← Startseite
Khosla·Compliance
NIS2 · Prüfsituationen
Vom Prüfimpuls zum Arbeitsstand

NIS2-Prüfsituationen: Welche Arbeitsstände wirklich zählen

NIS2 beschreibt Pflichten, Maßnahmen und Verantwortlichkeiten — aber keine einheitliche Dokumentenform für jedes Unternehmen. Im Prüfmoment zählt, ob das Unternehmen erklären kann, welche Entscheidungen getroffen wurden, welche Maßnahmen gelten, welche Ausnahmen offen sind und wann erneut geprüft wird.

NIS2 wird konkret, wenn jemand fragt: Kunde, Geschäftsführung, Aufsicht oder Incident Team. Dann zählt, ob Entscheidungen, Maßnahmen, Ausnahmen, Owner, Fristen und Wiedervorlagen nachvollziehbar geführt wurden.
Prüfsituation auswählen ↓ NIS2-Einordnung starten →
Im Kontext lesen
HubNIS2 angewandt §38 BSIGKenntnisnahme Geschäftsführung §32 BSIGMeldepflicht §30 BSIGLieferkette
Ausgangspunkt

Warum die Prüfsituation der bessere Einstieg ist

Viele Unternehmen fragen als erstes: Welche Richtlinien brauchen wir? Welche Dokumente? Das ist verständlich, aber selten der klarste Weg. Besser ist die umgekehrte Frage: Wer wird wann fragen — und was muss dann erklärbar sein?

Das Gesetz beschreibt Pflichten und Verantwortlichkeiten. Die konkrete Nachweisführung muss zum Unternehmen, zu seinen Risiken und zu seinen Prozessen passen. Ein Auditor, ein Kunde oder ein Incident Team fragt nicht nach dem richtigen Dokumentenformat. Er fragt nach dem Arbeitsstand: Was wurde entschieden? Wer war Owner? Welche Maßnahme gilt? Was bleibt offen? Wann wird erneut geprüft?

Prüfprinzip
Jeder dieser Vorgänge erzeugt sicherheitsrelevante Entscheidungen — ob dokumentiert oder nicht. Wer sie im Prozess führt, hat sie später erklärbar.
Arbeitsmodell

Vom Prüfimpuls zum Arbeitsstand

Wenn ein Kunde, ein Vorfall oder die Geschäftsführung fragt, wird sichtbar, welche Vorgänge im Betrieb geführt werden müssen. Prozess und Arbeitsstand sind der Ort, wo Entscheidungen, Ausnahmen und Wiedervorlagen entstehen — oder fehlen.

01
Regime
§30 · §32 · §38 BSIG
02
Prüfsituation
Kunde · Vorfall · GF
03
Prozess
Benutzeranlage · Lieferantenzugriff · Ausnahme
04
Arbeitsstand
Entscheidung · Owner · Frist · Wiedervorlage
05
Auskunftsfähigkeit
Wer? Warum? Was offen? Wann?
Die drei Prüfsituationen

Welche Situation trifft gerade zu?

Jede Prüfsituation aktiviert andere Arbeitsstände. Der Einstieg folgt der Situation, nicht dem Gesamtregime.

Prüfsituation 01 · Lieferkette
Kundenprüfung vorbereiten
Ein Kunde, Konzern, öffentlicher Auftraggeber oder Einkauf fordert NIS2- oder Cybersecurity-Nachweise.
Typische Prüffragen
Sind Sie NIS2-betroffen?
Welche Sicherheitsmaßnahmen gelten für unsere Leistung?
Haben Sie Subdienstleister mit Systemzugriff?
Welcher Meldeweg gilt im Vorfall?
Gibt es offene Punkte oder bekannte Risiken?
Benötigte Arbeitsstände
Betroffenheit und Rolle in der Lieferkette
Betroffene Leistung und Systeme
Maßnahmenübersicht §30
Lieferantenbezug und Subunternehmer
Meldeweg und Ansprechpartner
Offene Punkte mit Owner und Wiedervorlage
Normbezüge
§30 Abs. 2 Nr. 4 §28 Betroffenheit §32 Meldeweg
Lieferkette und Nachweis einordnen →
Prüfsituation 02 · Vorfall
Meldebewertung vorbereiten
Ein Sicherheitsvorfall, Dienstleistervorfall, Ransomware-Verdacht oder IT-Ausfall muss nach §32 BSIG bewertet werden.
Typische Prüffragen
Wann wurde der Vorfall erkannt?
Welche Systeme und Dienste sind betroffen?
Welche Betriebswirkung ist erkennbar?
Muss innerhalb von 24h gemeldet werden?
Ist die Geschäftsführung informiert?
Benötigte Arbeitsstände
Zeitstempel der Kenntniserlangung
Lagebild: betroffene Systeme und Dienste
Erstmaßnahmen und Eskalationsweg
Meldeentscheidung und Verantwortliche
Kenntnisnahme der Geschäftsführung dokumentiert
24h- / 72h-Folgelogik geführt
Normbezüge
§32 Meldepflicht §38 Geschäftsführung 24h / 72h Fristen
§32 Meldepflicht und Fristen einordnen →
Prüfsituation 03 · Governance
Kenntnisnahme der Geschäftsführung dokumentieren
Geschäftsführung, Beirat, interne Revision oder Compliance fragt: Wo stehen wir? Was ist offen? Was muss ich kennen oder billigen?
Typische Prüffragen
Welche Maßnahmen laufen, welche sind offen?
Welche kritischen Ausnahmen bestehen?
Welche Restrisiken sind akzeptiert und durch wen?
Ist die Schulungspflicht §38 erfüllt?
Welche Wiedervorlagen sind fällig?
Benötigte Arbeitsstände
Maßnahmenstatus §30 und offene Punkte
Kritische Ausnahmen mit Owner und Frist
Restrisiken mit Risikoakzeptanz-Dokumentation
Kenntnisnahme, Entscheidung und Billigung der Geschäftsführung
Schulungsnachweis Geschäftsleitung
Wiedervorlagen und Befassung der Geschäftsleitung im Management Review
Normbezüge
§38 BSIG §30 Überwachung Billigung · Schulung
§38 BSIG und Kenntnisnahme der Geschäftsführung einordnen →
Wiederkehrende Elemente

Die acht Bausteine jedes Arbeitsstands

Unabhängig von der Prüfsituation bestehen Arbeitsstände aus denselben acht Elementen. Wer sie konsequent führt, ist in allen drei Situationen auskunftsfähig.

Entscheidung
Was wurde beschlossen? Wann und auf welcher Grundlage?
Owner
Wer ist verantwortlich und bleibt ansprechbar?
Risiko
Welches Risiko besteht? Kritikalität, Exposition, Betriebswirkung?
Maßnahme
Welche Sicherheitsmaßnahme gilt oder greift als Gegenmaßnahme?
Ausnahme
Welcher Sachverhalt bleibt offen — mit welcher Begründung?
Frist
Bis wann gilt die Ausnahme oder Maßnahme? Konkrete Datumsangabe, kein offenes Ende.
Wiedervorlage
Wann wird der Sachverhalt erneut bewertet, unabhängig von der Frist? Wer eskaliert bei Überfälligkeit?
Nachweisquelle
Wo ist der Nachweis abgelegt? Ticket, Protokoll, Review-Vermerk?
Mapping

Prüfsituation → Prozess → Arbeitsstand

Die drei Prüfsituationen lassen sich auf bekannte Betriebsvorgänge zurückführen. Dort entstehen die Arbeitsstände — nicht erst beim Prüfmoment.

PrüfsituationBetroffene ProzesseArbeitsstände
Kundenprüfung Lieferantenzugriff · Benutzeranlage · Maßnahmenüberblick Betroffenheit, Leistung, Systeme, Maßnahmen, Meldeweg, offene Punkte
Meldebewertung Patch-Ausnahme · Incident Intake · Lieferantenvorfall Zeitstempel, Lagebild, Erstmaßnahmen, Meldeentscheidung, dokumentierte Kenntnisnahme der Geschäftsführung
Befassung der Geschäftsführung MFA-Ausnahme · Patch-Ausnahme · GF-Nachweis Maßnahmenstatus, kritische Ausnahmen, Restrisiken, Entscheidungen, Wiedervorlage
Häufige Fragen
Eine Prüfsituation entsteht, wenn jemand konkret fragt: ein Kunde, die Geschäftsführung, eine Behörde oder das Incident Team. Dann wird sichtbar, ob das Unternehmen Entscheidungen, Maßnahmen, Ausnahmen, Owner, Fristen und Wiedervorlagen nachvollziehbar geführt hat.
Kundenprüfung: Ein Auftraggeber fordert NIS2-Nachweise. Meldebewertung: Ein Vorfall muss nach §32 BSIG bewertet werden. Befassung der Geschäftsführung: Geschäftsführung oder Compliance fragt nach Stand, Ausnahmen und Wiedervorlagen.
Ein Arbeitsstand hält Entscheidung, Owner, Risiko, Maßnahme, Ausnahme, Frist, Wiedervorlage und Nachweisquelle zusammen. Er macht später erklärbar, was entschieden wurde, was offen bleibt und wann erneut geprüft wird.
Nicht zwingend. Die acht Bausteine jedes Arbeitsstands sind situationsübergreifend dieselben. Was sich ändert, ist der Fokus: Bei der Kundenprüfung zählt der Maßnahmenüberblick. Bei der Meldebewertung zählt der Zeitstempel. Bei der Befassung der Geschäftsführung zählen Ausnahmen, Entscheidungen und Wiedervorlagen.
Weiterführende Einordnung
HubNIS2 angewandt §30 LieferketteKundennachweis §32 BSIGMeldebewertung §38 BSIGKenntnisnahme dokumentieren NIS2 angewandtMFA-Ausnahme NIS2 angewandtPatch-Ausnahme NIS2 angewandtIT-Wiederanlauf
Nächster Schritt

Prüfsituation auswählen — Arbeitsstand aufbauen

Beginnen Sie mit der Situation, die gerade dringend ist: Kundenprüfung, Meldebewertung oder Befassung der Geschäftsführung. Der NIS2-Arbeitsplatz führt durch die passenden Arbeitsstände.

NIS2-Einordnung starten → NIS2 angewandt lesen →