Mit der Umsetzung der NIS-2-Richtlinie verschiebt sich der Fokus der Cybersicherheit spürbar. Es geht nicht mehr allein darum, Sicherheitsmaßnahmen umzusetzen. Entscheidend ist zunehmend, ob Unternehmen diese Maßnahmen auch nachvollziehbar dokumentieren können. Im Zweifel zählt nicht, was getan wurde – sondern was belegbar ist.
Vom „Wir haben das geregelt“ zum „Wir können es belegen“
Viele Unternehmen sind überzeugt, ihre IT-Sicherheit im Griff zu haben. Firewalls sind eingerichtet, Backups laufen, Dienstleister kümmern sich um Updates. Doch NIS-2 stellt eine neue Frage: Wo ist der Nachweis? Das Gesetz verlangt keine Perfektion, aber Angemessenheit. Und Angemessenheit lässt sich nur beurteilen, wenn Prozesse, Zuständigkeiten und Entscheidungen dokumentiert sind. Mündliche Absprachen oder implizites Wissen reichen nicht mehr aus.
Dokumentation ist kein Selbstzweck – sondern Absicherung
Dokumentation dient nicht primär der Behörde, sondern dem Unternehmen selbst. Sie zeigt, dass Risiken erkannt, Entscheidungen getroffen und Maßnahmen geplant oder umgesetzt wurden. Gerade im Krisenfall – etwa nach einem Sicherheitsvorfall – wird sie zum Schutzschild: Wer belegen kann, strukturiert und verantwortungsvoll gehandelt zu haben, reduziert Haftungs- und Sanktionsrisiken erheblich.
Wenn nichts dokumentiert ist, gilt es als nicht erfolgt
Ein zentraler Grundsatz der Aufsicht lautet: Nicht dokumentiert heißt nicht existent. Das betrifft Risikoanalysen ebenso wie Meldeprozesse, Zuständigkeiten oder Schulungen der Geschäftsleitung. Selbst funktionierende Sicherheitsmaßnahmen verlieren ihren Wert, wenn sie nicht nachvollziehbar beschrieben und zugeordnet sind. NIS-2 macht damit sichtbar, was viele bislang unterschätzt haben: Organisation ist Teil der Sicherheit.
Die Geschäftsleitung steht im Dokumentationsfokus
Neu ist auch, dass sich die Dokumentationspflichten nicht auf die IT beschränken. Die Geschäftsleitung muss zeigen können, dass sie informiert ist, Entscheidungen trifft und die Umsetzung überwacht. Regelmäßige Berichte, klare Zuständigkeiten und formalisierte Abläufe werden damit zu zentralen Elementen der Unternehmensführung – nicht nur der IT-Abteilung.
Kontinuität schlägt Aktionismus
NIS-2 versteht Dokumentation nicht als einmalige Pflicht, sondern als fortlaufenden Prozess. Risiken ändern sich, Systeme wachsen, Dienstleister wechseln. Dokumentation muss daher aktuell gehalten werden. Unternehmen, die früh strukturieren und kontinuierlich pflegen, vermeiden hektische Nacharbeiten und sind dauerhaft handlungsfähig – auch bei Prüfungen oder Vorfällen.
Neue Währung der Cybersicherheit
Mit NIS-2 wird Dokumentation zur neuen Währung der Cybersicherheit. Sie entscheidet darüber, ob Maßnahmen anerkannt, Verantwortlichkeiten nachvollzogen und Risiken angemessen bewertet werden können. Wer heute sauber dokumentiert, schützt sich morgen – rechtlich, organisatorisch und wirtschaftlich.