Unternehmen mit einer NIS2-Pflicht und einem bestehenden ISO-27001-ISMS stehen vor einer praktischen Frage: Was müssen sie zusätzlich tun? Die kurze Antwort: weniger als befürchtet, aber mehr als nichts. Dieser Artikel zeigt, wo ISO 27001 und NIS2 überlappen, wo die Lücken liegen und wie ein integriertes ISMS beide Anforderungen effizient abdeckt.
ISO 27001 und NIS2: Warum ein ISMS nicht automatisch reicht
ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Er beschreibt, wie Unternehmen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. NIS2 ist eine EU-Richtlinie mit gesetzlichen Pflichten. Die Kombination beider bedeutet: ISO 27001 liefert den Rahmen, NIS2 die verbindlichen Mindestanforderungen.
Ein ISO-27001-Zertifikat ist kein NIS2-Freifahrtschein. Der Standard deckt viele, aber nicht alle NIS2-Anforderungen ab. Besonders die gesetzlich vorgeschriebenen Meldepflichten, Registrierungspflichten und Geschäftsführerhaftung gehen über das hinaus, was ISO 27001 von einem ISMS verlangt.
Was ISO 27001 und NIS2 gemeinsam haben
Der Überlapp ist erheblich. Ein Unternehmen, das ISO 27001 ernst nimmt, hat bereits einen Großteil der NIS2-Arbeit erledigt. Die folgende Tabelle zeigt die wichtigsten Gemeinsamkeiten:
| ISO 27001 Anforderung | NIS2 / NIS2UmsuCG Äquivalent |
|---|
| Risikobeurteilung und -behandlung (Kl. 6.1) | §30 Abs. 1 BSIG: Risikoanalyse als Basis für alle Sicherheitsmaßnahmen |
| Sicherheitsmaßnahmen (Annex A) | §30 Abs. 2 BSIG: Zehn Risikomanagementmaßnahmen (z.B. Zugangskontrollen, Kryptografie, BCM) |
| Lieferantenbeziehungen (A.5.19–23) | §30 Abs. 2 Nr. 4 BSIG: Sicherheit in der Lieferkette |
| Incident Management (A.5.24–26) | §32 BSIG: Meldepflicht bei erheblichen Sicherheitsvorfällen |
| Kontinuitätsmanagement (A.5.29–30) | §30 Abs. 2 Nr. 3 BSIG: Business Continuity, Backup, Krisenmanagement |
| Bewusstsein und Schulung (Kl. 7.2–7.3) | §38 Abs. 3 BSIG: Schulungspflicht für die Geschäftsleitung |
| Dokumentation und Nachweis (Kl. 7.5) | §30 Abs. 4–5 BSIG: Nachweispflicht gegenüber dem BSI |
In der Praxis bedeutet das: Wer ISO 27001 bereits zertifiziert ist, hat die strukturellen Voraussetzungen für NIS2 weitgehend erfüllt. Das ISMS existiert, die Risikoanalyse läuft, die Dokumentation ist vorhanden.
Wo ISO 27001 nicht ausreicht: Die NIS2-Lücken
ISO 27001 deckt NIS2 nicht vollständig ab. Vier Bereiche erfordern zusätzliche Maßnahmen, die über den Standard hinausgehen.
1. Gesetzliche Meldepflichten. ISO 27001 empfiehlt Incident-Management-Prozesse, aber es gibt keine gesetzliche Meldepflicht. NIS2 verlangt eine Erstmeldung an das BSI innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls, gefolgt von einer qualifizierten Meldung innerhalb von 72 Stunden. Wer seinen Incident-Response-Prozess nur auf ISO 27001 aufgebaut hat, muss die NIS2-Meldekette explizit integrieren. Die Einzelheiten erklärt unser Artikel zur NIS2-Meldepflicht.
2. Registrierungspflicht beim BSI. ISO 27001 kennt keine Registrierungspflicht. NIS2 verlangt, dass besonders wichtige und wichtige Einrichtungen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren (§33 BSIG). Diese administrative Pflicht ist unabhängig vom ISMS-Stand.
3. Persönliche Haftung der Geschäftsleitung. ISO 27001 adressiert die Unternehmensführung (Leadership, Kl. 5), verpflichtet aber keine Einzelperson persönlich. NIS2 macht die Geschäftsleitung persönlich haftbar für die Umsetzung der Risikomanagementmaßnahmen (§38 BSIG). Diese persönliche Verantwortung ist im Standard nicht vorgesehen und muss in der Governance explizit verankert werden.
4. Spezifische NIS2-Maßnahmen. Der NIS2UmsuCG verweist auf eine Durchführungsverordnung (NIS2UmsVO), die konkrete technische Anforderungen enthält. Diese sind detaillierter als die generischen Annex-A-Controls von ISO 27001. Besonders die Anforderungen an Kryptografie-Konzepte und die Authentifizierungsmaßnahmen (Multi-Faktor-Authentifizierung als Pflicht) gehen über allgemeine Best Practices hinaus.
„Ein ISO-27001-Zertifikat beschleunigt die NIS2-Umsetzung erheblich. Aber es ersetzt nicht die Meldepflicht, die Registrierung beim BSI und die explizite Verankerung der Geschäftsführerhaftung. Wer das übersieht, hat eine Compliance-Lücke, auch wenn das ISMS tadellos funktioniert.“
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
ISO 27001 als Grundlage: So gehen Sie vor
Wer bereits ISO 27001 implementiert hat, geht am effizientesten in vier Schritten vor:
1Gap-Analyse: ISO 27001 vs. NIS2
Gleichen Sie Ihr bestehendes ISMS mit den zehn Maßnahmenbereichen nach §30 BSIG ab. Identifizieren Sie, welche Controls bereits greifen und wo Lücken bestehen. Priorisieren Sie: Meldepflicht, Registrierung und Geschäftsführerhaftung haben gesetzlichen Vorrang.
2Meldeprozess NIS2-konform aufsetzen
Erweitern Sie Ihren Incident-Response-Prozess um die NIS2-Meldekette: 24-Stunden-Erstmeldung, 72-Stunden-Meldung, Abschlussbericht. Benennen Sie den Ansprechpartner fürs BSI. Dokumentieren Sie den Prozess im ISMS.
3Geschäftsleitung einbinden und schulen
Legen Sie fest, wer in der Geschäftsleitung für NIS2-Compliance verantwortlich ist. Führen Sie die gesetzlich vorgeschriebene Schulung nach §38 Abs. 3 BSIG durch und dokumentieren Sie die Teilnahme.
4Registrierung beim BSI
Registrieren Sie Ihre Einrichtung beim BSI innerhalb der vorgeschriebenen Frist. Halten Sie die Kontaktdaten aktuell. Das BSI-Portal ist die zentrale Anlaufstelle für die Registrierung.
Kein ISO-27001-ISMS? So starten Sie
Unternehmen ohne bestehendes ISMS stehen vor dem gleichen Ergebnis, aber einem längeren Weg. Die gute Nachricht: NIS2 verlangt kein zertifiziertes ISMS. Ein internes, gut dokumentiertes Managementsystem mit den zehn Risikomanagementmaßnahmen aus §30 BSIG erfüllt die gesetzliche Anforderung. Eine Zertifizierung nach ISO 27001 ist wünschenswert, aber keine NIS2-Pflicht.
Dennoch empfehlen sich ISO 27001 als Orientierungsrahmen, weil der Standard etablierte Vorgehensweisen und ein strukturiertes Vorgehen bietet. ISMS-Plattformen wie das Digital Compliance Office von SECJUR helfen dabei, NIS2 und ISO 27001 gleichzeitig auf einer Plattform umzusetzen, mit vorgefertigten Vorlagen, automatisierten Arbeitsabläufen und integrierter Dokumentation.
Praktisches Mapping: ISO 27001 Controls zu NIS2-Anforderungen
Wer einen schnellen Überblick über den Mapping-Stand braucht, kann folgende Zuordnung als Ausgangspunkt nutzen:
| NIS2 Bereich (§30 BSIG) | ISO 27001 Control (Annex A 2022) | Lücke? |
|---|
| Risikoanalyse | Kl. 6.1, A.5.7 | Nein |
| Incident-Handling | A.5.24–26 | Ja (NIS2-Meldefristen fehlen) |
| Business Continuity | A.5.29–30, A.8.14 | Teilweise (NIS2 fordert Tests) |
| Lieferkettensicherheit | A.5.19–23 | Nein |
| Zugangskontrolle / MFA | A.5.15–18, A.8.2–3 | Ja (MFA als NIS2-Pflicht) |
| Kryptografie | A.8.24 | Teilweise (NIS2 fordert Konzept) |
| Schulung Geschäftsleitung | Kl. 7.2–7.3 | Ja (§38 Abs. 3 BSIG ist spezifischer) |
| Registrierung beim BSI | — | Ja (kein ISO-27001-Äquivalent) |
| Geschäftsführerhaftung | — | Ja (kein ISO-27001-Äquivalent) |
Die Tabelle macht sichtbar: ISO 27001 schließt fünf von neun NIS2-Bereichen vollständig oder weitgehend ab. Die verbleibenden Bereiche brauchen gezielte Nacharbeit, keine Parallelstruktur. Ein ISMS-Tool wie das von SECJUR kann beide Standards auf einer Plattform abbilden und den Mehraufwand minimieren.
.svg)
.svg)
.svg)
.svg){kind=small}