Nach dem NIS-2-Umsetzungsgesetz sind Unternehmen verpflichtet, die Umsetzung ihrer Risikomanagementmaßnahmen nachvollziehbar zu dokumentieren. Dazu gehört insbesondere, dass Prozesse, Zuständigkeiten und getroffene Sicherheitsmaßnahmen schriftlich festgehalten und regelmäßig überprüft werden.
Nachweise (Aufzählung nicht abschließend) könnten z. B. durch folgende Mittel erbracht werden:
- interne Dokumentation und Berichte,
- Zertifizierungen nach anerkannten Standards (z. B. ISO/IEC 27001 oder BSI–IT-Grundschutz)*,
- Nachweise über Schulungen und Awareness-Maßnahmen,
- Auditberichte oder interne Kontrollverfahren.
*Eine Zertifizierung nach ISO 27001 oder IT-Grundschutz kann den Nachweis erleichtern, muss aber im Hinblick auf den gesetzlich vorgegebenen Maßnahmenkatalog geprüft und gegebenenfalls ergänzt werden.
