NIS2-Templates: Welche 3 Dokumente reichen wirklich?

Die Frage „drei Dokumente, dann ist es erledigt" greift regulatorisch zu kurz. Tragfähig ist eine andere Frage: welche drei Dokumente bilden die NIS2-Substanz strukturiert ab und können in einer KMU-Konstellation den Kern der Nachweisführung tragen — abhängig von Sektor, Größe und Risikoprofil.

Welche regulatorischen Vorgaben sind einschlägig?

Die Dokumentationspflichten ergeben sich aus mehreren ineinandergreifenden Vorschriften:

• Art. 21 Abs. 1 NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung angemessener und verhältnismäßiger technischer, betrieblicher und organisatorischer Maßnahmen. Die Dokumentation dient dem Nachweis der Angemessenheit und Verhältnismäßigkeit.
• Art. 21 Abs. 2 NIS2 enthält den nicht-abschließenden Maßnahmen-Katalog (Risikoanalyse-Konzepte, Vorfall-Behandlung, Geschäftskontinuität, Lieferketten-Sicherheit, Sicherheit bei Erwerb und Wartung von Systemen, Schulungsmaßnahmen, Verschlüsselungs-Konzepte, Personalverwaltung, Multi-Faktor-Authentifizierung).

Detail

• Art. 23 NIS2 regelt die Meldepflichten bei erheblichen Sicherheitsvorfällen (24h Frühwarnung, 72h Erstmeldung, 1 Monat Abschlussbericht) und setzt eine dokumentierte Meldekette voraus.
• BSI IT-Grundschutz bietet die methodische Strukturierung (Bausteine OPS.1.2.4 für Asset-Management, DER.2.1 für Vorfall-Behandlung, CON.3 für Datensicherung, ORP.1 für Organisation).
• Art. 32 DSGVO ergänzt für Verarbeitungen personenbezogener Daten die Pflicht zur Dokumentation technisch-organisatorischer Maßnahmen.

Welche Konstellation passt zu deinem Unternehmen?

Die Eignung einer auf drei Kern-Dokumente reduzierten Struktur hängt vom regulatorischen Profil ab:

• Wichtige Einrichtung mit überschaubarer IT-Landschaft (Anhang II NIS2, 50-100 Mitarbeitende, keine KRITIS-Schwelle): Eine auf drei Kern-Dokumente strukturierte Nachweisführung ist verbreitet — die fachliche Tiefe muss zur Risikoanalyse passen.
• Wesentliche Einrichtung oder KRITIS-Betreiber: Regelmäßig sind weitere Dokumente einschlägig (Risikoanalyse-Bericht nach Art. 21 Abs. 1 NIS2, Sicherheitskonzept nach § 8a BSIG, Geschäftskontinuitäts-Plan, Lieferanten-Sicherheits-Anforderungen, ggf. Pen-Test-Berichte).

Detail

• ISO-27001- oder TISAX-zertifizierte Einrichtung: Die Substanz wird typischerweise im Statement of Applicability (SoA), Asset-Register (A.8.1), Incident-Management-Procedure (A.16.1) und ergänzenden Annex-A-Dokumenten abgebildet. Eine NIS2-Mapping-Übersicht ist die verbreitete Form der Ergänzung.
• Einrichtung mit besonderen Datenkategorien (Art. 9 DSGVO) oder sektoralen Spezifika (z.B. § 75c SGB V, EnWG, DORA): Die sektoral verschärften Anforderungen treten hinzu; eine reduzierte Dokumentation auf drei Kern-Dokumente trägt regelmäßig nicht.

Welcher Aufbau-Rahmen ist verbreitet?

In einer KMU-Konstellation ohne KRITIS-Status und ohne sektorale Verschärfung sind die folgenden drei Dokumente verbreiteter Bestandteil der Nachweis-Struktur:

Asset-Inventar (Strukturierte Erfassung schützenswerter Assets) — strukturelle Anlehnung an BSI-Baustein OPS.1.2.4. Inhalt: Asset-Bezeichnung, Typ (Cloud, On-Premise, Hardware, SaaS-Drittanwendung), verantwortliche Stelle, Datenkategorie, Schutzbedarfs-Einstufung (niedrig/normal/hoch nach BSI-Methodik), letzte Prüfung. Format: strukturierte Tabelle (Excel, Notion-Datenbank, Microsoft Lists, ISMS-Tool) mit klar benanntem Owner und definiertem Pflege-Rhythmus.

Detail

Vorfall-Behandlungs-Konzept (Incident-Response) — strukturelle Anlehnung an BSI-Baustein DER.2.1 und ENISA Cyber Incident Reporting Guidelines. Inhalt: Definition meldepflichtiger Vorfälle (Abgrenzung von Bagatellen), Erkennungs- und Meldekette, Eskalationsmatrix mit Verantwortlichen und Erreichbarkeiten, Sofort-Maßnahmen-Katalog, externe Meldewege (24h-Frühwarnung an die zuständige Aufsicht nach Art. 23 NIS2, 72h-Meldung an Datenschutzbehörde bei DSGVO-Bezug nach Art. 33 DSGVO, ggf. weitere sektorale Meldewege), Dokumentations-Vorlage für das Vorfall-Log.

TOM-Übersicht (Technisch-Organisatorische Maßnahmen) — strukturelle Abbildung der Mindestmaßnahmen nach Art. 21 Abs. 2 NIS2 (und ggf. § 30 NIS2UmsuCG). Format: Tabelle mit Maßnahme, konkreter Umsetzung im Unternehmen, Status, Verantwortlicher Stelle und nächstem Review-Termin. Bei kombinierter NIS2-/DSGVO-Bewertung ist die parallele Referenz auf Art. 32 DSGVO sinnvoll.

Die genannten Dokumente bilden den Kern. Sie sind keine vollständige Nachweis-Struktur — Risikoanalyse, Schulungsnachweise, Lieferanten-Sicherheits-Anforderungen, Verschlüsselungs-Konzept und Geschäftskontinuitäts-Plan sind regelmäßig zusätzlich erforderlich. Die Form (eigenständige Dokumente vs. integrierte Abschnitte) hängt von der Unternehmensstruktur ab.

Welche Konstellationen erfordern abweichendes Vorgehen?

Eine auf drei Kern-Dokumente reduzierte Struktur ist nicht ausreichend, sofern eine der folgenden Konstellationen vorliegt:

• Wesentliche Einrichtung nach Art. 3 Abs. 1 NIS2 / Anhang I: Regelmäßig sind formalisierte Risikoanalyse-Berichte, ein Geschäftskontinuitäts-Konzept (BSI-Baustein DER.4) und Lieferanten-Sicherheits-Anforderungen (BSI-Baustein OPS.2.1) zusätzlich einschlägig.
• KRITIS-Betreiber nach BSI-Kritisverordnung: § 8a BSIG verlangt ein dokumentiertes Sicherheitskonzept und einen zweijährlichen Audit-Nachweis; die Nachweis-Tiefe ist nicht über drei Kern-Dokumente abbildbar.

Detail

• Sektor mit eigenen Vorgaben (EnWG für Energie, DORA für Finanzwesen, § 75c SGB V im Gesundheitswesen, TKG für TK-Anbieter): Sektorale Vorgaben treten hinzu und verlangen sektorspezifische Dokumentationsformate.
• Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO: Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist regelmäßig zusätzlich erforderlich.
• Konzern-Struktur mit zentralisiertem ISMS: Die Dokumentation folgt regelmäßig den Konzern-Vorgaben; eine eigenständige Drei-Dokument-Struktur ist dann typischerweise weder erforderlich noch zweckmäßig.

Nächster Schritt

Eine strukturierte Erst-Erfassung der relevanten Verarbeitungstätigkeiten und Assets ist mit dem Verfahrensverzeichnis-Generator möglich. Er liefert eine strukturierte Basis, die für das Asset-Inventar und die TOM-Übersicht weiterverwendbar ist — die NIS2-spezifische Anreicherung erfolgt anschließend.

Bei Einrichtungen mit potenziellem KRITIS- oder „wesentliche Einrichtung"-Status, bei sektoralen Spezifika oder bei Verarbeitung besonderer Datenkategorien ist eine begleitende Beratung durch eine spezialisierte IT-Sicherheits- oder Rechtsberatung regelmäßig angezeigt. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung im Einzelfall.

Hintergrund zu den 11 Mindestmaßnahmen im Detail: Die 11 Mindestmaßnahmen kompakt.