NIS2Compass — NIS2-Compliance-Plattform
Use CasesPreise

Weiterführende Seiten

  • Blog
  • FAQ
  • Glossar
  • Use Cases
  • Branchen
  • Preisgestaltung

Offizielle Quellen

  • BSI – Bundesamt für Sicherheit in der Informationstechnik
  • NIS2-Richtlinie (EUR-Lex)
  • NIS2UmsuCG (Bundesgesetzblatt)
NIS2Compass — NIS2-Compliance-Plattform

Ihr Navigator durch die NIS2-Compliance

Rechtliches

  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Cookie-Richtlinie
  • Impressum

Ressourcen

  • Blog
  • Use Cases
  • Branchen
  • Preise
  • FAQ
  • Glossar

Kontakt

Kontakt

kontakt@nis2compass.de

NIS2Compass bietet Informationen und Orientierungshilfen zur NIS2-Compliance. Die Inhalte stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzen keine individuelle rechtliche oder fachliche Beratung.

© Copyright 2026 NIS2Compass. Alle Rechte vorbehalten.

Entwickelt in DeutschlandAllianz für Cyber-Sicherheit — Teilnehmer
Startseite/Blog/BSI IT-Grundschutz und NIS2: Welche Bausteine helfen?
Leitfaden

BSI IT-Grundschutz und NIS2: Welche Bausteine helfen?

Verfasst von NIS2Compass Experten, NIS2-Compliance-Experte
Stand:25. Juni 20269 Min. Lesezeit
Modulare Bausteine fügen sich zu einem Schutzschild mit Kompass-Ring zusammen — Symbolbild für BSI IT-Grundschutz als Fundament für NIS2-Compliance

BSI IT-Grundschutz deckt rund 80 % der §30-BSIG-Anforderungen ab — vom selben Haus. Aber Registrierung, Meldepflicht und §38-Haftung bleiben offen.

Ja, BSI IT-Grundschutz hilft bei NIS2 sehr direkt, weil Methodik und Aufsichtsbehörde aus demselben Haus stammen. Die rund 110 Bausteine der 6. Edition 2023 decken etwa 80 Prozent der zehn §30-BSIG-Maßnahmenbereiche ab, von ISMS.1 bis CON.3. Aber die rein gesetzlichen NIS2-Pflichten wie BSI-Registrierung, §32-Meldekaskade und §38-Geschäftsleitungshaftung bleiben auch mit Grundschutz offen.

NIS2Compass zeigt im Vor-Check, welche Grundschutz-Bausteine Sie schon haben und welche NIS2-Pflichten zusätzlich gelten.

Was ist BSI IT-Grundschutz und wie verhält er sich zu NIS2?

BSI IT-Grundschutz ist die vom Bundesamt für Sicherheit in der Informationstechnik entwickelte ISMS-Methodik. Sie besteht aus vier BSI-Standards (200-1 bis 200-4) und dem Kompendium mit rund 110 Bausteinen in zehn Schichten. Die Konstellation ist einzigartig: dasselbe BSI, das Grundschutz herausgibt, ist seit Dezember 2025 auch NIS2-Aufsichtsbehörde nach BSIG.

Grundschutz ist eine Methodik für Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Die BSI IT-Grundschutz-Übersicht beschreibt drei Vorgehensweisen: Basis-Absicherung als Einstieg, Standard-Absicherung für die Vollumsetzung und Kern-Absicherung mit Fokus auf die Kronjuwelen einer Einrichtung.

Die vier BSI-Standards bilden das methodische Fundament:

  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit, kompatibel zu ISO 27001
  • BSI-Standard 200-2: IT-Grundschutz-Methodik mit den drei Absicherungs-Pfaden
  • BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz
  • BSI-Standard 200-4: Business Continuity Management (Mai 2023, kompatibel zu ISO 22301)

Das IT-Grundschutz-Kompendium ergänzt diese Standards. In der 6. Edition 2023 enthält es rund 110 Bausteine in zehn Schichten: Prozess-Schichten (ISMS, ORP, CON, OPS, DER) und System-Schichten (APP, SYS, IND, NET, INF). Ein Baustein ist eine thematisch geschlossene Sammlung von Sicherheitsanforderungen; eine Schicht fasst inhaltlich verwandte Bausteine zusammen.

Die NIS2-Verbindung ist strukturell einmalig. Das BSI entwickelt Grundschutz seit 1994 und beaufsichtigt seit Dezember 2025 die rund 29.500 NIS2-betroffenen Unternehmen in Deutschland nach §61 BSIG. Wer Grundschutz nutzt, spricht im Audit dieselbe Sprache wie die Aufsichtsbehörde, anders als bei ISO 27001, das international standardisiert und über DIN/DAkkS akkreditierte Auditoren geprüft wird.

Trotz dieser Nähe schreibt das BSIG keinen bestimmten Standard vor. §30 BSIG fordert "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen". Wer ISO 27001 oder einen Eigenansatz wählt, ist nicht im Nachteil. Mehr zur Methodenfreiheit lesen Sie im Artikel Brauche ich ein ISMS für NIS2?.

Der NIS2Compass-Vor-Check fragt explizit nach bestehender IT-Grundschutz-Umsetzung und ordnet die Grundschutz-Bausteine den rund 124 NIS2-Umsetzungsschritten zu.

Welche §30-BSIG-Anforderungen deckt IT-Grundschutz direkt ab?

IT-Grundschutz deckt alle zehn Maßnahmenbereiche aus §30 Abs. 2 BSIG strukturell ab, von ISMS.1 (Sicherheitsmanagement) bis DER.2.1 (Incident Response). Die offizielle BSI-Zuordnungstabelle "ISO/IEC 27001 zum IT-Grundschutz" (6. Edition 2023) macht die Brückenlogik nachvollziehbar. Rund 80 Prozent der §30-Anforderungen sind über Grundschutz-Bausteine direkt implementierbar.

Die folgende Zuordnung benennt für jede der zehn Nummern aus §30 Abs. 2 BSIG die zentralen Bausteine-Codes aus dem Kompendium der 6. Edition 2023. Sie ist als Einstieg gedacht, nicht als vollständiger Audit-Nachweis.

  1. §30 Abs. 2 Nr. 1 (Risikoanalyse und IT-Sicherheitskonzepte): ISMS.1 (Sicherheitsmanagement), ORP.1 (Organisation) sowie BSI-Standard 200-3 (Risikoanalyse). Ergänzt durch die elementaren Gefährdungen G0.1–G0.47, die jede Risikoanalyse strukturiert anleiten.
  2. §30 Abs. 2 Nr. 2 (Incident-Management): DER.2.1 (Behandlung von Sicherheitsvorfällen), DER.2.2 (Vorsorge für die IT-Forensik) und DER.2.3 (Bereinigung weitreichender Sicherheitsvorfälle). Die drei Bausteine bilden den vollständigen Incident-Lifecycle ab.
  3. §30 Abs. 2 Nr. 3 (Business Continuity / Backup): CON.3 (Datensicherungskonzept), DER.4 (Notfallmanagement) und der BSI-Standard 200-4 BCM. CON.3.A4 fordert explizit regelmäßige Restore-Tests, was §30 wörtlich verlangt.
  4. §30 Abs. 2 Nr. 4 (Lieferkettensicherheit): OPS.2.3 (Nutzung von Outsourcing), OPS.2.2 (Cloud-Nutzung) und OPS.3 (Anbieter und Hersteller). Damit ist sowohl die Auswahl als auch die laufende Steuerung von Lieferanten abgedeckt.
  5. §30 Abs. 2 Nr. 5 (Sichere Beschaffung, Entwicklung, Wartung): CON.8 (Software-Entwicklung), OPS.1.1.5 (Protokollierung), OPS.1.1.6 (Software-Tests und -Freigaben) sowie OPS.1.1.3 (Patch- und Änderungsmanagement). Diese Bausteine sind der Kern des Secure-SDLC im Grundschutz.
  6. §30 Abs. 2 Nr. 6 (Wirksamkeitsbewertung): DER.1 (Detektion von sicherheitsrelevanten Ereignissen), DER.3.1 (Audits und Revisionen) und DER.3.2 (Revisionen auf Basis des Leitfadens IS-Revision). Damit ist die kontinuierliche Wirksamkeitsprüfung methodisch verankert.
  7. §30 Abs. 2 Nr. 7 (Schulung / Awareness): ORP.3 (Sensibilisierung und Schulung zur Informationssicherheit). Der Baustein ist zentral, weil §38 Abs. 3 BSIG die Geschäftsleitung zusätzlich namentlich zur Schulung verpflichtet.
  8. §30 Abs. 2 Nr. 8 (Kryptografie): CON.1 (Kryptokonzept), inklusive Zertifikats- und Schlüsselmanagement über CON.1.A4, CON.1.A10 und CON.1.A11. Das deckt die §30-Forderung nach dokumentierter Kryptografie vollständig ab.
  9. §30 Abs. 2 Nr. 9 (Personalsicherheit, Zugriffskontrolle, Asset-Management): ORP.2 (Personal), ORP.4 (Identitäts- und Berechtigungsmanagement) und CON.2 (Datenschutz), ergänzt durch die System-Schicht (SYS, APP). Der Mix aus Prozess- und System-Bausteinen ist hier Pflicht.
  10. §30 Abs. 2 Nr. 10 (MFA, sichere Kommunikation): NET.1.1 (Netzarchitektur und -design), NET.3.3 (VPN), ORP.4.A22 (Multi-Faktor-Authentisierung), NET.4 (Telefonie) sowie die APP-Bausteine für sichere Sprach-, Video- und Textkommunikation.

Die offizielle BSI-Zuordnungstabelle "Zuordnung ISO/IEC 27001 zum IT-Grundschutz" (6. Edition 2023) macht diese Brückenlogik für ISO-Anwender belastbar. Im Original heißt es: "Das damit aufgebaute ISMS erfüllt die Anforderungen der ISO/IEC 27001 und verfügt über ein Äquivalent zu den Handlungsempfehlungen der ISO/IEC 27002." Wer Grundschutz hat, ist also ISO-äquivalent, und damit zum gleichen Grad NIS2-relevant abgedeckt. Eine eigenständige Schätzung des openKRITIS-NIS2-Mappings und die BSI-Tabelle ergeben gemeinsam eine §30-Abdeckung von rund 80 Prozent über Grundschutz-Bausteine. Die vollständige ISO-27001-Mapping-Tabelle finden Sie im Artikel NIS2 vs. ISO 27001.

"Wer Grundschutz konsequent umgesetzt hat, spart bei der NIS2-Implementierung typischerweise mehrere Monate. Die Mapping-Logik liegt vor, die Methodik ist BSI-anerkannt, und die Bausteine adressieren die §30-Themen sehr granular. Was bleibt, ist die NIS2-spezifische Schicht: Registrierung, Meldepflicht, GL-Haftung." — Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass

Welche NIS2-Pflichten deckt IT-Grundschutz NICHT ab?

Auch eine vollständige Grundschutz-Umsetzung ersetzt vier rein gesetzliche NIS2-Pflichten nicht: BSI-Registrierung nach §33 BSIG, dreistufige Meldekaskade nach §32 BSIG (24h/72h/1 Monat), persönliche Geschäftsleitungshaftung nach §38 BSIG sowie Schulungspflicht der Geschäftsleitung nach §38 Abs. 3 BSIG. Diese Anforderungen sind organisatorisch-rechtlich, nicht technisch, und damit nicht Gegenstand eines Sicherheitsstandards.

Diese vier Lücken entstehen mit dem NIS2UmsuCG, das seit Dezember 2025 in Kraft ist. Sie sind kein Mangel des Grundschutz-Kompendiums, sondern Ausdruck einer einfachen Tatsache: gesetzliche Pflichten gehören in ein Gesetz, nicht in einen Sicherheitsstandard.

  1. BSI-Registrierungspflicht (§33 BSIG). Betroffene Unternehmen mussten sich bis zum 6. März 2026 über das BSI-Portal registrieren. Grundschutz adressiert das nicht, kein Baustein verlangt eine externe Behörden-Anzeige. Wer die Frist verpasst hat, muss nachregistrieren und riskiert dabei Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (§60 BSIG).
  2. Meldepflichten nach §32 BSIG. Drei feste Fristen, die in keinem Grundschutz-Baustein vorkommen: 24 Stunden Frühwarnung, 72 Stunden Erstmeldung mit Bewertung, 1 Monat Abschlussmeldung. DER.2.1 (Behandlung von Sicherheitsvorfällen) ist methodisch hervorragend, kennt aber keine gesetzlich vorgegebenen Meldefristen an eine Aufsichtsbehörde. Details zur Meldekaskade: NIS2-Meldepflichten: Wann, was, an wen melden?.
  3. Persönliche Haftung der Geschäftsleitung (§38 BSIG). Der Gesetzeswortlaut ist eindeutig: "Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden." Grundschutz fordert in ISMS.1.A1 zwar die "Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung", kennt aber keine zivilrechtliche persönliche Haftung der Geschäftsführung mit Schadensersatzfolge.
  4. Schulungspflicht für die Geschäftsleitung (§38 Abs. 3 BSIG). Auch hier ist der Wortlaut präzise: "Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken zu erlangen." ORP.3 (Sensibilisierung und Schulung) deckt allgemeine Mitarbeiter-Awareness ab, nicht aber die namentliche Vorstands- bzw. Geschäftsführungs-Schulung mit Nachweispflicht gegenüber dem BSI.

Diese vier Lücken sind keine inhaltlichen Mängel von Grundschutz, sondern strukturelle Grenzen. Ein Informationssicherheits-Standard kann keine gesetzlichen Meldefristen, keine zivilrechtliche Haftungsregelung und keine behördliche Registrierung vorgeben, das gehört in ein Gesetz, hier das BSIG. Wer Grundschutz nutzt, hat ein ausgezeichnetes Fundament für die §30-Anforderungen und ergänzt die NIS2-spezifischen Pflichten über zusätzliche Dokumentation und Prozesse. Wie hoch die Bußgelder im Detail ausfallen können, zeigt der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.

Brauche ich eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz für NIS2?

Nein. Weder das BSIG noch das NIS2UmsuCG schreiben eine Zertifizierung vor, weder ISO 27001 noch ISO 27001 auf Basis IT-Grundschutz noch eine Grundschutz-Testierung. Pflicht ist die Umsetzung der Maßnahmen aus §30 BSIG, nicht der Nachweis durch ein Zertifikat. Eine Zertifizierung hilft aber bei der Beweisführung gegenüber BSI, Versicherern und Geschäftspartnern.

Methodenfreiheit ist gesetzlich verankert. §30 Abs. 1 BSIG fordert "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" und benennt bewusst keine bestimmte Norm. Das BSI bestätigt diese Methodenfreiheit auf seiner Infoseite zu ISO/IEC 27001 im NIS-2-Kontext ausdrücklich. Für die Erfüllung von NIS2 zählt das Ergebnis, nicht das Zertifikat.

Drei Zertifizierungs-Optionen zur Einordnung:

  • ISO 27001: Internationale Zertifizierung über DIN/DAkkS-akkreditierte Auditoren. Die etablierteste Variante und in B2B-Verträgen am häufigsten gefordert.
  • ISO 27001 auf Basis IT-Grundschutz: Kombinierte Zertifizierung, bei der die BSI-Grundschutz-Methodik im Audit explizit berücksichtigt wird. Geeignet, wenn ein Unternehmen bereits Grundschutz nutzt und zusätzlich ein international anerkanntes Zertifikat möchte.
  • IT-Grundschutz-Testat: Reine Grundschutz-Bestätigung ohne ISO-Bezug. Stärker im behördlichen Umfeld verbreitet.

Wann eine Zertifizierung sinnvoll ist:

  • Kunden- oder Vertragsanforderungen, vor allem im gehobenen B2B
  • günstigere Konditionen oder überhaupt Abschluss einer Cyber-Versicherung
  • strukturierter externer Druck als Disziplin für interne Prozesse
  • belastbare Beweisführung gegenüber dem BSI bei einer Prüfung

Wann eine Zertifizierung nicht sinnvoll ist:

  • reine Pflicht-Erfüllung von NIS2 ohne externe Anforderungen
  • kleinere KMU knapp über der NIS2-Schwelle mit begrenzten Ressourcen
  • wenn der Aufwand für ein vollständiges Zertifizierungs-ISMS unverhältnismäßig zur Unternehmensgröße ist

Wer die Sufficienz-Frage detailliert beantwortet haben möchte, findet sie im Artikel Reicht ISO 27001 für NIS-2-Compliance aus?. Die Kernaussage gilt analog für Grundschutz-Testate: Ein Zertifikat ist Fundament, aber kein automatischer Compliance-Nachweis. Wer die Methodenfreiheit grundsätzlich einordnen möchte, findet die Optionen für KMU im Artikel Brauche ich ein ISMS für NIS2?.

Zur Einordnung der Verbreitung: In Deutschland existieren rund 16.000 gültige ISO-27001-Zertifikate (ISO Survey 2024). Die Zahl der reinen IT-Grundschutz-Testate und kombinierten ISO-27001-auf-Basis-Grundschutz-Zertifikate liegt deutlich darunter und ist über die öffentliche BSI-Liste der IT-Grundschutz-Zertifikate einsehbar. Beide Wege erfüllen NIS2 inhaltlich gleichwertig, die Wahl hängt am Marktumfeld, nicht am Gesetz.

Wie nutze ich bestehenden IT-Grundschutz für den NIS2-Einstieg?

Wer Grundschutz bereits umgesetzt hat, startet die NIS2-Einführung in drei Schritten: erstens den Geltungsbereich gegen die NIS2-Einrichtungsdefinition prüfen, weil Grundschutz freie Scope-Wahl erlaubt, BSIG nicht. Zweitens das vorhandene Mapping als Basis nehmen und die NIS2-Lücken ergänzen. Drittens die Dokumentation für die BSI-Prüfbarkeit aufbereiten.

Schritt 1: Scope-Review (1 Woche). Grundschutz erlaubt eine freie Scope-Wahl auf Konzern, Standort oder einzelnen Bereich. §30 BSIG verlangt dagegen die Umsetzung für den gesamten relevanten Einrichtungsbetrieb. Bei mehreren Standorten oder Werken ist deshalb fast immer eine Scope-Erweiterung zu prüfen, bevor das vorhandene ISMS als Basis fungieren kann.

Schritt 2: Gap-Analyse Bausteine vs. §30 (1–2 Wochen). Die zehn §30-Maßnahmenbereiche systematisch durchgehen und pro Bereich die abdeckenden Bausteine (ISMS.1, ORP.3, CON.3, DER.2.1 usw.) bewerten. Besonderes Augenmerk gilt den vier NIS2-Lücken aus dem vorigen Abschnitt. Der NIS2Compass-Vor-Check hat dieses Mapping in 18 Fragen kondensiert: Die Antworten ergeben automatisch eine Liste vorab erfüllter NIS2-Umsetzungsschritte.

Schritt 3: NIS2-Delta umsetzen (2–4 Wochen). Hier geht es um die vier rein gesetzlichen Pflichten: BSI-Registrierung nach §33 BSIG, dreistufige Meldekaskade nach §32 BSIG, Schulungsplan für die Geschäftsleitung nach §38 Abs. 3 BSIG und die §38-Verantwortungs-Dokumentation. Diese vier Bausteine sind in der NIS2Compass-Template Library als fertige Word- und Excel-Vorlagen verfügbar.

Schritt 4: BSI-Prüfbarkeit (1 Woche). Dokumentation zentral ablegen, Versionierung sicherstellen und ein Brückendokument schreiben: Welche §30-Anforderung wird durch welchen Grundschutz-Baustein abgedeckt, welche Maßnahmen ergänzen NIS2-spezifisch? Das BSI kann diese Brückendokumentation im Rahmen einer Prüfung verlangen.

Typischer Zeitaufwand: 4–8 Wochen für das NIS2-Delta bei vorhandenem Grundschutz, gegenüber 4–8 Monaten beim Aufbau eines komplett neuen ISMS (NIS2Compass-Erfahrungswert). Weiterführende Hinweise liefern die BSI-Umsetzungshinweise zum IT-Grundschutz-Kompendium sowie die vollständige BSIG-Übersicht bei gesetze-im-internet.de. Der NIS2 Guide bringt die vier Schritte in einen konkreten Umsetzungspfad mit Substeps und Vorlagen.

Praxisbeispiel: Stadtwerk mit IT-Grundschutz-Basis — was fehlt für NIS2?

Ein Stadtwerk mit 150 Mitarbeitern hat seit 2022 die IT-Grundschutz-Basis-Absicherung umgesetzt und gilt als besonders wichtige Einrichtung im NIS2-Sektor Energie. Die Grundschutz-Basis deckt die §30-Anforderungen weitgehend ab, aber Registrierung, Meldeprozess und GL-Schulungspflicht waren nicht Teil des Projekts. Vier zusätzliche Bausteine schließen die Lücken in vier bis sechs Wochen.

Ausgangslage (anonymisiert): 150 Mitarbeiter, kommunaler Energieversorger für Strom, Gas und Wasser. Sektor Energie (Anhang I der NIS2-Richtlinie, hochkritisch), eingestuft als besonders wichtige Einrichtung nach §28 BSIG. IT-Grundschutz-Basis-Absicherung seit 2022 umgesetzt, ohne Testierung.

Was Grundschutz bereits bringt: Etabliertes Sicherheitsmanagement mit benanntem ISB (ISMS.1), gelebtes Patch-Management (OPS.1.1.3), dokumentiertes Backup-Konzept mit jährlichen Restore-Tests (CON.3.A4), Awareness-Programm für alle Mitarbeiter (ORP.3), Behandlungsprozess für Sicherheitsvorfälle (DER.2.1) und eine grundlegende Netzsegmentierung (NET.1.1).

Was fehlt — vier NIS2-spezifische Lücken: Die BSI-Registrierung nach §33 BSIG war im März 2026 fällig und ist im Grundschutz nicht enthalten. Die §32-Meldekaskade mit 24h/72h/1-Monat-Fristen kennt der bestehende DER.2.1-Prozess nicht. Die GL-Schulungspflicht nach §38 Abs. 3 BSIG geht über ORP.3 hinaus, weil sie namentlich die Geschäftsführung adressiert. Die §38-Verantwortungs-Dokumentation (Billigung und Überwachung) erfordert eine eigene Spur jenseits von ISMS.1.A1.

Der Aha-Moment: Bei der Prüfung des bestehenden DER.2.1-Prozesses fiel auf, dass die interne Eskalation reibungslos funktionierte, eine externe BSI-Meldung innerhalb 24 Stunden war aber nirgends vorgesehen. Niemand wusste, wer das Meldeformular ausfüllt, wer es freigibt und über welchen Kanal es an das BSI geht. Diese Lücke wurde erst im NIS2-Delta sichtbar und gehört seither als feste Eskalationsstufe in den Vorfallprozess.

Auflösung in 4–6 Wochen: Portal-Registrierung beim BSI (1–2 Tage), Erweiterung des DER.2.1-Prozesses um die §32-Meldekaskade als eigenes Kapitel (1 Woche), Schulungsplan für die Geschäftsleitung aufsetzen und externe Schulung buchen (2 Wochen Vorlauf), §38-Brückendokument schreiben, das Bausteine den §30-Pflichten zuordnet und die NIS2-spezifische Dokumentation ergänzt (1 Woche).

Einordnung: Der NIS2-Sektor Energie zählt zu den hochkritischen Sektoren mit den strengsten Anforderungen; Stadtwerke ab rund 30.000 Einwohner-Versorgungsgebiet fallen in der Regel als besonders wichtige Einrichtungen unter §28 BSIG. Die BSI-Betroffenheitsprüfung liefert dazu die offizielle Sektorzuordnung.

Der NIS2Compass-Vor-Check fragt explizit nach bestehender Grundschutz-Umsetzung und mappt automatisch zu den vorab erfüllten Umsetzungsschritten. Der NIS2 Guide bringt das verbleibende Delta in 8 Kapiteln durch konkrete Substeps, und die Template Library deckt Meldeprozess, GL-Schulungsplan und §38-Brückendokument als fertige Vorlagen ab.

Häufig gestellte Fragen

Ist BSI IT-Grundschutz für NIS2 verpflichtend?

Nein. Weder §30 BSIG noch das NIS2UmsuCG schreiben einen bestimmten Standard vor. Das BSI bestätigt das auf seiner Infoseite zu ISO/IEC 27001 im Kontext NIS-2 ausdrücklich: "Das BSI schreibt keine bestimmte Norm vor." Pflicht ist die Umsetzung der zehn §30-Maßnahmenbereiche angemessen, wirksam und verhältnismäßig. Der Weg dorthin ist frei wählbar.

Reicht die IT-Grundschutz-Basis-Absicherung für NIS2?

Teilweise. Die Basis-Absicherung deckt die zehn §30-Maßnahmenbereiche strukturell ab und ist für KMU ein guter Einstieg. Die rein gesetzlichen NIS2-Pflichten bleiben aber offen: die Registrierung nach §33 BSIG, die Meldekaskade nach §32 BSIG sowie die persönliche Geschäftsleitungshaftung nach §38 BSIG. Diese Punkte müssen separat dokumentiert werden.

Was ist der Unterschied zwischen BSI IT-Grundschutz und den BSI-Standards 200-x?

Die BSI-Standards 200-1 bis 200-4 sind die methodische Grundlage. 200-1 beschreibt den ISMS-Aufbau, 200-2 die IT-Grundschutz-Methodik mit Basis-, Standard- und Kern-Absicherung, 200-3 die Risikoanalyse und 200-4 das Business Continuity Management. Das IT-Grundschutz-Kompendium liefert die konkreten Bausteine, rund 110 in der 6. Edition 2023.

Muss ich von ISO 27001 zu IT-Grundschutz wechseln für NIS2?

Nein. Beide Standards decken die §30-Anforderungen zu rund 80 Prozent ab. Ein Wechsel wegen NIS2 ist nicht erforderlich. Wer ISO 27001 bereits etabliert hat, hält daran fest und baut nur die NIS2-spezifischen Lücken zusätzlich auf: Registrierung, Meldekaskade und §38-Pflichten. Der Aufwand für einen Standard-Wechsel übersteigt fast immer den Nutzen.

Wo liegen die größten Lücken von IT-Grundschutz bezüglich NIS2?

In den rein gesetzlichen Pflichten, die kein technischer Standard abbilden kann: die BSI-Registrierung nach §33 BSIG, die dreistufige Meldekaskade nach §32 BSIG mit 24-Stunden-, 72-Stunden- und 1-Monats-Frist, die persönliche Geschäftsleitungshaftung nach §38 BSIG und die namentliche GL-Schulungspflicht nach §38 Abs. 3 BSIG. Diese Lücken werden über zusätzliche Dokumentation und Prozesse geschlossen.

NIS2 strukturiert umsetzen

NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.

Jetzt starten

Ähnliche Artikel

guide

KRITIS-Dachgesetz und NIS2: Was gilt für wen?

Seit Juli 2026 müssen sich rund 2.000 KRITIS-Betreiber zusätzlich zu NIS2 registrieren. Wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke erfüllen muss – Sektoren, Fristen und Bußgelder im Überblick.

7 Min. Lesezeit

guide

NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.

6 Min. Lesezeit

guide

NIS2 BSI-Registrierung: Frist verpasst — was jetzt?

Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.

9 Min. Lesezeit

Zurück zum Blog