NIS2 vs. ISO 27001: Die Gap-Analyse zum Handeln
ISO-27001-NIS2-Mapping und Gap-Analyse für Unternehmen — wo Ihr ISMS NIS2 bereits abdeckt und wo gesetzliche Lücken bleiben.
Wer ein ausgereiftes ISO-27001-Informationssicherheits-Managementsystem betreibt, stellt mit dem Inkrafttreten des NIS2UmsG eine berechtigte und leicht beunruhigende Frage: Wie viel davon haben wir eigentlich schon? Die ehrliche Antwort ist ermutigend — das meiste —, aber die verbleibende Lücke ist genau der Teil, der gesetzliche Fristen, persönliche Haftung und Bußgelder trägt. Dies ist die NIS2-vs.-ISO-27001-Gap-Analyse, die wir mit Mandanten durchführen: kein Marketing-Crosswalk, sondern eine Arbeitsmethode zum Handeln.
Das Wichtigste in Kürze
- Ein zertifiziertes ISO-27001-ISMS deckt den weit überwiegenden Teil der technischen und organisatorischen NIS2-Maßnahmen ab. Es ist die richtige Grundlage — aber Zertifizierung ist nicht gleich NIS2-Konformität.
- Die echten Lücken sind gesetzlicher, nicht technischer Natur: BSI-Registrierung, die Meldekette 24 Stunden / 72 Stunden / ein Monat, verpflichtende Lieferketten-Sicherheitsklauseln und die persönliche Haftung der Geschäftsleitung für Billigung und Überwachung der Risikomanagementmaßnahmen.
- Der Geltungsbereich ist die heimtückische Falle. Der ISO-Scope ist selbst erklärt, der NIS2-Scope gesetzlich fixiert. Ist Ihr ISMS-Scope enger als Ihre regulierten Dienste, besteht trotz gültigem Zertifikat eine Lücke.
- Behandeln Sie NIS2 als Delta auf dem ISMS — Scope erweitern, gesetzliche Melde- und Registrierungsprozesse ergänzen, Lieferantenverträge verschärfen — und nicht als Parallelprogramm.
- Bußgelder erreichen 10 Mio. EUR oder 2 % des weltweiten Umsatzes, und die Geschäftsleitung haftet persönlich. Bei der Meldekette und beim Governance-Nachweis scheitern unvorbereitete Organisationen.
Zwei Regime, die sich ähneln und doch anders verhalten
ISO 27001 ist ein freiwilliger internationaler Standard für ein Informationssicherheits-Managementsystem. Sie definieren den Geltungsbereich, wählen Controls, lassen sich von einer akkreditierten Stelle zertifizieren und pflegen einen kontinuierlichen Verbesserungszyklus. Die Stärke liegt im Managementsystem selbst: eine disziplinierte, nachweisproduzierende Art, Risiken zu steuern.
NIS2, in Deutschland als NIS2UmsG umgesetzt, ist Gesetz. Es gilt seit dem 6. Dezember 2025 ohne Übergangsfrist, der Geltungsbereich wird vom Gesetzgeber statt von Ihnen bestimmt, und Nichtkonformität ist kein verpasstes Zertifikat, sondern ein Aufsichtsverstoß. Beide Regime teilen den größten Teil ihrer Control-Inhalte — deshalb ist ISO 27001 ein so nützlicher Ausgangspunkt —, doch sie weichen bei drei Dingen deutlich ab: wer den Scope bestimmt, was wann zu melden ist und wer persönlich verantwortlich ist.
| Dimension | ISO 27001:2022 | NIS2 (NIS2UmsG) |
|---|---|---|
| Charakter | Freiwilliger Standard | Gesetzliche Pflicht |
| Geltungsbereich | Selbst erklärt (Anwendbarkeitserklärung) | Gesetzlich auf regulierte Dienste fixiert |
| Controls | Annex A, risikobasierte Auswahl | Mindestmaßnahmen aus Artikel 21, verpflichtend |
| Vorfallmeldung | Intern behandeln; keine externe Frist | 24h Frühwarnung, 72h Detail, 1 Monat Abschluss |
| Lieferkette | Control-Ziel | Verpflichtende Sicherheitsanforderungen |
| Verantwortung | Durch eigene Governance bestimmt | Geschäftsleitung persönlich haftbar |
| Durchsetzung | Verlust des Zertifikats | Bußgelder bis 10 Mio. EUR oder 2 % Weltumsatz |
| Registrierung | Keine | Verpflichtende BSI-Registrierung |
Wo ISO 27001 bereits die Hauptarbeit leistet
Die NIS2-Richtlinie nennt in Artikel 21 zehn Mindestmaßnahmen. Bildet man sie auf die ISO 27001:2022 Annex A ab, sind die meisten durch ein kompetentes ISMS bereits abgedeckt. Das ist die gute Nachricht — und sie ist substanziell.
| NIS2-Maßnahme (Art. 21) | Abdeckung ISO 27001:2022 | Lücke? |
|---|---|---|
| Risikoanalyse und Sicherheitsleitlinien | Kap. 6.1, 5.2; A.5.1 | Voll |
| Bewältigung von Sicherheitsvorfällen | A.5.24–A.5.28 | Teilweise — Meldefristen fehlen |
| Geschäftskontinuität, Backup, Krisenmanagement | A.5.29, A.5.30, A.8.13 | Weitgehend voll |
| Sicherheit der Lieferkette | A.5.19–A.5.22 | Teilweise — Pflichtklauseln fehlen |
| Sicherheit bei Beschaffung, Entwicklung, Wartung | A.8.25–A.8.29 | Voll |
| Verfahren zur Wirksamkeitsbewertung | Kap. 9; A.5.35, A.5.36 | Voll |
| Cyberhygiene und Schulungen | A.6.3, A.8.7 | Voll |
| Kryptografie und Verschlüsselung | A.8.24 | Voll |
| Personal, Zugriffskontrolle, Asset-Management | A.5.15–A.5.18, A.6.x, A.8.1–A.8.3 | Voll |
| MFA, gesicherte und Notfallkommunikation | A.5.14, A.8.5, A.8.20, A.8.21 | Voll |
Ist Ihre Anwendbarkeitserklärung ehrlich und arbeiten die Controls wie vorgesehen, sind sechs dieser Maßnahmen faktisch erledigt. Deshalb empfehlen wir nie, ein ISMS für „NIS2" zu zerschlagen. Das obige ISO-27001-NIS2-Mapping ist das Rückgrat der Arbeit — aber lesen Sie die Spalte „Lücke?" genau, denn in den Teilabdeckungen und Auslassungen sitzen die aufsichtsrechtlichen Zähne.
Die vier Lücken, auf die es wirklich ankommt
1. Angleichung des Geltungsbereichs
Diese Lücke übersehen die meisten Teams, weil sich das Zertifikat wie ein Beweis anfühlt. Der ISO-27001-Scope ist das, was Sie in Ihrer Anwendbarkeitserklärung festgelegt haben — vielleicht ein einzelnes Rechenzentrum, eine Produktlinie oder die zentrale IT. Der NIS2-Scope ist gesetzlich auf die Dienste fixiert, die Sie überhaupt erst zur betroffenen Einrichtung gemacht haben. Liegt ein regulierter Dienst außerhalb Ihrer ISMS-Grenze, ist Ihr Zertifikat gültig und Sie haben dennoch eine NIS2-Lücke. Die Angleichung beider Scopes — meist durch Erweiterung des ISMS auf alle regulierten Dienste — ist die erste Korrekturmaßnahme, die wir empfehlen, und oft die größte. Falls Sie noch nicht bestätigt haben, welche Ihrer Einrichtungen und Dienste im Anwendungsbereich liegen, beginnen Sie mit dem NIS2-Schwellenwert-Test zum NIS2UmsG.
2. Gesetzliche Vorfallmeldung
ISO 27001 verlangt, Vorfälle kompetent zu behandeln. Eine externe Uhr schreibt sie nicht vor. NIS2 schon — und sie kennt keine Gnade:
- Frühwarnung an die zuständige Behörde binnen 24 Stunden nach Kenntnis eines erheblichen Vorfalls.
- Detaillierte Meldung binnen 72 Stunden, mit Ersteinschätzung, Schweregrad und Kompromittierungsindikatoren.
- Abschlussbericht binnen eines Monats, mit Ursache, ergriffenen Gegenmaßnahmen und grenzüberschreitender Auswirkung.
Ihr Vorfallprozess nach A.5.24–A.5.28 liefert wahrscheinlich die inhaltliche Substanz, aber fast sicher fehlen die nach außen gerichtete Frist, die Meldewege und die eingeübte Entscheidung, was als „erheblich" gilt. Das ist eine prozessuale Ergänzung, kein neuer Control-Satz. Bauen Sie es als Runbook und testen Sie es; unser NIS2-Runbook zur 24/72-Stunden-Meldung führt die Fristen operativ durch.
3. Pflichten der Lieferkette
ISO 27001 behandelt Lieferantensicherheit als auslegbares Control-Ziel. NIS2 macht sie verpflichtend: Sie müssen die Sicherheit Ihrer Lieferkette bewerten und steuern und Sicherheitsanforderungen an Lieferanten stellen, mit Auditrechten und Meldeklauseln, die durch Ihre Verträge weitergegeben werden. Die Lücke ist hier vertraglicher und operativer Natur — Auffrischung der Lieferantenrisikobewertungen und Anpassung der Verträge — und kein Mangel Ihrer bestehenden Controls A.5.19–A.5.22.
4. Verantwortung der Geschäftsleitung und Registrierung
NIS2 macht die Geschäftsleitung persönlich haftbar für die Billigung und Überwachung der Risikomanagementmaßnahmen. ISO 27001 erwartet das Engagement der Leitung, überlässt das Verantwortungsmodell aber Ihrer Governance. Unter NIS2 brauchen Sie einen dokumentierten, datierten Nachweis, dass die Geschäftsleitung die Maßnahmen gebilligt hat und die Aufsicht ausübt — Protokolle, Freigaben, ein ständiger Tagesordnungspunkt. Zudem verlangt NIS2 die Registrierung beim BSI; das Portal öffnete am 6. Januar 2026, die Frist endete am 6. März 2026, eine verspätete Registrierung bleibt jedoch verpflichtend und ratsam. Der BSI-Registrierungs-Walkthrough erläutert die Mechanik.
Eine praktische Methode für die Gap-Analyse
Wenn wir dies mit einem Mandanten durchführen, der bereits ISO 27001 hält, ist die Arbeit bewusst schlank. Wir bauen das ISMS nicht neu; wir messen das Delta und schließen es.
- Regulierten Geltungsbereich bestätigen. Listen Sie die Dienste und Rechtseinheiten auf, die gesetzlich unter NIS2 fallen. Legen Sie sie neben Ihren ISO-27001-Scope und die Anwendbarkeitserklärung und markieren Sie jeden regulierten Dienst außerhalb der aktuellen ISMS-Grenze.
- Artikel 21 auf Annex A abbilden. Nutzen Sie die obige Tabelle als Vorlage. Halten Sie je Maßnahme volle, teilweise oder fehlende Abdeckung fest und belegen Sie die operative Wirksamkeit — nicht nur die Leitlinie.
- Rein gesetzliche Pflichten isolieren. Meldekette, Lieferkettenklauseln, Billigungsnachweis der Geschäftsleitung und BSI-Registrierung. Diese Punkte liefert kein Control-Katalog von selbst.
- Prozessuale und vertragliche Lücken schließen. Schreiben Sie das Melde-Runbook, passen Sie Lieferantenverträge an, formalisieren Sie den Billigungs- und Aufsichtsnachweis und schließen Sie die Registrierung ab.
- Mit Nachweisen validieren. Führen Sie eine Tabletop-Übung durch. Erfassen Sie die Zeitstempel nach 24 und 72 Stunden, erstellen Sie die Berichtsentwürfe und stellen Sie ein Nachweispaket zusammen, das sowohl ein ISO-Überwachungsaudit als auch eine BSI-Anfrage besteht.
In einem jüngeren Projekt mit einem mittelständischen Logistikbetreiber kam der Mandant überzeugt an, das frische ISO-27001-Zertifikat „decke NIS2 ab". Es deckte die Controls gut ab — aber der ISMS-Scope schloss ausgerechnet die Plattform aus, die die Betroffenheit auslöste, und der Vorfallprozess hatte keine externe Meldefrist. Beides war binnen Wochen behebbar, gerade weil das Managementsystem bereits solide war. Dieses Muster sehen wir wiederholt: ISO 27001 macht NIS2 zum Delta, nicht zum Programm.
Wie sich beide gegenseitig verstärken
Gut gemacht, ist dies keine Doppelarbeit. NIS2 verschafft Ihrem ISMS einen schärferen, gesetzlich fixierten Geltungsbereich und erzwingt die Meldedisziplin, die internen Vorfallprozessen oft fehlt. ISO 27001 wiederum gibt NIS2 ein ausgereiftes Managementsystem, eine belastbare Risikomethodik und einen kontinuierlichen Prüfpfad — genau das, was ein BSI-Prüfer sehen will. Die richtige Architektur ist ein einziges Managementsystem, das beide erfüllt: ein Risikoregister, ein Control-Satz, eine Nachweispipeline, mit den gesetzlichen NIS2-Prozessen als vollwertigen Bestandteilen statt als separatem Ordner.
Wenn Sie diesen Gedanken in Ihre Identitäts- und Zugriffsarchitektur tragen wollen, deckt sich ein großer Teil der NIS2-Erwartung an Zugriffskontrolle und Segmentierung mit einem Zero-Trust-Ansatz.
FAQ
Macht uns eine ISO-27001-Zertifizierung NIS2-konform? Nein. ISO 27001 ist eine starke Grundlage und deckt die meisten technischen und organisatorischen Maßnahmen ab, die NIS2 verlangt — gleichwertig ist sie jedoch nicht. NIS2 ergänzt gesetzliche Pflichten, die kein Zertifikat allein erfüllt: die BSI-Registrierung, die Meldefristen von 24 und 72 Stunden, verpflichtende Sicherheitsklauseln für die Lieferkette und die persönliche Haftung der Geschäftsleitung für Billigung und Überwachung der Risikomanagementmaßnahmen.
Was ist die größte Lücke zwischen einem ISO-27001-ISMS und NIS2? Die Meldepflichten und die Verantwortung der Geschäftsleitung. ISO 27001 verlangt, Vorfälle zu behandeln, schreibt aber keine externen Fristen vor. NIS2 fordert eine Frühwarnung an die Behörde binnen 24 Stunden, einen detaillierten Bericht binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Zudem macht NIS2 die Geschäftsleitung persönlich für die Billigung und Überwachung der Risikomanagementmaßnahmen haftbar — etwas, das ISO der eigenen Governance überlässt.
Wie bilden wir ISO-27001-Controls auf die NIS2-Anforderungen ab? Beginnen Sie bei den zehn Mindestmaßnahmen aus Artikel 21 der NIS2-Richtlinie und verfolgen Sie jede zu den passenden Annex-A-Controls der ISO 27001:2022. Die meisten lassen sich sauber zuordnen — Risikomanagement, Zugriffskontrolle, Kryptografie, Geschäftskontinuität, Schwachstellenbehandlung. Die Ausnahmen sind die Meldefristen und die Governance-Verantwortung, die prozessuale und vertragliche Ergänzungen statt neuer Controls erfordern.
Können wir unser bestehendes ISMS als Basis für die NIS2-Konformität nutzen? Ja, und Sie sollten es tun. Ein zertifiziertes oder gut geführtes ISO-27001-ISMS liefert das Managementsystem, die Risikomethodik, den Control-Satz und die Nachweise, die NIS2 ohnehin voraussetzt. Behandeln Sie NIS2 als Delta auf dem ISMS: Erweitern Sie den Geltungsbereich auf die regulierten Dienste, ergänzen Sie die gesetzlichen Melde- und Registrierungsprozesse und verschärfen Sie die Klauseln zur Lieferkette.
Reicht ISO 27001 für eine BSI-Prüfung unter NIS2 aus? Ein ISO-27001-Zertifikat ist ein starker Nachweis und verkürzt eine Prüfung, ersetzt aber nicht den Beleg der konkreten NIS2-Pflichten. Das BSI bewertet, ob Ihre Risikomanagementmaßnahmen für die regulierten Dienste angemessen und verhältnismäßig sind, ob die Meldung in der Praxis funktioniert und ob die Geschäftsleitung ihre Billigung und Aufsicht dokumentiert hat. Die Zertifizierung befreit davon nicht.
Wo unterscheiden sich NIS2 und ISO 27001 wirklich im Geltungsbereich? Der Geltungsbereich ist die heimtückische Falle. Der ISO-27001-Scope ist das, was Sie in Ihrer Anwendbarkeitserklärung festlegen; der NIS2-Scope ist gesetzlich auf die Dienste fixiert, die Sie zur betroffenen Einrichtung machen. Ist Ihr ISMS-Scope enger als Ihre regulierten Dienste, haben Sie trotz gültigem Zertifikat eine Konformitätslücke. Die Angleichung beider Scopes ist meist die erste Korrekturmaßnahme, die wir empfehlen.
Ein sauberes ISO-27001-ISMS ist der bestmögliche Ausgangspunkt für NIS2 — aber im Delta sitzt die Haftung. Wenn Sie ein zweites, erfahrenes Augenpaar auf Ihre Gap-Analyse legen oder die gesetzlichen Anforderungen in funktionierende Runbooks überführen möchten, hat unser Zero-Trust- und Sicherheitsberatungsteam bei CC Conceptualise genau das für regulierte Unternehmen geliefert.
Themen