NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.
ISO 27001 deckt rund 70 Prozent der NIS2-Anforderungen nach §30 BSIG ab. Das NIS2 ISO 27001 Mapping zeigt Ihnen auf einen Blick, welche Controls bereits implementiert sind — und wo die regulatorische Lücke bleibt. Das kostenlose Excel-Mapping aus der NIS2Compass Template Library strukturiert diesen Abgleich für Ihr Team.
Wie deckt ISO 27001 die NIS2-Anforderungen nach §30 BSIG ab?
ISO 27001:2022 und NIS2 verfolgen ähnliche Ziele, sprechen aber unterschiedliche Sprachen. ISO 27001 ist ein internationaler Managementnorm-Rahmen mit 93 Annex-A-Controls. NIS2 ist geltendes deutsches Gesetz (NIS2UmsuCG, seit Dezember 2025) mit zehn verbindlichen Pflichtbereichen nach §30 BSIG. Rund 70 Prozent dieser Pflichtbereiche lassen sich direkt auf ISO-27001-Controls zurückführen.
Für zertifizierte Unternehmen bedeutet das: Vieles ist bereits erledigt — aber nicht alles. Die Registrierungspflicht beim BSI (§33 BSIG), die persönliche Geschäftsführerhaftung (§38 BSIG) und die dreistufigen Meldepflichten (§32 BSIG) sind ISO-fremde Pflichten, die separat umgesetzt werden müssen.
Laut dem BSI-Lagebericht 2025 haben über 60 Prozent der betroffenen Unternehmen die NIS2-Implementierung noch nicht vollständig abgeschlossen — trotz bestehender ISO-27001-Zertifizierungen.
Welche §30-BSIG-Pflichten sind durch ISO 27001 abgedeckt?
§30 Abs. 2 BSIG definiert zehn Pflichtbereiche — sieben davon decken ISO-27001-Controls direkt ab. Das NIS2 ISO 27001 Mapping weist jedem Pflichtbereich die zugehörigen Annex-A-Controls zu:
- Risikoanalyse und Sicherheitskonzepte (Nr. 1): A.5.15–A.5.19 (Access Control), A.8.8 (Schwachstellenmanagement), A.5.36 (Compliance). Diese Controls bilden das Fundament — in ISO-27001-Projekten standardmäßig vorhanden.
- Incident Handling (Nr. 2): A.5.24–A.5.28 (Information Security Incident Management). ISO 27001 fordert einen Prozess, NIS2 konkretisiert ihn durch gesetzliche Fristen (24h/72h/1 Monat nach §32 BSIG).
- Business Continuity (Nr. 3): A.5.29–A.5.30 (BCM). Weitgehend abgedeckt, jedoch fordert §30 Nr. 3 explizit Krisenmanagement, das über ISO-27001-BCM hinausgehen kann.
- Lieferkettensicherheit (Nr. 4): A.5.19–A.5.22 (Supplier Relationships). ISO 27001 deckt das Grundprinzip ab, NIS2 verlangt die vollständige Tier-1/Tier-2-Risikoklassifizierung.
- Sicherheit bei Erwerb und Entwicklung (Nr. 5): A.8.25–A.8.34 (Secure Development). Gute Abdeckung bei Software-entwickelnden Unternehmen.
- Kryptographie (Nr. 8): A.8.24 (Kryptographie). ISO 27001 setzt den Rahmen, NIS2 verlangt keine darüber hinausgehenden spezifischen Algorithmen.
- Personnensicherheit, Zugriffskontrolle, Asset Management (Nr. 9): A.5.9–A.5.14, A.6.1–A.6.6, A.8.1–A.8.7. Einer der am stärksten durch ISO 27001 abgedeckten Bereiche.
Der NIS2 Guide von NIS2Compass führt durch alle zehn §30-Pflichtbereiche mit konkreten Umsetzungsschritten — inklusive des Abgleichs mit ISO-27001-Vorarbeiten.
Was ist im NIS2 ISO 27001 Mapping Excel enthalten?
Das Mapping-Excel aus der NIS2Compass Template Library strukturiert den vollständigen Abgleich in vier Arbeitsblättern. Es richtet sich an ISO-27001-zertifizierte Unternehmen, die den Weg zur NIS2-Compliance systematisch planen wollen:
- Blatt 1 — §30-zu-ISO-Mapping: Alle zehn Pflichtbereiche nach §30 BSIG mit Zuordnung der relevanten ISO-27001:2022-Annex-A-Controls, Deckungsgrad-Einschätzung (vollständig/teilweise/nicht abgedeckt) und Pflichtfelder für den Umsetzungsstatus.
- Blatt 2 — ISO-zu-§30-Mapping: Umgekehrte Sicht: alle 93 ISO-27001-Controls mit Verweis auf den zugehörigen §30-Pflichtbereich. Nützlich für ISMS-Teams, die den NIS2-Scope aus dem ISO-Kontext heraus erschließen.
- Blatt 3 — Lückenliste (Gap Register): Automatisch befüllte Liste der NIS2-Anforderungen, die nicht durch vorhandene ISO-Controls abgedeckt sind. Enthält Spalten für Verantwortliche, Zieldatum und Umsetzungsstatus.
- Blatt 4 — NIS2-only-Pflichten: Bereiche ohne ISO-27001-Äquivalent: BSI-Registrierung (§33), Meldepflichten (§32), Geschäftsführerhaftung (§38) mit direkten Verweisen auf die Gesetzestexte.
Das Template steht Pro-Abonnenten der NIS2Compass-Plattform als Download zur Verfügung. Pro-Abonnenten erhalten außerdem Zugang zu über 45 weiteren Word- und Excel-Vorlagen sowie dem vollständigen Knowledge Hub mit 40+ Fachartikeln.
"Die häufigste Frage von ISO-27001-zertifizierten Unternehmen lautet: Was müssen wir zusätzlich tun? Das Mapping-Excel macht den Delta-Aufwand in einer Stunde transparent, statt in mehreren Workshop-Tagen." — NIS2Compass Compliance-Team
Welche NIS2-Lücken bleiben trotz ISO-27001-Zertifizierung?
Drei §30-Pflichtbereiche sind durch ISO 27001 nur unvollständig oder gar nicht abgedeckt. Wer diese Lücken übersieht, riskiert Bußgelder bis zu 10 Mio. EUR nach §65 BSIG.
- Meldepflichten (Nr. 2, §32 BSIG): ISO 27001 fordert Incident-Management-Prozesse, aber keine gesetzlich definierten Fristen. NIS2 verpflichtet zur Frühwarnung innerhalb von 24 Stunden, Erstmeldung nach 72 Stunden und Abschlussbericht nach einem Monat. Fristversäumnisse allein können Bußgelder bis 5 Mio. EUR auslösen.
- Registrierungspflicht (§33/34 BSIG): Kein ISO-27001-Äquivalent. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Nicht registrierte Unternehmen befinden sich bereits im Verstoß.
- Geschäftsführerhaftung (§38 BSIG): ISO 27001 fordert Managementunterstützung, aber keine persönliche Haftung mit Privatvermögen. §38 BSIG macht Geschäftsführer und Vorstände persönlich verantwortlich — ein Haftungsverzicht durch Gesellschafterbeschluss ist gesetzlich verboten.
Den detaillierten Vergleich liefert der Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?. Den gesetzlichen Rahmen zu Bußgeldern und Haftung erklärt der Artikel NIS2-Bußgelder: Was droht bei Verstößen?.
Wie nutze ich das ISO-27001-Mapping in der Praxis?
Das Mapping ist kein Selbstzweck — es erspart Ihrem Team drei bis fünf Analyseworkshops. Ein strukturiertes Vorgehen in vier Schritten:
- Bestandsaufnahme (Tag 1): Exportieren Sie die Nachweise Ihrer letzten ISO-27001-Zertifizierung. Öffnen Sie das Mapping-Excel und tragen Sie für jeden der 93 Controls den aktuellen Status ein (implementiert/teilweise/nicht implementiert).
- Lückenidentifikation (Tag 2): Das Gap-Register-Blatt zeigt automatisch alle NIS2-Pflichten, für die kein vollständig implementierter ISO-Control vorhanden ist. Priorität haben die drei NIS2-only-Pflichten (Meldung, Registrierung, Haftung).
- Maßnahmenplanung (Woche 1-2): Für jede Lücke trägt das zuständige Team Verantwortlichen, Zieldatum und Umsetzungsschritte ein. Der NIS2 Guide liefert fertige Substeps mit Vorlagen für die häufigsten Lücken.
- Governance-Freigabe: §38 BSIG verlangt, dass die Geschäftsleitung die Sicherheitsmaßnahmen aktiv genehmigt und überwacht. Das ausgefüllte Mapping-Excel dient als Grundlage für die Freigabedokumentation.
Der Vor-Check von NIS2Compass ergänzt das Mapping um eine automatische Prüfung: Er bewertet Ihre Antworten zu 20 Sicherheitsfragen und zeigt, welche NIS2 Guide-Schritte Sie durch vorhandene ISO-27001-Implementierungen bereits als vorgeprüft markieren können.
Häufig gestellte Fragen zum NIS2 ISO 27001 Mapping
Macht ISO 27001 ein Unternehmen automatisch NIS2-konform?
Nein. ISO 27001 deckt rund 70 Prozent der NIS2-Anforderungen nach §30 BSIG ab. Die verbleibenden 30 Prozent — insbesondere BSI-Registrierung (§33), gesetzliche Meldepflichten mit festen Fristen (§32) und persönliche Geschäftsführerhaftung (§38) — sind ISO-fremde Pflichten, die separat umgesetzt werden müssen.
Welche ISO-27001-Version ist für das NIS2-Mapping relevant?
Das NIS2 ISO 27001 Mapping bezieht sich auf ISO 27001:2022 (die aktuelle Version mit 93 Annex-A-Controls). Unternehmen, die noch nach ISO 27001:2013 (114 Controls) zertifiziert sind, sollten beachten, dass die Umstiegsfrist zur 2022er-Version am 31. Oktober 2025 abgelaufen ist.
Kann ich das Mapping-Excel auch ohne NIS2Compass-Abonnement nutzen?
Das Excel-Template steht Pro-Abonnenten der NIS2Compass-Plattform zur Verfügung. Das Abonnement kostet 29 Euro pro Monat und beinhaltet Zugang zu über 45 Vorlagen, dem vollständigen Knowledge Hub und dem NIS2 Guide mit rund 124 Umsetzungsschritten.
Wie lange dauert der ISO-27001-NIS2-Abgleich mit dem Mapping-Excel?
Mit dem Mapping-Excel und exportierten Zertifizierungsnachweisen erledigen erfahrene ISBs die Bestandsaufnahme in vier bis acht Stunden. Ohne strukturiertes Template dauert derselbe Prozess in der Regel zwei bis drei Workshoptage.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Jetzt startenÄhnliche Artikel
NIS2 BSI-Registrierung: Frist verpasst — was jetzt?
Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.
9 Min. Lesezeit
NIS2-Checkliste als Excel-Vorlage: die 10 §30-Pflichten
Die 10 Mindestmaßnahmen aus §30 BSIG als Excel-Checkliste: Aufbau in 6 Schritten, ISO-27001-Mapping und typische Fehler. Mit kostenlosem Vor-Check von NIS2Compass.
8 Min. Lesezeit
NIS2 ohne Berater umsetzen: Anleitung für KMU
NIS2-Compliance ohne Berater umsetzen: KMU schaffen rund 80 % der Pflichten nach §30 BSIG eigenständig. Die fünf Phasen, der realistische Aufwand und wann externe Hilfe wirklich nötig bleibt.
8 Min. Lesezeit