Warum NIS2-Compliance kein Audit-Moment mehr ist – und was das für Ihre Organisation bedeutet
Artikel
← Zurück zu den NewsDas belgische NIS2-Gesetz ist seit Oktober 2024 in Kraft. Im April 2026 erreichen besonders wichtige Einrichtungen ihren ersten Nachweistermin – und je nach gewähltem Weg sieht dieser sehr unterschiedlich aus. Manche Organisationen müssen bis dahin eine CyFun-Verifizierung erlangt haben. Andere reichen ihren ISO-27001-Geltungsbereich und ihre Erklärung zur Anwendbarkeit (SoA) beim CCB ein. Wieder andere durchlaufen eine Inspektion durch das CCB oder einen sektoralen Inspektionsdienst.
Drei Wege, eine Frist – und für die meisten Organisationen dieselbe Frage: Sind wir bereit?
Doch „bereit“ ist hier ein irreführendes Wort. Denn die eigentliche Veränderung, die NIS2 mit sich bringt, liegt nicht in diesem ersten Termin. Sie liegt in dem, was danach kommt. Compliance wird zu einem kontinuierlichen Prozess – und das verändert, wie Organisationen Nachweise erfassen, ihre Governance strukturieren und mit Aufsichtsbehörden zusammenarbeiten.
Was genau ändert sich?
Das belgische NIS2-Gesetz löst den früheren NIS1-Rahmen ab und erweitert dessen Geltungsbereich erheblich. Das Centre for Cybersecurity Belgium (CCB) schätzte zunächst, dass rund 2.500 Organisationen unter NIS2 fallen würden. Bis Februar 2026 meldete das CCB, dass sich bereits über 2.600 Einrichtungen registriert hatten.
Was diese Organisationen nun tun müssen, gliedert sich in drei Pflichten.
Risikomanagementmaßnahmen umsetzen. Cybersicherheitsmaßnahmen, die dem Risikoprofil der Organisation angemessen sind. Das CCB stellt mit dem CyberFundamentals Framework (CyFun) drei Assurance-Stufen bereit – Basic, Important, Essential – wobei Organisationen auch ISO/IEC 27001 als Referenzrahmen wählen können.
Sicherheitsvorfälle melden. Schwerwiegende Sicherheitsvorfälle müssen dem nationalen CSIRT gemeldet werden. Über das gesamte Jahr 2025 hinweg bearbeitete das CCB 635 Vorfälle auf nationaler Ebene. Zum Vergleich: Vor NIS2 lag der monatliche Durchschnitt bei rund 25 Meldungen. Der Anstieg ist nicht auf mehr Angriffe zurückzuführen, sondern darauf, dass Organisationen heute wissen, dass sie melden müssen – und es auch tun.
Nachweisen, dass die Maßnahmen wirken. Hier wird es schwierig. Maßnahmen zu ergreifen reicht nicht aus. Organisationen müssen auch belegen, dass diese Maßnahmen funktionieren. Für besonders wichtige Einrichtungen bedeutet das eine regelmäßige Konformitätsbewertung über einen von drei Wegen: CyFun-Zertifizierung oder -Verifizierung durch eine vom CCB autorisierte Konformitätsbewertungsstelle (CAB), ISO/IEC-27001-Zertifizierung durch eine akkreditierte und autorisierte CAB oder eine Inspektion durch den CCB-Inspektionsdienst oder einen sektoralen Inspektionsdienst.
Wenn das jährliche Audit nicht mehr genügt
Compliance folgte schon immer einem Rhythmus aus Stille und Hektik. Monate, in denen niemand die Dokumentation ansah, gefolgt von Wochen, in denen das gesamte Team Ordner durchforstete, um Nachweise für den Prüfer zusammenzutragen.
NIS2 durchbricht diesen Rhythmus.
Das Gesetz verlangt von Organisationen, jederzeit nachweisen zu können, dass ihre Maßnahmen funktionieren – nicht erst, wenn der Prüfer anruft. Bei besonders wichtigen Einrichtungen kann das CCB eine proaktive Aufsicht ausüben: Vor-Ort-Inspektionen, Ad-hoc-Audits, Sicherheits-Scans, Anforderung von Nachweisen. Ungeplant, unangekündigt. Bei wichtigen Einrichtungen ist die Aufsicht grundsätzlich reaktiv, doch auch sie müssen jederzeit belegen können, dass sie die Anforderungen erfüllen.
Das bedeutet etwas sehr Konkretes. Es bedeutet, dass die Nachweise vorhanden sein müssen, bevor jemand danach fragt. Nicht in einem zweiwöchigen Sprint zusammengetragen, sondern kontinuierlich als Teil des täglichen Betriebs gepflegt.
Und genau darin liegt die Spannung. Denn die meisten Organisationen haben Compliance bislang als Projekt behandelt – mit einem Anfang, einem Ende und sehr vielen Tabellen dazwischen. Dieser Ansatz funktioniert nicht mehr, wenn die Aufsicht kontinuierlich ist.
Wie sieht kontinuierliche Compliance in der Praxis aus?
Drei Dinge müssen sich ändern.
Die Nachweiserfassung wird automatisch. Nachweise manuell aus zehn oder zwanzig Systemen abzurufen – Ticketing-Tools, HR-Plattformen, Firewalls, Identity Provider – das skaliert nicht. Organisationen benötigen Werkzeuge, die Artefakte automatisch abrufen und den jeweils einschlägigen regulatorischen Anforderungen zuordnen. Nicht einmal pro Quartal, sondern kontinuierlich.
Abweichungen werden in dem Moment sichtbar, in dem sie auftreten. Eine Maßnahme, die versagt, oder eine veraltete Nachweisquelle: Das muss heute sichtbar sein, nicht erst in drei Monaten in einem Audit-Bericht. Kontinuierliche Überwachung mit klarem Alerting ersetzt die periodische Stichprobe.
Jede Entscheidung ist nachvollziehbar. Wer hat eine Abweichung erkannt? Wer hat die Korrekturmaßnahme freigegeben? Auf welcher Nachweisgrundlage? Wenn eine Aufsichtsbehörde diese Fragen stellt, darf die Antwort keine Suche durch Postfächer und gemeinsame Laufwerke sein. Sie muss einfach da sein.
Was KI kann – und was nicht
Künstliche Intelligenz kann helfen, diese Komplexität beherrschbar zu halten. Regulierung analysieren, Nachweisquellen identifizieren, Abweichungen schneller erkennen als ein menschliches Team – das ist es, worin Software gut ist.
Doch es gibt eine Grenze, und es ist wichtig, sie klar zu ziehen.
Eine Compliance-Plattform kann feststellen, dass eine Maßnahme über unzureichende Nachweise verfügt. Sie kann eine Korrekturmaßnahme vorschlagen. Doch diese Maßnahme umzusetzen – und die Verantwortung für das Ergebnis – liegt beim Management. Nicht bei der Software.
Das ist keine Einschränkung. Es ist eine bewusste Designentscheidung. Sie steht im Einklang mit dem europäischen Ansatz für vertrauenswürdige KI, in dem menschliche Aufsicht und Transparenz im Mittelpunkt stehen.
Und sie steht im Einklang mit dem NIS2-Gesetz selbst. Das Gesetz weist die Verantwortung für Cybersicherheitsmaßnahmen ausdrücklich der Leitungsebene zu. Die Mitglieder der Leitungsorgane billigen die Maßnahmen, überwachen ihre Umsetzung und haften im Falle von Verstößen.
Software, die verspricht, diese Verantwortung zu übernehmen? Sie verfehlt den Kern der Sache. Oder schlimmer: Sie täuscht.
Warum es darauf ankommt, wo Ihre Compliance-Software läuft
Viele Compliance-Plattformen wurden aus der amerikanischen Regulierungslandschaft heraus entwickelt – SOC 2, HIPAA, FedRAMP – und später an europäische Rahmenwerke angepasst. Angepasst, nicht neu konzipiert. Der Unterschied ist ein Mapping von Maßnahmen, kein Unterschied in der Architektur.
Für Organisationen, die NIS2 und DSGVO miteinander verbinden, macht das einen Unterschied. Sie müssen nicht nur Cybersicherheitsmaßnahmen nachweisen, sondern auch berücksichtigen, wo und wie ihre Compliance-Daten verarbeitet werden.
Die DSGVO erlaubt Übermittlungen außerhalb des EWR – über Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere Mechanismen nach Kapitel V. Doch jede Übermittlung erfordert eine Prüfung und bringt zusätzlichen Governance-Aufwand mit sich. Für Organisationen in regulierten Sektoren ist die Abwägung konkret: zusätzliche Übermittlungsmechanismen verwalten – oder eine Plattform wählen, die diese Komplexität vermeidet, indem sie auf Ihrer eigenen Infrastruktur innerhalb der EU-Grenzen läuft.
Das ist eine architektonische Entscheidung, keine rechtliche Verpflichtung. Doch es ist eine Entscheidung, die den Unterschied ausmachen kann zwischen einem Governance-Prozess, der beherrschbar bleibt, und einem, der fortlaufend Aufmerksamkeit für etwas verlangt, das mit Ihrer eigentlichen Mission nichts zu tun hat.
Drei Dinge, die Sie heute tun können
Unabhängig davon, für welche Werkzeuge Sie sich entscheiden.
Erfassen Sie Ihren Nachweisstatus. Welche CyFun-Maßnahmen oder ISO-27001-Maßnahmen haben Sie umgesetzt – und wo befinden sich die Nachweise? Wie aktuell sind sie? Eine Lücke in Ihren Nachweisen ist keine Lücke in Ihrer Sicherheit. Aber sie ist das Erste, was einer Aufsichtsbehörde auffällt.
Zentralisieren Sie. Nachweise, die über zehn Systeme verstreut sind, sind in der Praxis Nachweise, die sich nicht finden lassen. Ein einziger zentraler Ort – eine spezialisierte Plattform oder ein gut strukturiertes Dokumentenmanagementsystem – macht den Unterschied zwischen wochenlanger Audit-Vorbereitung und einem Audit, dem Sie sich jederzeit stellen können.
Machen Sie Compliance operativ. Kein Projekt, das dem CISO gehört. Keine jährliche Initiative der Rechtsabteilung. Ein fortlaufender Prozess, strukturiert wie das Incident-Management oder das Change-Management. Mit zugewiesenen Verantwortlichkeiten, festen Frequenzen und einem Eskalationspfad, wenn sich der Status ändert.
Wie die Euraika-GRC-Plattform hilft
Euraika GRC ist genau für diesen Wandel gebaut. Die Plattform verbindet sich mit den bestehenden IT-Systemen einer Organisation, erfasst Nachweise automatisch und überwacht kontinuierlich, ob der Compliance-Status aktuell ist.
Werden Abweichungen erkannt, schlägt Euraika GRC Korrekturmaßnahmen vor – doch die Organisation entscheidet. Jede Maßnahme hat eine nachvollziehbare Verantwortungszuordnung. Die KI-Komponente unterstützt; sie entscheidet nicht.
Und die Plattform kann auf der eigenen Infrastruktur der Organisation laufen. Keine gemeinsam genutzten Datenbanken, keine Daten, die die EU verlassen, keine Abhängigkeit von externen APIs. NIS2, DSGVO, DORA, ISO 27001 – das sind keine nachträglichen Mappings auf ein amerikanisches Rahmenwerk. Sie sind die architektonischen Ausgangspunkte der Software.
Der erste NIS2-Nachweistermin für besonders wichtige Einrichtungen ist der 18. April 2026. Möchten Sie erfahren, wie Euraika GRC Ihre Organisation bei der kontinuierlichen Compliance unterstützen kann? Nehmen Sie Kontakt auf unter aegis@euraika.net oder vereinbaren Sie ein Gespräch unter www.euraika.net.
Europäische KI. Europäische Daten. Europäische Regulierung.

