NIS-2 Dokumentationspflichten: Was Sie nachweisen müssen

“Wir machen das schon, wir dokumentieren es nur nicht.” Das war früher vielleicht akzeptabel. Unter NIS-2 nicht mehr. Ohne Nachweis keine Compliance – so einfach ist das. Wenn das BSI prüft und Sie können nicht belegen, dass Sie Ihre Pflichten erfüllen, haben Sie ein Problem.

Warum das alles?

Drei Gründe, warum Dokumentation unter NIS-2 wichtiger ist denn je.

Erstens: Nachweispflicht. Bei einer Prüfung müssen Sie zeigen können, dass Maßnahmen existieren, dass sie umgesetzt sind, dass sie funktionieren, und dass Sie sie regelmäßig überprüfen. Mündliche Beteuerungen zählen nicht.

Zweitens: Haftungsschutz. Die Geschäftsleitung haftet persönlich. Wenn der Ernstfall eintritt, wollen Sie nachweisen können, dass Maßnahmen genehmigt wurden, dass die Umsetzung überwacht wurde, dass die Geschäftsführer ihre Schulungspflicht erfüllt haben. Ohne Dokumentation stehen Sie mit leeren Händen da.

Drittens: Kontinuität. Was passiert, wenn Ihr CISO kündigt? Wenn die einzige Person, die weiß wie das Backup-System funktioniert, krank wird? Dokumentation sichert Wissen – bei Personalwechsel, im Notfall, für kontinuierliche Verbesserung.

Die Dokumente, die Sie brauchen

Die Informationssicherheitspolitik

Das Basisdokument. Es enthält die Verpflichtung der Geschäftsleitung zur Informationssicherheit, Ihre Sicherheitsziele und Grundsätze, den Geltungsbereich, Rollen und Verantwortlichkeiten, und den Bezug zu NIS-2.

Wichtig: Von der Geschäftsleitung unterschrieben. Nicht vom IT-Leiter, vom Geschäftsführer. Und mindestens jährlich aktualisieren oder bei wesentlichen Änderungen.

Risikobewertung und -behandlung

Ihre Methodik: Wie identifizieren und bewerten Sie Risiken? Dann die eigentliche Bewertung: Welche Assets haben Sie, wie kritisch sind sie, welche Risiken bestehen, wie wahrscheinlich sind sie, wie schwer wären die Auswirkungen?

Dazu gehören die Risikobehandlungsoptionen – wie gehen Sie mit den identifizierten Risiken um? Und ganz wichtig: Welche Restrisiken akzeptieren Sie und warum? Das “und warum” ist entscheidend. “Wir akzeptieren das Risiko” ohne Begründung ist wertlos.

Aktualisieren Sie das mindestens jährlich, bei größeren Änderungen und nach Vorfällen.

Maßnahmendokumentation

Für jede der zehn Mindestmaßnahmen brauchen Sie drei Ebenen: Konzepte und Richtlinien, die beschreiben, was Sie tun wollen. Implementierungsnachweise, die zeigen, dass Sie es wirklich getan haben. Und Wirksamkeitsnachweise – Audit-Berichte, Testergebnisse, Metriken – die belegen, dass es funktioniert.

Incident Response

Ein dokumentierter Plan: Was ist ein erheblicher Sicherheitsvorfall in Ihrem Kontext? Wer ist wofür verantwortlich? Wie eskalieren Sie? Dazu die Meldevorlagen für die 24-Stunden-Frühwarnung, die 72-Stunden-Meldung und den Abschlussbericht.

Und nach einem Vorfall: Protokolle, was passiert ist, was Sie getan haben, was Sie gelernt haben.

Business Continuity

Die Business Impact Analyse: Was passiert, wenn welches System ausfällt? Der Business Continuity Plan: Wie arbeiten Sie weiter? Der Disaster Recovery Plan: Wie stellen Sie Systeme wieder her? Und die Testprotokolle, die belegen, dass Sie das alles nicht nur aufgeschrieben, sondern auch ausprobiert haben.

Schulungsnachweise

Hier wird es konkret. Geschäftsführerschulungen sind Pflicht – dokumentieren Sie Datum, Inhalt, Teilnehmer. Mitarbeiterschulungen, spezielle Schulungen für IT-Personal und Incident-Response-Team.

Teilnahmebescheinigungen, Zertifikate, Schulungsprotokolle mit Unterschriften, E-Learning-Abschlüsse. Was Sie nicht nachweisen können, haben Sie nicht gemacht – zumindest aus Compliance-Sicht.

Lieferantendokumentation

Ein Register Ihrer kritischen Lieferanten. Die Kritikalitätsbewertung für jeden. Die Sicherheitsanforderungen, die in den Verträgen stehen. Die Ergebnisse Ihrer Bewertungen – ausgefüllte Fragebögen, Audit-Berichte, Zertifizierungsnachweise.

Audit- und Testberichte

Alles, was belegt, dass Ihre Maßnahmen funktionieren: Interne und externe Audit-Berichte, Penetrationstest-Berichte, Vulnerability-Scan-Ergebnisse, Backup-Restore-Testprotokolle.

Mindestens drei Jahre aufbewahren ist eine sinnvolle Faustregel.

Registrierungsnachweis

Die Bestätigung Ihrer BSI-Registrierung. Eine Kopie Ihrer Registrierungsdaten. Nachweise über Änderungsmeldungen, falls Sie etwas aktualisiert haben.

Wie Sie das organisieren

Sie brauchen ein System für Ihre Dokumentation. Das kann unterschiedlich aussehen.

Ein Dokumentenmanagementsystem ist die komfortabelste Lösung: automatische Versionierung, Freigabe-Workflows, Zugriffssteuerung, Suchfunktion.

Eine strukturierte Ablage mit klarer Ordnerstruktur und Namenskonventionen funktioniert auch. Manuell, aber machbar.

Oder Sie nutzen ein integriertes ISMS-Tool – GRC-Plattformen, Compliance-Management-Systeme. Die tracken automatisch und halten alles zusammen.

Wofür Sie sich auch entscheiden: Versionierung muss sein. Freigaben müssen dokumentiert sein. Vertrauliche Dokumente müssen geschützt sein. Die Dokumente müssen auch im Notfall zugreifbar sein – auch offline. Und die Aufbewahrungsfristen müssen klar sein.

Die häufigsten Fehler

Ich sehe immer wieder dieselben Probleme.

Schöne Dokumente, die nicht gelebt werden. Eine 50-seitige Sicherheitsrichtlinie, die niemand gelesen hat und die der Realität nicht entspricht. Das hilft niemandem.

Veraltete Dokumente. Risikobewertungen von vor drei Jahren, nie aktualisiert. Prozessbeschreibungen, die Systeme erwähnen, die längst abgeschaltet sind.

Fehlende Freigaben. Dokumente ohne Unterschrift der Geschäftsleitung. Die Unterschrift ist nicht Formalität, sie ist Beweis für die Genehmigung.

Keine Schulungsnachweise. “Wir haben alle geschult” – aber kein Papier, das das belegt. Dann haben Sie es nicht gemacht.

Keine Testprotokolle. “Wir testen unsere Backups” – wann zuletzt? Mit welchem Ergebnis? Wenn Sie das nicht dokumentieren, existiert es nicht.

Und ein Klassiker: Dokumente nur digital. Die Ransomware verschlüsselt alles, und Ihr Notfallplan liegt auf dem verschlüsselten Server. Kritische Dokumente brauchen ein Offline-Backup.

Praktische Tipps

Erstellen Sie Templates für wiederkehrende Dokumente. Ein Standardformat für Risikobewertungen, für Schulungsprotokolle, für Vorfallsberichte. Das spart Zeit und sorgt für Konsistenz.

Automatisieren Sie, wo es geht. Backup-Berichte, Scan-Ergebnisse, Audit-Logs – das muss nicht manuell erstellt werden.

Bleiben Sie pragmatisch. Lieber kurz und aktuell als umfangreich und veraltet. Fokus auf das Wesentliche. Verständlich für die Zielgruppe, nicht für einen Juristen.

Integrieren Sie Dokumentation in Ihre Prozesse. Change-Dokumentation gehört in den Change-Prozess. Schulungsnachweis direkt bei der Schulung erstellen. Vorfallsprotokoll während der Vorfallsbearbeitung führen. Nicht hinterher alles nachholen wollen – das funktioniert nie.

Das Wichtigste zusammengefasst

Dokumentation ist kein Selbstzweck. Sie ist der Nachweis Ihrer Compliance. Wenn das BSI klopft oder wenn nach einem Vorfall Fragen aufkommen, brauchen Sie Belege.

Die unverzichtbaren Dokumente: Eine von der Geschäftsleitung genehmigte Sicherheitspolitik. Eine aktuelle Risikobewertung mit Maßnahmenplanung. Incident-Response- und Business-Continuity-Pläne. Schulungsnachweise, insbesondere für die Geschäftsführer. Und Test- sowie Audit-Berichte als Wirksamkeitsnachweise.

Fangen Sie jetzt an. Strukturieren Sie Ihre Ablage. Erstellen Sie Templates. Etablieren Sie klare Prozesse. Halten Sie die Dokumente aktuell.

Dann sind Sie für eine Prüfung vorbereitet – und haben nebenbei den Überblick über Ihre Sicherheitslage. Das ist der eigentliche Nutzen.