Field notes

Top 10 Lücken, die Auditoren unter NIS2 prüfen werden

And why “we have a policy for that” won’t be enough this time with NIS2

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 Min. Lesezeit
Top 10 Gaps Auditors Will Look for Under NIS2

NIS2 – Training Courses(And why “we have a policy for that” won’t be enough this time.)

NIS2 ist kein weiteres Cybersecurity-Kontrollkästchen.Es ist ein Wandel in der Verantwortlichkeit, von der IT hin zur Governance.Zum ersten Mal können Führungskräfte persönlich für Versäumnisse bei der Cyber-Resilienz haftbar gemacht werden.

So when the first wave of NIS2 audits starts to roll in, expect auditors to go beyond the usual “do you have a policy?” routine.Sie werden nach Umsetzungsnachweisen, Nachvollziehbarkeit und Managementbeteiligung suchen.

Hier sind die zehn realen Schwachstellen, die über Ihr NIS2-Audit entscheiden.Keine Theorie, sondern das, was wir bereits bei der Bewertung von Organisationen in ganz Europa sehen.

1. Fehlende Governance-Nachweise auf Führungsebene

NIS2 verlagert Cybersicherheit in den Vorstandsbereich.Wenn Ihre Führungskräfte keine Aufsicht nachweisen können, haben Sie den ersten Test bereits nicht bestanden.

Was Prüfer prüfen werden:

  • Ist Cybersicherheit ein regelmäßiger Tagesordnungspunkt auf Vorstandsebene?
  • Sind Rollen und Verantwortlichkeiten auf Managementebene formell zugewiesen?
  • Gibt es eine dokumentierte Verantwortlichkeit für die Risikoakzeptanz?

Abhilfe:Führen Sie Protokolle, Freigaben und Präsentationen.Nachweise sind entscheidend. “the board was informed” bedeutet nichts, wenn es nicht schriftlich festgehalten ist.

2. The “Policy ≠ Practice” Syndrome

Die meisten Organisationen haben Richtlinien, die auf dem Papier einwandfrei aussehen.Prüfer werden diese schnell übergehen, um zu sehen, ob Kontrollen tatsächlich angewendet werden.

Was sie fragen werden:

  • “Show me how this policy is implemented.”
  • “Who reviewed it last?”
  • “When was it communicated to staff?”

Abhilfe:Versionskontrolle, Verteilungsprotokolle und Schulungsnachweise.Wenn niemand weiß, dass die Richtlinie existiert, können Sie sie genauso gut löschen.

3. Kein durchgängiges Risikomanagement

Im Rahmen von NIS2 ist Risikomanagement keine Nebensache, sondern das Kernstück.You can’t just say, “We’ve done a risk assessment.”

Prüfer werden suchen nach:

  • Einer formellen Methodik (vorzugsweise ausgerichtet an ISO 31000 / 27005).
  • Dokumentierten Risikoverantwortlichen.
  • Behandlungsplänen mit Nachweisen zur Nachverfolgung.

Abhilfe:Führen Sie Risikoüberprüfungen vierteljährlich oder sogar monatlich durch, nicht jährlich.Aktualisieren Sie diese, wenn sich der Kontext ändert, nicht nur vor dem Audit.

4. Schwache Integration des Incident Response

Die 24-Stunden-Meldepflicht von NIS2 verändert alles.Prüfer werden testen, ob Ihr Incident-Prozess diese Geschwindigkeit tatsächlich liefern kann.

Was sie prüfen werden:

  • Klare Eskalationspfade und namentlich benannte Rollen.
  • In Simulationen getestete Playbooks.
  • Incident-Protokolle, die mit den Meldepflichten abgestimmt sind.

Abhilfe:Haben Sie nicht nur einen Plan, sondern führen Sie Übungen durch.Prüfer erkennen in zwei Minuten, ob Sie ihn jemals getestet haben.

5. Blinde Flecken bei Lieferanten und Dritten

Im Rahmen von NIS2 sind Ihre Lieferanten Ihr Problem.Prüfer wissen, dass die meisten Organisationen genau hier scheitern.

Was sie prüfen werden:

  • Gibt es einen Prozess für das Lieferantenrisikomanagement?
  • Enthalten Verträge Cybersicherheitsklauseln und SLAs?
  • Wird die Lieferantenleistung regelmäßig überwacht?

Abhilfe:Erstellen Sie ein schlankes Third-Party-Risikoregister.Beginnen Sie mit kritischen Lieferanten. Selbst ein einfaches Scoring-Modell ist besser als keine Übersicht.

6. Keine Echtzeit-Übersicht über den Compliance-Status

Many companies still treat compliance as “annual reporting.”Im Rahmen von NIS2 werden Prüfer eine kontinuierliche Übersicht über den Compliance-Status erwarten.

Worauf sie achten werden:

  • KPIs oder Dashboards, die die Kontrollleistung zeigen.
  • Aktuelle interne Audits oder Selbstbewertungen.
  • Ein Prozess zur Erfassung von Lessons Learned.

Abhilfe:Implementieren Sie ein einfaches Compliance-Dashboard mit monatlichen Updates und Rot/Gelb/Grün-Bewertung.Es geht nicht um Perfektion, sondern um Transparenz.

7. Unvollständige Integration der Betriebskontinuität

Cyber-Resilienz im Sinne von NIS2 ist nicht nur IT-Wiederherstellung, sondern Business Continuity.Wenn Ihre Business Impact Analysis (BIA) in einer anderen Abteilung liegt, ist das ein Warnsignal.

Prüfer werden fragen:

  • “When was your last continuity test?”
  • “Which critical services does your BCP cover?”
  • “Who validated recovery times?”

Abhilfe:Verknüpfen Sie Ihre Cyber-Incident-Playbooks mit Ihren BCP-Szenarien.Prüfer werden diese Abstimmung erwarten, keine zwei voneinander getrennten Welten.

8. Schulungen, die nur auf PowerPoint existieren

NIS2 schreibt ausdrücklich Awareness und Schulungen vor.Prüfer werden die Tiefe testen, nicht das bloße Vorhandensein.

Sie werden fragen:

  • “How do you tailor training by role?”
  • “What’s your completion rate?”
  • “When was your last phishing simulation or table-top exercise?”

Abhilfe:Messen Sie die Wirkung, nicht die Anwesenheit.Zeigen Sie Verhaltensverbesserungen, nicht nur Folien und Unterschriftenlisten.

9. Dokumentationschaos

Prüfer suchen nicht nur nach Richtlinien, sie suchen nach Kohärenz.Sie erwarten ein strukturiertes Dokumentationssystem: Richtlinien, Verfahren, Leitlinien, Nachweise, jeweils mit klarer Zuständigkeit und Nachvollziehbarkeit.

Abhilfe:Implementieren Sie ein einfaches Dokumentationsframework:

  • Richtlinie (Was & Warum)
  • Verfahren (Wie)
  • Nachweis (Evidenz)

Wenn es mehr als zwei Klicks braucht, um ein Dokument zu finden, sind Sie nicht bereit.

10. Kontrollen ohne Metriken

Kontrollen zu haben ist nicht dasselbe wie zu wissen, ob sie funktionieren.Je nach erwartetem Reifegrad werden Prüfer im Rahmen von NIS2 Wirksamkeitsnachweise sehen wollen, nicht nur das bloße Vorhandensein.

Sie werden fragen:

  • “How do you measure the performance of your security controls?”
  • “When was this control last tested?”

Abhilfe:Verknüpfen Sie Kontrollen mit KPIs oder KRIs.Example: “Patching within 14 days, 96% compliance.”Zahlen überzeugen. Beschreibungen nicht.

Bonus: “Copy-Paste Compliance”

Prüfer erkennen es sofort.Wenn Ihre Dokumentation so aussieht, als wäre sie von ChatGPT oder einer generischen ISO-Vorlage erstellt worden, werden sie tiefer graben, sehr tief.

Abhilfe:Machen Sie Ihr Framework zu Ihrem eigenen.Passen Sie Rollen, Risikoappetit und Metriken an Ihren tatsächlichen Betrieb an.Compliance lässt sich leicht vortäuschen, bis jemand fragt, warum Sie Dinge auf eine bestimmte Weise getan haben.

Abschließender Gedanke

NIS2 verlangt keine Perfektion, sondern Nachweise.Wenn Sie nicht zeigen können, dass Ihre Cybersecurity-Governance real, wiederholbar und nachvollziehbar ist, sind Sie nicht compliant, egal wie ansprechend Ihre Richtlinien aussehen.

Wenn der Prüfer eintrifft, ist es zu spät, mit der Ausrichtung zu beginnen.Die klügsten Organisationen tun es jetzt und nutzen NIS2 als Treiber für eine strukturierte, auf Vorstandsebene verankerte Resilienz.

So bereiten Sie sich vor

Genau das behandeln wir im NIS2 Lead Implementer-Programm bei Cyber Academy:

  • Gestaltung der Governance-Struktur.
  • Risiko- und Incident-Frameworks, ausgerichtet an den NIS2-Artikeln 21–23.
  • Audit-sichere Dokumentationsmodelle.

👉 Fordern Sie Ihr Angebot an. Nehmen Sie am nächsten Kurs teil.

Denn bei NIS2 geht es nicht darum, ein Audit zu bestehen.Es geht darum zu beweisen, dass Ihre Organisation tatsächlich so funktioniert, wie Sie es behaupten.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.