Von Audit-Ready zur betrieblichen Kompetenz
NIS2 ist für viele Unternehmen der aktuelle Auslöser. Je nach Branche, Produkt, Technologie oder Kundenanforderung kommen weitere Anforderungen hinzu: CRA, AI Act, DORA, IEC 62443, ISO 27001 oder BCM. Regulatorisch sind diese Anforderungen getrennt. Im Unternehmen treffen sie jedoch auf gemeinsame Datenbestände: Systeme, Lieferanten, Schwachstellen, Vorfälle, Rollen, Entscheidungen und Wiedervorlagen. Viele Nachweise beruhen deshalb auf wiederkehrenden Kompetenzen: einordnen, entscheiden, dokumentieren, nachweisen und erneut prüfen.
Regime ändern sich. Kompetenzen bleiben.
Viele Unternehmen behandeln neue regulatorische Anforderungen als getrennte Projekte. Dadurch entstehen parallele Arbeitsstände für betroffene Systeme, Lieferanten, Rollen und Entscheidungen — obwohl Daten, Zuständigkeiten und Entscheidungen im Betrieb häufig zusammengehören.
Der belastbarere Ansatz beginnt vor dem Nachweis: bei den Prozessen und Kompetenzen, aus denen Nachweise im Tagesgeschäft entstehen.
Was das im Tagesgeschäft bedeutet: ein neuer Mitarbeiter startet
Ein neuer Mitarbeiter startet. Für viele Unternehmen ist das ein Routinevorgang. Aus Sicht von NIS2 berührt der Vorgang mehrere Sicherheits- und Nachweisthemen: Rolle, Systemzugriff, Berechtigungen, MFA, Schulung, Freigabe, Dokumentation und spätere Überprüfung.
Die Frage lautet nicht nur, ob eine Berechtigungsrichtlinie existiert. Entscheidend ist, ob das Unternehmen den Vorgang wiederkehrend gleichartig, nachvollziehbar und mit klarer Zuständigkeit durchführen kann.
Daran wird der Unterschied sichtbar: Ein Nachweis beschreibt einen Stand. Betriebliche Kompetenz zeigt, ob dieser Stand im Alltag erzeugt, erklärt und bei Bedarf verbessert werden kann.
Compliance gehört nicht neben den Prozess. Sie muss im betroffenen Prozess sichtbar werden: in der Rolle, im Systembedarf, in der Freigabe, in der technischen Umsetzung, im Nachweis und in der späteren Überprüfung.
Wenn Rolle, Systembedarf, Freigabe, MFA, Schulung, Nachweis und Wiedervorlage sauber zusammenspielen, wird aus einer Richtlinie eine Arbeitsroutine. Genau dort entsteht belastbare Compliance: im Ablauf, nicht in einer zweiten Struktur daneben.
Compliance-Anforderungen treffen auf betroffene Prozesse
NIS2, CRA, AI Act, DORA, IEC 62443, ISO 27001 und BCM treffen zunehmend gleichzeitig auf Unternehmen. Die Anforderungen unterscheiden sich in Sprache, Fristen, Nachweistiefe und Aufsichtsstruktur. Viele Organisationen behandeln sie dennoch getrennt.
Daraus entstehen separate Fragenkataloge, Maßnahmenlisten, Nachweisordner, Produktakten, Risikoregister und Wiedervorlagen. Häufig betreffen diese Arbeitsstände überlappende Anforderungen: betroffene Systeme, Lieferanten, Rollen, Schwachstellen, Vorfälle und Entscheidungen — aus unterschiedlichen regulatorischen Perspektiven.
Das Problem liegt nicht allein in der Anzahl der Anforderungen. Es entsteht dort, wo gemeinsame Unternehmensrealitäten aus unterschiedlichen regulatorischen Perspektiven getrennt bearbeitet werden.
Unterschiedliche Anforderungen, gemeinsame Arbeitsstände
NIS2 ist für viele Unternehmen der aktuelle Ausgangspunkt. Je nach Branche, Produkt, Technologie oder Kundenanforderung können weitere Anforderungen hinzukommen: CRA bei Produkten mit digitalen Elementen, AI Act bei KI-Systemen, DORA im Finanzumfeld, IEC 62443 bei OT, ISO 27001 als Kunden- oder ISMS-Anforderung und BCM für Betriebsfähigkeit und Wiederanlauf.
Für das Unternehmen bedeutet das: Kunden, Prüfer und Aufsichtsstellen betrachten je nach Regime unterschiedliche Ausschnitte. Die zugrunde liegenden Unternehmensdaten überschneiden sich jedoch häufig: Systeme, Lieferanten, Schwachstellen, Vorfälle, Entscheidungen und Wiedervorlagen.
Der Datenbestand selbst muss deshalb nicht für jedes Regime neu entstehen. Entscheidend ist, dass Datenbedarf, Herkunft, Owner und Aktualität geklärt sind. Die Unterscheidung findet später auf der Ebene des Nachweises statt: welches Regime, welche Prüftiefe, welches Format.
Unternehmen, die das intern nicht spiegeln, erzeugen Mehrarbeit, die die Regulatoren selbst nicht vorgesehen haben. Datenbeschaffungs- und Erhebungsprozesse sollten so gestaltet sein, dass sie für alle Regime Daten für mehrere regulatorische Perspektiven nutzbar machen. Die Unterscheidung — welcher Nachweis für welches Regime in welcher Tiefe — findet auf der Reporting-Ebene statt.
Von der Nachweissammlung zur Kompetenz
Unternehmen strukturieren wiederkehrende Arbeit über Kompetenzen, wenn Märkte, Lieferketten, Technologien oder regulatorische Anforderungen zu dynamisch werden, um jede Veränderung als neues Einzelprojekt zu behandeln. Für Compliance bedeutet das: Nicht jeder neue Prüfpunkt sollte eine neue Nachweissammlung auslösen. Entscheidend ist, welche Arbeit das Unternehmen dauerhaft beherrschen muss.
Erfolgreiche Unternehmen geben wiederkehrenden Tätigkeiten eine klare Steuerung. Das gilt für Onboarding, Monatsabschluss, Kundenfreigaben oder die Vorbereitung eines Leitungstermins. Es gibt ein Ziel, einen Owner, einen Ablauf, benötigte Daten, ein erwartetes Ergebnis und bei Bedarf eine Wiedervorlage.
Diese Logik hilft auch bei Compliance: Regime, Fristen und Nachweise können sich verändern. Die betrieblichen Fähigkeiten hingegen — einordnen, steuern, melden, dokumentieren — bleiben stabil.
Eine Kompetenz beschreibt nicht den nächsten Termin. Sie beschreibt, welche Arbeit ein Unternehmen wiederkehrend beherrschen muss — mit klarer Zuständigkeit, aktueller Datenbasis und dokumentierter Entscheidung.
Compliance-Aktionismus entsteht, wenn jedes Regime eigene Arbeitsstände bekommt
Kurzfristig schafft die getrennte Bearbeitung Ordnung: jedes Regime hat seine Ablage, seinen Verantwortlichen, seine Frist. Mittelfristig entstehen doppelte Pflege, voneinander abweichende Arbeitsstände, getrennte Verantwortlichkeiten und unverbundene Wiedervorlagen.
Der Aufwand wächst nicht nur durch die Anzahl der Anforderungen. Er wächst durch die Struktur der Bearbeitung. Wer für NIS2 ein Risikoregister, für ISO eine Maßnahmenliste und für BCM einen separaten Wiederanlaufplan pflegt, arbeitet mehrfach an vergleichbaren Sachverhalten.
Ein mittelständisches Produktionsunternehmen hat einen IT-Sicherheitsbeauftragten für NIS2, eine Qualitätsmanagerin für ISO 27001 und den Leiter Instandhaltung für BCM benannt. Alle drei pflegen separate Lieferantenlisten für die gleichen Dienstleister — mit unterschiedlichem Stand, verschiedenen Kriterien und ohne gemeinsame Wiedervorlage.
Vom Nachweis zum Compliance-Prozess
Die Frage ist nicht mehr nur, ob ein Nachweisdokument existiert. Entscheidend ist, wie der Betrieb diesen Stand aus dem Prozess heraus erzeugt hat und wie betriebliche Wirksamkeit über Nachweise, Entscheidungen, Reviews und Dokumentation nachvollziehbar wird.
Damit wird Compliance organisatorisch konkret: Wer trägt die Arbeit? Welche Daten werden benötigt? Wo entstehen sie? Wer entscheidet? Welche Ausnahme bleibt offen? Wann wird erneut geprüft?
Was das Unternehmen dauerhaft können muss
Zehn Kompetenzen bilden den stabilen Kern — unabhängig davon, welche Regime gerade gelten oder welche neuen Anforderungen hinzukommen.
Die Regime unterscheiden sich in Sprache, Fristen und Nachweistiefe. Die Kompetenzen dahinter überschneiden sich — und müssen in den betroffenen Prozessen sichtbar werden. Betriebliche Compliance-Kompetenz wird sichtbar, wenn alltägliche Prozesse die richtigen Daten erzeugen: in der Benutzeranlage, beim Lieferantenzugriff und in der Behandlung offener Schwachstellen.
Gemeinsame Datengrundlage am Beispiel Schwachstellenmanagement
Schwachstellenmanagement zeigt, warum dieser Ansatz praktisch ist. Die Aufgabe besteht nicht darin, für jedes Regime eine eigene Liste zu pflegen. Das Unternehmen muss Schwachstellen aufnehmen, priorisieren, behandeln, kommunizieren und erneut prüfen können.
Diese Arbeit wird je nach Regime unterschiedlich ausgewiesen. Die gemeinsame Datengrundlage bleibt jedoch ähnlich: betroffene Systeme, Kritikalität, Maßnahme, Owner, Entscheidung, Kommunikationsbedarf und Wiedervorlage.
Es entsteht keine Einheitsdokumentation, die alle Regime abdeckt. Es entsteht eine gemeinsame Arbeitsgrundlage, aus der unterschiedliche Nachweise abgeleitet werden können — je nach Regime, Prüftiefe und Anlass.
Wer handeln muss — interne Verteilung
Ein Normen-Mapping zeigt, was gefordert wird und wo es steht. Die Arbeit im Unternehmen zeigt, wer handeln muss. Daraus entstehen Rollen, Datenbasis, Entscheidungen, Nachweise und Wiedervorlagen.
Das ist besonders relevant, weil Compliance-Themen selten in einer einzigen Abteilung liegen. Schwachstellenmanagement betrifft IT Security, OT, Einkauf, Geschäftsführung, Produktentwicklung und Support — mit unterschiedlichen Aufgaben und Entscheidungspunkten:
Der Vorteil liegt in der besseren internen Verteilung: Wer handelt? Mit welcher Datenbasis? Mit welcher Entscheidungskompetenz? Welche Wiedervorlage ist gesetzt? So werden Anforderungen in Rollen, Prozesse und Tagesgeschäft übersetzt.
Nachweise, Systeme und Termine sind Ergebnis der Kompetenz
Nachweise sichern Entscheidungen, Maßnahmen und Arbeitsstände ab. Systeme unterstützen Datenarbeit, Zusammenarbeit, Auswertungen und Nachverfolgung. Termine prüfen einen Stand — sie erzeugen ihn nicht. Normen und Regime definieren Anforderungen und Nachweistiefen.
All das bleibt relevant. Die Frage ist die Reihenfolge.
Wer beim Nachweis startet, arbeitet auf den Termin zu. Wer bei der Kompetenz startet, baut Auskunftsfähigkeit auf — die auch beim nächsten Regime noch trägt.
Arbeitsstände machen Kompetenz prüfbar
Ein Arbeitsstand ist kein halb ausgefülltes Nachweisdokument und keine Ablagefläche für Dateien. Ein Arbeitsstand ist das aktuelle Bild einer Kompetenz: bekannte Daten, getroffene Entscheidungen, vorhandene Nachweise, offene Punkte und nächster Prüftermin.
Er ist die Antwort auf praktische Fragen: Wie steht das Unternehmen bei Lieferantensteuerung, Schwachstellenbehandlung, Meldefähigkeit oder Wiederanlauf? Was ist bekannt? Was fehlt? Wer trägt die Lücke? Welche Entscheidung wurde getroffen? Wann wird erneut geprüft?
Aus dem Denkmodell wird Arbeit, wenn Fähigkeiten in konkrete Arbeitsstände übersetzt werden. Startpunkt: NIS2-Einordnung und Arbeitsplatz öffnen.
Wer trägt die Kompetenz? Wer entscheidet bei Abweichungen und Ausnahmen?
Was ist bekannt? Welche Systeme, Lieferanten, Schwachstellen oder Risiken sind erfasst?
Was wurde festgelegt? Welches Restrisiko ist akzeptiert? Welche Ausnahme ist dokumentiert?
Was ist dokumentiert? Für wen — Kunden, Auditor, BSI, interne Geschäftsführung?
Wann wird erneut geprüft? Wer ist für die nächste Überprüfung verantwortlich?
Auskunftsfähigkeit entsteht nicht durch Ablage, sondern durch geführte Entscheidungen. Bei einer Kundenanfrage, einem Audit, einem Vorfall oder einem Management-Review beginnt das Unternehmen nicht bei null.
Der Mittelstand braucht keine zweite Compliance-Welt
Mittelständische Unternehmen können nicht für jedes Regime eine eigene Compliance-Struktur aufbauen. Ressourcen, Rollen und Entscheidungswege sind begrenzt. Der Ansatz ist deshalb kein akademisches Modell, sondern eine praktische Anforderung: Arbeit, die mehrere Regime bedient, darf nicht mehrfach geleistet werden.
Der Ansatz ist anspruchsvoller als reine Nachweisbefüllung. Er reduziert Mehrfacharbeit, verbessert die Fähigkeit auf Kundenfragen, Vorfälle und Lieferantenanforderungen zu reagieren — und er skaliert, wenn neue Regime hinzukommen.
Der Mittelstand braucht keine parallelen Nachweisstrukturen. Er braucht Kompetenzen, die mehrere Anforderungen tragfähig bedienen können — mit wiederverwendbaren Arbeitsständen und bestehenden Rollen.
Vom Arbeitsstand zur Auskunftsfähigkeit
Nachweise bleiben wichtig. Systeme bleiben wichtig. Der nächste Schritt ist ein geführter Arbeitsstand: Owner, Datenbasis, Entscheidung, Nachweis und Wiedervorlage. Genau daraus entsteht Auskunftsfähigkeit.