Deutscher Markt2026-04-168 min Lesezeit

Compliance Audit Vorbereitung: Checkliste für ISO 27001, DORA und NIS2

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Warum Vorbereitung entscheidet
  2. 02Allgemeine Vorbereitungsphase: 8–12 Wochen vor dem Audit
  3. 03ISO 27001 Audit-Vorbereitung
  4. 04DORA Audit-Vorbereitung (für Finanzunternehmen)
  5. 05NIS2 Audit-Vorbereitung
  6. 06Interview-Vorbereitung: Was Auditoren fragen
  7. 07Häufige Fehler bei der Audit-Vorbereitung
  8. 08Audit-Tag: Dos und Don'ts
  9. 09Compliance-Software für die Audit-Vorbereitung

Compliance Audit Vorbereitung: Checkliste für ISO 27001, DORA und NIS2

Warum Vorbereitung entscheidet

„Das Audit läuft gut, weil wir gut sind" – das ist eine gefährliche Illusion. Audits scheitern nicht, weil Unternehmen schlecht sind. Sie scheitern, weil Unternehmen gut sind, aber nicht beweisen können, dass sie gut sind.

Dokumentation fehlt, Nachweise sind nicht auffindbar, Mitarbeitende wissen nicht, was sie auf bestimmte Fragen antworten sollen, Policies sind veraltet oder wurden nie formal freigegeben. Das Ergebnis: Unnötige Abweichungen bei einem Audit, das eigentlich hätte bestanden werden sollen.

Dieser Leitfaden gibt Ihnen eine vollständige Vorbereitungs-Checkliste für externe Compliance-Audits – spezifisch für ISO 27001, DORA und NIS2.

Allgemeine Vorbereitungsphase: 8–12 Wochen vor dem Audit

Schritt 1: Auditumfang und -kriterien klären

Bevor Sie Dokumente zusammenstellen, klären Sie:

  • Was wird genau geprüft? (Alle Controls? Spezifische Bereiche? Welche Norm-Version?)
  • Welche Standorte, Abteilungen, Systeme sind im Scope?
  • Welche Standorte, Systeme sind explizit ausgeschlossen? (Scope-Abgrenzung ist kritisch für ISO-Audits)
  • Wer ist der externe Auditor / die prüfende Behörde? (Zertifizierungsstelle, BaFin, BSI, Datenschutzbehörde?)
  • Was ist das Ziel? (Erstzertifizierung, Überwachungsaudit, Re-Zertifizierung, regulatorische Prüfung?)

Wichtig: Klären Sie mit dem Auditor im Advance-Meeting (normalerweise 4–6 Wochen vor dem Audit), ob der Scope korrekt verstanden ist.

Schritt 2: Gap-Assessment durchführen

Führen Sie ein internes Gap-Assessment gegen die zu prüfende Norm durch:

  • Alle Anforderungen gegen den aktuellen Stand bewerten
  • Für jede Lücke: Kann sie bis zum Audit geschlossen werden?
  • Kritische Lücken priorisieren (Major-Abweichungen verhindern Zertifikatsvergabe)

Nutzen Sie die gleiche Checkliste, die der externe Auditor verwenden wird. Für ISO 27001: Die 93 Controls des Annex A + Hauptklauseln 4–10. Für DORA: Die Anforderungen aus Art. 5–30.

Schritt 3: Dokumenteninventar erstellen

Erstellen Sie eine vollständige Liste aller Dokumente, die für das Audit benötigt werden:

Dokument Verantwortlicher Status Letzte Überprüfung Freigegeben?
Informationssicherheitspolitik CISO ✅ Aktuell 2026-01
Risikobeurteilung Risk Manager ⚠️ Update nötig 2025-06
Statement of Applicability CISO ✅ Aktuell 2026-02
Incident-Response-Plan IT-Leiter ❌ Fehlt

ISO 27001 Audit-Vorbereitung

8 Wochen vorher

Dokumentenprüfung:

  • Informationssicherheitspolitik: aktuell, formal freigegeben, für alle Mitarbeitenden zugänglich
  • Scope-Dokument: präzise, alle Aus- und Einschlüsse begründet
  • Statement of Applicability (SoA): vollständig, alle 93 Controls bewertet, Ausschlüsse begründet
  • Risikobeurteilung: aktuell (max. 12 Monate alt), risikobasierter Ansatz dokumentiert
  • Risikobehandlungsplan: alle hohen Risiken adressiert, Entscheidungen für akzeptierte Risiken dokumentiert
  • Alle Richtlinien aus Anhang A: vorhanden, aktuell, freigegeben
  • Auditprogramm und letzte Auditberichte: verfügbar

Technische Nachweise:

  • Zugriffssteuerungsdokumentation (IAM-Konzept, Access Reviews)
  • Backup-Konfiguration und letzte Restore-Test-Protokolle
  • Patch-Management-Protokolle (letzten 3 Monate)
  • Vulnerability-Scan-Ergebnisse (max. 12 Monate alt)
  • Pentest-Bericht (max. 12 Monate für kritische Systeme)
  • MFA-Konfigurationsnachweise für privilegierte Zugriffe
  • Verschlüsselungsstandards dokumentiert

4 Wochen vorher

Prozessnachweise:

  • Schulungsnachweise: alle Mitarbeitenden, mindestens letzte 12 Monate
  • Incident-Protokolle: alle Vorfälle der letzten 12 Monate dokumentiert
  • Business-Continuity-Testprotokoll (max. 12 Monate)
  • Lieferanten-Assessments für kritische Lieferanten
  • Letztes Management-Review-Protokoll (max. 12 Monate)
  • Offene Maßnahmen aus letztem internen Audit: alle geschlossen oder im Plan

Mitarbeiter-Vorbereitung:

  • CISO/Sicherheitsverantwortlicher auf Interview-Fragen vorbereiten
  • Prozessverantwortliche über Auditumfang informieren
  • Stichproben-Interview-Kandidaten identifizieren und briefen
  • Vertraulichkeitsprinzip erklären: keine Informationen aktiv verbergen

1 Woche vorher

  • Alle Dokumente zentralisiert und abrufbar (Auditor-Zugang vorbereiten)
  • Besprechungsräume und Technik für das Audit gebucht
  • Logistik: Wer begleitet den Auditor wann? Ansprechpartner pro Bereich
  • Letzter Check: Alle offenen Punkte aus internem Gap-Assessment adressiert?

DORA Audit-Vorbereitung (für Finanzunternehmen)

Besonderheiten bei DORA-Prüfungen

DORA-Prüfungen durch BaFin oder EBA unterscheiden sich von ISO-Zertifizierungsaudits:

  • Keine „Bestanden/Nicht bestanden"-Entscheidung, sondern Prüfbericht mit Empfehlungen und Anforderungen
  • Stärkerer Fokus auf tatsächliche Umsetzung, nicht nur Dokumentation
  • Mögliche Nachfolgemaßnahmen und Fristen durch die Aufsichtsbehörde

DORA Dokumente-Checkliste

IKT-Risikomanagement (Art. 5–16):

  • IKT-Risikomanagement-Rahmenwerk: genehmigt vom Leitungsorgan, aktuell
  • IKT-Asset-Register: vollständig, mit Kritikalitätsbewertung
  • IKT-Risikoregister: alle wesentlichen Risiken bewertet und behandelt
  • Netzwerktopologie-Dokumentation: aktuell
  • IKT-Risiko-Schulungsnachweis für das Leitungsorgan (Art. 5(4))

Drittanbieter-Risikomanagement (Art. 28–30):

  • IKT-Drittanbieter-Register (CTPP-Register): vollständig, klassifiziert
  • Verträge mit kritischen IKT-Anbietern: DORA-Pflichtklauseln enthalten
  • Letzte Drittanbieter-Assessments: max. 12 Monate alt
  • Exit-Strategien für kritische Anbieter: dokumentiert
  • Konzentrationsrisiko-Analyse: durchgeführt und dokumentiert

Incident Management (Art. 17–23):

  • Incident-Klassifizierungsmatrix: dokumentiert, DORA-konform
  • Incident-Protokolle: alle Major-Incidents der letzten 2 Jahre
  • BaFin-Meldungsbelege für gemeldete Major-Incidents
  • Lessons-Learned-Protokolle für alle Major-Incidents

Resilience Testing (Art. 24–27):

  • Jahres-Testprogramm: dokumentiert und durchgeführt
  • Penetrationstest-Berichte: max. 12 Monate alt
  • Vulnerability-Management-Protokoll
  • TLPT-Planung (sofern unter Art. 26 relevant)

Business Continuity (Art. 11):

  • BCP/DRP-Dokumente: aktuell, genehmigt
  • BCP/DRP-Testprotokoll: max. 12 Monate alt
  • RTO/RPO für kritische Funktionen: definiert und technisch validiert

NIS2 Audit-Vorbereitung

Besonderheiten bei NIS2-Prüfungen

NIS2-Prüfungen durch das BSI (und ggf. Sektorbehörden) erfolgen seit dem BSIG-Novelle. Besonderheiten:

  • Selbstregistrierungspflicht für wesentliche und wichtige Einrichtungen
  • Verdachts- und anlassbezogene Prüfungen möglich
  • Unterschied: Wesentliche Einrichtungen (schärfere Anforderungen, höhere Bußgelder) vs. Wichtige Einrichtungen

NIS2 Dokumente-Checkliste

Governance (Art. 20):

  • Schulungsnachweis Leitungsorgan: Cybersicherheitsrisiken, aktuell
  • IS-Risikobewertung: dokumentiert, risikobasiert
  • Verantwortlichkeiten: klar definiert, dokumentiert

Sicherheitsmaßnahmen (Art. 21):

  • IS-Politikdokument: alle 10 NIS2-Kategorien abgedeckt
  • Patch-Management-Policy und Protokoll
  • MFA-Konfiguration für kritische Systeme
  • Verschlüsselungskonzept
  • Backup-Konzept und Restore-Test-Protokoll
  • Schulungsnachweise: alle Mitarbeitenden, letzten 12 Monate
  • Supply-Chain-Sicherheitsmaßnahmen: dokumentiert

Incident Reporting (Art. 23):

  • Incident-Response-Plan: mit NIS2-konformen Meldepflichten (24h/72h/1 Monat)
  • BSI-Meldungsbelege für gemeldete Incidents
  • Interner Prozess für Vorfallserkennung und -meldung: dokumentiert

Interview-Vorbereitung: Was Auditoren fragen

Typische Eröffnungsfragen

  • „Können Sie das Managementsystem in 5 Minuten überblicksmäßig erklären?"
  • „Wie sind Verantwortlichkeiten für Informationssicherheit in Ihrer Organisation verteilt?"
  • „Wann hat das letzte Management-Review stattgefunden? Was war das Ergebnis?"

Tiefenbohrungen (typisch für Prozessbereiche)

  • „Können Sie mir den Patch-Prozess live zeigen?"
  • „Wie haben Sie auf den letzten Sicherheitsvorfall reagiert? Können Sie das anhand der Protokolle erklären?"
  • „Wie stellen Sie sicher, dass der Zugriffssteuerungsprozess beim Mitarbeiterausscheiden eingehalten wird?"

Was Sie NICHT tun sollten

  • Auf Fragen antworten, die Ihnen nicht gestellt wurden
  • Probleme schönreden (Auditoren erkennen das sofort)
  • Papierdokumente vorlegen, die im echten Leben nie benutzt werden
  • Unsicherheiten verbergen – „ich müsste nachschauen" ist besser als eine falsche Antwort

Was gut funktioniert

  • Konkrete Beispiele nennen, wenn möglich mit Nachweis
  • Offene Punkte proaktiv ansprechen: „Wir haben hier eine Lücke erkannt und arbeiten gerade daran"
  • Zusammenhänge erklären, nicht nur Dokumente vorlegen

Häufige Fehler bei der Audit-Vorbereitung

Fehler 1: Zu spät anfangen
4 Wochen Vorbereitung sind für Erstzertifizierungen bei weitem nicht genug. 8–12 Wochen realistisch einplanen.

Fehler 2: Papiertigerdokumente erstellen
Policies erstellen, die nur für den Auditor geschrieben wurden und die niemand kennt oder anwendet, ist der sicherste Weg zum Scheitern. Auditoren prüfen nicht nur, ob Dokumente existieren, sondern ob sie gelebt werden.

Fehler 3: Nur die Compliance-Abteilung vorbereiten
Auditoren sprechen mit Mitarbeitenden auf allen Ebenen. Der IT-Administrator, der Zugriffsrechte verwaltet, muss genauso wissen, was er antwortet, wie der CISO.

Fehler 4: Offene Findings aus internen Audits nicht schließen
Ungeklärte Maßnahmen aus dem letzten internen Audit sind exakt das, was externe Auditoren zuerst prüfen.

Fehler 5: Kein Dry-Run
Führen Sie mindestens eine interne Simulation durch: Jemand spielt den Auditor und stellt die harten Fragen.

Audit-Tag: Dos und Don'ts

Dos:

  • Pünktlich und vorbereitet sein
  • Antworten kurz und präzise halten
  • Bei Unklarheit nachfragen: „Könnten Sie die Frage präzisieren?"
  • Notizen zu Fragen und Beobachtungen des Auditors machen

Don'ts:

  • Spontan Dokumente erstellen, die nicht vorbereitet waren
  • Den Auditor zu Ergebnissen drängen
  • Abwesende Mitarbeitende entschuldigen – für alle relevanten Rollen muss Vertretung vorhanden sein
  • Diskutieren, wenn der Auditor eine Abweichung formuliert – das kann im Abschlussbericht korrigiert werden

Compliance-Software für die Audit-Vorbereitung

Matproof unterstützt die Audit-Vorbereitung mit:

  • Automatischem Gap-Assessment gegen ISO 27001:2022, DORA, NIS2 und andere Frameworks
  • Zentralisierter Dokumentenbibliothek mit Versionierung und Freigabe-Workflow
  • Audit-Readiness-Score: Zeigt auf einen Blick, wie gut Sie auf die nächste Prüfung vorbereitet sind
  • Auditor-Zugang: Read-Only-Link für externe Auditoren, keine Account-Anlage nötig
  • Maßnahmenverfolgung: Alle offenen Findings im Blick bis zum Audit-Tag

Matproof Audit-Readiness prüfen →

Weiterführende Artikel:

compliance audit vorbereitungaudit vorbereitungiso 27001 audit vorbereitungdora audit vorbereitungnis2 audit vorbereitungzertifizierungsaudit vorbereitung

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern