BitKollegen GmbH
Zurück zum Blog
ISO-Zertifizierungsservice

NIS2 und ISO 27001: Unterschiede, Gemeinsamkeiten und warum ISO 27001 die ideale Grundlage für NIS2 ist

NIS2 betrifft tausende Unternehmen in Deutschland – doch wer bereits nach ISO 27001 zertifiziert ist, hat einen erheblichen Vorsprung. Wo die Unterschiede liegen und was trotzdem noch fehlt, zeigt dieser Artikel.

Tags: ISO 27001
NIS2 und ISO 27001

Was ist NIS2 – und wen betrifft die Richtlinie in Deutschland?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regulierung zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz in nationales Recht überführt, wobei das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zentrale Aufsichtsbehörde bleibt.

Betroffen sind Unternehmen aus 18 Sektoren – darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzwesen und öffentliche Verwaltung. Die Schwellenwerte: Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz fallen je nach Sektor unter die Kategorie „wesentliche" oder „wichtige" Einrichtung. Damit ist NIS2 kein KRITIS-Thema mehr, das nur Großkonzerne betrifft – der Mittelstand ist ausdrücklich eingeschlossen.

Die zentralen NIS2-Pflichten umfassen:

  • Risikomanagement und technische Sicherheitsmaßnahmen
  • Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden erste Meldung, 72 Stunden detaillierter Bericht)
  • Lieferkettensicherheit und Überprüfung von Dienstleistern
  • Business Continuity und Krisenmanagement
  • Governance-Anforderungen auf Leitungsebene
  • Regelmäßige Audits und Nachweise der Compliance

Wer diese Anforderungen nicht erfüllt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Was leistet ISO 27001:2022 – und was hat das mit NIS2 zu tun?

Die ISO 27001:2022 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Sie beschreibt, wie Organisationen ihre Informationssicherheit systematisch planen, umsetzen, überwachen und verbessern. Der Standard ist technologieneutral, skalierbar und für Unternehmen jeder Größe geeignet.

Ein nach ISO 27001 zertifiziertes Unternehmen hat ein strukturiertes ISMS aufgebaut, das Risiken systematisch bewertet, geeignete Security Controls implementiert und Prozesse für Incident Management, Business Continuity und interne Audits etabliert. Genau das sind auch die Kernbereiche von NIS2.

Der inhaltliche Überschneidungsbereich zwischen NIS2 und ISO 27001 ist damit erheblich – was erklärt, warum zertifizierte Unternehmen einen deutlichen Vorsprung bei der NIS2-Umsetzung haben.

Gemeinsamkeiten: Was NIS2 und ISO 27001 teilen

Beide Regelwerke fordern im Kern dasselbe: einen systematischen, risikobasierten Umgang mit Informationssicherheit. Konkret decken sich folgende Bereiche weitgehend:

Risikomanagement ist in beiden Systemen zentral. ISO 27001 schreibt eine strukturierte Risikobeurteilung und Risikobehandlung vor – NIS2 fordert dasselbe als Teil der Mindestsicherheitsmaßnahmen.

Incident Management: ISO 27001 verlangt definierte Prozesse zur Erkennung, Behandlung und Nachbereitung von Sicherheitsvorfällen. NIS2 ergänzt das durch konkrete Meldefristen und behördliche Berichtspflichten.

Business Continuity: Beide Regelwerke fordern Maßnahmen zur Aufrechterhaltung des Betriebs im Störfall. ISO 27001 adressiert das in Anhang A (Controls A.17 in der alten Version, aktuell im Bereich 5.29/5.30 der ISO 27001:2022).

Governance und Verantwortlichkeit: ISO 27001 verlangt klares Commitment der Leitungsebene. NIS2 geht noch einen Schritt weiter und macht die Geschäftsführung persönlich haftbar für die Umsetzung von Cybersicherheitsmaßnahmen.

Lieferkettensicherheit: ISO 27001:2022 hat den Bereich Supply Chain Security in den neuen Controls explizit gestärkt – genau dort setzt auch NIS2 mit seinen Anforderungen an Drittparteien und Dienstleister an.

Unterschiede: Was NIS2 über ISO 27001 hinausgeht

Trotz der großen Überschneidungen gibt es Bereiche, in denen NIS2 spezifischere oder strengere Anforderungen stellt, die ISO 27001 allein nicht abdeckt.

Meldepflichten mit festen Fristen: ISO 27001 fordert Prozesse für die Behandlung von Sicherheitsvorfällen, legt aber keine behördlichen Meldefristen fest. NIS2 schreibt vor, dass wesentliche Vorfälle innerhalb von 24 Stunden dem BSI gemeldet werden müssen – gefolgt von einem vollständigen Bericht nach 72 Stunden. Das erfordert konkrete operative Prozesse, die über ein ISMS-Handbuch hinausgehen.

Persönliche Haftung der Geschäftsführung: Während ISO 27001 das Top-Management in die Pflicht nimmt, ist die direkte persönliche Haftung von Geschäftsführern für Cybersicherheitsversagen ein NIS2-spezifisches Element ohne direktes Pendant im Standard.

Sektorbezogene Anforderungen: NIS2 enthält branchenspezifische Vorgaben, etwa für Energieversorger, Krankenhäuser oder Wasserversorger. ISO 27001 ist generisch und berücksichtigt keine sektorspezifischen Bedrohungslagen oder Regulierungsanforderungen.

Behördliche Aufsicht und Nachweispflicht: NIS2-pflichtige Unternehmen unterliegen der direkten Aufsicht durch das BSI und müssen auf Anforderung Nachweise ihrer Sicherheitsmaßnahmen erbringen. ISO 27001-Audits erfolgen durch unabhängige Zertifizierungsstellen – das ist nicht dasselbe wie eine behördliche Kontrolle.

Verschlüsselung und Kryptografie: NIS2 fordert explizit den Einsatz von Kryptografie und Verschlüsselung als Mindestsicherheitsmaßnahme. ISO 27001 enthält entsprechende Controls, macht deren Umsetzung aber vom Ergebnis der Risikobeurteilung abhängig.

ISO 27001 als Grundlage für NIS2: Was das konkret bedeutet

Wenn ein Unternehmen bereits nach ISO 27001 zertifiziert ist, hat es die wesentliche Infrastruktur für NIS2-Compliance bereits geschaffen. Das ISMS liefert die methodische Basis: Risikobewertung, Richtlinien, Kontrollen, interne Audits, Managementreviews und ein strukturiertes Vorgehen bei Sicherheitsvorfällen.

In der Praxis zeigt sich das so: Ein mittelständischer IT-Dienstleister mit ISO 27001-Zertifizierung, der unter NIS2 fällt, muss nicht von vorne anfangen. Er ergänzt sein bestehendes ISMS um NIS2-spezifische Prozesse – insbesondere die behördlichen Meldewege, die Dokumentation der Lieferkettensicherheit und die formale Einbindung der Geschäftsführung in Haftungsfragen.

Der Aufwand für die NIS2-Umsetzung ist für ISO 27001-zertifizierte Unternehmen damit deutlich geringer als für Unternehmen, die ohne strukturiertes ISMS starten. Erfahrungsgemäß lässt sich der verbleibende Gap in einem überschaubaren Gap-Assessment identifizieren und systematisch schließen.

Wer die ISO 27001 Zertifizierung noch nicht abgeschlossen hat, aber NIS2-pflichtig ist, sollte beide Vorhaben von Anfang an zusammendenken – das spart Zeit, Ressourcen und vermeidet doppelte Dokumentationsarbeit.

Typische Lücken, die trotz ISO 27001 noch bestehen

Auch zertifizierte Unternehmen stehen vor konkreten Aufgaben. Die häufigsten Lücken im NIS2-Kontext:

  • Kein definierter Meldeprozess mit klaren Verantwortlichkeiten und Eskalationswegen zur Behörde
  • Lieferkettensicherheit nur oberflächlich dokumentiert – NIS2 verlangt eine systematische Bewertung aller kritischen Dienstleister
  • Fehlende Schulungsnachweise auf Führungsebene – Geschäftsführer müssen nachweislich in Cybersicherheitsthemen geschult sein
  • Kryptografie-Anforderungen nicht vollständig umgesetzt, weil die Risikobeurteilung bisher andere Prioritäten gesetzt hat
  • Business-Continuity-Pläne nicht getestet oder nicht auf NIS2-relevante Szenarien ausgerichtet

Diese Punkte lassen sich im Rahmen eines gezielten NIS2-Audits systematisch prüfen und nachbessern.

Praktische Empfehlung: So gehen Sie vor

Ob ISO 27001-zertifiziert oder nicht – der sinnvolle erste Schritt ist eine strukturierte Gap-Analyse zwischen dem aktuellen Sicherheitsniveau und den NIS2-Anforderungen. Daraus ergibt sich ein konkreter Maßnahmenplan, der priorisiert, was sofort umgesetzt werden muss und was mittelfristig angegangen werden kann.

Für Unternehmen ohne ISMS empfiehlt sich der Aufbau eines ISO 27001-konformen Systems als Grundlage – und die gleichzeitige Ausrichtung auf NIS2. Wer beides getrennt betrachtet, verschwendet Ressourcen.

Für bereits zertifizierte Unternehmen gilt: Das ISMS ist keine Last, sondern ein Hebel. Die Zertifizierung schafft Vertrauen bei Kunden, Behörden und Geschäftspartnern – und erleichtert den Nachweis von NIS2-Compliance erheblich. Ein ISO 27001-Zertifikat allein ist zwar kein offizieller NIS2-Nachweis, aber es ist das stärkste Signal, das ein Unternehmen derzeit gegenüber Aufsichtsbehörden und Geschäftspartnern senden kann.

Fazit: NIS2-Compliance mit ISO 27001 effizient umsetzen

NIS2 und ISO 27001 verfolgen dasselbe Ziel: ein hohes und nachweisbares Niveau der Informationssicherheit. ISO 27001 liefert dafür die methodisch stärkste Grundlage, die es derzeit gibt. Wer ein zertifiziertes ISMS betreibt, hat den schwierigsten Teil der NIS2-Umsetzung bereits hinter sich.

Was bleibt, sind spezifische Ergänzungen – insbesondere bei Meldepflichten, Lieferkettensicherheit, Governance und Kryptografie. Diese Lücken sind identifizierbar, planbar und mit dem richtigen Vorgehen effizient zu schließen.

Der nächste sinnvolle Schritt: Eine strukturierte Gap-Analyse, idealerweise gemeinsam mit einem erfahrenen Berater, der beide Welten kennt. So werden keine Ressourcen verschwendet – und die NIS2-Compliance wird kein Projekt auf der langen Bank, sondern ein beherrschbares Vorhaben mit klarem Ergebnis.