NIS2 mit Vanta oder Drata: Was ISMS-Tools nicht abdecken | NIS2Compass
Leitfaden
NIS2 mit Vanta oder Drata: Was ISMS-Tools nicht abdecken
8 Min. LesezeitNIS2Compass Team
Vanta, Drata und Co. bieten NIS2-Module — doch das deutsche NIS2UmsuCG verlangt mehr. Erfahren Sie, welche Lücken bleiben und wie NIS2Compass sie schließt.
Vanta, Drata und Secureframe bieten NIS2-Module, die auf Artikel 21 der EU-Richtlinie mappen. Keine dieser Plattformen bildet jedoch das deutsche NIS2UmsuCG, die zehn §30-BSIG-Maßnahmen oder die BSI-Registrierung ab. NIS2Compass schließt genau diese Lücke als tool-agnostische Ergänzung mit deutschem NIS2-Fachwissen, fertigen Vorlagen und einem strukturierten 8-Kapitel-Umsetzungspfad.
Dieser Artikel zeigt, was die führenden ISMS-Plattformen für NIS2 leisten, wo ihre Grenzen liegen und wie Sie die Lücke zwischen EU-Framework und deutschem Recht schließen.
Compliance-Plattformen wie Vanta, Drata, Secureframe und Sprinto haben NIS2-Module eingeführt. Diese mappen die EU-Richtlinie Artikel 21 auf bestehende Kontrollkataloge.Vanta wirbt mit über 1.400 automatisierten Tests und bis zu 65 % Automatisierung der NIS2-Compliance-Aufgaben.
Vanta hat sein NIS2-Framework als eigenständiges Modul in die Plattform integriert. Automatisierte Tests prüfen Cloud-Konfigurationen, Zugriffsrechte und Endpoint-Security gegen die zehn Risikomanagementmaßnahmen aus Artikel 21. Über 400 Integrationen mit Cloud-, Identity- und Device-Tools ermöglichen Cross-Framework-Mapping.
Das bedeutet in der Praxis: Wer bereits SOC 2 oder ISO 27001 über Vanta verwaltet, kann NIS2-Kontrollen parallel aktivieren. Bereits erfüllte Anforderungen werden automatisch übernommen.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Drata hat seine NIS2-Kontrollen nach der ENISA-2025-Guidance gemappt und bietet ein eigenes Drata Cybersecurity Framework. Continuous Monitoring und automatisierte Evidenz-Sammlung gehören zum Standardumfang.
Secureframe setzt auf Continuous Monitoring, Policy Templates und eine European Data Center Option für Unternehmen mit Datenhaltungsanforderungen. Sprinto mappt über 70 Controls auf NIS2 Artikel 21 und stellt einen Evidence Hub für die Audit-Vorbereitung bereit.
Alle vier Plattformen mappen auf die EU-Richtlinie Artikel 21, also die zehn Risikomanagementmaßnahmen auf europäischer Ebene. Ihre Kernkompetenz liegt in der technischen Kontrollautomatisierung für Cloud-Infrastruktur.
Gleichzeitig gilt: Alle wurden primär für SOC 2 und ISO 27001 gebaut. NIS2 ist bei jeder Plattform ein Zusatz-Framework, nicht der Produktkern. Die Stärken liegen in der automatisierten Evidenz-Sammlung, im Cross-Framework-Mapping und in der Audit-Readiness für internationale Standards.
NIS2 ist eine EU-Richtlinie, kein direkt geltendes Gesetz. Für deutsche Unternehmen zählt das NIS2UmsuCG mit seinen konkreten Pflichten nach §30 BSIG. Keine der internationalen Compliance-Plattformen bildet diesen deutschen Rechtsrahmen ab, weder die BSI-Registrierung noch die dreistufigen Meldepflichten.
Kein §30-BSIG-Mapping: Vanta und Drata mappen auf EU Artikel 21, nicht auf die deutsche Konkretisierung in §30 BSIG. Das NIS2UmsuCG geht in mehreren Punkten über die EU-Richtlinie hinaus. Die zehn konkreten Maßnahmenbereiche des deutschen Gesetzes fehlen vollständig.
Keine BSI-Registrierung: Das BSI-Portal, der Registrierungsprozess und die zugehörigen Fristen sind in keiner internationalen Plattform abgebildet. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen.
Keine deutschen Meldepflichten: Die dreistufige Meldekette nach §32 BSIG fehlt als Prozess. Unternehmen müssen innerhalb von 24 Stunden eine Frühwarnung abgeben, nach 72 Stunden eine Erstmeldung liefern und binnen eines Monats einen Abschlussbericht einreichen.
Keine deutschen Vorlagen: Risikoregister, Informationssicherheitsleitlinie, IR-Plan und Lieferanteninventar auf Deutsch und nach deutschem Recht sind nicht vorhanden. Unternehmen müssen diese Dokumente separat erstellen.
Kein BSI-IT-Grundschutz-Mapping: In Deutschland ist der BSI IT-Grundschutz neben ISO 27001 das verbreitetste Rahmenwerk für Informationssicherheit. Internationale Tools ignorieren ihn vollständig.
Eine Studie der IT-SA 2025 unter 245 IT-Entscheidern zeigt: 53 % der Unternehmen haben nie geprüft, ob NIS2 für sie gilt. Wer sich auf ein generisches EU-Modul verlässt, riskiert dieselbe Lücke auf der Umsetzungsebene.
Nach §38 BSIG haften Geschäftsführer persönlich für die Umsetzung der Maßnahmen aus §30. Ein Mapping auf EU Artikel 21 reicht dafür nicht aus. Das deutsche Gesetz ist der Maßstab, an dem das BSI prüft.
Wer als Geschäftsführer nachweisen muss, dass alle zehn Maßnahmenbereiche umgesetzt sind, braucht eine Dokumentation auf Basis des deutschen Rechtsrahmens. Wie sich §30 BSIG konkret von ISO 27001 unterscheidet, erklärt der Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.
„Compliance-Plattformen, die nur die EU-Richtlinie abbilden, lassen den entscheidenden letzten Kilometer aus: das nationale Umsetzungsgesetz. Für deutsche Unternehmen ist aber genau dieses Gesetz der Maßstab, an dem das BSI prüft." — Dr. Markus Hartmann, Senior Compliance-Berater
Vanta kostet im Median rund 20.000 USD pro Jahr, Drata rund 25.000 USD. Darin enthalten ist das NIS2-Framework als Kontrollkatalog, aber nicht das Fachwissen für die deutsche Umsetzung. Viele Unternehmen buchen zusätzlich NIS2-Beratung für 50.000 bis 150.000 EUR.
Ein wichtiger Hinweis zur Einordnung: NIS2Compass ist kein Ersatz für diese Plattformen. Es deckt einen anderen Scope ab. Die Gegenüberstellung zeigt den Preis für die NIS2-spezifische Ergänzung, nicht für ein vollständiges ISMS-Tool.
Die Plattform-Lizenz ist nur ein Teil der Rechnung. Ein ISMS-Tool liefert den Kontrollkatalog, aber nicht die operative Umsetzung. Für die konkrete NIS2-Implementierung beauftragen viele Unternehmen zusätzlich externe Berater.
Ein typisches NIS2-Beratungsprojekt für KMU liegt bei 50.000 bis 150.000 EUR. Im ersten Jahr summieren sich ISMS-Tool-Lizenz und Beratungskosten schnell auf einen sechsstelligen Betrag.
Gleichzeitig zeigt die Bitkom-Studie Wirtschaftsschutz 2025, dass über die Hälfte der deutschen Unternehmen weniger als die empfohlenen 20 Prozent ihres IT-Budgets in Sicherheit investiert. Die Lücke zwischen regulatorischer Anforderung und tatsächlichem Budget ist real.
Für Unternehmen, die bereits ein ISMS-Tool nutzen, stellt sich daher die Frage: Lässt sich der NIS2-spezifische Anteil günstiger und gezielter abdecken? Ein Vergleich der Optionen findet sich im Artikel NIS2-Berater oder selbst umsetzen? Ein Kostenvergleich.
NIS2Compass ist kein ISMS-Tool und ersetzt keines. Es liefert das, was Vanta, Drata und andere nicht abdecken: deutsches NIS2-Fachwissen, einen strukturierten 8-Kapitel-Umsetzungspfad mit 124 Schritten und über 20 fertige Vorlagen im Word- und Excel-Format. Die Ergebnisse lassen sich in jedes bestehende System übernehmen.
Vor-Check durchführen: Er zeigt, welche NIS2-Bereiche noch offen sind.
Guide-Kapitel abarbeiten: Schritt für Schritt durch die §30-Maßnahmen navigieren.
Templates herunterladen und anpassen: Risikoregister, Richtlinien und IR-Plan auf die eigene Organisation zuschneiden.
Ergebnisse ins ISMS-Tool übernehmen: Fertige Dokumente importieren, Kontrollen abhaken.
Knowledge Hub bei Fachfragen nutzen: Vertiefung zu jedem der zehn Maßnahmenbereiche ist jederzeit verfügbar.
Alle Templates liegen im Word- und Excel-Format vor. Keine API-Anbindung nötig, kein Vendor-Lock-in. NIS2Compass deckt mit über 40 Fachartikeln, 20+ Vorlagen und einem 124-Schritte-Guide alle zehn §30-Maßnahmenbereiche ab. Für 29 EUR pro Monat erhalten Sie einen vollständigen NIS2-Umsetzungspfad als Ergänzung zu Ihrem bestehenden ISMS.
Ein IT-Dienstleister mit 80 Mitarbeitenden nutzt Drata seit zwei Jahren für SOC-2-Audits. Als das NIS2UmsuCG in Kraft tritt, zeigt sich: Drata mappt die EU-Richtlinie, aber nicht die deutschen §30-BSIG-Maßnahmen. Mit NIS2Compass als Ergänzung schließt das Unternehmen die Lücken in sechs Wochen.
Das Unternehmen bietet Managed Services an und erwirtschaftet 12 Mio. EUR Jahresumsatz. Als Anbieter digitaler Infrastruktur fällt es unter NIS2 und ist als „wichtige Einrichtung" eingestuft. Das IT-Team umfasst sechs Personen, ein interner ISB arbeitet in Teilzeit.
Drata ist seit 2024 im Einsatz und deckt die SOC-2-Audits bei Kundenprojekten zuverlässig ab. Doch bei der NIS2-Umsetzung zeigen sich konkrete Lücken:
Kein §30-BSIG-Mapping für die zehn deutschen Maßnahmenbereiche
Keine Anleitung für die BSI-Registrierung über das BSI-Portal
Kein Incident-Response-Plan mit der 24h/72h/1-Monat-Meldestaffelung nach §32 BSIG
Keine deutsche Informationssicherheitsleitlinie als Grundlagendokument
Ein weiteres Risiko: Der Geschäftsführer weiß nicht, dass er nach §38 BSIG persönlich für die Umsetzung haftet.
Das Unternehmen ergänzt Drata um den NIS2 Guide von NIS2Compass (29 EUR/Monat). Der Vor-Check zeigt sofort die Lücken bei IR-Plan, BSI-Registrierung und Lieferanteninventar. In sechs Wochen arbeitet das IT-Team die relevanten Kapitel ab:
Kapitel 1: BSI-Registrierung Schritt für Schritt abgeschlossen
Kapitel 4: IR-Plan mit fertiger Vorlage erstellt, Meldefristen eingerichtet
Kapitel 6: Lieferanteninventar mit Template aus der Vorlagen-Bibliothek angelegt
Alle erstellten Dokumente werden anschließend in Drata importiert und die Kontrollen aktualisiert.
Das Ergebnis: NIS2-Lücken in sechs Wochen geschlossen. Gesamtkosten: 174 EUR (6 Monate × 29 EUR) statt fünfstelliger Beratungskosten. Drata bleibt die zentrale Plattform für SOC 2 und Dokumentation. NIS2Compass lieferte den fehlenden Inhalt und den strukturierten Umsetzungspfad.
Szenario ist anonymisiert und dient der Veranschaulichung.
Nein. Vanta und Drata mappen auf Artikel 21 der EU-Richtlinie, nicht auf das deutsche NIS2UmsuCG. Die BSI-Registrierung, die zehn §30-BSIG-Maßnahmen, die dreistufige Meldepflicht nach §32 BSIG und deutsche Vorlagen fehlen vollständig. Für deutsche Unternehmen ist eine Ergänzung mit NIS2-spezifischem Fachwissen zwingend nötig.
Nein. NIS2Compass ist kein ISMS-Tool und ersetzt weder Vanta noch Drata. Es ergänzt Ihr bestehendes System mit NIS2-Fachwissen, einem strukturierten Umsetzungspfad und fertigen Vorlagen. Die operative Dokumentenverwaltung, das Audit-Tracking und die Control-Pflege bleiben in Ihrem ISMS-Tool.
Ja. NIS2Compass ist vollständig tool-agnostisch. Alle Vorlagen liegen als Word- und Excel-Dateien vor, die sich in jede Plattform importieren lassen. Es gibt keine API-Anbindung und kein Vendor-Lock-in. Sie nutzen NIS2Compass für den Aufbau und übertragen die Ergebnisse in Ihr bestehendes System.
NIS2Compass kostet 29 EUR pro Monat (348 EUR/Jahr). Vanta beginnt bei circa 10.000 USD/Jahr und kann bei größeren Unternehmen auf über 80.000 USD/Jahr steigen. Die Produkte konkurrieren nicht miteinander. NIS2Compass liefert das NIS2-Fachwissen, Vanta die ISMS-Verwaltung.
In den meisten Fällen nicht. Laut einer G DATA Studie haben nur 12,1 % der betroffenen Unternehmen NIS2 vollständig umgesetzt. Das Problem ist nicht die Verwaltung, sondern fehlendes NIS2-Fachwissen. Ein ISMS-Tool organisiert Ihre Dokumente, erklärt aber nicht, welche Maßnahmen §30 BSIG konkret fordert.
