NIS2 verlangt keine festgelegte Dokumentationsstruktur — aber im Aufsichts- oder Bußgeldverfahren müssen Unternehmen ihre Maßnahmen nachweisen können. Dieser Artikel erklärt welche Dokumente sinnvoll sind.
Was muss für NIS2 dokumentiert werden
Empfohlene NIS2-Dokumentation: Betroffenheitsanalyse (Sektor, Einstufung), Risikoanalyse und -behandlung, Nachweis der 10 Pflichtmaßnahmen nach Art. 21, Incident-Response-Plan, BCP, Meldeprozesse für BSI, Schulungsnachweise GF und Mitarbeiter, Lieferantenverzeichnis mit Sicherheitsbewertungen, BSI-Registrierungsnachweis, Audit- oder Assessment-Berichte.
Wie dokumentiert man die NIS2-Risikoanalyse
NIS2 Risikoanalyse-Dokumentation: Methodik (ISO 27005 oder ähnlich), Asset-Inventar mit Kritikalitätsbewertung, Bedrohungsszenarien, Risikobewertungsmatrix, Behandlungsoptionen und Maßnahmen, Restrisiken und Akzeptanzentscheidung (Management-Signatur), Überprüfungsplan. Format: Risikoregister als zentrales Dokument. Update: mindestens jährlich und anlassbezogen.
Wie dokumentiert man Sicherheitsvorfälle für NIS2
Incident-Dokumentation: Vorfallsprotokoll (Zeitstempel, Art des Vorfalls, betroffene Systeme, Auswirkungen), Meldung an BSI (24h-Frühwarnung, 72h-Meldung, Abschlussbericht), ergriffene Maßnahmen, Root-Cause-Analyse, Lessons Learned. Aufbewahrungsfrist: mindestens 5 Jahre empfohlen. Bei Audit oder Bußgeldverfahren: vollständige Dokumentation entscheidend.
Wie dokumentiert man die Lieferkettensicherheit nach NIS2
Lieferantendokumentation: Inventar kritischer Lieferanten, Sicherheitsbewertung je Lieferant (Fragebogen, Zertifikate), Vertragsprüfung (Sicherheitsklauseln vorhanden?), Monitoring-Nachweise (wann wurde zuletzt geprüft?), Maßnahmen bei identifizierten Risiken. Diese Dokumentation ist NIS2 Art. 21(d) direkt zuzuordnen und wird bei Aufsichtsmaßnahmen als erstes angefragt.
Welche Aufbewahrungsfristen gelten für NIS2-Dokumente
NIS2 schreibt keine expliziten Aufbewahrungsfristen vor. Empfehlung orientiert an Verjährungsfristen: Risikoanalysen und Maßnahmenberichte 5 Jahre, Incident-Dokumentation 5 Jahre, GF-Schulungsnachweise Dauer der Tätigkeit + 3 Jahre, Meldungen an BSI dauerhaft (Referenz bei Folgeverfahren). Abgleich mit nationalen Aufbewahrungspflichten (HGB, AO).
✓ Checkliste: Welche Dokumentation wird für NIS2 benötigt?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Welche Dokumentation wird für NIS2 benötigt? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Empfohlene NIS2-Dokumentation: Betroffenheitsanalyse (Sektor, Einstufung), Risikoanalyse und -behandlung, Nachweis der 10 Pflichtmaßnahmen nach Art. 21, Incident-Response-Plan, BCP, Meldeprozesse für BSI, Schulungsnachweise GF und Mitarbeiter, Lieferantenverzeichnis mit Sicherheitsbewertungen, BSI-Registrierungsnachweis, Audit- oder Assessment-Berichte.
NIS2 Risikoanalyse-Dokumentation: Methodik (ISO 27005 oder ähnlich), Asset-Inventar mit Kritikalitätsbewertung, Bedrohungsszenarien, Risikobewertungsmatrix, Behandlungsoptionen und Maßnahmen, Restrisiken und Akzeptanzentscheidung (Management-Signatur), Überprüfungsplan. Format: Risikoregister als zentrales Dokument. Update: mindestens jährlich und anlassbezogen.
Incident-Dokumentation: Vorfallsprotokoll (Zeitstempel, Art des Vorfalls, betroffene Systeme, Auswirkungen), Meldung an BSI (24h-Frühwarnung, 72h-Meldung, Abschlussbericht), ergriffene Maßnahmen, Root-Cause-Analyse, Lessons Learned. Aufbewahrungsfrist: mindestens 5 Jahre empfohlen. Bei Audit oder Bußgeldverfahren: vollständige Dokumentation entscheidend.
Lieferantendokumentation: Inventar kritischer Lieferanten, Sicherheitsbewertung je Lieferant (Fragebogen, Zertifikate), Vertragsprüfung (Sicherheitsklauseln vorhanden?), Monitoring-Nachweise (wann wurde zuletzt geprüft?), Maßnahmen bei identifizierten Risiken. Diese Dokumentation ist NIS2 Art. 21(d) direkt zuzuordnen und wird bei Aufsichtsmaßnahmen als erstes angefragt.
NIS2 schreibt keine expliziten Aufbewahrungsfristen vor. Empfehlung orientiert an Verjährungsfristen: Risikoanalysen und Maßnahmenberichte 5 Jahre, Incident-Dokumentation 5 Jahre, GF-Schulungsnachweise Dauer der Tätigkeit + 3 Jahre, Meldungen an BSI dauerhaft (Referenz bei Folgeverfahren). Abgleich mit nationalen Aufbewahrungspflichten (HGB, AO).