NIS2Compass — NIS2-Compliance-Plattform
Use CasesPreise

Weiterführende Seiten

  • Blog
  • FAQ
  • Glossar
  • Use Cases
  • Branchen
  • Preisgestaltung

Offizielle Quellen

  • BSI – Bundesamt für Sicherheit in der Informationstechnik
  • NIS2-Richtlinie (EUR-Lex)
  • NIS2UmsuCG (Bundesgesetzblatt)
NIS2Compass — NIS2-Compliance-Plattform

Ihr Navigator durch die NIS2-Compliance

Rechtliches

  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Cookie-Richtlinie
  • Impressum

Ressourcen

  • Blog
  • Use Cases
  • Branchen
  • Preise
  • FAQ
  • Glossar

Kontakt

Kontakt

kontakt@nis2compass.de

NIS2Compass bietet Informationen und Orientierungshilfen zur NIS2-Compliance. Die Inhalte stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzen keine individuelle rechtliche oder fachliche Beratung.

© Copyright 2026 NIS2Compass. Alle Rechte vorbehalten.

Entwickelt in Deutschland
Startseite/Blog/Reicht ISO 27001 für NIS2-Compliance aus?
Leitfaden

Reicht ISO 27001 für NIS2-Compliance aus?

Verfasst von NIS2Compass Team, NIS2-Compliance-Experte
Stand:9. Juni 202610 Min. Lesezeit
Ein dunkelblaues, geprägtes Zertifikats-Siegel mit einem Teal-leuchtenden Paragraphen-Symbol in der Mitte, vertikal durchbrochen durch einen sichtbaren Riss — symbolisiert die Lücke zwischen ISO 27001 und NIS2-Compliance

Nein, sagt das BSI. ISO 27001 ist ein solides Fundament, aber Scope-Freiheit, Risikoakzeptanz und §32/§38-Pflichten bleiben offen. So schließen Sie die Lücken.

Nein. Eine ISO-27001-Zertifizierung allein reicht nicht für NIS2-Compliance, das hat das BSI auf seiner offiziellen Infoseite zu ISO/IEC 27001 im NIS-2-Kontext klargestellt. Die Zertifizierung ist ein wertvolles Fundament, doch Scope-Freiheit, Risikoakzeptanz und gesetzliche Pflichten wie BSI-Registrierung, 24-Stunden-Meldepflicht und §38-Haftung der Geschäftsleitung bleiben offen. NIS2Compass zeigt im kostenlosen Vor-Check, welche Lücken Ihr Unternehmen schließen muss.

Was sagt das BSI zur ISO-27001-Frage?

Nein, das BSI stellt auf seiner offiziellen Infoseite klar: "Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist oder sämtliche Anforderungen nach § 30 BSIG erfüllt." In Deutschland sind rund 29.500 Unternehmen NIS2-betroffen, aber nur etwa 16.000 sind ISO-zertifiziert. Beide Zahlen überschneiden sich nur teilweise.

Diese Position ist eindeutig und verbindlich. Das BSI hat dafür eine eigene Infoseite ISO/IEC 27001 im Kontext NIS-2/BSIG veröffentlicht und damit auf eine der am häufigsten gestellten Fragen aus seinen #nis2know-Webinaren reagiert. Die Infoseite ist Teil der zentralen BSI-Infopakete-Sammlung zu NIS-2, in der das BSI weitere Themenpakete für regulierte Unternehmen bündelt. Wer eine ISO-Zertifizierung als automatischen Compliance-Nachweis betrachtet, argumentiert gegen die ausdrückliche Position der zuständigen Aufsichtsbehörde.

Die Größenordnungen machen die Lücke sichtbar. Laut BSI fallen rund 29.500 Unternehmen in Deutschland unter das NIS2-Umsetzungsgesetz. Demgegenüber stehen laut ISO Survey 2024 etwa 16.000 gültige ISO-27001-Zertifikate im deutschen Markt. Selbst wenn jedes zertifizierte Unternehmen NIS2-betroffen wäre, was nicht der Fall ist, bliebe rein rechnerisch eine deutliche Lücke. In der Praxis verschiebt sich das Bild zusätzlich, weil viele Zertifikate auf Konzerne, IT-Dienstleister oder Cloud-Provider entfallen, die nicht der typischen NIS2-Zielgruppe entsprechen.

Die Botschaft ist deshalb klar: ISO 27001 ist ein solides Fundament, aber kein Freifahrtschein. Wer zertifiziert ist, startet nicht bei null und hat einen klaren Vorsprung gegenüber Unternehmen ohne ISMS-Basis. Der Vorsprung ersetzt aber weder den BSI-Registrierungsnachweis noch die Meldekaskade, noch die persönliche Haftung der Geschäftsleitung. Genau hier setzt NIS2Compass an: Der NIS2 Guide führt ISO-zertifizierte Unternehmen strukturiert durch die Schließung der verbleibenden Lücken, ohne das vorhandene ISMS infrage zu stellen.

Warum sagt das BSI klar Nein?

Das BSI nennt zwei strukturelle Gründe: ISO 27001 erlaubt Unternehmen eine freie Scope-Definition ihres ISMS und akzeptiert Risikoakzeptanz als legitime Behandlungsoption. Das BSIG hingegen verlangt die Umsetzung der Risikomanagementmaßnahmen für den gesamten relevanten Einrichtungsbetrieb und fordert angemessene, wirksame und verhältnismäßige Maßnahmen, ohne Cherry-Picking.

Problem 1: Scope-Freiheit. ISO 27001 lässt Unternehmen selbst entscheiden, welchen Geltungsbereich ihr ISMS abdeckt. Eine Zertifizierung kann auf einen einzelnen Standort, eine Abteilung oder einen Geschäftsbereich begrenzt sein. Ein Konzern darf etwa nur die Konzernzentrale zertifizieren und die Produktionswerke außen vor lassen. Die NIS2-Richtlinie und das BSIG kennen diese Wahlfreiheit nicht. Das BSI formuliert auf seiner Infoseite zu ISO/IEC 27001 im Kontext NIS-2/BSIG unmissverständlich: "das BSIG verlangt die Umsetzung der Risikomanagementmaßnahmen für den gesamten relevanten Einrichtungsbetrieb". Wer also nur Teile seiner Einrichtung zertifiziert hat, schließt damit keine NIS2-Lücke, sondern verschiebt sie nur.

"Die meisten ISO-zertifizierten Unternehmen unterschätzen den Scope-Punkt. Wenn die Zertifizierung historisch nur die Konzern-IT umfasst, das BSIG aber alle Werke und Standorte einbezieht, klafft eine Lücke, die mit einem Zertifikat allein nicht zu schließen ist." — Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass

Problem 2: Risikoakzeptanz. ISO 27001 erlaubt vier Risikobehandlungsoptionen: Reduktion, Vermeidung, Transfer und Akzeptanz. Das BSI stellt dazu klar: "ISO/IEC 27001 erlaubt neben Risikoreduktion auch Risikoakzeptanz oder Risikotransfer als zulässige Behandlungsoptionen". NIS2 ist anders strukturiert. §30 Abs. 1 BSIG schreibt zehn Maßnahmenbereiche vor, die "angemessene, wirksame und verhältnismäßige technische und organisatorische Maßnahmen" verlangen. Die Aussage "Wir akzeptieren das Risiko" reicht hier nicht aus, wenn der Maßnahmenbereich für die Einrichtung relevant ist. Die Risikoakzeptanz bleibt als Methodik zulässig, sie ersetzt aber nicht die gesetzliche Umsetzungspflicht. Diese beiden Punkte adressiert das BSI auch regelmäßig in seiner Webinarreihe #nis2know.

Was deckt ISO 27001 für NIS2 tatsächlich ab?

Eine bestehende ISO-27001-Zertifizierung deckt rund 70 bis 80 Prozent der zehn §30-Maßnahmenbereiche aus dem BSIG ab. Das BSI selbst formuliert es so: "Sehr wohl aber bildet eine ISO/IEC 27001-Zertifizierung ein gutes Fundament auf dem sich im Sinne der Pflichten nach BSIG aufbauen lässt." Zertifizierte Unternehmen starten also mit einem klaren Vorsprung in die NIS2-Umsetzung.

Konkret bringt die ISO-Norm vier strukturelle Bausteine mit, die das BSIG ebenfalls verlangt. Diese Strukturen sind keine Detailmaßnahmen, sondern das Gerüst, auf dem alle weiteren Anforderungen aufsetzen. Wer sie bereits etabliert hat, spart in der NIS2-Umsetzung typischerweise Monate gegenüber einem Greenfield-Start.

Was ISO 27001 für NIS2 abdeckt:

  • Risikomanagement-Rahmen (ISO Kapitel 6, Annex A.5): Risikoidentifikation, Bewertung und Behandlung sind methodisch verankert und dokumentiert.
  • Dokumentierte Verantwortlichkeiten und Leadership Commitment (ISO Kapitel 5): Die Geschäftsleitung übernimmt formale Verantwortung für das ISMS, Rollen sind benannt.
  • Wirksamkeitsbewertung über internes Audit und Management-Review (ISO Kapitel 9): Etablierte Prüfzyklen, mit denen die Umsetzung der Maßnahmen regelmäßig kontrolliert wird.
  • Kontinuierliche Verbesserung im PDCA-Zyklus (ISO Kapitel 10): Strukturierte Korrektur- und Verbesserungsmaßnahmen sind Teil des Standardbetriebs.
  • Asset-Management, Zugriffskontrolle und Kryptographie (ISO Annex A): Zentrale technische Schutzmaßnahmen sind in den Kontrollkatalog integriert.

Der konkrete Abdeckungsgrad von rund 70 bis 80 Prozent stammt aus dem openKRITIS NIS2-Mapping, das die ISO-Kontrollen den §30-Anforderungen systematisch gegenüberstellt. Eine detaillierte Gegenüberstellung der zehn §30-Maßnahmen mit den ISO-Kontrollen finden Sie im Vergleich NIS2 vs. ISO 27001 — Was ist der Unterschied?.

Die Botschaft ist eindeutig: Wer ISO hat, startet nicht bei null, ist aber nicht am Ziel. Die verbleibenden 20 bis 30 Prozent betreffen genau die NIS2-spezifischen Pflichten, die der nächste Abschnitt benennt.

Welche NIS2-Pflichten bleiben auch mit ISO-Zertifikat offen?

Auch ein gültiges ISO-27001-Zertifikat ersetzt fünf spezifische NIS2-Pflichten nicht: die BSI-Registrierungspflicht, die dreistufige Meldekaskade nach §32 BSIG, die persönliche Geschäftsleitungshaftung nach §38 BSIG, die verpflichtenden Schulungen der Geschäftsleitung sowie die vollständige verbindliche Umsetzung aller zehn §30-Maßnahmenbereiche ohne Cherry-Picking.

  1. BSI-Registrierungspflicht (§33 BSIG): Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Diese rein nationale Pflicht kennt ISO 27001 nicht, sie hat im internationalen Standard kein Gegenstück. Wer die Frist verpasst hat, muss nachregistrieren und riskiert Bußgelder. Eine Praxis-Checkliste zur §30 BSIG zeigt das konkrete Vorgehen für Nachzügler.
  2. Meldepflichten nach §32 BSIG: §32 BSIG schreibt drei feste Meldefristen vor, die ISO 27001 nicht kennt: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls, Erstmeldung innerhalb von 72 Stunden mit Bewertung des Vorfalls und Abschlussmeldung innerhalb eines Monats mit detaillierter Auswertung. ISO-Incident-Management ist methodisch solide, aber es kennt keine gesetzlichen Fristen. Die Eskalationskette ans BSI muss separat aufgebaut, technisch getestet und dokumentiert werden.
  3. Persönliche Haftung der Geschäftsleitung (§38 BSIG): §38 BSIG formuliert es eindeutig: "Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts." ISO 27001 fordert lediglich "Leadership Commitment". Eine persönliche zivilrechtliche Haftung der Geschäftsleitung kennt der internationale Standard nicht. Welche Bußgelder zusätzlich drohen, zeigt der Überblick zu NIS2-Bußgeldern und Strafen bei Verstößen.
  4. Schulungspflicht für die Geschäftsleitung (§38 Abs. 3 BSIG): Das Gesetz verlangt explizit: "Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen". ISO 27001 fordert generelle Awareness-Maßnahmen für Mitarbeitende, benennt aber keine Schulungspflicht für die Vorstands- oder Geschäftsführungsebene. Die Teilnahme muss nachweisbar dokumentiert werden.
  5. Vollständige Umsetzung aller §30-Maßnahmenbereiche: §30 BSIG listet zehn Bereiche, die "angemessen, wirksam und verhältnismäßig" umzusetzen sind. Wenn ein Bereich für die Einrichtung relevant ist, reicht eine Risikoakzeptanz nach ISO-Methodik nicht aus. Cherry-Picking einzelner Maßnahmen ist mit dem BSIG nicht vereinbar.

Praxisfall: Was bedeutet das für ein ISO-zertifiziertes KMU?

Ein mittelständischer Maschinenbauer mit 220 Mitarbeitern ist seit 2022 nach ISO 27001 zertifiziert, allerdings nur mit Scope auf die Konzernzentrale in Stuttgart. Als wichtige Einrichtung im Sektor "Verarbeitendes Gewerbe" (NIS2-Anhang II) gelten die NIS2-Pflichten seit Dezember 2025 für das gesamte Unternehmen, also auch für die zwei Werke in Sachsen und Polen.

Was die ISO-Zertifizierung bringt:

  • Risikomanagement-Methodik ist etabliert und dokumentiert
  • Dokumentationsstrukturen für Richtlinien und Nachweise sind vorhanden
  • Internes Audit und Management-Review laufen jährlich
  • Verantwortlichkeiten sind geklärt, ein ISB ist benannt

Was trotzdem fehlt:

  • Scope-Erweiterung auf die Werke in Sachsen und Polen, da das BSIG den gesamten Einrichtungsbetrieb verlangt
  • BSI-Registrierung nach §33 BSIG, die im März 2026 fällig war
  • Meldeprozess nach §32 BSIG mit 24-Stunden-Frühwarnung, 72-Stunden-Erstmeldung und Abschlussbericht
  • Schulungsplan für die Geschäftsleitung nach §38 Absatz 3 BSIG
  • Lieferanten-Mapping für die Werke, da Lieferkettensicherheit einrichtungsweit gilt

Der NIS2Compass-Vor-Check identifiziert diese Lücken in 15 Minuten. Der NIS2 Guide bringt die Geschäftsführung anschließend in 8 Kapiteln strukturiert durch die Schließung. Die Template Library liefert die fertigen Vorlagen für Meldeprozess, Schulungsplan und Lieferanten-Bewertung.

Was müssen ISO-zertifizierte Unternehmen jetzt konkret tun?

Das BSI empfiehlt fünf Schritte für ISO-zertifizierte Unternehmen: Scope der Zertifizierung gegen die NIS2-Einrichtungsdefinition prüfen, strukturierte Gap-Analyse gegen §30 BSIG durchführen, Meldeprozess nach §32 BSIG aufbauen, Geschäftsleitung nach §38 BSIG einbinden und die Brücke zwischen ISO und NIS2 schriftlich dokumentieren.

  1. Scope-Review: Prüfen Sie, ob der zertifizierte Geltungsbereich die gesamte NIS2-betroffene Einrichtung abdeckt. Wenn nein: Scope erweitern oder ergänzende Strukturen außerhalb der Zertifizierung aufbauen. Dieser Schritt ist die wichtigste Weichenstellung.
  2. Strukturierte Gap-Analyse gegen §30 BSIG: Die zehn Maßnahmenbereiche durchgehen und für jeden prüfen, ob die ISO-Implementierung sie angemessen, wirksam und verhältnismäßig abdeckt. Der Vor-Check liefert diese Gap-Analyse strukturiert in 18 Schritten.
  3. Meldeprozess nach §32 BSIG aufbauen: Eskalationskette für die 24-Stunden-Frühwarnung, 72-Stunden-Erstmeldung und Abschlussmeldung nach einem Monat definieren, Verantwortlichkeiten festlegen, BSI-Meldewege dokumentieren. Die Template Library liefert dafür fertige Vorlagen.
  4. Geschäftsleitung einbinden: §38 BSIG verlangt die aktive Umsetzung und Überwachung der Risikomanagementmaßnahmen durch die Geschäftsleitung sowie regelmäßige Schulungen. Schulungsplan dokumentieren, Teilnahmen nachweisen.
  5. Dokumentation erweitern: Welche §30-Maßnahmen sind über ISO abgedeckt, welche separat aufgebaut? Diese Brücke muss schriftlich vorliegen und ist Teil der Nachweispflicht gegenüber dem BSI.

Der NIS2Compass-Guide führt ISO-zertifizierte Unternehmen typischerweise in 4 bis 6 Wochen durch die Schließung der NIS2-spezifischen Lücken, gegenüber 6 bis 12 Monaten ohne ISMS-Basis. Im Knowledge Hub finden sich weiterführende Fachartikel zu §30 BSIG, ISMS und Geschäftsleitungshaftung. Wer tiefer in die ISMS-Tool-Diskussion einsteigen möchte, findet in NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt eine ergänzende Perspektive auf die typischen Tool-Lücken.

Häufig gestellte Fragen

Macht eine ISO-27001-Zertifizierung mein Unternehmen automatisch NIS2-konform?

Nein. Das BSI hat in seiner FAQ offiziell klargestellt, dass eine ISO-27001-Zertifizierung NIS2-Compliance nicht ersetzt. Die Norm deckt rund 70 bis 80 Prozent der §30-Anforderungen ab. Spezifische Pflichten wie BSI-Registrierung, die §32-Meldekaskade und die §38-Geschäftsleitungshaftung müssen Sie separat aufbauen und dokumentieren.

Akzeptiert das BSI eine ISO-27001-Zertifizierung als Nachweis für NIS2-Compliance?

Nein. Das BSI formuliert es eindeutig: "Eine solche Zertifizierung kann nicht als Nachweis der NIS-2-Konformität betrachtet werden." ISO 27001 wird als methodisches Fundament anerkannt, nicht als Compliance-Beleg. Bei einer BSI-Prüfung müssen Sie alle NIS2-Pflichten separat und nachweisbar erfüllen, unabhängig von Ihrer Zertifizierung.

Was passiert mit meinem ISO-Scope, wenn ich NIS2-betroffen bin?

ISO 27001 erlaubt eine bewusste Scope-Begrenzung auf einzelne Standorte oder Geschäftsbereiche. Das BSIG verlangt jedoch den gesamten relevanten Einrichtungsbetrieb. Umfasst Ihr ISO-Scope nicht die vollständige Einrichtung, müssen Sie ihn entweder erweitern oder die verbleibenden Lücken außerhalb des ISMS gezielt schließen und dokumentieren.

Brauche ich als ISO-zertifiziertes Unternehmen einen separaten NIS2-Meldeprozess?

Ja. ISO 27001 verlangt zwar Incident Management, kennt aber keine gesetzlichen Meldefristen. §32 BSIG fordert eine 24-Stunden-Frühwarnung, eine 72-Stunden-Erstmeldung und eine Abschlussmeldung innerhalb eines Monats. Sie müssen die Eskalationskette ans BSI zusätzlich aufbauen, technisch testen und in Ihren Vorfallprozess integrieren.

Welche Handlungsschritte empfiehlt das BSI für ISO-zertifizierte Unternehmen?

Das BSI empfiehlt vier Schritte: Scope der ISO-Zertifizierung gegen die NIS2-Einrichtungsdefinition prüfen, Gap-Analyse gegen die zehn §30-Maßnahmenbereiche durchführen, ergänzende Maßnahmen dokumentieren sowie NIS2-spezifische Pflichten zu Meldung, Haftung und Schulung separat aufbauen. Der NIS2Compass-Vor-Check unterstützt Sie strukturiert bei der Gap-Analyse.

Verwandte Artikel

Brauche ich ein ISMS für NIS2? Pflicht oder Option

NIS2 strukturiert umsetzen

NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.

Jetzt starten

Ähnliche Artikel

guide

NIS2-Checkliste als Excel-Vorlage: die 10 §30-Pflichten

Die 10 Mindestmaßnahmen aus §30 BSIG als Excel-Checkliste: Aufbau in 6 Schritten, ISO-27001-Mapping und typische Fehler. Mit kostenlosem Vor-Check von NIS2Compass.

8 Min. Lesezeit

guide

NIS2 ohne Berater umsetzen: Anleitung für KMU

NIS2-Compliance ohne Berater umsetzen: KMU schaffen rund 80 % der Pflichten nach §30 BSIG eigenständig. Die fünf Phasen, der realistische Aufwand und wann externe Hilfe wirklich nötig bleibt.

8 Min. Lesezeit

guide

NIS2 Geschäftsführerhaftung: §38 BSIG erklärt

§38 BSIG nimmt die Geschäftsleitung persönlich in die Pflicht. Welche drei Pflichten gelten, wann die persönliche Haftung greift und wie IT-Leiter die Geschäftsführung überzeugen.

9 Min. Lesezeit

Zurück zum Blog