Die NIS2-First-Audit-Frist ist der 30. Juni 2026: Was wesentliche Einrichtungen nachweisen müssen

Am 1. Juli 2026 ändert sich das Gespräch mit Ihren Kunden. Bis zu diesem Datum ist "wir arbeiten an NIS2" eine vertretbare Antwort. Danach ist eine wesentliche Einrichtung, die in den meisten umsetzenden Mitgliedstaaten keinen Nachweis über ein abgeschlossenes Compliance-Audit vorlegen kann, nicht mehr im Verzug — sie verstößt gegen die Vorschriften.

Die First-Audit-Frist zum 30. Juni 2026 ist die erste harte Linie in NIS2, die für eine große Gruppe von Organisationen gleichzeitig greift. Es ist kein Bußgeldbescheid. Es ist das Datum, bis zu dem von wesentlichen Einrichtungen erwartet wird, ihr erstes formelles Compliance-Audit durchgeführt zu haben und die Dokumentation zu besitzen, die dies belegt. Für die IT-Berater, MSPs und vCISOs, die dies lesen, bedeutet das: In den nächsten Wochen geht es um Nachweise, nicht um Architektur.

Die Frist, die aus "in Bearbeitung" "nicht konform" macht

NIS2 hatte eine Reihe von Terminen, und die meisten verschoben sich. Die Umsetzungsfrist war der 17. Oktober 2024, und die Mehrheit der Mitgliedstaaten verfehlte sie. Registrierungsfristen verschoben sich. Diese Geschichte hat viele Organisationen darauf trainiert, NIS2-Termine als weich zu behandeln.

Dieser ist anderer Natur. In den Mitgliedstaaten, die NIS2 umgesetzt und Auditpflichten festgelegt haben, wird von wesentlichen Einrichtungen erwartet, ihr erstes Compliance-Audit bis zum 30. Juni 2026 abgeschlossen zu haben. Das Audit ist der Mechanismus, der die Maßnahmen aus Article 21 von Papierpolitik in etwas verwandelt, das eine Aufsichtsbehörde prüfen kann.

Wenn Ihr Kunde eine wesentliche Einrichtung in einem umsetzenden Rechtsraum ist, lautet die Frage am 1. Juli nicht "haben Sie Kontrollen umgesetzt?" Sie lautet "zeigen Sie mir das Audit." Das ist eine Dokumentationsfrage, und Dokumentation ist genau das, was den meisten überstürzten Compliance-Programmen fehlt.

Wesentlich, wichtig oder außerhalb des Anwendungsbereichs — klären Sie es, bevor Sie etwas anderes tun

Die Auditpflicht trifft wesentliche Einrichtungen am härtesten, daher ist die erste Aufgabe, zu bestätigen, in welche Kategorie jeder Kunde fällt. Das falsch zu haben verschwendet die Wochen, die Sie nicht haben.

NIS2 deckt 18 Sektoren ab und bezieht Organisationen weit über die klassische kritische Infrastruktur hinaus ein — Fertigung, Lebensmittelproduktion, Abfallwirtschaft und digitale Anbieter gehören dazu. Der übliche Schwellenwert ist 50+ Mitarbeiter und 10 Mio. € Jahresumsatz oder Bilanzsumme, obwohl sektorspezifische Regeln einige kleinere Einrichtungen unabhängig von der Größe einbeziehen.

Die Unterscheidung wesentlich versus wichtig bestimmt das Aufsichtsregime. Wesentliche Einrichtungen unterliegen einer proaktiven Ex-ante-Aufsicht — Aufsichtsbehörden können sie aus eigener Initiative auditieren, was die Auditpflicht zum 30. Juni für diese Gruppe real macht. Wichtige Einrichtungen unterliegen einer leichteren Ex-post-Aufsicht, die durch Vorfälle oder Beschwerden ausgelöst wird. Dieselben Article 21-Pflichten, andere Wahrscheinlichkeit, dass jemand anklopft, bevor etwas schiefgeht.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Führen Sie diese Bestimmung für jeden Kunden durch, bevor Sie eine einzige Kontrolle planen. Eine Organisation, die fälschlicherweise glaubt, sie sei "wichtig", überspringt möglicherweise das Audit, das sie tatsächlich schuldete.

Was das Audit tatsächlich nachweisen muss

Ein NIS2-Compliance-Audit ist kein Penetrationstest und kein ISO-Zertifikat. Es ist eine Prüfung, ob die Einrichtung die Risikomanagementmaßnahmen aus Article 21 umgesetzt hat und nachweisen kann, zuzüglich der begleitenden Governance- und Meldepflichten.

Article 21 legt zehn Basismaßnahmen fest: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme, Behandlung von Sicherheitsvorfällen, Betriebskontinuität und Krisenmanagement, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung, Richtlinien zur Bewertung der Wirksamkeit von Maßnahmen, Cyberhygiene und Schulung, Kryptografie, Zugriffskontrolle und Asset-Management sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Das Audit sucht jede davon als operative Praxis mit Nachweisen dahinter — nicht als Zeile in einem Richtliniendokument.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Zwei Bereiche bringen die meisten Programme zu Fall. Der erste ist Governance: Article 20 verlangt, dass das Leitungsorgan die Cybersicherheitsmaßnahmen genehmigt und ihre Umsetzung überwacht, und die Mitglieder müssen Schulungen absolvieren. Ein Auditor fragt nach dem Vorstandsprotokoll oder der unterzeichneten Genehmigung. "Das IT-Team kümmert sich darum" ist die falsche Antwort, und eine dokumentierte ist jetzt leicht zu erstellen und später unmöglich rückzudatieren.

Der zweite ist die Bereitschaft zur Vorfallmeldung. Das Audit prüft, ob die Einrichtung die 24-72-30-Meldekaskade tatsächlich ausführen kann, nicht nur, ob eine sie beschreibende Richtlinie existiert.

Vorfallmeldung ist eine Fähigkeit, keine Klausel

Article 23 verlangt einen gestuften Meldezeitplan an das nationale CSIRT oder die zuständige Behörde. Eine Frühwarnung innerhalb von 24 Stunden, nachdem man sich eines erheblichen Vorfalls bewusst wird. Eine vollständige Meldung mit einer ersten Schweregradbewertung und Kompromittierungsindikatoren innerhalb von 72 Stunden. Ein Abschlussbericht mit Ursache, Minderung und etwaigen grenzüberschreitenden Auswirkungen innerhalb eines Monats.

Ein Auditor will die Richtlinie, die das besagt, nicht lesen. Er will sehen, dass die Einrichtung weiß, wer einen Vorfall als erheblich einstuft, wer die Frühwarnung einreicht, an welches Portal sie geht, und dass jemand es geübt hat. Im Mai 2026 verabschiedete die NIS2 Cooperation Group gemeinsame Vorlagen für die Vorfallmeldung, was die Ausrede "wir kannten das Format nicht" beseitigt — das Format ist jetzt standardisiert.

NIS2 Zeitplan für die Vorfallmeldung
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 1
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 2
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 3
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Für MSPs ist dies der Bereich, in dem Sie direkte Exposition tragen. Wenn Sie das SOC oder die Überwachung eines Kunden betreiben, beginnt die 24-Stunden-Uhr faktisch mit Ihrer Erkennung. Stellen Sie sicher, dass Ihr Servicevertrag und Ihr Runbook sich einig sind, wer was einreicht, und dass das Audit diese Übergabe dokumentiert sehen kann.

Die Sanktionen machen das Audit jetzt lohnenswert

Die Schlagzeilen sind bekannt: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, je nachdem, welcher Betrag höher ist. Aber Bußgelder sind selten das, was zuerst weh tut.

Zuständige Behörden können verbindliche Anweisungen erteilen, ein Sicherheitsaudit auf Kosten der Einrichtung selbst anordnen und — speziell für wesentliche Einrichtungen — Zertifizierungen oder Genehmigungen vorübergehend aussetzen und Einzelpersonen die Ausübung von Leitungsfunktionen untersagen. Die Dimension der persönlichen Haftung ist es, die die Aufmerksamkeit eines Vorstands erregt, wenn ein Bußgeld es nicht tut.

Ein fehlgeschlagenes oder fehlendes erstes Audit ist der Faden, an dem Aufsichtsbehörden ziehen. Eine Einrichtung, die nicht nachweisen kann, dass sie sich bis zur Frist selbst auditiert hat, hat der Aufsichtsbehörde eine leichte Möglichkeit zur Eskalation gegeben.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Was in den verbleibenden Wochen zu tun ist

Sie werden vor dem 30. Juni kein Sicherheitsprogramm neu aufbauen. Das ist nicht das Ziel. Das Ziel ist, die Nachweislücke zu schließen, damit ein Kunde ein abgeschlossenes Audit und einen glaubwürdigen Verbesserungsplan für die Befunde nachweisen kann.

Triagieren Sie die Article 21-Maßnahmen in umgesetzt-mit-Nachweis, umgesetzt-ohne-Nachweis und nicht-umgesetzt. Die mittlere Kategorie bringt die schnellsten Erfolge — die Kontrolle existiert, sie muss nur dokumentiert und per Screenshot festgehalten werden. Für die dritte Kategorie ist ein dokumentierter Abhilfeplan mit Verantwortlichen und Terminen weit besser als Schweigen; Auditoren und Aufsichtsbehörden unterscheiden zwischen einer Lücke, die Sie identifiziert und gemanagt haben, und einer, die Sie ignoriert haben.

Erledigen Sie die Vorstandsgenehmigung und die Schulungsnachweise zuerst. Das sind die am einfachsten jetzt zu erstellenden Punkte und die einzigen, die wirklich nicht nachträglich erstellt werden können.

Wenn Sie schnell einschätzen möchten, wo ein Kunde gegenüber den Article 21-Maßnahmen steht, bevor Sie Auditstunden einsetzen, führen Sie unseren NIS2 Quick Scan durch — er liefert in Minuten eine Momentaufnahme der Lücke, sodass Sie die richtige Arbeit in der verbleibenden Zeit priorisieren können.

Nach dem 30. Juni ändert sich die Frage dauerhaft

Das erste Audit ist keine einmalige Sache. NIS2-Aufsicht ist kontinuierlich, und für wesentliche Einrichtungen werden Audits zu einer wiederkehrenden Erwartung statt zu einem einmaligen Ereignis. Die Organisationen, die den 30. Juni als Beginn einer fortlaufenden Haltung behandeln statt als Frist zum Überleben, sind diejenigen, die nächstes Jahr nicht wieder hetzen.

Für Berater und MSPs ist das die eigentliche Chance. Die Frist erzwingt das Gespräch. Was Sie aufbauen, um sie einzuhalten — die dokumentierten Kontrollen, die geübte Meldekaskade, die Vorstandsfreigabe — ist die Grundlage eines Retainers, nicht eines Projekts. Ihre Kunden, die diese Linie ordentlich überschreiten, brauchen jemanden, der sie dort hält. Dieser jemand sollten Sie sein.

Für die praktische Durchführung einer Gap-Analyse vor dem Audit siehe unseren Schritt-für-Schritt-Leitfaden zur NIS2-Gap-Analyse. Für mehr zur persönlichen Haftung, die das Engagement des Vorstands unverzichtbar macht, siehe NIS2-Haftung der Geschäftsleitung.