Brauche ich ein ISMS für NIS2? Pflicht oder Option

Nein, NIS2 schreibt kein formales ISMS und keine ISO 27001 zwingend vor, das BSI bestätigt diese Methodenfreiheit ausdrücklich. Die zehn Maßnahmen aus §30 BSIG verlangen aber faktisch ISMS-typische Strukturen; für rund 29.500 betroffene Unternehmen lautet die Frage selten "ob", sondern "wie umfangreich" (Vergleich ISO 27001). NIS2Compass zeigt im Vor-Check, wo Sie stehen.

Was sagt §30 BSIG konkret zur ISMS-Pflicht?

§30 Absatz 1 BSIG verlangt "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen", nicht ein bestimmtes Managementsystem. Das BSI bestätigt explizit: "Das BSI schreibt keine bestimmte Norm vor." Pflicht ist also die Umsetzung der zehn Maßnahmenbereiche aus Absatz 2, nicht ein zertifiziertes ISMS oder eine ISO-Zertifizierung.

Der Wortlaut von §30 Abs. 1 BSIG ist bewusst offen formuliert. Der Gesetzgeber öffnet damit den Weg für unterschiedliche Umsetzungsformen, von ISO 27001 über BSI IT-Grundschutz bis zu maßgeschneiderten Lösungen. Diese Offenheit ist Programm, nicht Regelungslücke.

Das BSI hat seine Position auf der offiziellen Infoseite ISO/IEC 27001 im Kontext NIS-2/BSIG klargestellt: Einrichtungen sind grundsätzlich frei in der Wahl, wie sie die gesetzlichen Anforderungen umsetzen. Damit ist die Methodenfreiheit verbindlich verankert. Eine Vertiefung dieses Vergleichs bietet der Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.

Pflicht ist das Ergebnis, nicht der Weg. Die zehn Maßnahmenbereiche müssen umgesetzt sein, wie das geschieht, entscheidet jedes Unternehmen selbst. Wer einen strukturierten Pfad sucht, findet ihn im NIS2 Guide auf Basis der §30-Systematik.

Methodenfreiheit ist aber kein Freibrief für Beliebigkeit. Die Begriffe "geeignet, verhältnismäßig und wirksam" verlangen Dokumentation und Nachweisbarkeit gegenüber dem BSI. §38 BSIG verpflichtet zur Vorlage von Nachweisen auf Anforderung der Aufsichtsbehörde, einschließlich Risikoanalysen, Richtlinien und Wirksamkeitsbewertungen. Wer die Methode frei wählt, muss diese Wahl belegen und ihre Tauglichkeit für den eigenen Risikokontext begründen.

Für rund 29.500 Unternehmen in Deutschland, davon etwa 8.250 besonders wichtige und 21.600 wichtige Einrichtungen, gilt diese Nachweispflicht seit Dezember 2025 mit dem Inkrafttreten des NIS2UmsuCG (Quelle: OpenKRITIS). Für die meisten dieser Unternehmen ist das vorhandene Sicherheitsniveau die wichtigste Stellgröße, nicht die Wahl der Norm.

Welche §30-Anforderungen verlangen faktisch ISMS-Strukturen?

Mindestens vier der zehn Mindestmaßnahmen aus §30 BSIG sind ohne ISMS-typische Strukturen nicht sinnvoll umsetzbar: Risikoanalyse, Wirksamkeitsbewertung, Schulungen und Dokumentation. Eine reine ISO 27001-Zertifizierung reicht für NIS2 nicht, weil sie zentrale §30-Pflichten nicht abdeckt. Aber die ISMS-Methodik (Plan-Do-Check-Act, Risikoregister, Wirksamkeitsmessung) ist als Vorgehen schwer zu umgehen.

Ein Blick auf §30 BSIG zeigt, an welchen Stellen Managementsystem-Strukturen unvermeidbar werden. Vier Anforderungen verdienen besondere Aufmerksamkeit:

• §30 Abs. 2 Nr. 1 (Risikoanalyse): Die Norm verlangt einen systematischen Risikomanagement-Prozess. Ohne Risikoregister, dokumentierte Bewertungsmethodik und festen Aktualisierungszyklus ist die Anforderung gegenüber dem BSI nicht nachweisbar.
• §30 Abs. 2 Nr. 6 (Wirksamkeitsbewertung): Die Wirksamkeit der Maßnahmen muss regelmäßig überprüft werden. Das ist ein klassischer ISMS-Bestandteil und umfasst typischerweise interne Audits sowie Management-Reviews.
• §30 Abs. 2 Nr. 7 (Schulungen): Schulungsplanung, Teilnahmenachweise und strukturierte Awareness-Programme gehören zum Standardrepertoire eines ISMS. Einzelmaßnahmen ohne Programmgedanken reichen nicht.
• §30 Abs. 1 (Dokumentation): Die Einhaltung muss dokumentiert werden. Das erfordert Richtlinien, Verfahrensanweisungen und Nachweise. Diese Dokumentenarchitektur ist deckungsgleich mit der eines ISMS.

Fairerweise gilt das nicht für alle zehn Punkte. Nr. 8 (Kryptografie), Nr. 9 (Zugriffskontrolle und Asset Management) und Nr. 10 (MFA und sichere Kommunikation) sind primär technische Maßnahmen. Sie sind theoretisch ohne ISMS umsetzbar. Für Wirksamkeitsnachweis und regelmäßige Aktualisierung braucht es allerdings wieder Strukturen, die einem Managementsystem ähneln.

Nicht das Zertifikat ist Pflicht, sondern die zugrunde liegende Methodik. Wer §30 BSIG sauber umsetzt, baut faktisch ISMS-typische Elemente auf, auch ohne ISO 27001-Zertifizierung. Diese Erkenntnis ist entscheidend für die Frage, welcher Umsetzungsweg wirtschaftlich sinnvoll ist.

Die Größenordnung zeigt das NIS2-Mapping von OpenKRITIS: Ein ISMS nach ISO 27001 deckt rund 70 bis 80 Prozent der NIS2-Anforderungen ab. Die verbleibenden 20 bis 30 Prozent sind genau die NIS2-spezifischen Pflichten wie Meldewesen und Registrierung. Welche Strukturen Sie bereits haben und wo der pragmatische Einstieg liegt, lässt sich im Vor-Check bestimmen. Eine vertiefte Analyse, was ein bestehendes Managementsystem nicht abdeckt, liefert der Artikel NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt.

Welche Optionen haben KMU konkret?

Drei Wege führen zur NIS2-Compliance: vollständiges ISMS mit ISO 27001-Zertifizierung, ISMS-Tool ohne Zertifizierungsabsicht oder strukturierter Leitfaden plus Vorlagenbibliothek. Welcher Weg passt, hängt von drei Faktoren ab: Kundenanforderungen, IT-Sicherheits-Reifegrad und verfügbares Budget. Für KMU ohne Zertifizierungsdruck ist der pragmatische Weg meist der wirtschaftlichste.

Option A — Vollständiges ISMS mit ISO 27001-Zertifizierung: Sie bauen ein formales Managementsystem auf, durchlaufen einen Auditzyklus und erhalten ein externes Zertifikat. Die Kosten liegen typischerweise zwischen 35.000 und 50.000 EUR für die Erstzertifizierung eines KMU mit 10 bis 50 Mitarbeitern. Interne Ressourcen umfassen 0,5 bis 1,5 Vollzeitstellen über 6 bis 12 Monate (Quelle: secjur — ISO 27001 Kosten 2026). Dieser Weg lohnt sich, wenn ein externer Konformitätsnachweis Geschäftsbedingung ist.

Option B — ISMS-Tool ohne Zertifizierungsabsicht: Sie nutzen eine Software-Plattform zur Strukturgebung und Audit-Fähigkeit, verzichten aber auf das externe Zertifikat. Typische Kategorien sind Open-Source-Lösungen oder kommerzielle SaaS-Plattformen. SaaS-Jahresgebühren variieren stark und liegen oft zwischen 5.000 und 30.000 EUR, je nach Nutzerzahl und Modulen. Diese Option passt für Unternehmen, die mehrere Frameworks parallel pflegen wollen.

Option C — Strukturierter Leitfaden plus Vorlagenbibliothek: Sie folgen einem Schritt-für-Schritt-Pfad durch die zehn §30 BSIG-Maßnahmen, nutzen fertige Richtlinien-Vorlagen und dokumentieren Wirksamkeitsnachweise als Word- und Excel-Dokumente. Geeignet für KMU ohne Zertifizierungsdruck. Beispiel: NIS2Compass kombiniert den NIS2 Guide, den Knowledge Hub und die Template Library zu einem geführten Umsetzungspfad.

Die Wahl hängt von vier Entscheidungsfaktoren ab. Erstens den Kundenanforderungen: Wenn Ausschreibungen ein ISO 27001-Zertifikat verlangen, führt kein Weg an Option A vorbei. Zweitens dem Reifegrad: Wer bereits Richtlinien, Backup-Konzept und ein Risikoregister dokumentiert hat, kann mit Option C realistisch starten. Drittens der Branche: Maschinenbau-Zulieferer für Automotive haben oft zusätzlich TISAX-Anforderungen, was Option A oder B nahelegt. Viertens der Framework-Vielfalt: Bei ISO 27001, DSGVO und NIS2 parallel ist Option A oder B wirtschaftlicher.

Die Zahlen relativieren den Zertifizierungsdruck deutlich. Im Jahr 2023 gab es nur 1.563 gültige ISO 27001-Zertifikate in Deutschland (Quelle: Statista, ISO Survey 2023). Selbst unter den rund 29.500 NIS2-betroffenen Unternehmen ist die ISO-Zertifizierung damit die Minderheit. Eine Vertiefung der Zertifizierungsperspektive bietet der Artikel Reicht ISO 27001 für NIS2-Compliance aus?. Wie ein pragmatischer Pfad konkret aussieht, zeigt die Template Library mit fertigen Richtlinien-Sets.

"Viele KMU starten reflexartig mit der ISO 27001-Diskussion und übersehen, dass für die NIS2-Pflicht zunächst der Nachweis der §30-Maßnahmen genügt. Wenn keine Ausschreibung ein Zertifikat fordert, ist der Aufbau eines Leitfaden-basierten Maßnahmenkatalogs in vier bis sechs Monaten realistisch. Eine vollständige ISO-Zertifizierung dauert das Doppelte und kostet ein Vielfaches."

>

— Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass

Wann reicht ein Leitfaden, wann brauchen Sie ein vollständiges ISMS?

Für KMU ohne ISO-Zertifizierungsdruck reicht ein strukturierter Leitfaden mit dokumentierten Richtlinien und Wirksamkeitsnachweisen häufig aus, um §30 BSIG zu erfüllen. Ein vollständiges ISMS lohnt sich, wenn Großkunden Zertifizierung fordern, mehrere Compliance-Frameworks parallel laufen oder das Unternehmen eine besonders wichtige Einrichtung ist. Drei Kriterien helfen bei der Entscheidung.

Wann reicht ein strukturierter Leitfaden?

Ein Leitfaden-Ansatz mit fertigen Vorlagen und dokumentierten Wirksamkeitsnachweisen ist tragfähig, wenn folgende Bedingungen zutreffen:

• Keine Kundenanforderung nach ISO 27001 oder TISAX in Ausschreibungen oder Lieferantenverträgen.
• Einstufung als wichtige Einrichtung (nicht besonders wichtige Einrichtung gemäß §28 BSIG).
• Überschaubare IT-Landschaft mit klarer Unternehmensstruktur und eindeutigen Verantwortlichkeiten.
• Vorhandene Basisdokumente wie Backup-Konzept, Zugriffsregelungen oder Notfallplan als Ausgangspunkt.

Der NIS2 Guide von NIS2Compass führt Schritt für Schritt durch die zehn §30-Maßnahmenbereiche und liefert Word- und Excel-Vorlagen für jeden Pflichtbereich. Eine Übersicht aller einsatzfertigen Word- und Excel-Vorlagen bietet die NIS2-Vorlagen-Seite.

Wann ist ein vollständiges ISMS sinnvoll?

In folgenden Konstellationen führt am ISMS-Aufbau kein Weg vorbei:

• Ausschreibungen fordern explizit ein gültiges ISO 27001-Zertifikat.
• Mehrere Compliance-Frameworks laufen parallel, etwa DSGVO, ISO 27001, TISAX und NIS2.
• Komplexe Konzern- oder Standortstruktur mit verteilten Verantwortlichkeiten.
• Branchenspezifischer Druck im Energie-, Finanz- oder Gesundheitssektor.

Was ist der pragmatische Übergangsweg?

Viele KMU starten mit dem Leitfaden-Pfad und migrieren später bei Bedarf in ein zertifiziertes ISMS. Die §30-Dokumentationsstruktur ist eine sehr gute Vorbereitung auf eine spätere ISO-Zertifizierung. Die Detailtiefe von NIS2 vs. ISO 27001 zeigt, welche Elemente sich direkt übertragen lassen.

Auch der Leitfaden-Weg ist kein "ISMS light". Die Pflichten aus §30 BSIG sind identisch, nur der Detaillierungsgrad der Managementsystem-Strukturen unterscheidet sich. Die Gesetzesbegründung zum NIS2UmsuCG stellt fest: Nur 17 Prozent der NIS2-betroffenen Unternehmen haben im Grundsatz ausreichende Maßnahmen ergriffen (Gesetzesbegründung NIS2UmsuCG, zitiert nach OpenKRITIS). Wer pragmatisch startet, gehört bereits zur kleinen Mehrheit der Handelnden.

Praxisfall: Wie ein Maschinenbauer mit 150 Mitarbeitern NIS2 ohne ISMS-Aufbau startet

Ein süddeutscher Maschinenbauer mit 150 Mitarbeitern fiel ab Dezember 2025 unter NIS2 als wichtige Einrichtung. Statt ein vollständiges ISMS aufzusetzen, dokumentierte das Unternehmen die zehn §30-Maßnahmen über strukturierte Word- und Excel-Vorlagen. Innerhalb von vier Monaten waren BSI-Registrierung, Risikoregister und Richtlinienpaket umgesetzt, zu einem Bruchteil der ISMS-Aufbau-Kosten.

Ausgangslage

Das Unternehmen beschäftigt 150 Mitarbeiter und liefert als Tier-1-Partner an die Automotive-Industrie. Ein TISAX-Label war vorhanden, deckte aber die NIS2-spezifischen Anforderungen nicht ab. Eine ISO 27001-Zertifizierung gab es nicht. Die IT-Abteilung umfasste fünf Personen. Die Geschäftsführung wurde erst im Sommer 2025 auf NIS2 als reale Pflicht aufmerksam, nachdem ein Großkunde eine entsprechende Selbstauskunft anforderte.

Entscheidung: Kein zwölfmonatiger ISMS-Aufbau, sondern ein pragmatischer Vier-Monats-Pfad entlang der §30-BSIG-Maßnahmen.

Vorgehen in vier Monaten

• Monat 1: BSI-Registrierung nach §33 BSIG abgeschlossen. Vor-Check zur Reifegrad-Bestimmung durchgeführt, der vorhandene Strukturen aus TISAX als Startpunkt identifizierte.
• Monat 2: Risikoregister auf Basis einer Excel-Vorlage erstellt, mit dokumentierten Top-15-Risiken. Richtlinien-Set für Zugriffskontrolle, Backup, Incident Response und Acceptable Use Policy aus der Template Library angepasst und durch die Geschäftsführung freigegeben.
• Monat 3: MFA für privilegierte Konten ausgerollt. IR-Plan mit Meldekaskade nach §32 BSIG verabschiedet. Awareness-Schulungen für alle Mitarbeitenden gestartet.
• Monat 4: Lieferantenbewertung als NIS2-Gate für Tier-1-Lieferanten eingeführt. Wirksamkeitsmessung mit vierteljährlichen Reviews definiert. Dokumentation für eine mögliche BSI-Nachweisanforderung vorbereitet.

Ergebnis und Kostenvergleich

Die §30-Compliance ist dokumentierbar und gegenüber dem BSI nachweisbar. Das TISAX-Audit läuft weiterhin separat. Eine ISO 27001-Zertifizierung wurde nicht angestrebt, bleibt aber bei einer zukünftigen Ausschreibungsanforderung als Option offen. Das Unternehmen konnte auf den dokumentierten Strukturen aus dem NIS2 Guide aufbauen.

• Option A (vollständiges ISMS plus ISO 27001): geschätzt 45.000 EUR und 1,2 Vollzeitstellen über neun Monate.
• Gewählter Weg (Leitfaden plus Vorlagen): geschätzt 5.000 EUR und 0,5 Vollzeitstellen über vier Monate.

Der pragmatische Pfad reduziert sowohl den Kapitalaufwand als auch die interne Bindung von IT-Ressourcen erheblich. Das deckt sich mit dem Marktbild: Nur zwölf Prozent der befragten Unternehmen haben NIS2 bislang vollständig umgesetzt, so die G DATA / Statista-Studie "Cybersecurity in Numbers" 2025.

Hinweis: Branchen- und Größenangaben sind anonymisiert. Das Szenario fasst typische Muster aus der Praxis zusammen und stellt keine konkrete Kundenstory dar.

Was empfiehlt das BSI für Unternehmen ohne ISMS-Erfahrung?

Das BSI empfiehlt eine schrittweise, risikobasierte Umsetzung mit klarer Dokumentation, ohne ein bestimmtes Rahmenwerk vorzuschreiben. Wer noch kein ISMS hat, sollte mit Risikoanalyse, BSI-Registrierung und MFA starten und Dokumentation systematisch aufbauen. Das BSI stellt mit seinen #nis2know-Infopaketen kostenfreie Orientierungshilfen bereit.

Die offizielle BSI-Position ist in mehreren Quellen konsistent. Auf der Infoseite ISO/IEC 27001 im Kontext NIS-2/BSIG sichert das BSI Methodenfreiheit explizit zu. Vorhandene Managementsysteme können als Basis dienen, müssen aber gegen §30 BSIG abgeglichen werden. Der Ansatz ist bewusst holistisch und gefahrenübergreifend: digitale, physische und umgebungsbezogene Sicherheit gehören zusammen.

Für Unternehmen ohne ISMS-Erfahrung schlägt das BSI eine pragmatische Reihenfolge vor:

1. BSI-Registrierung nach §33 BSIG als formaler Einstieg.
2. Risikoanalyse als Grundlage gemäß §30 Abs. 2 Nr. 1.
3. Sofortmaßnahmen wie MFA, Backup und Incident-Response-Grundzüge umsetzen.
4. Richtlinienpaket aufbauen (Asset Management, Zugriffskontrolle, Lieferanten).
5. Wirksamkeitsmessung und kontinuierliche Verbesserung etablieren.

Wichtig ist eine BSI-Klarstellung, die viele Unternehmen unterschätzen: Auch eine ISO 27001-Zertifizierung ist kein automatischer NIS2-Konformitätsnachweis. Das BSI nennt drei strukturelle Lücken:

• Scope: Der ISMS-Geltungsbereich darf eingeschränkt sein. §30 BSIG verlangt jedoch Umsetzung im gesamten relevanten Betrieb.
• Risikoakzeptanz: ISO 27001 erlaubt Risikoakzeptanz und -transfer. §30 fordert verpflichtende Umsetzung angemessener Maßnahmen.
• Gesetzliche Pflichten: Meldepflichten nach §32 BSIG, Registrierung nach §33 BSIG und Geschäftsführungshaftung nach §38 BSIG sind nicht ISMS-Inhalt.

Eine Zahl ordnet das Bild ein: 2023 gab es nur 1.563 gültige ISO 27001-Zertifikate in Deutschland, bei rund 29.500 NIS2-betroffenen Unternehmen. Die Mehrheit wird also den pragmatischen Weg gehen müssen. NIS2Compass unterstützt diesen Weg: Der Vor-Check bestimmt den Reifegrad als konkreten Startpunkt, und der Artikel NIS2 und ISMS-Integration vertieft die Verzahnung mit vorhandenen Strukturen.

Häufig gestellte Fragen

Schreibt §30 BSIG ein ISMS zwingend vor?

Nein. §30 BSIG fordert "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen", definiert aber kein bestimmtes Managementsystem. Das BSI stellt offiziell klar: "Das BSI schreibt keine bestimmte Norm vor." Ein ISMS ist eine mögliche Umsetzungsform, nicht die einzige verpflichtende.

Ist eine ISO 27001-Zertifizierung Voraussetzung für NIS2-Compliance?

Nein. Eine ISO 27001-Zertifizierung kann ein gutes Fundament sein, ersetzt aber nicht den NIS2-Konformitätsnachweis. Das BSI nennt drei Bereiche, in denen ISO 27001 nicht ausreicht: Scope-Festlegung, Risikoakzeptanz-Optionen und gesetzliche Pflichten wie Meldewesen und Registrierung. Mehr Details: Reicht ISO 27001 für NIS2-Compliance aus?

Reichen einzelne Richtlinien und Dokumente ohne formales ISMS?

Ja, sofern sie die zehn §30-Maßnahmenbereiche abdecken und nachweisbar dokumentiert sind. Pflicht ist nicht das Managementsystem, sondern die belegbare Umsetzung der Maßnahmen. Strukturierte Vorlagen, regelmäßige Wirksamkeitsmessungen und ein klarer Verantwortlichkeits-Rahmen reichen aus, wenn sie konsequent gepflegt und aktuell gehalten werden.

Was kostet der Aufbau eines vollständigen ISMS für KMU?

Für ein KMU mit 10–50 Mitarbeitern liegen die Kosten für eine ISO 27001-Erstzertifizierung typischerweise zwischen 35.000 und 50.000 EUR im ersten Jahr, inklusive Beratung und externem Audit. Hinzu kommen 0,5 bis 1,5 interne Vollzeitstellen über sechs bis zwölf Monate für Aufbau und Dokumentation.

Wann sollte ich ein vollständiges ISMS aufbauen?

Wenn Kunden oder Ausschreibungen ISO 27001 fordern, wenn mehrere Compliance-Frameworks parallel laufen (DSGVO, NIS2, TISAX), oder wenn das Unternehmen als besonders wichtige Einrichtung eingestuft ist. Ohne diese Trigger reicht für viele KMU ein strukturierter Leitfaden mit dokumentierten Maßnahmen aus.