Process Magnet by aiio
Demo anfragen
Compliance

DORA & NIS2: Prozesse nachweisbar gelebt

10. Juni 2026 · aiio · 2 Min

DORA für den Finanzsektor, NIS2 für kritische und wichtige Einrichtungen: Die regulatorische Latte liegt höher als bei der reinen ISO-Zertifizierung von früher. Es reicht nicht mehr, ein Verfahren beschrieben zu haben. Es muss nachweisbar gelebt werden.

Was verlangt die neue Regulatorik konkret?

DORA und NIS2 verlangen, dass Risiko-, Vorfalls- und Auslagerungsprozesse nicht nur existieren, sondern wirksam und überprüfbar sind. Aufsicht und Auditoren wollen Evidenz: Wer hat wann was getan, nach welchem Ablauf, mit welcher Eskalation? Eine Prozessbeschreibung im Wiki ist dafür kein Nachweis — sie ist eine Behauptung.

Warum reißt genau hier die alte Ablage?

Weil dokumentierter und gelebter Prozess auseinanderlaufen. Die Beschreibung stammt aus einem Projekt, die Realität hat sich weiterbewegt, und niemand hatte die Zeit, beides synchron zu halten. Im Ernstfall — Vorfall oder Prüfung — zählt nicht das Soll im Ordner, sondern das Ist in den Systemen. Und das Ist steht nirgends zusammenhängend.

Ein Beispiel: Der Incident-Response-Prozess ist sauber dokumentiert. Beim letzten echten Vorfall lief die Eskalation aber telefonisch und per Mail, weil es schnell gehen musste. Genau diese gelebte Spur verlangt der Prüfer — und genau sie fehlt in der Doku.

Wie wird „gelebt” überhaupt nachweisbar?

Indem die Prozesssicht aus den Systemen kommt, in denen der Vorgang wirklich abläuft — Ticket, Mail, ERP, Call — statt aus einer separaten Doku. Wenn der Nachweis aus der gelebten Spur entsteht, ist er per Definition nah an der Realität. Audit-Readiness heißt genau das: jederzeit zeigen können, dass Vorgabe und Praxis übereinstimmen.

Was heißt das für die Vorbereitung?

Der Nachweis sollte nebenbei abfallen, nicht vor jedem Termin in Wochenarbeit zusammengesucht werden. Statt einmal im Jahr eine Doku-Sonderschicht einzulegen, hält Magnet den tatsächlichen Ablauf laufend aktuell — die Grundlage, auf der ein Audit kein Sonderprojekt mehr ist, sondern ein Export aus dem, was ohnehin existiert.

Den strukturierten Weg dahin beschreibt der Leitfaden Audit-Readiness Schritt für Schritt; warum die Doku-Sammlung das nicht mehr trägt, steht in Audit-Doku, die wirklich trägt.

Sieh es an euren echten Systemen.

Wir schauen gemeinsam auf euren Fall — und zeigen, was Magnet aus euren Systemen zieht.

Demo anfragen
Demo anfragen

Sieh Magnet an euren echten Systemen.

Wir schauen gemeinsam auf euren Fall — und zeigen, was Magnet aus euren Systemen zieht. Kein Konfigurator, kein Verkaufsgespräch.