Die Informationssicherheit muss funktionieren. Mit der NIS 2.0 reicht das allein jedoch nicht mehr aus. Die Unternehmen müssen künftig auch belegen können, dass Sicherheitsmaßnahmen geplant, umgesetzt, überprüft und kontinuierlich verbessert werden. Genau hier gewinnen Dokumentations- und Nachweispflichten eine ganz neue Bedeutung.

Für die IT-Leitung und Informationssicherheitsbeauftragte entsteht damit eine doppelte Herausforderung. Einerseits müssen technische und organisatorische Maßnahmen wirksam umgesetzt werden. Andererseits sind Entscheidungen, Prozesse und Kontrollen nachvollziehbar zu dokumentieren.

Doch was passiert in Unternehmen, in denen die Rolle des ISB noch gar nicht besetzt ist?

Gerade in Krankenhäusern, kommunalen Einrichtungen und mittelständischen Unternehmen ist genau das aktuell die Realität. Die Anforderungen steigen ständig, während personelle Ressourcen fehlen. Trotzdem verschwinden die Pflichten nicht, sie verteilen sich häufig auf vorhandene Rollen und genau darin liegt ein erhebliches Risiko.

Warum Dokumentation unter NIS 2.0 so wichtig wird

Die NIS 2.0 verschiebt den Fokus deutlich. Es geht jetzt nicht mehr nur um einzelne technische Schutzmaßnahmen. Entscheidend ist die Fähigkeit einer Organisation, ihre Sicherheitsstrategie nachvollziehbar darzustellen.

Behörden, Prüfer und Aufsichtsbehörden werden künftig stärker hinterfragen:

  • Welche Risiken wurden identifiziert?
  • Welche Maßnahmen wurden beschlossen?
  • Wer trägt die Verantwortung?
  • Wann wurden welche Kontrollen durchgeführt?
  • Welche Ergebnisse liegen vor?
  • Wie werden Verbesserungen umgesetzt?

Fehlt diese Transparenz, entsteht sehr schnell ein kritisches Bild. Selbst gute Sicherheitsmaßnahmen verlieren an Wirkung, wenn sie nicht dokumentiert sind.

Die zentrale Frage lautet daher: Können Sie im Ernstfall nachweisen, dass Ihre Sicherheitsmaßnahmen angemessen und wirksam sind?

Was konkret dokumentiert werden sollte 

Viele Einrichtungen verfügen bereits über einzelne Sicherheitsdokumente. Unter NIS 2.0 reicht ein isoliertes Sammeln von Richtlinien jedoch nicht mehr aus. Gefordert ist ein nachvollziehbares, gesamtheitliches System.

Besonders relevant sind dabei beispielsweise Sicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Risikobewertungen, Maßnahmenpläne, Schulungsnachweise, Lieferantenbewertungen und vieles andere mehr.

Dabei stellt sich eine wichtige Frage: Sind alle diese Informationen aktuell, vollständig und zentral verfügbar? Genau an dieser Stelle zeigen sich in vielen Unternehmen und Krankenhäusern Schwachstellen. So liegen die Dokumente verteilt auf Netzlaufwerken, die Zuständigkeiten für die Dokumentationen sind unklar oder Nachweise werden nur anlassbezogen erstellt.

Wenn der ISB fehlt: Wer übernimmt die Aufgaben?

Viele Einrichtungen und Unternehmen haben bisher keinen formal benannten Informationssicherheitsbeauftragten. Andere haben die Rolle zwar schon definiert, aber personell noch nicht besetzt. Die Aufgaben verschwinden dadurch jedoch nicht. In der Praxis landen ISB-Tätigkeiten häufig bei der IT-Leitung oder einem IT-Administrator, beim Datenschutzbeauftragten oder beim Qualitätsmanagement.

Das große Problem ist dabei liegt darin, dass Informationssicherheit schnell zur Nebentätigkeit wird.

Die Dokumentationen entstehen dann oft nur punktuell und Risikoanalysen bleiben unvollständig. Die definierten Maßnahmen werden zwar technisch umgesetzt, aber nicht sauber nachgewiesen. Genau diese Lücken können unter NIS 2.0 kritisch werden.

Hinzu kommt ein weiterer Aspekt: Wer koordiniert eigentlich die Gesamtübersicht?

Denn Informationssicherheit betrifft nicht nur die IT. Auch beispielsweise der Einkauf, der Personalbereich, externe Dienstleister und die Fachabteilungen müssen eingebunden werden. Ohne klare Zuständigkeit entstehen leicht blinde Flecken.

Interimslösungen sind besser als Stillstand

Nicht jede Organisation kann kurzfristig eine ISB-Stelle besetzen. Der Markt ist angespannt und qualifizierte Fachkräfte sind stark nachgefragt.

Nach unserer Erfahrung bedeutet das jedoch nicht, dass Sie warten sollten. Viele Organisationen arbeiten deshalb zunächst mit Übergangslösungen, beispielsweise einem externen ISB-Support (den Adiccon auch anbietet), mit geteilten Verantwortlichkeiten oder einer projektbezogenen Sicherheitskoordination.

Entscheidend ist dabei weniger die perfekte Organisationsstruktur. Wichtig ist vor allem, dass Aufgaben verbindlich geregelt und dokumentiert werden. Wer verantwortet Risikoanalysen? Wer prüft Richtlinien? Wer sammelt Nachweise? Wer koordiniert Audits?

Fehlen klare Antworten auf diese Fragen, steigt das Risiko von Lücken erheblich.

Nachweise müssen prüfbar sein

Ein häufiger Fehler besteht darin, Dokumentation als reine Formalität zu betrachten. Tatsächlich erfüllen viele Unterlagen ihren Zweck nur eingeschränkt.

Die NIS 2.0 verlangt nachvollziehbare und belastbare Nachweise. Das bedeutet konkret: Entscheidungen müssen begründet und Maßnahmen überprüfbar sein. Auch die Verantwortlichkeiten sind zu dokumentieren.

Hierzu ein Beispiel aus unserer Beratungspraxis: Eine Sicherheitsrichtlinie allein genügt nicht. Relevant ist auch, ob Mitarbeitende geschult wurden, ob Kontrollen stattfinden und wie Verstöße behandelt werden.

Oder anders gefragt: Können Sie belegen, dass Sicherheitsvorgaben tatsächlich „gelebt“ werden?

Dokumentation darf kein Bürokratiemonster werden

Viele Verantwortliche befürchten immer wieder steigenden Verwaltungsaufwand. Diese Sorge ist nachvollziehbar. Gleichzeitig bietet die NIS 2.0 die Chance, Prozesse klarer und effizienter zu strukturieren.

Wichtig ist ein pragmatischer Ansatz, der den Aufwand überschaubar hält. Wenn Sie

  • Standards definieren
  • Vorlagen nutzen
  • Verantwortlichkeiten festlegen
  • Dokumentationsprozesse automatisieren
  • Regelmäßige Reviews einplanen

befinden Sie sich in einem vorgegebenen Rahmen, der beherrschbar bleibt.

Besonders hilfreich sind zentrale Systeme für das Informationssicherheitsmanagement und die Maßnahmensteuerung. Auch bestehende Werkzeuge sollten überprüft werden. Reichen Excel Listen und Dateiablagen noch aus? Oder entstehen dadurch zusätzliche Risiken und Inkonsistenzen? Hier sind Tools wie AdiRisk aus unserem Hause zu empfehlen, um das IT-Risikomanagement professionell zu dokumentieren.

Fazit: Handeln Sie jetzt

Viele Unternehmen und Krankenhäuser zögern noch und haben sich möglichweise nicht bis zum 6. März 2026 beim BSI registrieren lassen. Das birgt Risiken, unter anderem auch deshalb, weil belastbare Dokumentationsstrukturen nicht kurzfristig entstehen.

Gerade Organisationen ohne festen ISB sollten unbedingt handeln. Denn eines wird unter NIS 2.0 immer wichtiger. Die Sicherheitsmaßnahmen müssen nicht nur vorhanden sein, sie müssen jederzeit nachvollziehbar belegt werden können.

Wenn Sie mehr über die NIS 2.0 und die Dokumentations- und Nachweispflichten wissen möchten, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de, oder mobil unter 0160 90997764.