⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DE EN BG CS DA EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Nachweise zur Protokollierung nach ISO 27001 für NIS2, DORA und GDPR

Igor Petreski
15 min read
#Protokollierung und Überwachung #Audit #ISMS #Incident Response #Datenschutz #SOC #Lieferantenmanagement
Nachweiskarte zur Protokollierung nach ISO 27001 für NIS2-, DORA- und GDPR-Audits

Die Warnmeldung ging an einem Dienstag um 2:17 Uhr im SOC-Kanal ein: mehrere fehlgeschlagene Anmeldeversuche für den privilegierten Benutzer admin von einer neuen IP-Adresse. Nach wenigen Minuten hörten die Versuche auf. Ein Junior-Analyst nahm die Warnmeldung zur Kenntnis, vermutete ein falsch konfiguriertes Skript oder einen spät arbeitenden Systemadministrator und bearbeitete andere Themen weiter.

Zwei Tage später saß Maria, CISO eines schnell wachsenden FinTech-Unternehmens, in einer Managementbesprechung, als ihr Telefon vibrierte. Die Entwicklung hatte eine ungewöhnlich hohe CPU-Auslastung auf einer Produktiv-Datenbankinstanz festgestellt. Ein neues, nicht autorisiertes Benutzerkonto war erstellt worden. Die Warnmeldung um 2:17 Uhr war kein False Positive. Sie war das erste sichtbare Anzeichen eines Eindringversuchs.

Der Vorfall wurde eingedämmt, doch die Untersuchung legte ein größeres Problem offen. Firewall-Protokolle lagen in einem System. Kubernetes-Protokolle lagen in einem anderen. Datenbank-Audit-Protokolle wurden separat gespeichert. Mehrere Zeitstempel wichen um Minuten voneinander ab. Das Team hatte Daten, konnte aber nicht schnell eine belastbare Darstellung zu Erkennung, Prüfung, Eskalation, Eindämmung und Bewertung einer Verletzung des Schutzes personenbezogener Daten liefern.

Marias ISO/IEC 27001:2022-Überwachungsaudit war erfolgreich abgeschlossen worden, doch der Auditor hinterließ eine Warnung: Die Organisation verfügte zwar über Kontrollen für Protokollierung und Überwachung, würde aber Schwierigkeiten haben, zeitnah korrelierte Nachweise für Meldeentscheidungen nach NIS2, DORA und GDPR vorzulegen.

Das ist die Realität vieler Organisationen im Jahr 2026. Sie haben kein Protokollierungsproblem. Sie haben ein Nachweisproblem.

Ein SIEM, eine EDR-Plattform, ein Cloud-Audit-Trail oder ein Firewall-Protokoll ist für sich genommen noch kein auditfähiger Nachweis. Nachweise werden erst belastbar, wenn sie durch Richtlinien gesteuert, gegen Manipulation geschützt, in einem definierten Rhythmus geprüft, mit Vorfallentscheidungen verknüpft und lange genug aufbewahrt werden, um Ereignisse rekonstruieren zu können.

Für ISO/IEC 27001:2022, NIS2, DORA und GDPR lautet die zentrale Frage nicht mehr: „Erheben wir Protokolle?“ Die Frage lautet: „Können wir nachweisen, was passiert ist, wer es geprüft hat, wie es klassifiziert wurde, ob eine Meldung erforderlich war und ob die Leitungsebene Aufsicht ausgeübt hat?“

Warum Protokollierung und Überwachung zu einem Thema für Compliance-Nachweise wurden

NIS2, DORA und GDPR haben die fachliche Bedeutung von Sicherheitsprotokollen verändert.

Nach NIS2 müssen wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige Maßnahmen des Cybersicherheitsrisikomanagements umsetzen. Article 21 umfasst den Umgang mit Informationssicherheitsvorfällen, die Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Entwicklung, Wirksamkeitsbewertung, Cyberhygiene, Kryptografie, Sicherheit im Personalwesen, Zugriffskontrolle, Asset-Management, MFA und sichere Kommunikation. Article 23 schafft ein gestuftes Meldemodell, einschließlich einer Frühwarnung innerhalb von 24 Stunden, einer Vorfallmeldung innerhalb von 72 Stunden, Zwischenaktualisierungen, soweit relevant, und eines Abschlussberichts spätestens einen Monat nach der Vorfallmeldung.

Dieses Modell hängt von Protokollierung und Überwachung ab. Eine glaubwürdige Frühwarnung ist nicht möglich, wenn nicht nachgewiesen werden kann, wann das Ereignis erkannt wurde. Ein erheblicher Vorfall kann nicht klassifiziert werden, wenn betroffene Systeme, Benutzeraktivitäten, Auswirkungen auf Services und Eindämmungsmaßnahmen nicht rekonstruiert werden können.

DORA erzeugt ähnlichen Druck für Finanzunternehmen. Articles 5 to 14 legen Governance- und IKT-Risikomanagementanforderungen fest, einschließlich Verantwortung des Leitungsorgans, Identifizierung von IKT-Assets, Schutz und Prävention, Erkennung, Reaktion und Wiederherstellung, Backup, Wiederherstellung, Lernen und Kommunikation. Articles 17 to 23 verlangen einen Managementprozess für IKT-bezogene Vorfälle, der Erkennung, Aufzeichnung, Klassifizierung, Eskalation, Meldung und Nachverfolgung umfasst. Articles 24 to 27 behandeln Tests der digitalen operationalen Resilienz. Articles 28 to 31 schaffen Verpflichtungen zum IKT-Drittparteienrisikomanagement.

GDPR ergänzt die Ebene der Datenschutz-Rechenschaftspflicht. Article 32 verlangt eine angemessene Sicherheit der Verarbeitung. Article 33 verlangt die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden nach Bekanntwerden, sofern die Verletzung voraussichtlich nicht zu einem Risiko für Personen führt. Article 34 kann eine Benachrichtigung betroffener Personen erforderlich machen, wenn ein hohes Risiko besteht. Protokolle helfen zu bestimmen, ob auf personenbezogene Daten zugegriffen wurde, ob sie verändert, exfiltriert oder offengelegt wurden; gleichzeitig können Protokolle selbst personenbezogene Daten enthalten und müssen entsprechend gesteuert werden.

ISO/IEC 27001:2022 stellt das Rückgrat des Managementsystems bereit. Clauses 4.1 to 4.4 verlangen, dass die Organisation Kontext, interessierte Parteien, Anforderungen und ISMS-Geltungsbereich versteht. Clauses 5.1 to 5.3 verlangen Führung, Ausrichtung der Richtlinien, Rollen, Verantwortlichkeiten und Befugnisse. Clauses 6.1.1 to 6.1.3 verlangen einen wiederholbaren Prozess zur Risikobeurteilung und Risikobehandlung, einschließlich Risikokriterien, Risikoverantwortlichen, Behandlungsoptionen, Abgleich mit Annex A-Maßnahmen, Statement of Applicability und Restrisikoakzeptanz. Clause 6.2 verlangt messbare Informationssicherheitsziele.

Deshalb dürfen Nachweise zu Protokollierung und Überwachung nicht nur im SOC liegen. Sie gehören in das ISMS, das Risikoregister, das Statement of Applicability, den Incident-Response-Prozess, den Workflow für Verletzungen des Schutzes personenbezogener Daten, die Lieferanten-Governance und die Managementberichterstattung.

Die ISO 27001-Protokollierungskontrollen, die Auditoren zuerst verknüpfen

In Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint behandelt die Phase Controls in Action, Step 19: Technological Controls I, Protokollierung, Überwachung und Uhrensynchronisation als zusammenhängende Nachweiskette.

A.8.15 – Protokollierung: „Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen,
sollten erzeugt, gespeichert, geschützt und analysiert werden.“

A.8.16 – Überwachungstätigkeiten: „Netzwerke, Systeme und Anwendungen sollten auf
anomales Verhalten überwacht werden, und geeignete Maßnahmen sollten ergriffen werden, um potenzielle Informationssicherheitsvorfälle
zu bewerten.“

A.8.17 – Uhrensynchronisation: „Die Uhren der von der
Organisation genutzten Informationsverarbeitungssysteme sollten mit genehmigten Zeitquellen synchronisiert werden.“

Diese Kontrollen beantworten drei Auditfragen:

ISO/IEC 27001:2022-KontrolleAuditfrageNachweisthema
Annex A.8.15 ProtokollierungWas ist passiert?Log-Erzeugung, Speicherung, Schutz, Aufbewahrung und Analyse
Annex A.8.16 ÜberwachungstätigkeitenWer hat es bemerkt und gehandelt?Alarmierung, Prüfung, Triage, Eskalation und Reaktion
Annex A.8.17 UhrensynchronisationKönnen wir der Zeitachse vertrauen?Genehmigte Zeitquellen, NTP-Konfiguration und Zeitstempelkorrelation

Zenith Controls: The Cross-Compliance Guide Zenith Controls macht die Beziehung ausdrücklich:

„Protokollierung dient als grundlegende Datenschicht für die Überwachung. Control 8.16 hängt von den unter 8.15 erzeugten Protokollen ab, um Sicherheitsereignisse zu analysieren, Anomalien zu erkennen und potenzielle Verstöße zu identifizieren. Ohne umfassende Protokollierung sind Überwachungssysteme unwirksam.“

Zenith Controls klassifiziert ISO/IEC 27002:2022 control 8.15, Protokollierung, als detektive Kontrolle zur Unterstützung von Vertraulichkeit, Integrität und Verfügbarkeit. Sie wird dem Cybersicherheitskonzept Detect und dem Management von Informationssicherheitsereignissen zugeordnet. Außerdem verbindet sie Protokollierung mit Überwachungstätigkeiten, Bewertung und Entscheidung über Informationssicherheitsereignisse sowie Uhrensynchronisation.

Für control 8.16, Überwachungstätigkeiten, klassifiziert Zenith Controls diese als detektiv und korrektiv, zugeordnet zu Detect und Respond. Die Überwachung wird mit der Überwachung von Lieferantenservices und Ereignisbewertung verbunden, was für Cloud-, SaaS-, Managed-Service- und Outsourcing-Umgebungen wesentlich ist.

Die praktische Aussage ist einfach. Protokolle liefern die Fakten. Überwachung identifiziert Anomalien. Uhrensynchronisation macht die Fakten systemübergreifend belastbar. Ereignisbewertung macht aus Warnmeldungen Entscheidungen.

Wie auditfähige Nachweise zur Protokollierung tatsächlich aussehen

Auditfähige Nachweise sind kein Screenshot-Ordner. Sie sind ein kohärenter Prüfpfad, der Kontrolldesign, Kontrollbetrieb und Entscheidungsfindung belegt.

Eine ausgereifte Nachweisdatei zu Protokollierung und Überwachung enthält in der Regel Folgendes:

NachweisgegenstandWas er belegtTypische Quelle
Richtlinie zur Protokollierung und ÜberwachungVon der Leitung genehmigte Anforderungen an Protokollierung, Prüfung, Aufbewahrung, Schutz und EskalationClarysec-Richtlinienbibliothek, ISMS-Richtliniensatz
SystemprotokollierungsinventarWelche Systeme welche Protokolle erzeugen und wer dafür verantwortlich istCMDB, Asset-Register, SIEM-Onboarding-Tracker
SIEM- oder Log-Collector-KonfigurationZentrale Erfassung, Parsing, Korrelation und AlarmierungSIEM-Dashboard, Syslog-Konfiguration, Cloud-Audit-Einstellungen
AufbewahrungsnachweisProtokolle werden entsprechend Richtlinie, gesetzlichen und vertraglichen Fristen aufbewahrtSpeicherrichtlinie, SIEM-Aufbewahrungseinstellungen, Archiveinstellungen
IntegritätsnachweisProtokolle sind vor unbefugter Änderung oder Löschung geschütztRBAC, Schreibschutz, Verschlüsselung, Hashwertprüfung
PrüfaufzeichnungenProtokolle und Warnmeldungen werden in einem definierten Rhythmus geprüftTäglicher SOC-Bericht, Prüfcheckliste, Ticket-Warteschlange
EskalationsaufzeichnungenWarnmeldungen hoher Priorität werden innerhalb definierter Fristen eskaliertVorfallticket, E-Mail, Paging-Protokoll, Workflow-Zeitstempel
VorfallverknüpfungWarnmeldungen werden bewertet und bei Erreichen von Schwellenwerten in Vorfälle überführtVorfallsregister, Klassifizierungsaufzeichnung, Ursachenanalyse
Nachweis der ZeitsynchronisierungSystemuhren sind mit genehmigten Zeitquellen abgeglichenNTP-Konfiguration, Endpoint-Richtlinie, Server-Baseline
ManagementberichterstattungDie Leitung erhält Kennzahlen und risikorelevante ÜberwachungsergebnisseISMS-Bericht, Paket für den Risikoausschuss, Dashboard des Leitungsorgans

Clarysecs Enterprise Richtlinie zur Protokollierung und Überwachung Richtlinie zur Protokollierung und Überwachung rahmt dies unmittelbar ein:

„Diese Richtlinie ist wesentlich zur Unterstützung von ISO/IEC 27001 Clause 8.1 und Annex A Controls 8.15 (Protokollierung), 8.16 (Überwachung) und 8.17 (Uhrensynchronisation) und ist direkt regulatorischen Verpflichtungen nach GDPR, NIS2, DORA und COBIT 2019 zugeordnet.“

Aus Abschnitt „Zweck“, Richtlinienklausel 1.3.

Dieselbe Richtlinie legt die operative Erwartung fest:

„Zentrale Protokollierungs- und Alarmierungssysteme (z. B. SIEM) einrichten, um verdächtige Aktivitäten nahezu in Echtzeit zu aggregieren, zu korrelieren und zu eskalieren.“

Aus Abschnitt „Ziele“, Richtlinienklausel 3.4.

Für kleinere Organisationen übersetzt Clarysecs SME Logging and Monitoring Policy-sme Richtlinie zur Protokollierung und Überwachung - SME denselben Grundsatz in verhältnismäßige Anforderungen:

„Der IT-Support-Dienstleister muss einen regelmäßigen Zeitplan für die Protokollprüfung definieren und einhalten:“

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.1.1.

Sie definiert außerdem Aufbewahrung und Schutz:

„Protokolle müssen mindestens 12 Monate aufbewahrt werden, sofern nicht gesetzlich oder vertraglich ein längerer Aufbewahrungszeitraum erforderlich ist oder dies im Rahmen eines aktiven Vorfalls oder Rechtsstreits begründet ist.“

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.2.1.

„Protokolle müssen an schreibgeschützten Speicherorten gespeichert werden, und der Zugriff muss auf autorisiertes Personal beschränkt sein.“

Aus Abschnitt „Governance-Anforderungen“, Richtlinienklausel 5.3.1.

Für NIS2 und DORA kann eine 12-monatige Nachweisbasis den Unterschied zwischen glaubwürdiger Rekonstruktion und gescheiterter Untersuchung ausmachen. Für GDPR unterstützt sie die Rechenschaftspflicht, erfordert aber weiterhin Datenminimierung, Zugriffskontrolle und disziplinierte Aufbewahrung.

Die fehlende Brücke: Ereignisbewertung und Meldeschwellen

Viele Organisationen erfassen Protokolle und alarmieren bei Anomalien, scheitern aber am Entscheidungspunkt.

War die Warnmeldung nur ein Sicherheitsereignis, oder wurde daraus ein Informationssicherheitsvorfall? War sie nach NIS2 erheblich? War sie nach DORA ein schwerwiegender IKT-bezogener Vorfall? Waren personenbezogene Daten betroffen? Ist eine Analyse zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach GDPR erforderlich?

Dieser Entscheidungspunkt ist ISO/IEC 27002:2022 control 5.25, Bewertung und Entscheidung über Informationssicherheitsereignisse, zugeordnet. Zenith Controls beschreibt 5.25 als Triage-Funktion zwischen rohen Überwachungswarnmeldungen und formaler Vorfallbearbeitung. Sie verbindet 5.25 mit Vorfallmanagementplanung, Überwachungstätigkeiten, Reaktion auf Informationssicherheitsvorfälle und Protokollierung. Außerdem ordnet sie 5.25 den GDPR Articles 33 und 34 für Meldung von Datenschutzverletzungen und Risikobewertung, der NIS2-Vorfallmeldung und Klassifizierungskriterien sowie der DORA-Klassifizierung schwerwiegender IKT-bezogener Vorfälle zu.

Clarysecs Incident-Response-Richtlinie Incident-Response-Richtlinie unterstützt diesen Eskalationspunkt:

„Wenn ein Vorfall zu einer bestätigten oder wahrscheinlichen Offenlegung personenbezogener Daten oder anderer regulierter Daten führt, müssen Recht und der DPO die Anwendbarkeit folgender Anforderungen bewerten:“

Aus Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Richtlinienklausel 6.4.1.

Für SMEs legt die Incident Response Policy-sme Incident-Response-Richtlinie - SME die technische Nachweisanforderung fest:

„Protokollierungssysteme müssen so konfiguriert sein, dass sie ausreichende Details zur Unterstützung der Untersuchung erfassen.“

Aus Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Richtlinienklausel 6.4.1.

Hier wird GDPR Article 33 operativ. Die Frage ist nicht nur, ob auf personenbezogene Daten zugegriffen wurde. Die Frage ist, ob Protokolle, Überwachungswarnmeldungen und Vorfallsaufzeichnungen dem DPO eine zeitnahe, belastbare Bewertung der Verletzung des Schutzes personenbezogener Daten ermöglichen.

NIS2 Article 23 und DORA Articles 17 to 23 erzeugen ähnlichen Druck. Meldefristen hängen von Kenntnis, Klassifizierung und Wesentlichkeitsbewertung ab. Die Organisation muss nachweisen können, wann die Warnmeldung erzeugt wurde, wann sie geprüft wurde, wer sie bewertet hat, welche Entscheidung getroffen wurde und wann die Eskalation erfolgte.

Eine 60-Minuten-Nachweisübung für die Untersuchung einer privilegierten Anmeldung

Eine nützliche Methode, die Nachweisfähigkeit zu testen, ist die Übung eines realistischen Szenarios vor dem Audit oder Vorfall.

Szenario: Ein privilegiertes Administratorkonto meldet sich um 02:13 UTC aus einem ungewöhnlichen Land an. Fünf Minuten später versucht das Konto, auf eine Exportfunktion für Kundendaten zuzugreifen. Bedingter Zugriff blockiert die Sitzung, und eine Warnmeldung wird erzeugt.

Ziel: Innerhalb von 60 Minuten ein Nachweispaket erstellen, das Erkennung, Prüfung, Eskalation, Bewertung und Abschluss belegt.

Schritt 1: Bestätigen, dass das Ereignis in Protokollen vorhanden ist

Verwenden Sie die Richtlinie zur Protokollierung und Überwachung, um erforderliche Logquellen zu identifizieren: Protokolle von Identitätsanbietern, Cloud-Administrationsprotokolle, Anwendungsprotokolle, Datenbankprotokolle, Endpoint-Protokolle sowie Firewall- oder sichere Zugriffsprotokolle.

Exportieren Sie die Ereignisaufzeichnung mit Zeitstempel, Benutzerkennung, Quell-IP, Gerät, Aktion, Ergebnis und Korrelationskennung. Wenn das Ereignis nur in einer Konsole und nicht im SIEM oder Log-Collector vorhanden ist, dokumentieren Sie dies als Kontrolllücke.

Zenith Blueprint Step 19 empfiehlt sicherzustellen, dass kritische Systeme Protokolle an das SIEM oder den zentralen Log-Collector weiterleiten, und zu validieren, dass die Aufbewahrung mit der Richtlinie übereinstimmt.

Schritt 2: Nachweisen, dass die Überwachung das Ereignis erkannt hat

Zeigen Sie die SIEM-Warnmeldung, EDR-Warnmeldung oder Identitätsschutz-Warnmeldung. Fügen Sie Regelname, Schweregrad, Zeitstempel, auslösende Bedingung und Benachrichtigungsweg bei. Wenn die Organisation eine manuelle Prüfung nutzt, legen Sie den Tagesbericht und die Freigabe des Prüfers vor.

Die Enterprise Richtlinie zur Protokollierung und Überwachung macht dies zu einer Rollenverantwortung:

„Überprüft Tagesberichte und stellt sicher, dass Anomalien analysiert, dokumentiert und bei Bedarf eskaliert werden.“

Aus Abschnitt „Rollen und Verantwortlichkeiten“, Richtlinienklausel 4.2.3.

Schritt 3: Nachweisen, dass die Eskalation gemäß Richtlinie erfolgt ist

Für SMEs ist die Eskalationsanforderung ausdrücklich:

„Warnmeldungen hoher Priorität müssen innerhalb von 24 Stunden an den GM und den Datenschutzkoordinator eskaliert werden.“

Aus Abschnitt „Durchsetzung und Einhaltung“, Richtlinienklausel 8.1.2.

Für Enterprise-Teams können Nachweise ein Vorfallticket, eine Teams- oder Slack-Eskalationsaufzeichnung, ein Paging-Protokoll, eine E-Mail-Benachrichtigung, eine SOC-Übergabenotiz oder ein Eintrag im Fallmanagement sein.

Schritt 4: Das Ereignis klassifizieren

Verwenden Sie die Ereignisbewertungslogik zu 5.25 aus Zenith Controls. Erfassen Sie, ob die Warnmeldung ein Sicherheitsereignis, ein Informationssicherheitsvorfall, eine Verletzung des Schutzes personenbezogener Daten, ein erheblicher NIS2-Vorfall oder ein schwerwiegender IKT-bezogener Vorfall nach DORA ist.

Der Klassifizierungsvermerk sollte beantworten:

  • War die Authentifizierung erfolgreich oder wurde sie blockiert?
  • Wurde privilegierter Zugriff verwendet?
  • Wurden Kundendaten abgerufen, verändert oder exfiltriert?
  • Wurden regulierte Services gestört?
  • Waren kritische IKT-Assets betroffen?
  • Sind Lieferanten oder Auftragsverarbeiter beteiligt?
  • Erfüllt das Ereignis interne Meldeschwellen?
  • Ist eine Benachrichtigung von DPO, Recht, Aufsichtsbehörde oder Kunden erforderlich?

Schritt 5: Eine vertrauenswürdige Zeitachse erstellen

Uhrensynchronisation wird häufig ignoriert, bis eine Untersuchung scheitert. Zenith Blueprint Step 19 stellt fest, dass synchronisierte Zeit für die Ereigniskorrelation unerlässlich ist, weil Protokolle aus unterschiedlichen Systemen bei der Vorfallanalyse zeitlich zusammenpassen müssen.

Fügen Sie NTP-Konfigurationsnachweise für Identitätsplattformen, Cloud-Services, Server, Endpunkte, Datenbanken, Firewalls und das SIEM bei. Normalisieren Sie Zeitstempel nach Möglichkeit auf UTC.

Schritt 6: Abschließen oder eskalieren

Wenn das Ereignis eingedämmt wurde und kein Datenzugriff erfolgte, dokumentieren Sie Abschluss, Lessons Learned und Vorbeugemaßnahmen. Wenn daraus ein Vorfall wird, verknüpfen Sie ihn mit Incident Response, rechtlicher Prüfung und dem jeweiligen Meldeworkflow nach NIS2, DORA oder GDPR.

Schützen Sie abschließend die Nachweise. Clarysecs Richtlinie zur Audit- und Compliance-Überwachung Richtlinie zur Audit- und Compliance-Überwachung legt fest:

„Alle Audit-Protokolle, Feststellungen und Berichte zu Abhilfemaßnahmen sind aufzubewahren, zu verschlüsseln und gegen Manipulation zu schützen.“

Aus Abschnitt „Durchsetzung und Einhaltung“, Richtlinienklausel 8.5.1.

Diese einzelne Übung liefert Nachweise für Annex A.8.15, A.8.16, A.8.17, ISO/IEC 27002:2022 control 5.25, GDPR-Rechenschaftspflicht bei Datenschutzverletzungen, NIS2-Vorfallbearbeitung und DORA-Klassifizierung von IKT-Vorfällen.

Übergreifende Nachweiskarte für ISO 27001, NIS2, DORA und GDPR

Die stärksten Compliance-Programme bauen keine getrennten Nachweissätze für jedes Rahmenwerk auf. Sie schaffen ein Nachweissystem, das aus mehreren Auditperspektiven betrachtet werden kann.

NachweisfähigkeitISO/IEC 27001:2022 und ISO/IEC 27002:2022NIS2DORAGDPRClarysec-Umsetzungsanker
Geltungsbereich und RechenschaftspflichtClauses 4, 5 und 6 bringen Geltungsbereich, Führung, Risiken, Kontrollen und Ziele in EinklangArticle 20 Aufsicht durch das Management und Article 21 RisikomanagementmaßnahmenArticles 5 to 14 IKT-Risikomanagement und Verantwortung des LeitungsorgansArticle 5 Rechenschaftspflicht und Article 32 Sicherheit der VerarbeitungZenith Blueprint-Phasen für Scoping, Risiko und Controls in Action
Log-ErzeugungAnnex A.8.15 und ISO/IEC 27002:2022 control 8.15Unterstützt den Umgang mit Informationssicherheitsvorfällen und die Nachweissicherung nach Article 21Unterstützt Aufzeichnung, Erkennung und Analyse von IKT-Ereignissen nach Articles 10 und 17Unterstützt Rechenschaftspflicht und Untersuchung von DatenschutzverletzungenRichtlinie zur Protokollierung und Überwachung, SIEM-Onboarding-Tracker
Aktive ÜberwachungAnnex A.8.16 und EreignisprüfungUnterstützt den Umgang mit Informationssicherheitsvorfällen und Meldebereitschaft nach Article 23Unterstützt Erkennung, Reaktion und Vorfallmanagement nach Articles 10, 11 und 17Unterstützt zeitnahe Erkennung von Datenschutzverletzungen und Bewertung nach Article 33SOC-Berichte, Alarmregeln, Prüfrhythmus
ZeitsynchronisierungAnnex A.8.17Unterstützt zuverlässige Zeitachsen von VorfällenUnterstützt konsistente Rekonstruktion von IKT-VorfällenUnterstützt belastbare Zeitachsen von DatenschutzverletzungenSichere Baseline und NTP-Nachweise
EreignisbewertungISO/IEC 27002:2022 control 5.25 Bewertung und Entscheidung über EreignisseKlassifizierung erheblicher VorfälleKlassifizierung schwerwiegender IKT-bezogener Vorfälle nach Articles 18 und 19Risikobewertung von Verletzungen des Schutzes personenbezogener Daten nach Articles 33 und 34Incident-Response-Richtlinie und Klassifizierungsarbeitsblatt
LieferantenprotokolleLieferantenkontrollen einschließlich ISO/IEC 27002:2022 control 5.22 Überwachung von LieferantenservicesArticle 21 Sicherheit der LieferketteArticles 28 to 31 IKT-DrittparteienrisikoRechenschaftspflicht von Auftragsverarbeitern und SicherheitsnachweiseLieferantenregister, Vertragsklauseln, Zugriff auf Cloud-Protokolle
Tests und Lessons LearnedLeistungsbewertung und kontinuierliche VerbesserungWirksamkeitsbewertung und CyberhygieneArticles 24 to 27 Tests der digitalen operationalen ResilienzRechenschaftspflicht und SicherheitsverbesserungTabletop-Übungen, Alert-Tuning, internes Audit

Das NIST Cybersecurity Framework 2.0 kann helfen, dies als Kommunikationsebene zu operationalisieren. Seine sechs Functions – GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND und RECOVER – zeigen, dass Protokollierung und Überwachung hauptsächlich in DETECT und RESPOND liegen, aber von Governance, Asset-Verständnis und Risikoprioritäten abhängen.

NIST CSF 2.0 Profiles können auch einen Fahrplan für 2026 unterstützen. Ein Current Profile kann die heutige Protokollierungsabdeckung und Alarmierungsreife zeigen. Ein Target Profile kann die erforderliche Abdeckung für regulierte Systeme, privilegierte Aktivitäten, Lieferantenplattformen und Umgebungen mit personenbezogenen Daten definieren. Die Lücke dazwischen wird zum Maßnahmenplan.

Lieferanten- und Cloud-Protokolle: die Nachweislücke, die Auditoren zunehmend prüfen

In modernen Audits betreffen die schwierigsten Protokollierungsfragen häufig ausgelagerte Plattformen.

Können Sie auf Authentifizierungsprotokolle Ihres Cloud-Anbieters zugreifen? Werden SaaS-Administrationsaktionen protokolliert? Sind Datenbank-Audit-Protokolle in Managed Services aktiviert? Bewahrt Ihr MSSP Warnmeldungen lange genug auf? Verlangen Verträge Zusammenarbeit bei Vorfällen? Können Lieferanten Protokolle schnell genug für NIS2- oder DORA-Meldefristen bereitstellen? Sind Protokolle von Auftragsverarbeitern für die Bewertung einer GDPR-Datenschutzverletzung verfügbar?

Zenith Controls verbindet Überwachungstätigkeiten, control 8.16, mit der Überwachung von Lieferantenservices, control 5.22. Außerdem ordnet es Überwachung ISO/IEC 27005:2024 clause 10.5 zu, die Überwachung und Überprüfung von Risikobehandlungsplänen und Kontrollen betont, sowie ISO/IEC 27035-2:2023 clause 7.3, in der kontinuierliche Überwachungsmechanismen Informationssicherheitsereignisse erkennen und Vorfallmanagement auslösen.

DORA macht Lieferantenprotokollierung für Finanzunternehmen besonders wichtig, weil das IKT-Drittparteienrisikomanagement Lieferantenregister, vertragliche Vereinbarungen, Untervergaberisiko, Konzentrationsrisiko und Exit-Strategien umfasst. NIS2 Article 21 verankert Sicherheit der Lieferkette innerhalb der Maßnahmen des Cybersicherheitsrisikomanagements. GDPR kann Lieferantenprotokolle entscheidend machen, wenn ein Vorfall bei einem Auftragsverarbeiter zu einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten für den Verantwortlichen werden kann.

Eine praxistaugliche Klausel zur Lieferantenprotokollierung sollte verlangen:

  • Sicherheitsrelevante Audit-Protokolle für Authentifizierung, Berechtigungsänderungen, administrative Aktionen, API-Zugriff, Datenexport und Konfigurationsänderungen.
  • Protokollaufbewahrung ausgerichtet an Richtlinie, regulatorischen Pflichten und Vertragsrisiko.
  • Zeitsynchronisierung und Zeitzonennormalisierung.
  • Manipulationsschutz und beschränkter Zugriff auf Protokolle.
  • Zusammenarbeit bei Vorfällen innerhalb definierter Fristen.
  • Bereitstellung von Nachweisen für Audits, Untersuchungen und Anfragen von Aufsichtsbehörden.
  • Benachrichtigungsauslöser für verdächtigen Zugriff, Servicekompromittierung oder Datenexposition.
  • Protokollierungs- und Eskalationspflichten für Unterauftragsverarbeiter, soweit relevant.

Lieferantenprotokollierung sollte vor einem Vorfall geregelt werden, nicht währenddessen verhandelt.

Wie unterschiedliche Auditoren dieselbe Protokollierungskontrolle prüfen

Ein gutes Nachweispaket muss unterschiedlichen professionellen Perspektiven standhalten. Ein ISO-Auditor, NIS2-Prüfer, DORA-Aufseher, GDPR-Prüfer und ein COBIT 2019- oder ISACA-orientierter Auditor können auf dasselbe SIEM-Dashboard schauen, werden aber unterschiedliche Fragen stellen.

AuditperspektiveWas der Auditor tatsächlich prüftErwartete Nachweise
ISO/IEC 27001:2022-ZertifizierungsauditOb Protokollierung, Überwachung und Zeitsynchronisierung über das ISMS ausgewählt, umgesetzt, betrieben und geprüft werdenGeltungsbereich, Risikobehandlung, Statement of Applicability, Richtlinie zur Protokollierung und Überwachung, SIEM-Konfiguration, Prüfaufzeichnungen, Beispielwarnmeldungen, Aufbewahrungseinstellungen, NTP-Nachweise
ISO/IEC 27002:2022-KontrollprüfungOb controls 8.15, 8.16 und 8.17 praktisch umgesetzt sindLogquelleninventar, geschützte Speicherung, Alarmregeln, Tagesberichte, Eskalationsaufzeichnungen, Screenshots zur Uhrensynchronisation
NIS2-BereitschaftsprüfungOb Erkennung und Vorfallbearbeitung die Meldung erheblicher Vorfälle unterstützenArticle 21-Kontrollzuordnung, Article 23-Meldeworkflow, Kriterien zur Vorfallklassifizierung, Eskalationszeitstempel, Nachweise zur Managementaufsicht
DORA-IKT-RisikoprüfungOb IKT-Vorfälle erkannt, aufgezeichnet, klassifiziert, eskaliert, gemeldet und zur Verbesserung genutzt werdenIKT-Rahmenwerk für das Management von IKT-Risiken, Vorfallsregister, Klassifizierung schwerwiegender Vorfälle, Meldeworkflow, Lieferantenprotokollnachweise, Ergebnisse von Resilienztests
GDPR-RechenschaftspflichtprüfungOb die Bewertung von Verletzungen des Schutzes personenbezogener Daten zeitnah und belastbar istDPO-Bewertungsaufzeichnung, Auswirkungsanalyse zu personenbezogenen Daten, Article 33-Entscheidungsprotokoll, Zugriffsprotokolle, Datenexportprotokolle, Auftragsverarbeiternachweise
NIST CSF 2.0-BewertungOb DETECT- und RESPOND-Ergebnisse gesteuert, risikoorientiert und messbar sindCurrent Profile, Target Profile, Gap-Plan, Erkennungsabdeckung, Reaktionskennzahlen, Berichterstattung an die Leitung
COBIT 2019- oder ISACA-orientiertes AuditOb Überwachung als wiederholbarer, gemessener und rechenschaftspflichtiger Managementprozess gesteuert wirdRACI, Kontrollverantwortung, KPIs, Key Risk Indicators (KRIs), Richtlinieneinhaltung, Nachweisintegrität, Maßnahmenverfolgung, Managementberichterstattung

Zenith Blueprint Step 19 bereitet Organisationen auf diese Fragen vor. Bei Protokollierung achten Auditoren darauf, ob wesentliche Sicherheitsereignisse protokolliert werden und ob Protokolle aufbewahrt, geschützt und nutzbar sind. Bei Überwachungstätigkeiten fragen sie, wie ungewöhnliche oder nicht autorisierte Aktivitäten erkannt, bewertet und eskaliert werden. Bei Uhrensynchronisation können sie Zeitstempel systemübergreifend vergleichen und Abweichungen beanstanden.

Step 16: People Controls II, control 6.8, ist ebenfalls relevant, weil Mechanismen zur Vorfallmeldung menschliche Meldungen mit technischer Erkennung verbinden. GDPR Article 33, NIS2 Article 23 und DORA-Meldepflichten für Vorfälle hängen alle von zeitnaher interner Eskalation ab.

Häufige Audit-Feststellungen und praktikable Abhilfen

Die meisten Feststellungen zu Protokollierung und Überwachung sind vorhersehbar. Das Problem ist, dass Organisationen sie häufig erst im Audit und nicht bei internen Tests entdecken.

Häufige FeststellungWarum sie relevant istPraktische Clarysec-Abhilfe
Kritische Systeme senden keine Protokolle an das SIEMDie Überwachungsabdeckung ist unvollständig und Zeitachsen von Vorfällen sind unzuverlässigZenith Blueprint Step 19 verwenden, um ein Logquelleninventar und einen SIEM-Onboarding-Plan zu erstellen
Protokolle werden uneinheitlich lange aufbewahrtRegulatorische und vorfallbezogene Untersuchungen können ältere Nachweise erfordernAufbewahrungsbasis der Richtlinie zur Protokollierung und Überwachung anwenden und Ausnahmen dokumentieren
Kein Nachweis täglicher oder regelmäßiger PrüfungProtokollierung besteht, aber der Überwachungsbetrieb ist nicht belegtFreigabe von Tagesberichten, Ticketprüfung und SOC-Warteschlangenkennzahlen verwenden
Warnmeldungen sind nicht mit Vorfalltickets verknüpftEskalation und Klassifizierung können nicht nachgewiesen werdenWarnmeldungen der Triage nach control 5.25 und dem Incident-Response-Workflow zuordnen
Lieferantenprotokolle sind nicht verfügbarCloud- oder ausgelagerte Vorfälle können nicht ordnungsgemäß untersucht werdenAnforderungen an Lieferantenprotokollierung in Verträge und Lieferantenüberwachungsprüfungen aufnehmen
Zeitabweichungen zwischen SystemenEreigniskorrelation und forensische Rekonstruktion werden unzuverlässigNTP-Konfiguration validieren und Uhrensynchronisation in sichere Baselines aufnehmen
Zu viele personenbezogene Daten in ProtokollenRisiken für GDPR-Minimierung und Zugriffskontrolle steigenProtokollinhalte überprüfen, sensible Felder maskieren und Protokollzugriff beschränken
Das Management erhält keine KennzahlenErwartungen von NIS2, DORA und ISO an die Leitung sind schwach umgesetztErkennungsabdeckung, Abschluss der Prüfungen, Eskalationszeitnähe und offene Lücken berichten

Für Organisationen mit begrenzten Ressourcen ist der SME-Richtlinienansatz realistisch. Er verlangt am ersten Tag kein vollständiges SOC. Er verlangt definierte Prüfpläne, 12-monatige Aufbewahrung, sofern nicht länger erforderlich, schreibgeschützte Speicherung, beschränkten Zugriff und Eskalation von Warnmeldungen hoher Priorität. Das schafft eine belastbare Basis, während die Organisation schrittweise zu zentralisiertem SIEM, automatisierter Korrelation und Managed Detection reift.

Kennzahlen, die Protokollierung für die Leitung glaubwürdig machen

Leitungsorgane und Führungskräfte benötigen keine rohen SIEM-Ereignisse. Sie benötigen risikorelevante Sicherheit. Da NIS2 Article 20 und DORA-Governance-Anforderungen Verantwortung bei Leitungsorganen verankern, sollten Kennzahlen zu Protokollierung und Überwachung in der Sicherheits-Governance-Berichterstattung erscheinen.

Nützliche Kennzahlen sind:

  • Prozentsatz kritischer Assets, die Protokolle an das SIEM oder den Log-Collector weiterleiten.
  • Prozentsatz der Ereignisse mit privilegiertem Zugriff, die durch Alarmierung abgedeckt sind.
  • Anzahl der Warnmeldungen hoher Priorität, die innerhalb des SLA geprüft wurden.
  • Durchschnittliche Zeit von der Erzeugung der Warnmeldung bis zur Analystenprüfung.
  • Durchschnittliche Zeit von der Erkennung bis zur Eskalation.
  • Anzahl der im Incident-Response-Prozess klassifizierten Ereignisse.
  • Anzahl der Ereignisse, die eine DPO- oder Rechtsprüfung erfordern.
  • Einhaltung der Protokollaufbewahrung nach Systemkategorie.
  • Anzahl der Lieferantenplattformen mit vertraglich geregeltem Protokollzugriff.
  • Anzahl der Systeme mit fehlgeschlagenen Prüfungen der Zeitsynchronisierung.
  • Offene Abhilfemaßnahmen zu Protokollierung und Überwachung nach Risikostufe.

Diese Kennzahlen unterstützen ISO/IEC 27001:2022 clause 6.2 für messbare Informationssicherheitsziele. Sie stärken außerdem die Leitungsaufsicht nach NIS2 und DORA sowie die Rechenschaftspflicht nach GDPR.

Aufbau Ihres Nachweispakets für Protokollierung und Überwachung 2026

Ein starkes Nachweispaket für 2026 sollte vor dem Audit oder Vorfall zusammengestellt werden. Clarysec empfiehlt typischerweise einen strukturierten Ordner oder ein GRC-Nachweisobjekt mit diesen Abschnitten:

  1. Governance und Geltungsbereich: ISMS-Geltungsbereich, interessierte Parteien, regulatorische Anwendbarkeit, Managementgenehmigung und Rollenzuweisungen.
  2. Richtlinie: Richtlinie zur Protokollierung und Überwachung, Incident-Response-Richtlinie, Richtlinie zur Audit- und Compliance-Überwachung, Aufbewahrungsanforderungen und Eskalationsanforderungen.
  3. Risiko und SoA: Risikobeurteilung, Behandlungsplan, Begründung im Statement of Applicability für A.8.15, A.8.16, A.8.17 und verwandte Kontrollen.
  4. Architektur: SIEM- oder Log-Collector-Diagramm, Logquelleninventar, Cloud-Protokollierungseinstellungen und Abhängigkeiten von Lieferantenprotokollen.
  5. Kontrollbetrieb: Prüfaufzeichnungen, Warnmeldungen, Tickets, Eskalationsprotokolle, Abschlussnachweise und Ausnahmen.
  6. Vorfallverknüpfung: Arbeitsblatt zur Ereignisklassifizierung, Vorfallsregister, DPO-Bewertungsaufzeichnung und Entscheidungsprotokoll zur Meldung.
  7. Integrität und Aufbewahrung: Zugriffskontrollen, Verschlüsselung, Schreibschutz, Archiveinstellungen, Löschkontrollen und Aufbewahrungsnachweise.
  8. Zeitsynchronisierung: NTP-Konfiguration, sichere Baseline, Überwachung von Uhrabweichungen und Ansatz zur UTC-Normalisierung.
  9. Lieferantennachweise: Vertragsklauseln, Lieferanten-Assurance-Berichte, Verfügbarkeit von Cloud-Audit-Protokollen und Verfahren zur Zusammenarbeit bei Vorfällen.
  10. Verbesserung: Interne Audit-Feststellungen, Maßnahmenverfolgung, Ergebnisse von Tabletop-Übungen, Alert-Tuning-Aufzeichnungen und Managementberichte.

Der Zweck ist nicht, Auditoren mit Umfang zu überfordern. Der Zweck ist nachzuweisen, dass Protokollierung und Überwachung als gesteuerter Prozess von Governance über Erkennung, Bewertung, Eskalation und Meldung bis zur Verbesserung funktionieren.

Protokolle in belastbare Compliance-Nachweise überführen

Marias Team löste sein Problem nicht durch den Kauf eines weiteren Dashboards. Es löste das Problem, indem es Protokollierung und Überwachung in eine Nachweismaschine überführte. Richtlinien definierten die Anforderungen. SIEM-Regeln und Cloud-Protokolle lieferten Signale. Incident-Workflows erfassten Entscheidungen. Uhrensynchronisation machte die Zeitachse glaubwürdig. Managementberichterstattung machte das Risiko sichtbar.

Das ist der Standard, den Organisationen 2026 für ISO/IEC 27001:2022, NIS2, DORA und GDPR benötigen.

Beginnen Sie mit einem praktischen Test: Nehmen Sie eine echte Warnmeldung aus den letzten 30 Tagen und weisen Sie Ende zu Ende nach, wie sie protokolliert, erkannt, geprüft, eskaliert, klassifiziert, aufbewahrt und gemeldet wurde.

Wenn die Antwort nicht belastbar ist, kann Clarysec Ihnen helfen, die Lücke zu schließen.

Verwenden Sie Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, um Step 19 für Protokollierung, Überwachung und Uhrensynchronisation sowie Step 16 für Mechanismen zur Vorfallmeldung umzusetzen. Verwenden Sie Zenith Controls: The Cross-Compliance Guide Zenith Controls, um Annex A.8.15, A.8.16, A.8.17 und ISO/IEC 27002:2022 control 5.25 über NIS2-, DORA-, GDPR-, NIST CSF 2.0- und COBIT 2019-Perspektiven hinweg zuzuordnen.

Operationalisieren Sie die Anforderungen anschließend mit Clarysecs Richtlinie zur Protokollierung und Überwachung Richtlinie zur Protokollierung und Überwachung, Logging and Monitoring Policy-sme Richtlinie zur Protokollierung und Überwachung - SME, Incident-Response-Richtlinie Incident-Response-Richtlinie, Incident Response Policy-sme Incident-Response-Richtlinie - SME und Richtlinie zur Audit- und Compliance-Überwachung Richtlinie zur Audit- und Compliance-Überwachung.

Protokolle sind keine Nachweise, solange sie nicht gesteuert, geschützt, geprüft und mit Entscheidungen verknüpft sind. Organisationen, die diese Kette nachweisen können, bestehen Audits schneller, reagieren besser auf Vorfälle und geben der Leitung Sicherheit, wenn die nächste Warnmeldung um 2:17 Uhr eintrifft.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

NIS2- und DORA-Kontaktregister als ISO 27001-Nachweis

NIS2- und DORA-Kontaktregister als ISO 27001-Nachweis

Ein regulatorisches Kontaktregister ist keine administrative Nebensache mehr. Für NIS2, DORA, GDPR und ISO/IEC 27001:2022 ist es ein operativer Nachweis dafür, dass Ihre Organisation die richtige Behörde, Aufsicht, den richtigen Lieferanten oder die zuständige Führungskraft benachrichtigen kann, bevor die Frist abläuft.

DLP 2026: ISO 27001 für GDPR, NIS2 und DORA

DLP 2026: ISO 27001 für GDPR, NIS2 und DORA

Data Loss Prevention ist keine isolierte Werkzeugkonfiguration mehr. 2026 benötigen CISOs ein richtliniengesteuertes, nachweisbasiertes DLP-Programm, das Datenklassifizierung, sichere Übertragung, Protokollierung, Incident Response, Lieferanten-Governance und ISO/IEC 27001:2022-Maßnahmen mit GDPR Article 32, NIS2 und DORA verbindet.