NIS2-Compliance dokumentieren: Warum Excel und Ordner nicht mehr reichen

Viele Unternehmen verwalten ihre NIS2-Maßnahmen in Excel-Tabellen und geteilten Ordnern. Das fühlt sich nach Kontrolle an – ist es aber oft nicht. Was Audit-Bereitschaft wirklich bedeutet und wo die unsichtbaren Lücken entstehen.

In der Beratungspraxis sieht man es immer wieder: Ein Unternehmen hat sich ernsthaft mit NIS2 auseinandergesetzt, Workshops gemacht, Maßnahmen identifiziert. Das Ergebnis? Eine Excel-Datei mit 40 Zeilen, dazu ein geteilter Ordner mit Richtliniendokumenten und irgendwo eine Notiz, wer wofür zuständig ist. Auf die Frage, wie weit man mit der Umsetzung ist, kommt die ehrliche Antwort: „Ungefähr 60 Prozent – aber eigentlich wissen wir's nicht genau."

Das ist kein Einzelfall. Es ist das Standardbild – und es ist ein Problem, das erst dann sichtbar wird, wenn es zu spät ist.

Was beim Audit tatsächlich gefragt wird

NIS2 verpflichtet betroffene Unternehmen nicht nur dazu, Sicherheitsmaßnahmen umzusetzen. Es verlangt, dass diese Umsetzung nachweisbar ist. Konkret bedeutet das: Wenn die Aufsichtsbehörde – in Deutschland das BSI – ein Unternehmen prüft, geht es nicht darum, ob man grundsätzlich gute Absichten hat. Es geht darum, ob man zeigen kann, dass die 10 Maßnahmenbereiche nach §30 Abs.2 BSIG dokumentiert, umgesetzt und regelmäßig überprüft werden.

Fragen, die im Prüffall kommen, sind etwa: Wann wurde die letzte Risikoanalyse durchgeführt, und wo ist das Ergebnis? Gibt es einen getesteten Incident-Response-Plan – und wann wurde er zuletzt getestet? Wer ist für Lieferantensicherheit verantwortlich, und anhand welcher Kriterien werden Dienstleister bewertet? Wurde die Geschäftsführung nachweislich über ihre Haftungspflichten nach §38 BSIG informiert?

Auf diese Fragen muss man nicht nur eine Antwort haben – man muss sie in Minuten liefern können, nicht in Tagen.

Warum Excel scheitert

Excel ist kein schlechtes Werkzeug. Für viele Aufgaben ist es unschlagbar. Aber für Compliance-Dokumentation hat es strukturelle Schwächen, die sich erst im Ernstfall zeigen:

Keine Nachweisverknüpfung: Eine Zelle mit dem Wert „umgesetzt" sagt nichts darüber aus, was tatsächlich getan wurde. Der Nachweis – eine Richtlinie, ein Testprotokoll, ein Screenshot – liegt irgendwo anders. Oder nirgendwo.
Keine Wiederkehrlogik: NIS2-Maßnahmen sind keine Einmalaufgaben. Risikoanalysen müssen jährlich wiederholt werden, Backuptests dokumentiert, Schulungen nachgewiesen. Excel erinnert daran nicht.
Kein Verantwortlichkeitsnachweis: Wer hat welche Maßnahme wann als „erledigt" markiert? Das ist bei einer Tabellenkalkulation kaum rekonstruierbar – und im Prüffall ein echtes Problem.
Kein Gesamtstatus: Wie viele der 10 Maßnahmenbereiche sind vollständig umgesetzt? Wo gibt es offene Lücken? Welche Fristen laufen aus? Auf diese Fragen braucht man eine sofortige, zuverlässige Antwort – die eine Excel-Datei selten liefert.

Das eigentliche Risiko: Die Lücke zwischen Umsetzung und Dokumentation

In vielen Unternehmen ist der tatsächliche Sicherheitsstatus besser als dokumentiert. Man hat Maßnahmen ergriffen, Prozesse eingeführt, Verantwortlichkeiten geregelt – aber nichts davon ist sauber festgehalten. Im Prüffall zählt das nicht. Was nicht nachgewiesen werden kann, gilt als nicht umgesetzt.

Im Compliance-Kontext gilt: Was nicht dokumentiert ist, hat nicht stattgefunden.

Das klingt unfair – und manchmal ist es das auch. Aber es ist die Realität der Prüflogik. Die gute Nachricht: Wenn die Maßnahmen tatsächlich umgesetzt sind, ist die Dokumentationslücke das kleinere Problem. Sie lässt sich schließen. Viel schwieriger ist es, beides gleichzeitig aufzuholen.

Was strukturierte Dokumentation leisten muss

Eine Compliance-Dokumentation, die im Ernstfall standhält, erfüllt mindestens vier Anforderungen:

Vollständigkeit: Alle 10 Maßnahmenbereiche nach §30 Abs.2 BSIG sind abgebildet – nicht nur die, die gerade im Fokus lagen.
Nachweisfähigkeit: Zu jeder umgesetzten Maßnahme lassen sich Belege hinterlegen – Dokumente, Protokolle, Screenshots.
Aktualität: Wiederkehrende Pflichten (jährliche Risikoanalyse, Management Review, Backup-Tests) sind terminiert und werden automatisch als fällig markiert.
Transparenz: Der Gesamtstatus ist auf einen Blick erkennbar – wie viel ist erledigt, was ist offen, was läuft kritisch.

Das ist kein Hexenwerk – aber es braucht eine Struktur, die dafür gebaut ist. Wer das mit einem auf NIS2 ausgelegten Tool löst, spart sich die Übersetzungsarbeit zwischen Anforderungsliste und Dokumentationsrealität.

Ein konkreter Einstieg

Mit dem NIS2 Tracker von Solvist lässt sich genau das abbilden: Alle 10 Maßnahmenbereiche nach §30 BSIG sind vorstrukturiert, Nachweise können direkt je Maßnahme hochgeladen werden, und wiederkehrende Aufgaben werden automatisch als fällig markiert. Der Fortschritt ist jederzeit sichtbar – nicht als Schätzwert in einer Excel-Zelle, sondern als tatsächlicher Umsetzungsstand.

Der Tracker ist kostenlos nutzbar. Wer eine tiefergehende Begleitung bei der NIS2-Umsetzung sucht, kann uns gerne direkt ansprechen.