Seit Januar 2026 hat das BSI seinen Aufsichtsbetrieb schrittweise aufgenommen. Die ersten Erkenntnisse aus Registrierungsgesprächen und technischen Prüfungen zeichnen ein ernüchterndes Bild: Die Mehrzahl der überprüften Einrichtungen weist gravierende Lücken in genau den Bereichen auf, die das BSI am stärksten gewichtet. Dieser Artikel fasst zusammen, was die Prüfpraxis bislang zeigt – und was Einrichtungen sofort nachbessern müssen.
Prüfbereich 1: Logging und Monitoring – die häufigste Schwachstelle
NIS2 erfordert die Aufbewahrung sicherheitsrelevanter Ereignisdaten für mindestens 12 Monate. In der Praxis finden BSI-Prüfer häufig: Windows-Eventlogs mit 30 Tagen Aufbewahrung, Firewall-Logs auf dem Gerät selbst (ohne zentrales SIEM) und fehlende Korrelation über Systemgrenzen hinweg. Wer in einem Sicherheitsvorfall die Logs des vergangenen Quartals nicht vorlegen kann, hat gegenüber dem BSI keine verwertbare Verteidigung.
Prüfbereich 2: Risikoregister – ohne Dokument kein Nachweis
Das BSI prüft nicht nur das Ergebnis einer Risikoanalyse, sondern auch die Methodik: Welche Assets wurden erfasst? Welche Bedrohungsszenarien wurden bewertet? Wer hat die Bewertung freigegeben? Fehlende oder veraltete Risikoregister sind der häufigste Grund, warum Einrichtungen formale Nachforderungsschreiben erhalten. Eine ISO-27001-Zertifizierung ist nicht vorgeschrieben, aber ein dokumentiertes Risikoregister im Sinne des § 30 BSIG ist es.
Prüfbereich 3: Incident-Response-Prozesse, die im Ernstfall nicht funktionieren
Viele Einrichtungen haben Incident-Response-Pläne schriftlich vorliegen – aber niemals getestet. BSI-Prüfer fragen konkret: Wann wurde der Plan zuletzt erprobt? Wer ist im Fall eines Vorfalls um 3 Uhr nachts verantwortlich? Wie läuft die 24-Stunden-Frühwarnung an das BSI ab? Wenn die Antwort lautet: Das haben wir noch nicht durchgespielt – ist das ein Befund, der in den Prüfbericht einfließt.
Prüfbereich 4: Lieferkette – niemand kennt seine Dienstleister wirklich
§ 30 Abs. 2 Nr. 4 BSIG schreibt explizit Maßnahmen zur Sicherheit der Lieferkette vor. In Prüfgesprächen zeigt sich regelmäßig: Einrichtungen kennen ihre kritischen IKT-Dienstleister nicht vollständig, haben keine Verträge mit NIS2-konformen Sicherheitsklauseln und führten keine Lieferantenbewertungen durch. BSI-Prüfer erwarten eine aktuelle Liste kritischer Dienstleister sowie den Nachweis, dass Sicherheitsanforderungen vertraglich verankert sind.
Prüfbereich 5: Governance-Dokumentation
§ 38 BSIG macht die Geschäftsleitung persönlich verantwortlich. Das BSI fragt deshalb: Gibt es einen Management-Beschluss zur NIS2-Compliance? Hat die Geschäftsleitung nachweislich an einer Cybersicherheits-Schulung teilgenommen? Werden Compliance-Berichte an die Geschäftsführung weitergeleitet? Fehlende Governance-Dokumentation wird vom BSI als strukturelles Defizit gewertet – mit Haftungskonsequenzen für die Geschäftsführer persönlich.
Sofortmaßnahmen für nicht vorbereitete Einrichtungen
- Logging-Architektur sofort prüfen: Sicherheitslogs zentral aggregieren, Aufbewahrung auf mindestens 12 Monate anheben.
- Risikoregister erstellen oder aktualisieren: Asset-Inventar, Bedrohungsszenarien, Risikobewertung, Management-Freigabe.
- Incident-Response-Übung durchführen: Tabletop-Exercise mit dem BSI-Meldeprozess (24h/72h/1 Monat) als Szenario.
- Dienstleisterliste aufbauen: Kritische IKT-Partner identifizieren, Sicherheitsklauseln in Verträge einarbeiten.
- Governance-Beschluss der Geschäftsleitung: Schriftliche Bestätigung der Management-Verantwortung und Schulungsnachweise.
Das BSI hat signalisiert, dass Einrichtungen, die in einer ersten Prüfung Mängel zeigen, aber nachweislich aktiv an deren Behebung arbeiten, kulanter behandelt werden als solche, die gar keine Compliance-Aktivitäten belegen können.