NIS-2 Fortschrittsbericht: Pflichten für Vorstand und Geschäftsleitung

Der NIS-2 Fortschrittsbericht ist kein Formular. Er ist der zentrale Nachweis, dass die Leitungsorgane ihrer Überwachungspflicht nachgekommen sind. Wer ihn nicht führt, haftet persönlich. Dieser Text beschreibt Pflichtinhalt, Struktur und Frequenz, basierend auf der Arbeit, die wir im KRITIS-Dachgesetz-Handbuch (ESBN 978-3-912703-01-6) ausführlich dokumentiert haben.

NIS-2 Fortschrittsbericht: Was der Gesetzgeber verlangt

Artikel 20 der NIS-2-Richtlinie verpflichtet die Leitungsorgane betroffener Einrichtungen, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Pflicht ist nicht delegierbar. Sie liegt beim Vorstand, beim Geschäftsführer, beim Anstaltsleiter.

Das deutsche NIS2UmsuCG überträgt diese europäische Vorgabe direkt in nationales Recht. §38 BSIG-neu sieht persönliche Haftung der Leitungsorgane vor, wenn die Überwachung fehlt oder unzureichend dokumentiert ist (NIS2UmsuCG-Referentenentwurf, https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis-2-umsetzungsgesetz.html). Voraussetzung: Die Überwachung fehlt oder ist unzureichend dokumentiert. Geldbußen treffen das Unternehmen, Regress trifft die Person.

Der dokumentierte Fortschrittsbericht ist der Nachweis gegenüber dem BSI und dem BMI. Ohne ihn gibt es im Auditfall keine Verteidigungslinie. Mit ihm wird die Überwachung belegbar, datiert, unterschrieben.

Frequenz: mindestens quartalsweise. Bei wesentlichen Vorfällen ad hoc, parallel zur 24-Stunden-Meldepflicht. Wer halbjährlich oder jährlich berichtet, erfüllt die Überwachungspflicht aus Artikel 20 nicht.

Nächster Schritt: NIS-2-Compliance im Überblick.

Pflichtinhalte: Die zehn Risikomanagementbereiche

Artikel 21 Absatz 2 NIS-2 listet zehn Bereiche, die jede Einrichtung adressieren muss. Der Fortschrittsbericht muss jeden einzeln behandeln. Lücken werden vom Prüfer als unzureichende Umsetzung gewertet.

Risikoanalyse und Sicherheit der Informationssysteme. Aktueller Status, Veränderungen seit Vorbericht, neue identifizierte Risiken, geschlossene Bewertungen. Keine Allgemeinplätze, sondern konkrete Risiken mit Eintrittswahrscheinlichkeit und Schadenshöhe.

Vorfallsbewältigung. Anzahl der Sicherheitsvorfälle im Berichtszeitraum, Klassifikation nach Schweregrad, Reaktionszeit vom Erkennen bis zur Eindämmung, gemeldete Vorfälle an das BSI mit Aktenzeichen.

Business Continuity. Backup-Tests mit Datum und Erfolgsquote, gemessene Wiederanlaufzeiten gegen vereinbarte RTO, durchgeführte Disaster-Recovery-Übungen, Lessons Learned.

Lieferkettensicherheit. Bewertung kritischer Zulieferer, vertraglich vereinbarte Sicherheitsanforderungen, Auditergebnisse, Wechselplanung bei nicht konformen Lieferanten.

Zugriffskontrolle und Kryptographie. MFA-Abdeckung in Prozent über alle privilegierten Konten, Zertifikatsmanagement mit Ablaufübersicht, Schlüssellebenszyklus mit Rotationsnachweis.

Physische Sicherheit. Perimeterschutz, Zutrittskontrolle, Überwachung der Standorte, Vorfälle im physischen Bereich. Dieser Bereich wird regelmäßig vergessen. Genau dort entstehen die meisten Audit-Beanstandungen.

Die übrigen vier Bereiche (Schulung, Asset-Management, Schwachstellenmanagement, Wirksamkeitsbewertung) folgen derselben Logik: Status, Maßnahme, Verantwortlicher, Frist.

Nächster Schritt: Anforderungen an KRITIS-Betreiber.

Struktur eines auditfesten Berichts

Ein Fortschrittsbericht, der vor dem BSI besteht, hat fünf feste Bestandteile.

Executive Summary. Maximal eine Seite. Ampelsystem für die zehn Risikobereiche, jeweils grün, gelb oder rot mit kurzer Begründung. Diese Seite liest der Vorstandsvorsitzende. Wenn sie unklar ist, ist der gesamte Bericht entwertet.

Maßnahmenmatrix. Tabellarisch. Jede Maßnahme mit eindeutigem Identifier, Verantwortlichem (Name, nicht Abteilung), Frist (Datum, nicht Quartal), Status (offen, in Arbeit, abgeschlossen), Budget (genehmigt, abgerufen, Restbudget).

Vorfallsregister. Chronologische Auflistung aller Sicherheitsvorfälle im Berichtszeitraum. Pro Vorfall: Zeitstempel der Erkennung, Klassifikation, betroffene Systeme, Reaktionsschritte, BSI-Meldung mit Aktenzeichen falls erfolgt, Abschlussbericht.

Schulungsnachweis. Artikel 20 Absatz 2 NIS-2 verpflichtet die Leitungsorgane selbst zur Schulung. Teilnahmequote des Vorstands, Datum der Schulung, Inhalte, Anbieter, Zertifikate als Anlage. Wer hier 80 Prozent ausweist, hat ein Problem: gefordert sind 100 Prozent.

Anlagen. Externe Auditberichte, Penetrationstestergebnisse, Lieferantenbewertungen, jeweils mit Datum und Prüfer namentlich. Ohne diese Anlagen ist der Bericht nicht prüffähig.

Versionierung ist Pflicht. Jeder Bericht trägt eine Versionsnummer, ein Datum, eine Unterschrift. Spätere Änderungen erfolgen als Nachtrag, nicht durch Überschreiben.

Physische Sicherheit im Fortschrittsbericht dokumentieren

NIS-2 trennt nicht zwischen Cyber- und physischer Sicherheit. Artikel 21 Absatz 2 lit. e nennt physischen Schutz der Anlagen explizit als Pflichtmaßnahme. Wer den Fortschrittsbericht nur mit IT-Metriken füllt, erfüllt die Richtlinie nicht.

Konkret in den Bericht gehören: Patrouillenprotokolle mit Zeitstempeln, Perimetervorfälle mit Klassifikation, Sensorabdeckung in Prozent, Lücken in der Überwachung mit geplanter Schließung.

Der KRITIS-Dachgesetz-Entwurf in Bundestag-Drucksache 20/9262 verzahnt physische und Cybersicherheit für kritische Anlagen ausdrücklich. Das BBK koordiniert die Resilienzanforderungen. Im Zusammenspiel mit der KritisV ergibt sich für Betreiber kritischer Anlagen eine doppelte Pflicht: NIS-2 für IT und das Dachgesetz für physische Sicherheit. Beide Bereiche gehören in denselben Bericht.

Autonome Patrouillenrobotik liefert lückenlose, manipulationssichere Protokolldaten. QR-2 dokumentiert jede Patrouille mit Zeitstempel, Thermalsignatur und Vorfallsklassifikation. Die Datensätze sind direkt in den Quartalsbericht exportierbar, im JSON-Format, mit Hash zur Beweissicherung. Was menschliche Streifen in Schichtbüchern protokollieren, liegt damit als strukturierter Datensatz vor.

Was funktioniert: Robotik für gleichförmige Patrouillen, Perimeterüberwachung, nächtliche Streifen. Was nicht funktioniert: Robotik als Ersatz für Eingreifkräfte. Die Trade-off-Linie verläuft zwischen Detektion (Maschine) und Intervention (Mensch).

Nächster Schritt: QR-3 für KRITIS-Anlagen.

Frequenz und Berichtswege

Quartalsbericht an den Gesamtvorstand. Vorlage in der ordentlichen Vorstandssitzung, dokumentierte Kenntnisnahme im Protokoll. Ohne Protokollnotiz gilt der Bericht als nicht vorgelegt.

Halbjahresbericht an den Aufsichtsrat oder Beirat. Konsolidierte Fassung zweier Quartalsberichte, ergänzt um strategische Bewertung. Auch hier: Protokollnotiz, namentliche Erwähnung der Anwesenden.

Ad-hoc-Bericht innerhalb 24 Stunden bei meldepflichtigen Vorfällen. Parallel zur BSI-Meldung, nicht ersatzweise. Die BSI-Meldung erfüllt §32 BSIG-neu, der Ad-hoc-Bericht erfüllt Artikel 20 NIS-2. Zwei verschiedene Pflichten, zwei verschiedene Adressaten.

Jahresbericht als konsolidierte Fassung. Adressat: externe Prüfer, auf BSI-Anforderung, Aufsichtsrat. Dient als Basis für den Wirksamkeitsbericht nach Artikel 21 Absatz 4.

Aufbewahrungsfrist: mindestens sechs Jahre (§257 HGB, https://www.gesetze-im-internet.de/hgb/__257.html; §93 AktG für Organhaftungsverjährung, https://www.gesetze-im-internet.de/aktg/__93.html). Diese Frist ergibt sich aus der parallelen Anwendung handelsrechtlicher Aufzeichnungspflichten und der Verjährungsfrist für Organhaftung. Kürzere Aufbewahrung erzeugt Beweisnot im Schadensfall.

Nächster Schritt: Vorstandshaftung unter NIS-2.

Häufige Fehler und ihre Konsequenzen

Delegation an die IT-Abteilung ohne Vorstandsbefassung. Die Pflicht aus Artikel 20 trifft die Leitungsorgane persönlich. Wer den CISO mit dem Bericht beauftragt und ihn ungelesen ablegt, verletzt die Nicht-Delegierbarkeit. Im Haftungsfall hilft die Unterschrift des CISO nicht.

Reine Statusberichte ohne Maßnahmenverfolgung. Ein Bericht, der nur sagt "MFA-Abdeckung 87 Prozent", erfüllt die Überwachungspflicht nicht. Gefordert ist die Verfolgung: Was war im Vorquartal, was ist Zielwert, wer ist verantwortlich, bis wann geschlossen.

Fehlender Schulungsnachweis der Leitungsorgane. Artikel 20 Absatz 2 verlangt Schulung der Vorstandsmitglieder selbst. Bei Verstoß droht ein Bußgeld bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 34 Abs. 4 NIS-2-Richtlinie, https://eur-lex.europa.eu/eli/dir/2022/2555/oj). Maßgeblich ist der jeweils höhere Betrag. Dieser Posten lässt sich mit 4 Stunden Schulung pro Jahr und Vorstandsmitglied vermeiden.

Lückenhafte Dokumentation physischer Sicherheit. Häufigste Audit-Beanstandung. Der Bericht enthält 40 Seiten zu IT-Sicherheit und 2 Seiten zu Perimeter. Das Verhältnis muss zur Risikoexposition passen, nicht zur Abteilungsstruktur.

Keine Versionierung der Berichte. Im Haftungsfall muss nachweisbar sein, welche Information der Vorstand zu welchem Zeitpunkt hatte. Ohne Versionierung gibt es Beweisnot, und die geht zulasten des Organmitglieds.

Nächster Schritt: KRITIS-Dachgesetz-Checkliste 2026.

Robotik als Datenquelle für den Bericht

Patrouillenroboter liefern strukturierte JSON-Protokolle. Jede Patrouille erzeugt einen Datensatz mit Zeitstempel, GPS-Position, Sensorwerten, Vorfallsklassifikation. Diese Daten sind direkt in Berichtsvorlagen integrierbar, ohne manuelle Übertragung.

Manipulationssichere Aufzeichnung erfüllt Beweiswertanforderungen. Die Datensätze werden mit Hash signiert, in unveränderlichen Logs abgelegt, mit Zeitstempel eines vertrauenswürdigen Zeitservers versehen. Im Gerichtsfall sind sie als Beweismittel zugelassen.

Vergleich zu manuellen Schichtprotokollen: menschliche Aufzeichnungen weisen typischerweise 15 bis 30 Prozent Lücken auf [Quelle erforderlich]. Schichtwechsel, vergessene Einträge, unleserliche Notizen, nachträgliche Korrekturen. Ein Bericht auf dieser Basis ist nicht auditfest.

QR-3 erweitert die Datenbasis um LiDAR-Vermessung und Drohnenerkennung. Luftraumvorfälle sind für KRITIS-Sektoren wie Energie, Wasser und Logistik zunehmend relevant. Ohne Sensorik im Bericht keine Aussage zum Luftraum, also Lücke im Risikomanagement.

Beschaffung über Robotics-as-a-Service-Modell: keine CapEx, monatliche Betriebsgebühr, Lieferung in 48 Stunden, Mindestlaufzeit 24 Monate. Was funktioniert: kalkulierbare Kosten, schnelle Verfügbarkeit, automatische Updates. Was nicht funktioniert: kurzfristige Einzelmiete für Wochen, dafür ist das Modell nicht ausgelegt.

Kostenvergleich zu klassischer Bewachung: Wachschutz-Kosten im Vergleich für KRITIS-Betreiber.

Vorgehen: In 90 Tagen zum ersten Bericht

Wer noch keinen Fortschrittsbericht hat, beginnt jetzt. Das Zeitfenster bis zur ersten BSI-Prüfung ist kürzer als die meisten Vorstände annehmen.

Woche 1 bis 2: Gap-Analyse. Gegenüberstellung Ist gegen die zehn Risikomanagementbereiche aus Artikel 21 Absatz 2. Ergebnis: Lückenliste mit Priorisierung. Verantwortlich: CISO und Datenschutzbeauftragter gemeinsam.

Woche 3 bis 6: Verantwortlichkeiten und Datenquellen. Pro Risikobereich ein Verantwortlicher mit Namen. Anbindung der Datenquellen (SIEM für IT, Zutrittssystem für Perimeter, HR für Schulung). Vorlagenerstellung für Maßnahmenmatrix und Vorfallsregister.

Woche 7 bis 10: Physische Sicherheit auditieren. Begehung aller Standorte, Sensorabdeckung dokumentieren, Lücken schließen. Integration von Patrouillenrobotik dort, wo manuelle Streifen nachweislich Lücken aufweisen. Datenexport aus der Robotik-Plattform in das Berichtssystem konfigurieren.

Woche 11 bis 12: Vorstandsschulung. Pflicht aus Artikel 20 Absatz 2. Externer Anbieter, halbtägige Sitzung, Themen: NIS-2-Pflichten, Haftung, eigene Rolle im Vorfallsfall. Dokumentation mit Teilnehmerliste und Zertifikat.

Woche 13: Erster Quartalsbericht. Vorlage in der ordentlichen Vorstandssitzung, formelle Befassung, Protokollnotiz. Versionierung etablieren. Aufbewahrung im revisionssicheren System.

Nach 90 Tagen liegt der erste Bericht vor. Ab dann ist die Frequenz quartalsweise. Der Aufwand sinkt von initial 400 Personenstunden auf rund 80 Stunden pro Folgequartal [Quelle erforderlich], sofern Datenquellen sauber angebunden sind.

Wer den Fortschrittsbericht als Pflichtübung sieht, übersieht den eigentlichen Nutzen. Er ist die einzige Dokumentation, die im Haftungsfall vor dem Regress gegen Vorstandsmitglieder schützt. Diese Schutzwirkung entsteht durch konsequente Führung über Jahre. Ein einzelner Bericht zur Prüfung reicht nicht.

Konkrete Umsetzung mit definierten Verantwortlichkeiten, Datenquellen und Berichtsvorlagen: NIS-2-Compliance im Überblick.