Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

Audit — Definition und Bedeutung für die Cybersicherheit

Was bedeutet Audit? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20263 Min. Lesezeit

Kurzdefinition

Ein Audit ist eine systematische, unabhängige und dokumentierte Prüfung, mit der Unternehmen bewerten, ob Anforderungen, Prozesse und Sicherheitsmaßnahmen wirksam umgesetzt sind.

Primaerquelle

Art. 21 Abs. 2 Buchst. f Richtlinie (EU) 2022/2555, § 30 Abs. 2 Nr. 6 BSIG, ISO 19011:2018

Rechtsgrundlage ansehen

Audit — Definition und Bedeutung für die Cybersicherheit

Audit ist eine systematische, unabhängige und dokumentierte Prüfung, mit der Unternehmen bewerten, ob festgelegte Anforderungen, Prozesse und Sicherheitsmaßnahmen wirksam umgesetzt sind. Im Cybersecurity-Kontext zeigt ein Audit, ob Richtlinien, Kontrollen und Nachweise in der Praxis tatsächlich tragen.

Was bedeutet Audit?

Ein Audit prüft nicht nur, ob Unterlagen vorhanden sind, sondern ob ein Prozess belastbar funktioniert. Grundlage ist die Logik aus ISO 19011: Audit-Programm, Audit-Plan, Durchführung, Feststellungen, Bericht und Nachverfolgung von Abweichungen.

Wichtig ist die Unabhängigkeit der Prüfung. Interne Audits werden von geeigneten Personen innerhalb des Unternehmens organisiert, externe Audits durch unabhängige Dritte. Beide Formen sollen Schwachstellen sichtbar machen und Verbesserungen anstoßen.

Im Unternehmensalltag beantwortet ein Audit typischerweise drei Fragen:

  • Sind Anforderungen und interne Vorgaben klar definiert?
  • Werden Schutzmaßnahmen und Prozesse tatsächlich eingehalten?
  • Gibt es belastbare Nachweise, Abweichungen und Folgemaßnahmen?

Ein Audit ist damit breiter als ein rein technischer Test. Ein Penetrationstest untersucht gezielt technische Schwachstellen. Ein Audit prüft dagegen auch Organisation, Rollen, Dokumentation und Managementsteuerung.

Relevanz für NIS2

Im Rahmen der NIS2-Richtlinie ist Audit relevant, weil Unternehmen die Wirksamkeit ihrer Risikomanagementmaßnahmen nachvollziehbar bewerten müssen. Art. 21 Abs. 2 Buchst. f der Richtlinie (EU) 2022/2555 verlangt ausdrücklich Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagementmaßnahmen.

Für Deutschland wird diese Pflicht in § 30 Abs. 2 Nr. 6 BSIG konkret. Dort müssen besonders wichtige und wichtige Einrichtungen Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik vorhalten. Praktisch bedeutet das: Maßnahmen einführen reicht nicht. Unternehmen müssen auch prüfen, ob sie wirksam sind und ob Korrekturen nachverfolgt werden.

Gerade deshalb gehört Audit eng zu Compliance, einem ISMS und zu ISO 27001. Wer NIS2 sauber umsetzen will, braucht ein Audit-Programm mit klaren Prüffeldern, Verantwortlichen, Terminen und dokumentierten Follow-ups. Mehr zum regulatorischen Rahmen finden Sie im NIS2-Hub.

Hinzu kommt die Aufsichtsperspektive. Das BSI kann im Rahmen des BSIG Nachweise, Informationen und Prüfungen verlangen oder anordnen. Für betroffene Unternehmen ist Audit deshalb Teil belastbarer Cybersecurity-Governance.

Praxisbeispiel für ein deutsches Unternehmen

Ein deutsches Maschinenbauunternehmen mit 180 Beschäftigten fällt als wichtige Einrichtung voraussichtlich in den NIS2-nahen Anwendungsbereich. Die IT-Leitung hat Richtlinien für Backup, Zugriffskontrolle, Lieferantenprüfung und Incident Response eingeführt, aber die Geschäftsführung will wissen, ob diese Maßnahmen wirklich wirksam sind.

Dazu wird ein internes Audit geplant. Der Audit-Plan legt fest, welche Prozesse und Nachweise geprüft werden. Im Audit selbst werden Backup-Protokolle, Rechtekonzepte, Lieferantenverträge und Vorfallsdokumentation gesichtet. Das Ergebnis zeigt: Backups existieren, Wiederherstellungstests wurden aber seit neun Monaten nicht durchgeführt.

Die Feststellungen führen zu konkreten Maßnahmen mit Fristen und Verantwortlichen. Drei Monate später folgt ein Nachaudit, das die Umsetzung überprüft. So wird aus Audit ein wirksamer Steuerungsprozess. Wenn das Unternehmen später ein Audit für ein ISO-27001-Zertifikat vorbereitet oder gegenüber dem BSI Nachweise liefern muss, ist diese Vorarbeit wertvoll.

Vorbereitung, Aufwand und Kosten

Audit-Vorbereitung ist am günstigsten, wenn Unternehmen nicht erst kurz vor einer Prüfung beginnen. Sinnvoll sind ein aktuelles Dokumentenpaket, klare Prozessverantwortliche und ein realistisches Audit-Programm.

Typische Nachweise sind Richtlinien, Protokolle, Freigaben, Wiederherstellungstests, Schulungsunterlagen und dokumentierte Maßnahmenlisten. Entscheidend ist nicht die Dokumentenmenge, sondern ob aus Feststellungen nachvollziehbare Korrekturen und ein überprüfbares Follow-up entstehen. Genau daran misst sich Audit-Reife in der Praxis.

Die Kosten hängen stark von Umfang und Ziel ab. Interne Audits binden vor allem Zeit von Fachbereichen, IT und Geschäftsleitung. Externe Audits verursachen zusätzlich Tagessätze und Vorbereitungszeit. Teuer wird ein Audit meist nicht durch die Prüfung selbst, sondern durch ungepflegte Nachweise und unklare Zuständigkeiten.

Verwandte Begriffe

Wenn Sie Audit im Gesamtzusammenhang verstehen wollen, lesen Sie auch ISMS, ISO 27001, Compliance und Penetrationstest. Wenn Sie Rollen, Nachweise und Cybersicherheitsanforderungen im Unternehmen strukturiert aufbauen wollen, ist die NIS2-Schulung der passende nächste Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen