Compliance-Lexikon · Praxis
Incident-Response-Prozess für NIS-2 und DORA aufbauen
Ein IR-Prozess ist nur so gut wie sein letzter Test. Dieser Artikel zeigt, welche Elemente NIS-2 und DORA konkret fordern und wie der Prozess so dokumentiert wird, dass er im Ernstfall und im Audit standhält.
Was Auditoren konkret prüfen
Bei einer Prüfung von Incident Response fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt NIS2-IR-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.
Häufige Fehler
- Kein dokumentierter IR-Prozess vor dem Vorfall
- Meldekette nicht geprobt
- Klassifizierungsschwellenwerte unklar
- Keine Evidence der Meldung an Behörde
Praxis-Tipp
Für Incident Response gilt: Evidence muss kontinuierlich entstehen, nicht punktuell vor dem Audit. Wer erst kurz vor dem Audit mit der Evidence-Sammlung beginnt, hat für den gesamten Prüfungszeitraum eine Lücke.
Typische Implementierungsreihenfolge
Erfahrungsgemäß folgt die Implementierung einem wiederkehrenden Muster: Zuerst wird eine Richtlinie geschrieben, dann werden Maßnahmen umgesetzt, dann wird kurz vor dem Audit festgestellt, dass der Nachweis fehlt. Der richtige Ansatz: Evidence-Anforderung zuerst klären, dann die Maßnahme so implementieren, dass sie automatisch Evidence erzeugt. Das BAM-Objekt beginnt deshalb mit dem Evidence-Feld, nicht mit dem Requirement.
Verbindung zu anderen Kontrollen
In der Praxis steht keine Kontrolle isoliert. Dieser Bereich ist typischerweise mit Risk Register verknüpft (das Risiko, das die Kontrolle adressiert), mit Audit Trail (der technische Nachweis der Wirksamkeit) und mit Remediation (der Plan für offene Gaps). BAM bildet diese Verknüpfungen im Cross-Framework-Objektmodell ab.
Nächster Schritt
DORA-Meldepflicht-Artikel
Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – warum Incident Response langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.