Internes ISO 27001-Audit für NIS2 und DORA

Es ist die erste Sitzung des Prüfungsausschusses im Jahr 2026. Sarah, CISO von FinSecure, einem schnell wachsenden SaaS- und FinTech-Anbieter, hat fünfzehn Minuten auf der Tagesordnung. Das Leitungsorgan hat fünf Fragen.

Sind wir bereit für unser ISO/IEC 27001:2022-Überwachungsaudit? Fallen wir als Managed Service Provider in den Geltungsbereich von NIS2? Betrifft uns DORA, weil wir Kunden aus dem Finanzsektor unterstützen? Können wir nachweisen, dass Vorfallmeldung, Lieferanten-Due-Diligence und Geschäftskontinuität wirksam funktionieren? Und warum hat die Berechtigungsüberprüfung im letzten Quartal noch immer Konten gefunden, die hätten entfernt werden müssen?

Sarah hat Nachweise, aber sie sind verstreut. Engineering hat Exporte aus Schwachstellenscans. Der Einkauf hat Lieferantenfragebögen. Legal hat Vertragsklauseln. Der Compliance-Manager hat einen GDPR-Tracker. Das SOC hat Vorfalltickets. Nichts davon ist offensichtlich falsch, aber nichts davon ergibt eine konsistente Nachweis- und Prüfungsstory.

Genau an diesem Punkt wird ein internes ISO 27001-Auditprogramm entweder zu einem strategischen Nachweismotor oder bleibt eine jährliche Last-Minute-Übung.

Für Organisationen, die von NIS2 und DORA betroffen sind, darf das interne Audit nicht länger eine symbolische Checkliste sein. Es muss zu einem risikobasierten Prüfungssystem werden, das bestätigt, ob der ISMS-Geltungsbereich korrekt ist, ob Maßnahmen in der Praxis wirksam sind, ob regulatorische Anforderungen zugeordnet wurden, ob Feststellungen konsistent klassifiziert werden und ob Korrekturmaßnahmen in die Managementbewertung einfließen. Die stärksten Programme werden 2026 nicht nur fragen: „Haben wir ein Audit durchgeführt?“ Sie werden fragen: „Können wir Monat für Monat nachweisen, dass Cybersicherheits-Governance, IKT-Resilienz, Lieferantensicherheit und Vorfallsbereitschaft funktionieren?“

Diesen Ansatz verankert Clarysec in Zenith Blueprint: 30-Schritte-Roadmap für Auditoren, Zenith Controls: Leitfaden für übergreifende Compliance-Zuordnung und der Clarysec Policy Suite. Ziel ist nicht, getrennte ISO-, NIS2- und DORA-Projekte zu schaffen. Ziel ist, das ISMS so zu erweitern, dass ein Auditprogramm wiederverwendbare Nachweise für mehrere Prüfungsanforderungen liefert.

Warum interne Auditprogramme 2026 angepasst werden müssen

NIS2 und DORA haben die Audit-Diskussion von Dokumentation hin zu gesteuerter Resilienz verschoben.

NIS2 gilt für viele mittlere und große Organisationen in kritischen und wichtigen Sektoren, darunter digitale Infrastruktur, Cloud-Computing-Services, Rechenzentrumsanbieter, Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen und Plattformen sozialer Netzwerke. Die Mitgliedstaaten wenden nationale Maßnahmen seit Oktober 2024 an; 2026 arbeiten viele Organisationen im ersten vollen Jahr mit ausgereiften NIS2-Erwartungen.

DORA gilt seit dem 17. Januar 2025 für ein breites Spektrum von Finanzunternehmen, darunter Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Kryptowerte-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Schwarmfinanzierungsdienstleister und relevante IKT-Drittdienstleister. DORA ist das sektorspezifische Regelwerk für digitale operationale Resilienz für erfasste Finanzunternehmen. IKT-Anbieter, die Finanzunternehmen bedienen, spüren DORA ebenfalls über Verträge, Auditrechte, Teilnahme an Tests, Unterstützung bei Vorfällen, Maßnahmen für Unterbeauftragungen und Exit-Anforderungen.

Beide Regelwerke erhöhen die Rechenschaftspflicht. NIS2 Article 20 verlangt, dass Leitungsorgane Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und überwachen sowie Cybersicherheitsschulungen erhalten. DORA Article 5 macht das Leitungsorgan letztverantwortlich für IKT-Risiken, einschließlich Genehmigung und Aufsicht über die Strategie zur digitalen operationalen Resilienz, IKT-Richtlinien, Kontinuitätsregelungen und Drittparteienrisiken.

ISO 27001 passt gut in dieses Umfeld, weil sie ein Managementsystem ist. Sie verlangt, dass die Organisation ihren Kontext versteht, interessierte Parteien und Anforderungen bestimmt, den ISMS-Geltungsbereich festlegt, Risiken beurteilt und behandelt, Leistung überwacht, interne Audits durchführt und kontinuierliche Verbesserung vorantreibt. Es geht nicht darum, NIS2 und DORA in eine ISO-Schablone zu pressen. Es geht darum, ISO 27001 als Betriebssystem für wiederholbare Prüfung und Nachweisführung zu nutzen.

Mit dem Geltungsbereich beginnen: das System auditieren, auf das sich das Leitungsorgan verlässt

Ein schwaches internes Auditprogramm beginnt mit einem vagen Geltungsbereich wie „Informationssicherheit“. Ein starkes Programm beginnt mit der geschäftlichen und regulatorischen Grenze.

ISO 27001 verlangt, dass der ISMS-Geltungsbereich interne und externe Themen, Anforderungen interessierter Parteien sowie Schnittstellen oder Abhängigkeiten zu anderen Organisationen berücksichtigt. Das ist wichtig, weil Verpflichtungen aus NIS2 und DORA häufig an den Rändern der Organisation liegen: Cloud-Plattformen, ausgelagerte SOC-Anbieter, Managed Detection and Response, Zahlungssysteme, FinTech-APIs, Verarbeitung von Kundendaten, Backup-Services und Partner für die Vorfalleskalation.

Clarysecs Audit and Compliance Monitoring Policy-sme legt die Governance-Basislinie fest:

Der General Manager (GM) muss einen jährlichen Auditplan genehmigen.

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.1.1.

Für größere Umgebungen erhöht Clarysecs Audit and Compliance Monitoring Policy die Erwartung:

Ein risikobasierter Auditplan ist jährlich zu erstellen und zu genehmigen; dabei ist Folgendes zu berücksichtigen:

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.2.

Der Geltungsbereich ist damit nicht lediglich eine Präferenz des Auditors. Er ist eine vom Management genehmigte Prüfungsverpflichtung.

Ein internes ISO 27001-Auditprogramm für 2026, das NIS2 und DORA unterstützt, sollte Folgendes umfassen:

• ISMS-Klauseln und -Prozesse, einschließlich Kontext, Führung, Risikomanagement, Ziele, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung.
• Relevante Maßnahmenbereiche aus ISO/IEC 27001:2022 Annex A, einschließlich Lieferantenbeziehungen, Vorfallmanagement, Geschäftskontinuität, rechtliche Verpflichtungen, Datenschutz, Protokollierung, Überwachung, Schwachstellenmanagement, Zugriffskontrolle, Kryptografie, sichere Entwicklung, Änderungsmanagement und Cloud-Governance.
• Regulatorische Überlagerungen, einschließlich NIS2 Articles 20, 21 und 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 und 28 to 30 sowie Anforderungen aus GDPR an Sicherheit und Rechenschaftspflicht.
• Schlüsselservices und Geschäftsprozesse, insbesondere kritische oder wichtige Funktionen, wesentliche Services, kundenbezogene Plattformen und Systeme, die regulierte Kunden unterstützen.
• Abhängigkeiten von Drittparteien, einschließlich IKT-Lieferanten, Cloud-Anbietern, ausgelagerter Entwicklung, SOC, MSSP, Datenverarbeitern und kritischen Unterauftragnehmern.
• Nachweiserzeugende Prozesse, einschließlich Risikobeurteilungen, Berechtigungsüberprüfung, Behebung von Schwachstellen, Vorfallsübungen, Backup-Wiederherstellungstests, Lieferantenüberprüfungen, Kontinuitätstests und Managementbewertungen.

Der Zenith Blueprint bekräftigt dies in der Phase Audit, Überprüfung und Verbesserung, Schritt 25, internes Auditprogramm:

Legen Sie den Geltungsbereich Ihres internen Auditprogramms fest. Letztlich müssen Sie im Verlauf eines Jahres alle relevanten ISMS-Prozesse und Kontrollen abdecken.

Aus der Phase Audit, Überprüfung und Verbesserung, Schritt 25: Internes Auditprogramm.

Sie müssen nicht jeden Monat alles auditieren. Über den Jahreszyklus hinweg sollten jedoch alle relevanten ISMS-Prozesse und Kontrollen abgedeckt werden, mit häufigerer Arbeit in Hochrisiko- und regulierten Bereichen.

Das Audituniversum an Kontrollthemen von NIS2 und DORA ausrichten

NIS2 Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen. Die Basis umfasst Risikoanalyse, Sicherheitsrichtlinien, Umgang mit Vorfällen, Geschäftskontinuität, Backup-Management, Disaster Recovery, Krisenmanagement, Sicherheit der Lieferkette, sichere Beschaffung und Entwicklung, Umgang mit Schwachstellen, Bewertung der Wirksamkeit, Cyberhygiene, Schulung, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management, MFA oder kontinuierliche Authentifizierung, soweit angemessen, sowie sichere Kommunikation.

DORA folgt einem ähnlichen operativen Lebenszyklus. Es verlangt von Finanzunternehmen, IKT-unterstützte Geschäftsfunktionen, Informations-Assets, IKT-Assets, Abhängigkeiten und Verbindungen zu Drittparteien zu identifizieren und zu klassifizieren. Außerdem verlangt es Schutz, Erkennung, Vorfallklassifizierung, Reaktion, Wiederherstellung, Backup, Rücksicherung, Tests, Lernen nach Vorfällen, Kommunikation und Management von IKT-Drittparteienrisiken.

Ein einheitliches Audituniversum verhindert den häufigen Fehler, ISO 27001 getrennt von NIS2 und DORA zu auditieren.

Diese Struktur macht jeden Auditbereich zu einem gemeinsamen Prüfungsobjekt. Der interne Auditor prüft die ISO 27001-Anforderung und dokumentiert anschließend, ob derselbe Nachweis auch Erwartungen aus NIS2, DORA, GDPR, NIST CSF und COBIT 2019 unterstützt.

Das Jahr nach Risiko planen, nicht nach Papierarbeit

Der Zenith Blueprint gibt Teams eine praktische Abfolge, um Audits in Verbesserung zu überführen:

• Schritt 25, internes Auditprogramm: Geltungsbereich, Häufigkeit, Unabhängigkeit und risikobasierte Prioritäten planen.
• Schritt 26, Auditdurchführung: objektive Nachweise durch Interviews, Dokumentenprüfung, Beobachtung und Stichproben erheben.
• Schritt 27, Audit-Feststellungen, Analyse und Ursachenanalyse: Feststellungen klassifizieren und Ursachen bestimmen.
• Schritt 28, Managementbewertung: Auditergebnisse, Vorfälle, Nichtkonformitäten, Ziele, Risiken und Ressourcenbedarf in die Bewertung durch die Leitung einbringen.
• Schritt 29, kontinuierliche Verbesserung: Korrekturmaßnahmen aufbauen, die Ursachen beseitigen, nicht nur Symptome.

Der Zenith Blueprint ist zur Unabhängigkeit eindeutig:

Idealerweise sollte der interne Auditor nicht die eigene Arbeit auditieren.

Aus der Phase Audit, Überprüfung und Verbesserung, Schritt 25: Internes Auditprogramm.

Für ein kleineres SaaS- oder FinTech-Unternehmen kann dies bedeuten, einen Manager aus einer anderen Funktion mit dem Audit von Sicherheitsprozessen zu beauftragen, Maßnahmenverantwortliche zu rotieren oder einen externen Berater einzusetzen. Entscheidend ist, Kompetenz und Unabhängigkeit zu dokumentieren, insbesondere wenn Nachweise für NIS2 und DORA später durch Kunden, Regulierungsbehörden, Aufsichtsstellen oder externe Auditoren geprüft werden können.

Die Audit and Compliance Monitoring Policy-sme definiert außerdem die Mindeststruktur für Audits:

Jedes Audit muss einen definierten Geltungsbereich, Ziele, verantwortliches Personal und erforderliche Nachweise umfassen.

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.2.3.

Eine praktikable quartalsweise Struktur für einen schnell wachsenden SaaS- oder IKT-Anbieter könnte wie folgt aussehen:

Dies ersetzt nicht die monatliche Nachweiserhebung. Es gibt dem Jahr einen klaren Prüfungsrhythmus.

Stichproben: Wie viele Nachweise sind genug?

Bei Stichproben werden viele interne Audits entweder zu oberflächlich oder zu teuer. In regulierten IKT-Umgebungen müssen Stichproben risikobasiert, nachvollziehbar und dokumentiert sein.

Der Zenith Blueprint, Schritt 26, liefert den praktischen Grundsatz:

Stichproben und Stichprobenprüfungen: Sie können nicht alles prüfen; nutzen Sie daher Stichproben.

Aus der Phase Audit, Überprüfung und Verbesserung, Schritt 26: Auditdurchführung.

Clarysecs Enterprise-Richtlinie macht dies auditierbar:

Dokumentation der Stichprobenstrategie, des Audit-Geltungsbereichs und der Einschränkungen

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.5.3.

Für NIS2 und DORA sollten Stichproben Kritikalität, Risiko, Bedeutung des Lieferanten, Zeitraum, Vorfallhistorie, geografischen Bezug und die Frage berücksichtigen, ob der geprüfte Prozess kritische oder wichtige Funktionen unterstützt.

Für DORA-betroffene Umgebungen verdienen Testnachweise besondere Aufmerksamkeit. DORA verlangt von Finanzunternehmen Tests der digitalen operationalen Resilienz, für ausgewählte Unternehmen auch weitergehende Tests wie threat-led penetration testing mindestens alle drei Jahre. Ihre Auditstichprobe sollte nicht nur Testberichte umfassen, sondern auch Nachweise, dass Feststellungen priorisiert, behoben und erneut getestet wurden.

Praktisches Auditbeispiel: IKT-Drittparteienrisiko

Lieferantensicherheit ist häufig der schnellste Weg, Lücken zwischen Dokumentation und operativer Realität sichtbar zu machen. DORA Articles 28 to 30 verlangen Management von IKT-Drittparteienrisiken, vertragliche Inhalte und Informationsregister. NIS2 Article 21 verlangt Sicherheit der Lieferkette, die Schwachstellen und Praktiken direkter Lieferanten berücksichtigt.

Für ein Q2-Audit zieht Sarah eine Stichprobe aus fünf kritischen Lieferanten, drei neuen Lieferanten, die in den letzten sechs Monaten aufgenommen wurden, und zwei Lieferanten mit kürzlich erneuerten Verträgen. Der Auditor interviewt Einkauf, Legal, Serviceverantwortliche und Verantwortliche für Sicherheitsmaßnahmen.

Diese Tabelle dient nicht nur der Nachweiserhebung. Sie belegt, dass die Organisation regulatorische Texte in ISO-ausgerichtete Auditkriterien und konkrete Nachweise übersetzt hat.

Feststellungen: so formulieren, dass das Management handeln kann

Eine Audit-Feststellung sollte nicht wie eine vage Beschwerde klingen. Sie sollte so strukturiert sein, dass das Management das Risiko versteht, Verantwortlichkeit zuweisen und Korrekturmaßnahmen genehmigen kann.

Die Audit and Compliance Monitoring Policy-sme legt fest:

Alle Audit-Feststellungen müssen mit Risikobewertungen und vorgeschlagenen Maßnahmen dokumentiert werden.

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.4.1.

Die Enterprise-Audit and Compliance Monitoring Policy ergänzt die Disziplin der Korrekturmaßnahmen:

Alle Feststellungen müssen zu einer dokumentierten CAPA führen, die Folgendes enthält:

Aus Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Richtlinienklausel 6.2.1.

Im Zenith Blueprint empfiehlt Schritt 27, Feststellungen als wesentliche Nichtkonformitäten, geringfügige Nichtkonformitäten oder Beobachtungen zu kategorisieren und anschließend eine Ursachenanalyse durchzuführen. Eine wesentliche Nichtkonformität weist auf eine erhebliche Lücke oder ein systematisches Versagen hin. Eine geringfügige Nichtkonformität ist ein isolierter Fehler in einem ansonsten konformen Prozess. Eine Beobachtung ist eine Verbesserungsmöglichkeit.

Eine belastbare Feststellung umfasst:

• Anforderung oder Kontrollerwartung.
• Beobachteter Sachverhalt.
• Geprüfte Nachweise.
• Risiko und geschäftliche Auswirkung.
• Regulatorische Relevanz.
• Klassifizierung und Risikobewertung.
• Ursache.
• Verantwortlicher für die Korrekturmaßnahme und Fälligkeitstermin.

Beispiel für eine Feststellung:

Feststellung NC-2026-07, geringfügige Nichtkonformität, Verzögerung bei der Überprüfung der Lieferantensicherheit

Anforderung: Sicherheitsüberprüfungen für kritische IKT-Anbieter müssen mindestens jährlich durchgeführt werden und unterstützen Lieferantenmaßnahmen nach ISO 27001, Erwartungen an die Lieferkette nach NIS2 sowie Verpflichtungen zum Management von IKT-Drittparteienrisiken nach DORA.

Sachverhalt: Für zwei von zwölf kritischen IKT-Lieferanten lagen bis zum erforderlichen Termin keine abgeschlossenen Sicherheitsüberprüfungen für 2026 vor.

Nachweis: Export des Lieferantenregisters vom 15. Juni 2026, Lieferanten-Review-Tracker, Interview mit dem Procurement Lead und zwei fehlende Überprüfungsaufzeichnungen.

Risiko: Eine verzögerte Lieferantenüberprüfung kann die rechtzeitige Identifizierung von Schwachstellen, Änderungen bei Unterbeauftragungen, Lücken in der Unterstützung bei Vorfällen oder vertraglicher Nichteinhaltung verhindern, die kritische Services betreffen.

Ursache: Der Einkauf wurde nicht automatisch benachrichtigt, als Termine für Lieferantenüberprüfungen näher rückten, und die Verantwortlichkeit für DORA-bezogene Lieferantennachweise war nicht zugewiesen.

Korrekturmaßnahme: Automatisierte Überprüfungserinnerungen konfigurieren, benannte Maßnahmenverantwortliche für alle kritischen IKT-Lieferanten zuweisen, überfällige Überprüfungen bis zum 31. Juli 2026 abschließen und quartalsweise Stichprobenprüfungen durchführen.

Für die Ursachenanalyse ist die „5 Whys“-Technik nützlich. Wenn eine Prüfung vor Vertragsschluss versäumt wurde, liegt die tatsächliche Ursache möglicherweise nicht in einem individuellen Fehler. Es kann sein, dass der Beschaffungsworkflow geringwertige IKT-Verträge an der Sicherheitsprüfung vorbeiführte, obwohl Erwartungen aus DORA und NIS2 auf Risiko und Abhängigkeit beruhen, nicht nur auf dem Auftragswert.

Der Nachweiskalender 2026

Ein Nachweiskalender für 2026 macht das interne Audit zu einem operativen Rhythmus. Er verteilt die Nachweiserzeugung über das Jahr und verhindert den Jahresendspurt.

Clarysecs Informationssicherheitsleitlinie erwartet eine Governance-Überprüfung von:

Überprüfung der Sicherheitskennzahlen (KPIs), Vorfälle, Audit-Feststellungen und des Risikostatus

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.3.2.

Nachweise werden nicht nur für Auditoren erhoben. Sie fließen in Entscheidungen über Risiko, Budget, Ressourcen, Lieferanten, Werkzeuge, Schulung und Korrekturmaßnahmen ein.

Dieser Kalender gibt dem Prüfungsausschuss einen vorausschauenden Prüfungsplan und den Maßnahmenverantwortlichen ausreichend Zeit, Nachweise im normalen Betrieb zu erzeugen.

Das Rückgrat von ISO 27002:2022: 5.31, 5.35 und 5.36

Zenith Controls ist Clarysecs Leitfaden für übergreifende Compliance-Zuordnung. Er ordnet Maßnahmenbereiche aus ISO/IEC 27001:2022 und ISO/IEC 27002:2022 anderen Standards, Vorschriften, Auditerwartungen und Nachweismustern zu. Er ist besonders hilfreich, um interne Überprüfung, rechtliche Verpflichtungen und Richtlinieneinhaltung miteinander zu verbinden.

Drei Maßnahmenbereiche aus ISO/IEC 27002:2022 bilden das Rückgrat eines einheitlichen internen Auditprogramms:

Maßnahme 5.35 ist der Eckpfeiler der Prüfungssicherheit, weil sie validiert, ob das ISMS unabhängig überprüft wird. Maßnahme 5.36 bestätigt, dass Richtlinien nicht nur genehmigt, sondern tatsächlich befolgt werden. Maßnahme 5.31 verbindet das ISMS mit gesetzlichen, regulatorischen und vertraglichen Verpflichtungen, einschließlich NIS2, DORA, GDPR und Sicherheitsanforderungen von Kunden.

Übergreifende Compliance-Zuordnung: ein Audit, viele Prüfungsperspektiven

Ein ausgereiftes Arbeitspapier für interne Audits sollte ausdrücklich zeigen, wie ein einzelner Nachweis mehrere Prüfungsanforderungen unterstützt.

So kann der CISO dem Leitungsorgan sagen: „Unser Vorfall-Audit im Juli hat Nachweise für ISO 27001, NIS2, DORA-Kundenprüfung, Bereitschaft für GDPR-Verstöße, Response-Ergebnisse nach NIST CSF und Incident Governance nach COBIT erbracht.“

Managementbewertung: wo Audit zu Rechenschaftspflicht wird

Internes Audit hat wenig Wert, wenn Feststellungen das Management nicht erreichen. Die ISO 27001-Managementbewertung stellt den Mechanismus bereit, und NIS2 sowie DORA machen die Governance-Erwartung ausdrücklich.

Die Audit and Compliance Monitoring Policy-sme verlangt:

Audit-Feststellungen und Statusaktualisierungen müssen in den ISMS-Managementbewertungsprozess einbezogen werden.

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.4.3.

Sie legt außerdem fest:

Der GM muss einen Korrekturmaßnahmenplan genehmigen und dessen Umsetzung verfolgen.

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.4.2.

Die Managementbewertung sollte folgende Fragen beantworten:

• Sind Verpflichtungen aus NIS2, DORA, GDPR und Verträgen weiterhin korrekt im ISMS-Geltungsbereich abgebildet?
• Werden Hochrisikokontrollen häufig genug auditiert?
• Welche Feststellungen weisen auf eine systemische Schwäche statt auf einen Einzelfehler hin?
• Sind Korrekturmaßnahmen überfällig?
• Akzeptieren Risikoverantwortliche Restrisiken bewusst?
• Sind Lieferanten, Vorfallmeldung, Kontinuität und Tests angemessen mit Ressourcen ausgestattet?
• Deuten Audittrends auf Änderungsbedarf bei Richtlinien, Werkzeugen, Budget oder Schulung hin?

Wenn diese Antworten nicht dokumentiert sind, hat die Organisation möglicherweise Nachweise für Aktivitäten, aber keine Nachweise für Governance.

Häufige Fallstricke, die 2026 zu vermeiden sind

Der häufigste Fehler besteht darin, internes ISO 27001-Audit von regulatorischer Prüfung und Nachweisführung zu trennen. Das führt zu Doppelarbeit und blinden Flecken.

Weitere Fallstricke sind:

• Der Geltungsbereich schließt kritische Lieferanten, Cloud-Plattformen oder ausgelagerte SOC-Services aus.
• Die Anwendbarkeit von NIS2 oder DORA ist nicht im Register rechtlicher Anforderungen dokumentiert.
• Der Auditplan ist nicht vom Management genehmigt.
• Stichproben werden durchgeführt, aber nicht dokumentiert.
• Interne Auditoren prüfen ihre eigene Arbeit ohne Risikominderung.
• Feststellungen beschreiben Symptome, aber keine Ursachen.
• Korrekturmaßnahmen aktualisieren Dokumente, beheben aber keine Prozesse.
• Die Managementbewertung erhält Auditergebnisse, trifft aber keine Entscheidungen.
• Vorfallsübungen testen die technische Reaktion, aber nicht die regulatorische Meldung.
• Lieferantenaudits prüfen Fragebögen, aber nicht Verträge, Exit-Pläne oder Konzentrationsrisiken.
• Backup-Nachweise zeigen erfolgreiche Jobs, aber nicht die Integrität der Wiederherstellung.
• Berechtigungsüberprüfungen werden durchgeführt, aber Ausnahmen werden nicht bis zum Abschluss nachverfolgt.

Jeder Fallstrick kann je nach Schweregrad und systemischer Auswirkung zu einer geringfügigen oder wesentlichen Nichtkonformität werden. Wichtiger ist jedoch, dass jeder davon die Fähigkeit der Organisation schwächt, Resilienz unter NIS2, DORA und Kundenprüfung nachzuweisen.

Machen Sie Ihren Auditplan 2026 zu einem Nachweismotor

Wenn Ihr internes Auditprogramm noch immer ein einzelnes jährliches Ereignis ist, ist jetzt der Zeitpunkt für die Neugestaltung.

Beginnen Sie mit einem vom Management genehmigten Auditplan. Definieren Sie den ISMS-Geltungsbereich anhand realer Services, regulierter Verpflichtungen und Abhängigkeiten von Drittparteien. Entwickeln Sie ein risikobasiertes Audituniversum. Dokumentieren Sie Stichproben. Klassifizieren Sie Feststellungen konsistent. Nutzen Sie Ursachenanalyse. Verfolgen Sie CAPA. Führen Sie Ergebnisse der Managementbewertung zu. Pflegen Sie einen monatlichen Nachweiskalender.

Clarysec kann Ihnen helfen, schneller voranzukommen mit:

• Zenith Blueprint: 30-Schritte-Roadmap für Auditoren für Auditplanung, Durchführung, Feststellungen, Managementbewertung und kontinuierliche Verbesserung.
• Zenith Controls: Leitfaden für übergreifende Compliance-Zuordnung zur Zuordnung von ISO 27001-Prüfungsbezug zu Erwartungen aus NIS2, DORA, GDPR, NIST CSF und COBIT.
• Audit and Compliance Monitoring Policy und Audit and Compliance Monitoring Policy-sme für governancefähige Auditplanung und Feststellungsmanagement.
• Informationssicherheitsleitlinie für die Überprüfung von KPIs, Vorfällen, Audit-Feststellungen und Risikostatus auf Managementebene.

Wählen Sie einen Hochrisikobereich, zum Beispiel Vorfallmeldung oder IKT-Lieferanten-Governance, und führen Sie ein fokussiertes internes Audit mit Clarysecs Struktur für Geltungsbereich, Stichproben und Feststellungen durch. Innerhalb eines Zyklus wissen Sie, ob Ihre Nachweise auditbereit sind, ob Ihre Kontrollen funktionieren und ob Ihr Leitungsorgan über die Informationen verfügt, die es zur Steuerung von Cyberrisiken benötigt.