahmen von Risikoanalyse über Incident-Management bis MFA – alle müssen dokumentiert und nachweisbar sein
  • Persönliche Haftung: Geschäftsführer haften nach Paragraf 38 BSIG persönlich mit Privatvermögen, Haftungsverzicht ist gesetzlich ausgeschlossen
  • Bußgelder: Bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen
  • ISO 27001 Gap: Deckt 70-80 Prozent der NIS2-Anforderungen, drei kritische Lücken bleiben: Meldepflichten, Geschäftsführerhaftung und unternehmensweiter Scope

Das BSI prüft: Was die ersten Audits zeigen

Seit Januar 2026 hat das BSI seine Aufsichtstätigkeit schrittweise aufgenommen. Das Registrierungsportal wurde am 6. Januar 2026 freigeschaltet, die Registrierungsfrist lief am 6. März 2026 ab. Über 30.000 Unternehmen in Deutschland sind als besonders wichtige oder wichtige Einrichtungen eingestuft und müssen die Anforderungen erfüllen.

Das BSI identifiziert betroffene Unternehmen über mehrere Kanäle: Handels- und Unternehmensregister, Branchenverbände, Selbstmeldungen und Zusammenarbeit mit Sektorregulatoren wie der Bundesnetzagentur (Energie) und dem BfArM (Gesundheit). Die Eskalation läuft stufenweise: informelle Aufforderung zur Registrierung, formelle schriftliche Aufforderung bei Nichtreaktion, Verwaltungsverfahren und schließlich Bußgelder mit öffentlicher Bekanntmachung.

Die ersten Praxis-Erfahrungen aus BSI-Prüfungen zeigen drei wiederkehrende kritische Lücken. Erstens: Der Meldeprozess ist dokumentiert, aber nicht operational. Unternehmen haben Incident-Response-Pläne, aber niemand kann in der Praxis innerhalb einer Stunde den zuständigen BSI-Ansprechpartner benennen. Kein echter Drill, kein Test unter Zeitdruck. Zweitens: Supply-Chain-Blindspots – ein acht Jahre alter ERP-Interface-Anbieter wurde gewechselt, keine Dokumentation zu Zugriffsrechten und aktuellem Sicherheitsstatus. Drittens: Fragmentiertes Log-Management – Logs laufen 30 Tage auf lokalen Geräten, statt zentral aggregiert zu werden. Das BSI prüft zentrale Log-Infrastruktur.

12,1%
hatten NIS2 zum Start umgesetzt
48%
wissen nicht ob sie betroffen sind
10 Mio. EUR
Maximales Bußgeld

Quellen: Proliance Studie 2025, Schwarz Digits Cyber Security Report 2026, NIS2UmsuCG §30 BSIG

Die 10 Pflichtmaßnahmen: Was Paragraf 30 BSIG verlangt

Paragraf 30 Absatz 2 BSIG definiert zehn Mindestmaßnahmen, die alle betroffenen Einrichtungen verpflichtend umsetzen und nachweisen müssen. Die Maßnahmen sind verhältnismäßig – Größe, Risikoprofil und potenzielle Auswirkungen des Unternehmens fließen in die Bewertung ein. Aber „verhältnismäßig“ bedeutet nicht „freiwillig“.

Maßnahme 1: Risikoanalyse und IT-Sicherheitskonzepte. Eine dokumentierte, systematische Risikoidentifikation mit jährlicher Überprüfung. Das ist das Fundament – ohne diese Analyse kann kein Prüfer bewerten, ob die übrigen Maßnahmen angemessen sind.

Maßnahme 2: Incident-Management. Nachgewiesene Prozesse zur Erkennung, Analyse, Eindämmung und Wiederherstellung nach Sicherheitsvorfällen. Dazu gehört die Incident-Response-Fähigkeit, die das BSI besonders kritisch prüft: 24-Stunden-Frühwarnung an das BSI, 72-Stunden-Detailbericht.

Maßnahme 3: Business Continuity Management. Backup-Strategien, Disaster-Recovery-Pläne und der Nachweis regelmäßiger Tests. Ein Plan, der nie getestet wurde, ist kein Plan. Genau das prüfen Auditoren: nicht ob ein Dokument existiert, sondern ob eine Wiederherstellung tatsächlich funktioniert. Die Ransomware-Resilienz hängt direkt an dieser Maßnahme.

Maßnahmen 4 und 5: Supply-Chain-Sicherheit und sichere Beschaffung. Lieferantenbewertung mit vertraglichen Sicherheitsanforderungen und Sicherheitskontrollen im gesamten IT-Systemlebenszyklus. Das BSI prüft nicht nur, ob Verträge existieren, sondern ob sie konkrete Standards und Auditrechte enthalten.

Maßnahme 6: Wirksamkeitsprüfung. Interne Audits, Penetrationstests und KPI-Monitoring. Unternehmen müssen nachweisen, dass sie ihre Sicherheitsmaßnahmen regelmäßig auf Wirksamkeit prüfen – nicht nur implementieren, sondern validieren.

Maßnahme 7: Schulung und Awareness. Pflichtschulungen für alle Mitarbeiter inklusive der Führungsebene. Die Geschäftsleitung muss persönlich an Cybersicherheitsschulungen teilnehmen – alle drei Jahre, nachweisbar.

Maßnahmen 8-10: Kryptografie, Zugangssteuerung und MFA. Verschlüsselungsrichtlinien für Daten im Ruhezustand und während der Übertragung. Berechtigungsmanagement mit dokumentierten Authentifizierungsprotokollen. Und Multi-Faktor-Authentifizierung für kritische Systeme – die Maßnahme, deren Fehlen den Südwestfalen-IT-Angriff ermöglicht hat.

ISO 27001: 80 Prozent Abdeckung, drei kritische Lücken

Unternehmen mit bestehendem ISO-27001-ISMS haben einen erheblichen Startvorteil. Nach Expertenschätzung deckt ISO 27001 70 bis 80 Prozent der NIS2-Anforderungen ab. Sieben der zehn Paragraf-30-Maßnahmen sind durch ein ISO-27001-ISMS vollständig abgedeckt. Sowohl ISO 27001 als auch BSI IT-Grundschutz sind als Grundlage für den NIS2-Nachweis gesetzlich anerkannt.

Drei kritische Lücken bleiben. Lücke 1: Meldepflichten. ISO 27001 verlangt Incident-Management-Prozesse, aber keine Meldepflichten gegenüber Behörden. NIS2 schreibt eine Frühwarnung an das BSI innerhalb von 24 Stunden und einen Detailbericht innerhalb von 72 Stunden vor. Das erfordert einen operativen Meldeprozess mit klaren Zuständigkeiten und Erreichbarkeiten – rund um die Uhr.

Lücke 2: Persönliche Haftung der Geschäftsleitung. ISO 27001 fordert „Leadership Commitment“ als allgemeines Prinzip. Paragraf 38 BSIG erzwingt persönliche Schulungspflicht für Vorstände und Geschäftsführer sowie persönliche Haftung mit dem Privatvermögen. Das ist ein fundamentaler Unterschied: ISO-Commitment ist ein Managementsystem-Prinzip, NIS2-Haftung ist geltendes Recht.

Lücke 3: Unternehmensweiter Geltungsbereich. ISO 27001 erlaubt begrenzte Scopes – ein Unternehmen kann zum Beispiel nur seine IT-Abteilung oder ein einzelnes Rechenzentrum zertifizieren lassen. NIS2 gilt unternehmens- und standortübergreifend. Wenn ein Unternehmen drei Standorte hat und nur einen ISO-27001-zertifiziert, deckt das die NIS2-Anforderungen nicht ab.

Die Empfehlung der Experten: Das bestehende ISO-27001-ISMS erweitern, statt parallele Compliance-Strukturen aufbauen. Gap-Analyse, Scope-Erweiterung und Governance-Anpassung sind die drei Schritte. Das spart Kosten und nutzt die bestehende Compliance-Infrastruktur maximal aus.

Eine ISO-27001-Zertifizierung oder ein IT-Grundschutz-Testat erleichtert den NIS2-Nachweis erheblich. Aber es gibt keine offizielle „NIS2-Zertifizierung“. Der Nachweis erfolgt über dokumentierte Umsetzung der zehn Pflichtmaßnahmen – und die Fähigkeit, sie im Audit vorzuführen.

Geschäftsführerhaftung: Was Paragraf 38 BSIG bedeutet

Paragraf 38 BSIG macht Geschäftsführer und Vorstände persönlich haftbar für Schäden aus Pflichtverletzungen. Das Besondere: Die Haftung erstreckt sich auf das Privatvermögen. Ein Haftungsverzicht durch Gesellschafterbeschluss ist gesetzlich ausgeschlossen. Die Business Judgment Rule – der Schutzschild, der Vorstände bei unternehmerischen Fehlentscheidungen vor persönlicher Haftung bewahrt – gilt hier nicht.

Drei Kernpflichten treffen die Geschäftsleitung persönlich. Erstens: Die NIS2-Risikomaßnahmen aktiv billigen – nicht nur genehmigen, sondern sich inhaltlich damit auseinandersetzen. Zweitens: Die Umsetzung aktiv überwachen – nicht nur Status-Updates empfangen, sondern sicherstellen, dass die Maßnahmen wirken. Drittens: Persönliche Teilnahme an Cybersicherheitsschulungen, nachweisbar und regelmäßig (alle drei Jahre).

Im Streitfall trägt der Geschäftsführer die Darlegungslast für pflichtgemäßes Handeln – die Beweislast kehrt sich um. Nicht der Kläger muss beweisen, dass der Geschäftsführer fahrlässig gehandelt hat, sondern der Geschäftsführer muss beweisen, dass er alles Erforderliche getan hat. Und die Haftung gilt auch dann, wenn die operative Verantwortung an einen CISO delegiert wurde. Delegation schützt nicht vor persönlicher Haftung – sie ist eine organisatorische Maßnahme, keine juristische Absicherung.

Für Vorstände, die bereits die NIS2-Compliance als Standortvorteil verstanden haben, ist die persönliche Haftung der entscheidende Motivator: Es geht nicht nur um Unternehmensbußgelder, sondern um das eigene Vermögen.

Der Readiness-Stand: Wo deutsche Unternehmen stehen

Die Zahlen sind ernüchternd. Laut einer Proliance-Studie hatten zum Inkrafttreten im Dezember 2025 nur 12,1 Prozent der betroffenen Unternehmen NIS2 vollständig umgesetzt. Weitere 20,4 Prozent befanden sich in der Abschlussphase, 31,3 Prozent waren mittendrin. Etwa ein Viertel hatte noch nicht einmal begonnen.

Der Schwarz Digits Cyber Security Report 2026 (1.001 Befragte) zeigt ein zusätzliches Problem: 48 Prozent der befragten Unternehmen schätzen ihr regulatorisches NIS2-Exposure falsch ein und glauben möglicherweise irrtümlich, nicht betroffen zu sein. Bei über 30.000 regulierten Unternehmen bedeutet das: Tausende sind betroffen und wissen es nicht.

Laut einer G-Data/Statista/Brand-Eins-Studie hatten 63 Prozent der Unternehmen mit der NIS2-Umsetzung begonnen oder waren im Prozess. Das klingt nach Fortschritt, aber die Qualität der Umsetzung variiert erheblich. „Im Prozess“ kann bedeuten: strategisch geplant und strukturiert angegangen. Es kann aber auch bedeuten: Der CISO hat ein Budget beantragt, das noch nicht genehmigt wurde.

Die Bußgelder sind gestaffelt: Besonders wichtige Einrichtungen (über 250 Mitarbeiter oder über 50 Millionen Euro Umsatz) riskieren bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen (50-249 Mitarbeiter oder 10-50 Millionen Euro Umsatz) bis zu 7 Millionen Euro oder 1,4 Prozent. Dazu kommen verbindliche BSI-Anordnungen, öffentliche Bekanntmachung von Verstößen (Reputationsschaden) und die Möglichkeit einer einstweiligen Untersagung von Leitungsfunktionen. Für Geschäftsführer, die die Parallele zur DSGVO kennen, ist die Botschaft klar: Die Enforcement-Aktivität wird in den ersten Jahren moderat sein und dann exponentiell steigen. Bei der DSGVO summierten sich die Bußgelder bis 2024 auf über 2,9 Milliarden Euro in der EU.

Audit-Vorbereitung: Die praktische Checkliste

Abgeleitet aus den zehn Pflichtmaßnahmen und den Erkenntnissen der ersten BSI-Prüfungen:

1. ISMS-Konzept mit Risikoanalyse. Schriftlich, systematisch und mit Nachweis der jährlichen Überprüfung. Ohne dieses Dokument kann kein Audit beginnen.

2. Aktuelles Asset-Inventar. Alle IT-Systeme, Schnittstellen und Drittanbieter dokumentiert. Das BSI prüft, ob das Inventar vollständig und aktuell ist – nicht ob es existiert.

3. Operativer Incident-Response-Plan. Mit konkreten Ansprechpartnern, Erreichbarkeiten und Eskalationspfaden. Der Plan muss unter Zeitdruck funktionieren, nicht nur auf Papier bestehen. Empfehlung: mindestens einmal jährlich einen Drill durchführen, bei dem die 24-Stunden-Meldekette getestet wird.

4. Pentests und Wirksamkeitsnachweise. Regelmäßige Penetrationstests und interne Audits mit dokumentierten Ergebnissen und Maßnahmenprotokollen.

5. Schulungsnachweise für alle Mitarbeiter. Inklusive der Geschäftsleitung. Keine Ausnahmen. Das BSI prüft gezielt, ob die Führungsebene persönlich geschult wurde.

6. Verschlüsselungsrichtlinien und MFA-Dokumentation. Welche Systeme sind verschlüsselt, welche Algorithmen werden eingesetzt und wo ist MFA implementiert. Die Post-Quantum-Kryptografie-Migration wird in den nächsten Jahren zusätzlich relevant.

7. Lieferantenverträge mit Sicherheitsanforderungen. Jeder externe Dienstleister mit Systemzugang braucht einen Vertrag, der konkrete Sicherheitsstandards und Auditrechte enthält.

8. Zentralisiertes Log-Management. Nicht lokale Logs mit 30-Tage-Retention, sondern zentral aggregiert und auswertbar. Das ist die Maßnahme, die bei den ersten BSI-Prüfungen am häufigsten beanstandet wurde.

Wer prüft: Externe Audit-Anbieter in Deutschland

Es gibt keine einheitliche „NIS2-Zertifizierung“ – Unternehmen lassen Audits und Penetrationstests durchführen und nutzen Testate (ISO 27001 mit NIS2-Mapping, BSI IT-Grundschutz) als Nachweis gegenüber dem BSI. Für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen ist ein dreijähriger Nachweis-Turnus vorgeschrieben.

Die etablierten Prüfanbieter in Deutschland: TÜV Rheinland bietet NIS2-Readiness-Assessments und Beratung. TÜV NORD hat ein Zertifizierungsprogramm „NIS-2-Experte (TÜV)“ für Auditoren entwickelt. TÜVIT ist auf KRITIS- und NIS2-Prüfungen spezialisiert. DEKRA bietet NIS2-Richtlinien-Zertifizierung und Beratung. Daneben haben die großen Beratungshäuser (PwC, Deloitte, EY, KPMG) NIS2-spezifische Audit-Services aufgebaut.

Die Empfehlung: Mit einer Gap-Analyse starten, die den Ist-Zustand gegen die zehn Pflichtmaßnahmen abgleicht. Unternehmen mit ISO 27001 brauchen typischerweise drei bis sechs Monate für die NIS2-Erweiterung. Unternehmen ohne bestehendes ISMS sollten zwölf bis 18 Monate einplanen. Je länger ein Unternehmen wartet, desto teurer wird es – und desto wahrscheinlicher ist es, dass der erste BSI-Kontakt kein freundliches Schreiben ist, sondern ein Verwaltungsverfahren.

Die häufigsten Gaps, die bei Gap-Analysen gefunden werden, sind keine technischen Probleme: SIEM-Infrastrukturen existieren, sind aber nicht vollständig integriert. Business-Continuity-Pläne liegen vor, wurden aber nie getestet. Lieferantenverträge enthalten allgemeine Klauseln, aber keine konkreten Sicherheitsanforderungen. Und der größte blinde Fleck: Der ISO-27001-Scope umfasst nur einen Teil des Unternehmens, NIS2 gilt aber für alles. Wer jetzt mit der Gap-Analyse anfängt, hat einen klaren Fahrplan. Wer wartet, hat ein Compliance-Problem, das teurer wird mit jedem Monat Verzögerung.

Häufige Fragen

Was prüft das BSI bei einem NIS2-Audit?

Die Umsetzung der zehn Pflichtmaßnahmen nach Paragraf 30 BSIG: Risikoanalyse, Incident-Management, Business Continuity, Supply-Chain-Sicherheit, sichere Beschaffung, Wirksamkeitsprüfung, Schulungen, Kryptografie, Zugangssteuerung und MFA. Besonders kritisch prüft das BSI den operativen Meldeprozess und das zentralisierte Log-Management.

Gibt es eine NIS2-Zertifizierung?

Nein, es gibt keine offizielle NIS2-Zertifizierung. ISO 27001 und BSI IT-Grundschutz sind als Nachweisgrundlage anerkannt, ersetzen aber nicht die NIS2-spezifische Dokumentation. Unternehmen weisen Compliance über dokumentierte Maßnahmen und Auditergebnisse nach.

Wie viel deckt ISO 27001 von NIS2 ab?

Nach Expertenschätzung 70 bis 80 Prozent. Drei kritische Lücken: Meldepflichten an das BSI (24/72 Stunden), persönliche Geschäftsführerhaftung (Paragraf 38 BSIG) und der unternehmensweite Geltungsbereich (ISO 27001 erlaubt begrenzte Scopes).

Haftet der Geschäftsführer persönlich?

Ja, nach Paragraf 38 BSIG mit dem Privatvermögen. Haftungsverzicht ist gesetzlich ausgeschlossen, die Beweislast kehrt sich um und Delegation an einen CISO schützt nicht vor persönlicher Haftung.

Wie viel Zeit braucht die NIS2-Vorbereitung?

Unternehmen mit ISO 27001 typischerweise 3 bis 6 Monate für die Erweiterung. Ohne bestehendes ISMS: 12 bis 18 Monate. Betreiber kritischer Anlagen müssen alle 3 Jahre Nachweise beim BSI vorlegen.

Weiterlesen

Quelle Titelbild: Pexels / Sora Shimazaki (px:5668858)

Artikel drucken
8dac403a5e32be0e6b710788a6ccbf234dc9a04bcf16c85dc122152667fee146

Hier schreibt Elias für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH