NIS2 vs. ISO 27001: Was Ihr ISMS nicht abdeckt
ISO 27001 deckt ca. 70 % der NIS2-Anforderungen ab. Die restlichen 30 % — Meldepflichten, GF-Haftung, Registrierung — sind NIS2-spezifisch.
ISO 27001 vs. NIS2/BSIG — Kurzvergleich
ISO 27001 und NIS2 verfolgen das gleiche Ziel — aber auf fundamental unterschiedlichen Wegen. Die folgende Tabelle zeigt die acht wichtigsten Unterschiede.
| Aspekt | ISO 27001 | NIS2 / BSIG |
|---|---|---|
| Typ | Freiwilliger internationaler Standard (ISO/IEC) | Gesetzliche Pflicht (EU-Richtlinie, umgesetzt in §§28–65 BSIG) |
| Meldepflicht | Keine gesetzliche Frist — interne Prozesse nach A.5.24–A.5.28 | 24h Erstmeldung, 72h Detailmeldung, 30 Tage Abschlussbericht an das BSI (§32 BSIG) |
| GF-Haftung | Keine persönliche Haftung — Management-Commitment nach Clause 5 | Persönliche Haftung der Geschäftsführung (§38 BSIG), Pflicht zur Schulungsteilnahme |
| Registrierung | Nicht erforderlich | BSI-Registrierung über Mein Unternehmenskonto verpflichtend (§33 BSIG) |
| Bußgelder | Keine — Konsequenz ist Zertifikatsverlust | Bis 10 Mio. EUR; ab 500 Mio. Umsatz: bis 2 % (§65 BSIG) |
| Scope | Frei wählbar (Statement of Applicability) | Gesetzlich definiert — alle für die Diensteerbringung genutzten IT-Systeme |
| Zertifizierung | Akkreditierte Zertifizierungsstelle (3-Jahres-Zyklus) | Keine NIS2-Zertifizierung — BSI kann Audits anordnen und Nachweise verlangen |
| Geltungsbereich | Jede Organisation weltweit, branchenunabhängig | Besonders wichtige und wichtige Einrichtungen in 18 Sektoren (ab 50 MA ODER Umsatz und Bilanzsumme jeweils über 10 Mio. EUR) |
Art. 21 ↔ ISO 27001:2022 Controls
Alle zehn Maßnahmenbereiche aus Art. 21 NIS2 mit den zugehörigen ISO 27001:2022 Annex-A-Controls — und dem tatsächlichen Abdeckungsgrad.
| Art. 21 | BSIG-Bezeichnung | ISO 27001:2022 Controls | Abdeckung |
|---|---|---|---|
| (a) | Risikoanalyse und IS-Konzepte | A.5.1, A.5.2, A.5.4, A.5.36; Clause 6.1 | Ja |
| (b) | Bewältigung von Sicherheitsvorfällen | A.5.24–A.5.28, A.6.8, A.8.15, A.8.16 | Teilweise ISO kennt keine 24h-Meldefrist an Behörden |
| (c) | Betriebskontinuität, Backup, Krisenmanagement | A.5.29, A.5.30, A.8.13, A.8.14 | Ja |
| (d) | Sicherheit der Lieferkette | A.5.19–A.5.23, A.8.30 | Teilweise ISO deckt Lieferantenbeziehungen, aber nicht die koordinierte Risikobewertung nach Art. 22 |
| (e) | Erwerb, Entwicklung, Wartung inkl. Schwachstellen | A.8.8, A.8.9, A.8.20–A.8.22, A.8.25–A.8.32 | Ja |
| (f) | Bewertung der Wirksamkeit | A.5.31, A.5.35, A.5.36; Clause 9.1–9.3 | Ja |
| (g) | Schulungen und Cyberhygiene | A.6.3, A.7.7, A.8.7; Clause 7.2–7.3 | Teilweise ISO fordert Awareness, aber nicht explizit GF-Schulungspflicht |
| (h) | Kryptografie und Verschlüsselung | A.8.24, A.5.14 | Ja |
| (i) | Personalsicherheit, Zugriffskontrolle, Asset-Management | A.5.9–A.5.18, A.6.1–A.6.6, A.8.2–A.8.5 | Ja |
| (j) | MFA, gesicherte Kommunikation, Notfallkommunikation | A.5.17, A.8.5, A.8.20, A.8.21, A.8.24 | Teilweise ISO fordert MFA, aber nicht explizit gesicherte Notfallkommunikation |
Legende: „Ja" = ISO 27001 Controls decken den Bereich inhaltlich ab. „Teilweise" = ISO bietet eine Grundlage, aber NIS2 geht mit spezifischen Pflichten darüber hinaus (z. B. gesetzliche Meldefristen, GF-Schulungspflicht, koordinierte Lieferkettenbewertung).
Was ISO-zertifizierte Unternehmen zusätzlich tun müssen
Eine bestehende ISO-27001-Zertifizierung ist eine solide Basis — aber kein Freifahrtschein. Diese fünf Punkte sind NIS2-spezifisch und nicht durch ISO abgedeckt.
BSI-Registrierung durchführen
§33 BSIGRegistrierung über „Mein Unternehmenskonto" mit ELSTER-Organisationszertifikat. Die Registrierungspflicht gilt unabhängig von einer ISO-Zertifizierung — es gibt kein Äquivalent in ISO 27001.
24h-Meldeprozess einrichten
§32 BSIGDas 4-Stufen-Meldesystem erfordert dokumentierte Meldeketten, definierte Rollen und getestete Eskalationswege — deutlich über ISO A.5.24–A.5.28 hinaus. — Details lesen
GF-Schulung nachweisen
§38 BSIGDie Geschäftsführung muss regelmäßig an Cybersicherheits-Schulungen teilnehmen und die Umsetzung der Maßnahmen nach §30 BSIG überwachen. Persönliche Haftung bei Pflichtverletzung. — Details lesen
ISMS-Scope auf NIS2 erweitern
§30 Abs. 1 BSIGNIS2 verlangt den Schutz aller IT-Systeme, die für die Diensteerbringung genutzt werden. Ein ISO-Scope, der nur Teilbereiche abdeckt (z. B. nur die Zentrale), reicht nicht — der Geltungsbereich muss ggf. erweitert werden.
Technische Maßnahmen prüfen
§30 Abs. 2 BSIGExterne Scanner wie Wolf-Agents prüfen die technisch messbaren Aspekte von Kryptografie (h), Systemhärtung (e) und gesicherter Kommunikation (j). Dies liefert objektive Nachweise, die interne Audits ergänzen.
Technische Lücken finden
Prüfen Sie mit dem NIS2-Schnellcheck, ob Ihr Unternehmen betroffen ist — und mit dem Readiness-Check, wie gut Ihre technischen Maßnahmen nach Art. 21 aufgestellt sind.