NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt | NIS2Compass Blog | NIS2Compass
Leitfaden
NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt
9 Min. LesezeitNIS2Compass Team
ISMS-Tools verwalten Kontrollen und Audits — aber sie liefern keinen NIS2-Umsetzungspfad. Warum ISMS-Anbieter Beratung dazuverkaufen, wo der rote Faden fehlt und wie NIS2Compass die Lücke schließt.
ISMS-Tools verwalten Kontrollen, Dokumente und Audits — aber sie liefern weder den NIS2-spezifischen Umsetzungspfad noch die konkreten §30-Maßnahmen. Deshalb verkaufen die meisten Anbieter NIS2-Beratung als kostenpflichtiges Add-on. NIS2Compass schließt genau diese Lücke: strukturiertes NIS2-Fachwissen, fertige Vorlagen und ein 8-Kapitel-Guide — als Ergänzung zu Ihrem bestehenden System.
Dieser Artikel zeigt, wo ISMS-Tools an ihre Grenzen stoĂźen, warum die Kombination mit einem NIS2-spezifischen Leitfaden sinnvoll ist und wie die Integration in der Praxis funktioniert.
Ein ISMS-Tool organisiert Ihr Sicherheitsmanagement: Kontrollen, Richtlinien, Audit-Trails und Nachweise an einem Ort. Doch NIS2 stellt spezifische Anforderungen, die über reine Verwaltung hinausgehen — darunter die zehn Maßnahmenbereiche nach §30 BSIG, die BSI-Registrierung und deutsche Meldepflichten. Eine NIS2Compass-Auswertung zeigt: Die Plattform allein beantwortet nicht die Frage „Was muss ich konkret tun?"
Das Problem beginnt dort, wo NIS2-spezifisches Fachwissen gefragt ist. Vier Lücken treten besonders häufig auf:
Kein NIS2-spezifischer Inhalt: Tools liefern die Struktur, aber kein Fachwissen zu §30 BSIG, Meldepflichten oder Geschäftsführerhaftung.
Keine deutsche Rechtskonkretisierung: Internationale Tools bilden die EU-Richtlinie ab, nicht das NIS2UmsuCG mit seinen spezifischen BuĂźgeldrahmen und BSI-Vorgaben.
Keine Umsetzungsanleitung: Ein Kontrollpunkt „Risikoanalyse durchführen" sagt nicht, wie Sie diese für NIS2 konkret durchführen.
Vorlagen fehlen oder sind generisch: Kein deutschsprachiges Risikoregister, keine §30-konforme Informationssicherheitsrichtlinie.
Die Zahlen bestätigen diese Lücke. Laut einer Studie von G DATA haben nur 12,1 % der betroffenen Unternehmen NIS2 vollständig umgesetzt — obwohl viele davon bereits über ISMS-Tools verfügen. Das Problem liegt nicht in der Verwaltung, sondern im fehlenden Inhalt.
Anders formuliert: Ein ISMS-Tool ist das Regal — aber die Bücher fehlen. Es organisiert Ihre Sicherheitsdokumentation zuverlässig. Es sagt Ihnen aber nicht, welche Dokumente Sie für NIS2 überhaupt brauchen und wie Sie diese erstellen. Welche Konsequenzen drohen, wenn die §30-Maßnahmen nicht umgesetzt sind, zeigt der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.
ISMS-Anbieter wissen, dass ihre Plattform allein für NIS2 nicht ausreicht. Deshalb bieten die meisten zusätzliche NIS2-Beratungspakete an — von der Gap-Analyse über Maßnahmenplanung bis zur BSI-Registrierungsbegleitung. Bei Tagessätzen von 1.000 bis 2.000 EUR kann das für KMU mit begrenztem Budget die Gesamtkosten erheblich steigern.
ISMS-Tool-Lizenz on top: 10.000–50.000 EUR pro Jahr
Gesamtkosten im ersten Jahr: schnell sechsstellig — für ein Unternehmen, das eigentlich schon ein ISMS-Tool hat
Über die Hälfte der Unternehmen investiert noch weniger als die vom BSI und Bitkom empfohlenen 20 % ihres IT-Budgets in Sicherheit (Bitkom Wirtschaftsschutz 2025). Zusätzliche fünfstellige Beratungskosten verschärfen dieses Problem.
Die entscheidende Frage lautet: Was liefert der Berater, das nicht auch strukturiert vermittelt werden kann? Die Antwort: das Fachwissen, den roten Faden und die konkreten Vorlagen. Genau diese drei Elemente kann eine spezialisierte NIS2-Compliance-Plattform liefern — ohne Tagessatz.
„Die meisten ISMS-Tools sind hervorragende Verwaltungsplattformen. Aber NIS2-Compliance entsteht nicht durch Verwaltung — sie entsteht durch strukturierte Umsetzung konkreter Maßnahmen. Genau dafür braucht es einen Leitfaden, nicht nur ein Dashboard." — Dr. Markus Hartmann, Senior Compliance-Berater
ISMS-Tools präsentieren Kontrollen als flache Liste oder Matrix — ohne Priorisierung, ohne Reihenfolge, ohne klare Antwort auf die Frage „Wo fange ich an?". Laut ADVISORI ist fehlende Priorisierung einer der zehn teuersten Fehler bei der NIS2-Umsetzung im Mittelstand. NIS2Compass löst das mit einem strukturierten 8-Kapitel-Umsetzungspfad.
Business Continuity — BIA, BCP, Backup-Strategie, Tests
Awareness & Schulungen — Programm aufbauen, Pflichtschulungen, Phishing-Simulation, Sicherheitskultur
Jeder einzelne Schritt beantwortet die Frage: „Was muss ich tun?" Der Fortschritt ist messbar — ein Schritt ist abgehakt oder offen. Keine Interpretationsspielräume, kein Raten.
Laut HvS-Consulting entstehen ohne klare Methodik „umfangreiche Risikoregister mit begrenztem Mehrwert". ISMS-Implementierungen dauern typischerweise 6 bis 12 Monate. Unternehmen, die jetzt erst beginnen, werden frühestens Ende 2026 vollständig NIS2-konform sein. Ein fokussierter Umsetzungspfad verkürzt diese Zeitspanne erheblich.
„Wer NIS2 als IT-Projekt behandelt, wird scheitern. NIS2 erfordert eine umfassende Verknüpfung von Sicherheitsmaßnahmen, Governance, Personalentwicklung, Meldewesen und Lieferkettenmanagement." — Security Insider, 2026
Die Kombination folgt einem klaren Prinzip: NIS2Compass liefert das Fachwissen, den Umsetzungspfad und die Vorlagen — Ihr ISMS-Tool verwaltet das Ergebnis. ISO 27001 bietet laut ISMS.online eine exzellente Grundlage, doch die Anforderungen des NIS2UmsuCG gehen darüber hinaus. NIS2Compass schließt diese Lücke — Tool-agnostisch und ohne Systemwechsel.
Universelle Formate: Alle Templates liegen in Word und Excel vor — importierbar in jedes ISMS-Tool.
Keine technische Integration nötig: Keine API-Anbindung, kein Vendor-Lock-in, keine Konfiguration.
Ergänzung statt Ersatz: NIS2Compass füllt Ihr ISMS-Tool mit NIS2-Inhalt, anstatt es zu ersetzen.
NIS2Compass deckt mit über 40 Fachartikeln, 20+ Vorlagen und einem 124-Schritte-Guide alle zehn §30-Maßnahmenbereiche ab — das entspricht dem inhaltlichen Umfang eines typischen NIS2-Beratungsprojekts, für 29 EUR pro Monat statt fünfstelliger Beratungskosten.
Ein Maschinenbauunternehmen mit 130 Mitarbeitenden nutzt seit zwei Jahren ein ISMS-Tool. Als das NIS2UmsuCG in Kraft tritt, stellt der IT-Leiter fest: Das Tool zeigt den ISO-27001-Status — aber nicht, was für NIS2 konkret fehlt. Der Anbieter bietet ein Beratungspaket für 45.000 EUR an. Mit dem NIS2Compass-Guide geht es auch für 29 EUR pro Monat.
ISMS-Tool seit 2024 im Einsatz, ISO-27001-Controls teilweise umgesetzt
IT-Team mit 5 Personen, kein dedizierter Informationssicherheitsbeauftragter
Der ISMS-Anbieter bietet ein „NIS2 Readiness Package" an: Gap-Analyse, Beratung und Schulung für 45.000 EUR
Problem:
Das ISMS-Tool zeigt 114 ISO-27001-Controls — aber nicht, welche davon NIS2-relevant sind. Es gibt kein §30-Mapping und keine Anleitung zur BSI-Registrierung. Ein Incident-Response-Plan, der die 24-Stunden-, 72-Stunden- und 1-Monat-Meldefristen abbildet, fehlt vollständig. Der Geschäftsführer weiß nicht, dass er nach §38 BSIG persönlich haftet — was das konkret bedeutet, zeigt der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.
Lösung mit NIS2Compass (29 EUR/Monat):
Vor-Check durchgefĂĽhrt: Zeigt sofort, dass IR-Plan, BSI-Registrierung und Lieferanteninventar fehlen
Guide Kapitel 6: Lieferanteninventar mit Template angelegt
Alle Dokumente ins ISMS-Tool importiert — Kontrollen aktualisiert, Nachweise ergänzt
Ergebnis:
Die NIS2-Lücken wurden in 8 Wochen geschlossen. Gesamtkosten: 232 EUR (8 Monate x 29 EUR) statt 45.000 EUR für das Beratungspaket. Das ISMS-Tool bleibt die zentrale Plattform — jetzt mit NIS2-konformem Inhalt gefüllt.
Szenario ist anonymisiert und dient der Veranschaulichung.
Nein. NIS2Compass ist kein ISMS-Tool und ersetzt keins. Es ergänzt Ihr bestehendes System mit dem, was für NIS2 fehlt: strukturiertes Fachwissen über alle zehn §30-Maßnahmenbereiche, einen konkreten Umsetzungspfad und über 20 fertige Vorlagen. Die Dokumentation und Verwaltung bleibt in Ihrem ISMS-Tool.
Ja, vollständig tool-agnostisch. Alle Templates liegen im Word- und Excel-Format vor — universell importierbar in jede Plattform. Es gibt keine technische Abhängigkeit und keine API-Integration. NIS2Compass funktioniert als eigenständiger Leitfaden neben jeder ISMS-Plattform.
In den meisten Fällen nicht. ISO 27001 bietet eine exzellente Grundlage, doch laut G DATA haben nur 12,1 % der betroffenen Unternehmen NIS2 vollständig umgesetzt. Das NIS2UmsuCG geht über Standard-ISMS-Frameworks hinaus — insbesondere bei Meldepflichten, BSI-Registrierung und Geschäftsführerhaftung nach §38 BSIG.
29 EUR pro Monat, monatlich kündbar. Zum Vergleich: Ein typisches NIS2-Beratungsprojekt für KMU liegt laut CCVOSSEL bei 50.000–150.000 EUR. Die ISMS-Tool-Lizenz kommt in beiden Fällen noch dazu. NIS2Compass liefert denselben inhaltlichen Umfang — ohne Tagessätze.
Für die meisten KMU nicht. NIS2Compass deckt mit dem 124-Schritte-Guide, über 40 Fachartikeln im Knowledge Hub und 20+ Vorlagen alle zehn §30-Maßnahmenbereiche ab. Das entspricht dem Umfang eines NIS2-Readiness-Projekts. Bei Sonderfällen wie KRITIS-Betreibern oder komplexen Konzernstrukturen kann punktuelle Beratung sinnvoll sein.
