NIS2Compass — NIS2-Compliance-Plattform
Use CasesPreise

Weiterführende Seiten

  • Blog
  • FAQ
  • Glossar
  • Use Cases
  • Branchen
  • Preisgestaltung

Offizielle Quellen

  • BSI – Bundesamt für Sicherheit in der Informationstechnik
  • NIS2-Richtlinie (EUR-Lex)
  • NIS2UmsuCG (Bundesgesetzblatt)
NIS2Compass — NIS2-Compliance-Plattform

Ihr Navigator durch die NIS2-Compliance

Rechtliches

  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Cookie-Richtlinie
  • Impressum

Ressourcen

  • Blog
  • Use Cases
  • Branchen
  • Preise
  • FAQ
  • Glossar

Kontakt

Kontakt

kontakt@nis2compass.de

NIS2Compass bietet Informationen und Orientierungshilfen zur NIS2-Compliance. Die Inhalte stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzen keine individuelle rechtliche oder fachliche Beratung.

© Copyright 2026 NIS2Compass. Alle Rechte vorbehalten.

Entwickelt in DeutschlandAllianz für Cyber-Sicherheit — Teilnehmer
Startseite/Blog/NIS2 mit Vanta oder Drata: Was ISMS-Tools nicht abdecken
Leitfaden

NIS2 mit Vanta oder Drata: Was ISMS-Tools nicht abdecken

Verfasst von NIS2Compass Team, NIS2-Compliance-Experte
Stand:9. Juni 20268 Min. Lesezeit
Abstrakte Illustration: Ein Puzzle in Dunkelblau und Teal, bei dem ein einzelnes Puzzleteil eingesetzt wird — symbolisiert die fehlende NIS2-Ergänzung für ISMS-Tools

Vanta, Drata und Co. bieten NIS2-Module — doch das deutsche NIS2UmsuCG verlangt mehr. Erfahren Sie, welche Lücken bleiben und wie NIS2Compass sie schließt.

Vanta, Drata und Secureframe bieten NIS2-Module, die auf Artikel 21 der EU-Richtlinie mappen. Keine dieser Plattformen bildet jedoch das deutsche NIS2UmsuCG, die zehn §30-BSIG-Maßnahmen oder die BSI-Registrierung ab. NIS2Compass schließt genau diese Lücke als tool-agnostische Ergänzung mit deutschem NIS2-Fachwissen, fertigen Vorlagen und einem strukturierten 8-Kapitel-Umsetzungspfad.

Hinweis für ISO-zertifizierte Unternehmen: Eine ISO 27001-Zertifizierung deckt rund 70 % der NIS2-Anforderungen ab, ersetzt aber §32-Meldepflichten, §38-Geschäftsleitungshaftung und die BSI-Registrierungspflicht nicht. Das BSI hat dazu eine klare Position: Reicht eine ISO 27001-Zertifizierung für NIS2-Compliance aus?

Dieser Artikel zeigt, was die führenden ISMS-Plattformen für NIS2 leisten, wo ihre Grenzen liegen und wie Sie die Lücke zwischen EU-Framework und deutschem Recht schließen.

Was bieten Vanta, Drata und Co. für NIS2?

Compliance-Plattformen wie Vanta, Drata, Secureframe und Sprinto haben NIS2-Module eingeführt. Diese mappen die EU-Richtlinie Artikel 21 auf bestehende Kontrollkataloge. Vanta wirbt mit über 1.400 automatisierten Tests und bis zu 65 % Automatisierung der NIS2-Compliance-Aufgaben.

Was bietet Vanta für NIS2?

Vanta hat sein NIS2-Framework als eigenständiges Modul in die Plattform integriert. Automatisierte Tests prüfen Cloud-Konfigurationen, Zugriffsrechte und Endpoint-Security gegen die zehn Risikomanagementmaßnahmen aus Artikel 21. Über 400 Integrationen mit Cloud-, Identity- und Device-Tools ermöglichen Cross-Framework-Mapping.

Das bedeutet in der Praxis: Wer bereits SOC 2 oder ISO 27001 über Vanta verwaltet, kann NIS2-Kontrollen parallel aktivieren. Bereits erfüllte Anforderungen werden automatisch übernommen.

Was bieten Drata, Secureframe und Sprinto?

Drata hat seine NIS2-Kontrollen nach der ENISA-2025-Guidance gemappt und bietet ein eigenes Drata Cybersecurity Framework. Continuous Monitoring und automatisierte Evidenz-Sammlung gehören zum Standardumfang.

Secureframe setzt auf Continuous Monitoring, Policy Templates und eine European Data Center Option für Unternehmen mit Datenhaltungsanforderungen. Sprinto mappt über 70 Controls auf NIS2 Artikel 21 und stellt einen Evidence Hub für die Audit-Vorbereitung bereit.

Was haben alle Plattformen gemeinsam?

Alle vier Plattformen mappen auf die EU-Richtlinie Artikel 21, also die zehn Risikomanagementmaßnahmen auf europäischer Ebene. Ihre Kernkompetenz liegt in der technischen Kontrollautomatisierung für Cloud-Infrastruktur.

Gleichzeitig gilt: Alle wurden primär für SOC 2 und ISO 27001 gebaut. NIS2 ist bei jeder Plattform ein Zusatz-Framework, nicht der Produktkern. Die Stärken liegen in der automatisierten Evidenz-Sammlung, im Cross-Framework-Mapping und in der Audit-Readiness für internationale Standards.

Warum reicht ein EU-NIS2-Modul für deutsche Unternehmen nicht?

NIS2 ist eine EU-Richtlinie, kein direkt geltendes Gesetz. Für deutsche Unternehmen zählt das NIS2UmsuCG mit seinen konkreten Pflichten nach §30 BSIG. Keine der internationalen Compliance-Plattformen bildet diesen deutschen Rechtsrahmen ab, weder die BSI-Registrierung noch die dreistufigen Meldepflichten.

Welche fünf Lücken lassen internationale Plattformen offen?

  1. Kein §30-BSIG-Mapping: Vanta und Drata mappen auf EU Artikel 21, nicht auf die deutsche Konkretisierung in §30 BSIG. Das NIS2UmsuCG geht in mehreren Punkten über die EU-Richtlinie hinaus. Die zehn konkreten Maßnahmenbereiche des deutschen Gesetzes fehlen vollständig.
  2. Keine BSI-Registrierung: Das BSI-Portal, der Registrierungsprozess und die zugehörigen Fristen sind in keiner internationalen Plattform abgebildet. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen.
  3. Keine deutschen Meldepflichten: Die dreistufige Meldekette nach §32 BSIG fehlt als Prozess. Unternehmen müssen innerhalb von 24 Stunden eine Frühwarnung abgeben, nach 72 Stunden eine Erstmeldung liefern und binnen eines Monats einen Abschlussbericht einreichen.
  4. Keine deutschen Vorlagen: Risikoregister, Informationssicherheitsleitlinie, IR-Plan und Lieferanteninventar auf Deutsch und nach deutschem Recht sind nicht vorhanden. Unternehmen müssen diese Dokumente separat erstellen.
  5. Kein BSI-IT-Grundschutz-Mapping: In Deutschland ist der BSI IT-Grundschutz neben ISO 27001 das verbreitetste Rahmenwerk für Informationssicherheit. Internationale Tools ignorieren ihn vollständig.

Eine Studie der IT-SA 2025 unter 245 IT-Entscheidern zeigt: 53 % der Unternehmen haben nie geprüft, ob NIS2 für sie gilt. Wer sich auf ein generisches EU-Modul verlässt, riskiert dieselbe Lücke auf der Umsetzungsebene.

Was bedeutet das für die Geschäftsführerhaftung?

Nach §38 BSIG haften Geschäftsführer persönlich für die Umsetzung der Maßnahmen aus §30. Ein Mapping auf EU Artikel 21 reicht dafür nicht aus. Das deutsche Gesetz ist der Maßstab, an dem das BSI prüft.

Wer als Geschäftsführer nachweisen muss, dass alle zehn Maßnahmenbereiche umgesetzt sind, braucht eine Dokumentation auf Basis des deutschen Rechtsrahmens. Wie sich §30 BSIG konkret von ISO 27001 unterscheidet, erklärt der Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.

„Compliance-Plattformen, die nur die EU-Richtlinie abbilden, lassen den entscheidenden letzten Kilometer aus: das nationale Umsetzungsgesetz. Für deutsche Unternehmen ist aber genau dieses Gesetz der Maßstab, an dem das BSI prüft." — Dr. Markus Hartmann, Senior Compliance-Berater

Was kostet NIS2-Compliance mit einem ISMS-Tool wirklich?

Vanta kostet im Median rund 20.000 USD pro Jahr, Drata rund 25.000 USD. Darin enthalten ist das NIS2-Framework als Kontrollkatalog, aber nicht das Fachwissen für die deutsche Umsetzung. Viele Unternehmen buchen zusätzlich NIS2-Beratung für 50.000 bis 150.000 EUR.

Was kosten die Plattformen im Überblick?

Die Lizenzkosten variieren stark nach Unternehmensgröße und Anzahl der Frameworks:

  • Vanta: 10.000–80.000 USD/Jahr (Median ca. 20.000 USD). Jedes zusätzliche Framework erhöht den Preis.
  • Drata: 10.250–42.750 USD/Jahr (Median ca. 25.000 USD). Zusätzliche Frameworks kosten 3.000–10.000 USD.
  • Secureframe: 7.500–50.000 USD/Jahr, je nach Umfang und Modulen.
  • NIS2Compass: 29 EUR/Monat (348 EUR/Jahr), monatlich kündbar.

Ein wichtiger Hinweis zur Einordnung: NIS2Compass ist kein Ersatz für diese Plattformen. Es deckt einen anderen Scope ab. Die Gegenüberstellung zeigt den Preis für die NIS2-spezifische Ergänzung, nicht für ein vollständiges ISMS-Tool.

Welche versteckten Kosten kommen dazu?

Die Plattform-Lizenz ist nur ein Teil der Rechnung. Ein ISMS-Tool liefert den Kontrollkatalog, aber nicht die operative Umsetzung. Für die konkrete NIS2-Implementierung beauftragen viele Unternehmen zusätzlich externe Berater.

Ein typisches NIS2-Beratungsprojekt für KMU liegt bei 50.000 bis 150.000 EUR. Im ersten Jahr summieren sich ISMS-Tool-Lizenz und Beratungskosten schnell auf einen sechsstelligen Betrag.

Gleichzeitig zeigt die Bitkom-Studie Wirtschaftsschutz 2025, dass über die Hälfte der deutschen Unternehmen weniger als die empfohlenen 20 Prozent ihres IT-Budgets in Sicherheit investiert. Die Lücke zwischen regulatorischer Anforderung und tatsächlichem Budget ist real.

Für Unternehmen, die bereits ein ISMS-Tool nutzen, stellt sich daher die Frage: Lässt sich der NIS2-spezifische Anteil günstiger und gezielter abdecken? Ein Vergleich der Optionen findet sich im Artikel NIS2-Berater oder selbst umsetzen? Ein Kostenvergleich.

Wie ergänzt NIS2Compass Ihr bestehendes ISMS-Tool?

NIS2Compass ist kein ISMS-Tool und ersetzt keines. Es liefert das, was Vanta, Drata und andere nicht abdecken: deutsches NIS2-Fachwissen, einen strukturierten 8-Kapitel-Umsetzungspfad mit 124 Schritten und über 20 fertige Vorlagen im Word- und Excel-Format. Die Ergebnisse lassen sich in jedes bestehende System übernehmen.

Welche Rolle übernimmt NIS2Compass?

Die Rollenverteilung ist klar. NIS2Compass liefert den fachlichen Unterbau, Ihr ISMS-Tool verwaltet die Ergebnisse.

NIS2Compass übernimmt:

  • NIS2-Fachwissen: 40+ Fachartikel im Knowledge Hub zu allen zehn §30-Maßnahmenbereichen
  • Strukturierter Umsetzungspfad: Der NIS2 Guide führt in 8 Kapiteln und 124 Schritten durch die gesamte Umsetzung
  • Fertige Vorlagen: Über 20 Templates in der Vorlagen-Bibliothek, darunter Risikoregister, IR-Plan und Informationssicherheitsleitlinie
  • Gap-Analyse: Der Vor-Check identifiziert in unter 5 Minuten, wo Handlungsbedarf besteht

Ihr ISMS-Tool behält seine Stärken:

  • Dokumentenmanagement und Audit-Trail
  • Kontrollkataloge und Compliance-Status
  • Aufgaben- und Fristenverwaltung
  • Reporting an Auditoren und Geschäftsleitung

Wie funktioniert der Workflow in der Praxis?

Der typische Ablauf folgt fünf Schritten:

  1. Vor-Check durchführen: Er zeigt, welche NIS2-Bereiche noch offen sind.
  2. Guide-Kapitel abarbeiten: Schritt für Schritt durch die §30-Maßnahmen navigieren.
  3. Templates herunterladen und anpassen: Risikoregister, Richtlinien und IR-Plan auf die eigene Organisation zuschneiden.
  4. Ergebnisse ins ISMS-Tool übernehmen: Fertige Dokumente importieren, Kontrollen abhaken.
  5. Knowledge Hub bei Fachfragen nutzen: Vertiefung zu jedem der zehn Maßnahmenbereiche ist jederzeit verfügbar.

Alle Templates liegen im Word- und Excel-Format vor. Keine API-Anbindung nötig, kein Vendor-Lock-in. NIS2Compass deckt mit über 40 Fachartikeln, 20+ Vorlagen und einem 124-Schritte-Guide alle zehn §30-Maßnahmenbereiche ab. Für 29 EUR pro Monat erhalten Sie einen vollständigen NIS2-Umsetzungspfad als Ergänzung zu Ihrem bestehenden ISMS.

Eine ausführliche Darstellung der Integration bietet der Artikel NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt.

Praxisszenario: IT-Dienstleister mit Drata und NIS2-Pflicht

Ein IT-Dienstleister mit 80 Mitarbeitenden nutzt Drata seit zwei Jahren für SOC-2-Audits. Als das NIS2UmsuCG in Kraft tritt, zeigt sich: Drata mappt die EU-Richtlinie, aber nicht die deutschen §30-BSIG-Maßnahmen. Mit NIS2Compass als Ergänzung schließt das Unternehmen die Lücken in sechs Wochen.

Wie war die Ausgangslage?

Das Unternehmen bietet Managed Services an und erwirtschaftet 12 Mio. EUR Jahresumsatz. Als Anbieter digitaler Infrastruktur fällt es unter NIS2 und ist als „wichtige Einrichtung" eingestuft. Das IT-Team umfasst sechs Personen, ein interner ISB arbeitet in Teilzeit.

Drata ist seit 2024 im Einsatz und deckt die SOC-2-Audits bei Kundenprojekten zuverlässig ab. Doch bei der NIS2-Umsetzung zeigen sich konkrete Lücken:

  • Kein §30-BSIG-Mapping für die zehn deutschen Maßnahmenbereiche
  • Keine Anleitung für die BSI-Registrierung über das BSI-Portal
  • Kein Incident-Response-Plan mit der 24h/72h/1-Monat-Meldestaffelung nach §32 BSIG
  • Keine deutsche Informationssicherheitsleitlinie als Grundlagendokument

Ein weiteres Risiko: Der Geschäftsführer weiß nicht, dass er nach §38 BSIG persönlich für die Umsetzung haftet.

Wie wurde die Lücke geschlossen?

Das Unternehmen ergänzt Drata um den NIS2 Guide von NIS2Compass (29 EUR/Monat). Der Vor-Check zeigt sofort die Lücken bei IR-Plan, BSI-Registrierung und Lieferanteninventar. In sechs Wochen arbeitet das IT-Team die relevanten Kapitel ab:

  • Kapitel 1: BSI-Registrierung Schritt für Schritt abgeschlossen
  • Kapitel 4: IR-Plan mit fertiger Vorlage erstellt, Meldefristen eingerichtet
  • Kapitel 5: Geschäftsführer-Pflichten dokumentiert, Schulung geplant
  • Kapitel 6: Lieferanteninventar mit Template aus der Vorlagen-Bibliothek angelegt

Alle erstellten Dokumente werden anschließend in Drata importiert und die Kontrollen aktualisiert.

Das Ergebnis: NIS2-Lücken in sechs Wochen geschlossen. Gesamtkosten: 174 EUR (6 Monate × 29 EUR) statt fünfstelliger Beratungskosten. Drata bleibt die zentrale Plattform für SOC 2 und Dokumentation. NIS2Compass lieferte den fehlenden Inhalt und den strukturierten Umsetzungspfad.

Szenario ist anonymisiert und dient der Veranschaulichung.

Häufig gestellte Fragen

Kann ich NIS2 komplett mit Vanta oder Drata umsetzen?

Nein. Vanta und Drata mappen auf Artikel 21 der EU-Richtlinie, nicht auf das deutsche NIS2UmsuCG. Die BSI-Registrierung, die zehn §30-BSIG-Maßnahmen, die dreistufige Meldepflicht nach §32 BSIG und deutsche Vorlagen fehlen vollständig. Für deutsche Unternehmen ist eine Ergänzung mit NIS2-spezifischem Fachwissen zwingend nötig.

Ersetzt NIS2Compass mein ISMS-Tool?

Nein. NIS2Compass ist kein ISMS-Tool und ersetzt weder Vanta noch Drata. Es ergänzt Ihr bestehendes System mit NIS2-Fachwissen, einem strukturierten Umsetzungspfad und fertigen Vorlagen. Die operative Dokumentenverwaltung, das Audit-Tracking und die Control-Pflege bleiben in Ihrem ISMS-Tool.

Funktioniert NIS2Compass mit Vanta, Drata und anderen Plattformen?

Ja. NIS2Compass ist vollständig tool-agnostisch. Alle Vorlagen liegen als Word- und Excel-Dateien vor, die sich in jede Plattform importieren lassen. Es gibt keine API-Anbindung und kein Vendor-Lock-in. Sie nutzen NIS2Compass für den Aufbau und übertragen die Ergebnisse in Ihr bestehendes System.

Was kostet NIS2Compass im Vergleich zu Vanta?

NIS2Compass kostet 29 EUR pro Monat (348 EUR/Jahr). Vanta beginnt bei circa 10.000 USD/Jahr und kann bei größeren Unternehmen auf über 80.000 USD/Jahr steigen. Die Produkte konkurrieren nicht miteinander. NIS2Compass liefert das NIS2-Fachwissen, Vanta die ISMS-Verwaltung.

Reicht mein ISMS-Tool allein für NIS2-Compliance?

In den meisten Fällen nicht. Laut einer G DATA Studie haben nur 12,1 % der betroffenen Unternehmen NIS2 vollständig umgesetzt. Das Problem ist nicht die Verwaltung, sondern fehlendes NIS2-Fachwissen. Ein ISMS-Tool organisiert Ihre Dokumente, erklärt aber nicht, welche Maßnahmen §30 BSIG konkret fordert.

NIS2 strukturiert umsetzen

NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.

Jetzt starten

Ähnliche Artikel

guide

KRITIS-Dachgesetz und NIS2: Was gilt für wen?

Seit Juli 2026 müssen sich rund 2.000 KRITIS-Betreiber zusätzlich zu NIS2 registrieren. Wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke erfüllen muss – Sektoren, Fristen und Bußgelder im Überblick.

7 Min. Lesezeit

guide

NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.

6 Min. Lesezeit

guide

NIS2 BSI-Registrierung: Frist verpasst — was jetzt?

Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.

9 Min. Lesezeit

Zurück zum Blog