NIS2 vs. ISO 27001: Was ist der Unterschied?

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab — aber nicht alle. Wo die Lücken liegen, was §30 BSIG fordert und wie Unternehmen beides verbinden.

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Die restlichen 30 % entscheiden über Bußgelder bis 10 Mio. EUR. Drei Bereiche fehlen im ISO-Standard: gesetzliche Meldepflichten nach §32 BSIG, persönliche Geschäftsführerhaftung nach §38 BSIG und die BSI-Registrierung. NIS2 gilt seit Dezember 2025 ohne Übergangsfrist. NIS2Compass zeigt im kostenlosen Vor-Check, welche Lücken in Ihrem Unternehmen bestehen.

Was unterscheidet NIS2 und ISO 27001 grundsätzlich?

NIS2 ist eine gesetzliche Pflicht für rund 29.500 Unternehmen in Deutschland. Verstöße kosten bis zu 10 Mio. EUR. ISO 27001 ist ein freiwilliger internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Während NIS2 vorschreibt, was umgesetzt werden muss, zeigt ISO 27001, wie ein Sicherheitssystem strukturiert aufgebaut wird.

Worin liegt der rechtliche Unterschied?

NIS2 ist eine EU-Richtlinie, die in Deutschland als NIS2UmsuCG in nationales Recht überführt wurde. Die zentralen Pflichten stehen in §30 BSIG (technische und organisatorische Maßnahmen) und §38 BSIG (Geschäftsführerpflichten). Seit Dezember 2025 gelten diese Vorschriften ohne Übergangsfrist.

ISO 27001 ist ein internationaler Standard der ISO/IEC. Eine Zertifizierung ist freiwillig und wird durch akkreditierte Prüfstellen vergeben. Es gibt keine Behörde, die Verstöße sanktioniert. Eine Zertifizierung signalisiert Kunden und Partnern dafür ein hohes Sicherheitsniveau.

Für wen gilt welches Regelwerk?

NIS2 betrifft Unternehmen in 18 definierten Sektoren ab bestimmten Schwellenwerten: mindestens 50 Mitarbeiter oder mehr als 10 Mio. EUR Jahresumsatz. Das BSI überwacht die Einhaltung und kann Bußgelder verhängen.

ISO 27001 kennt keine Branchen- oder Größenbeschränkung. Jedes Unternehmen kann sich zertifizieren lassen, vom Startup bis zum Konzern. Weltweit existieren über 96.700 ISO 27001-Zertifikate (ISO Survey 2024, veröffentlicht im Oktober 2025). Für Deutschland liegen keine konsolidierten Zertifikatszahlen vor, da die Deutsche Akkreditierungsstelle (DAkkS) ihre Daten nicht an die internationale IAF-Datenbank meldet. Die Zahl der zertifizierten Organisationen liegt damit deutlich unter den rund 29.500 Unternehmen, die unter NIS2 fallen.

Was passiert bei Nichteinhaltung?

Die Konsequenzen unterscheiden sich grundlegend. Bei NIS2 drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsführung persönlich nach §38 BSIG. Das BSI kann Nachweise einfordern und Vor-Ort-Prüfungen durchführen.

Bei ISO 27001 gibt es keine staatlichen Sanktionen. Im schlimmsten Fall verliert ein Unternehmen seine Zertifizierung, was geschäftliche Folgen haben kann, wenn Kunden oder Partner ein gültiges Zertifikat voraussetzen. Rechtlich bindend ist der Standard jedoch nicht.

Der entscheidende Punkt: Eine ISO 27001-Zertifizierung ist ein Wettbewerbsvorteil. Die Einhaltung von NIS2 ist eine gesetzliche Pflicht. Beides schließt sich nicht aus, im Gegenteil. Wie ISO 27001 als Fundament für NIS2-Compliance dient, zeigt der Artikel NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?.

Welche Anforderungen stellt §30 BSIG, und wo überschneidet sich ISO 27001?

§30 BSIG definiert zehn Mindestmaßnahmen für NIS2-Compliance: von Risikoanalyse über Incident Response bis zur Lieferkettensicherheit. Laut dem NIS2Compass-Mapping deckt eine bestehende ISO 27001-Zertifizierung rund 70 % dieser Anforderungen bereits ab. Die verbleibenden 30 % erfordern gezielte Ergänzungen.

Das BSI listet zehn verbindliche Risikomanagementmaßnahmen auf, die jedes betroffene Unternehmen umsetzen muss. Für Unternehmen mit bestehender ISO 27001-Zertifizierung ist die entscheidende Frage: Welche dieser Maßnahmen sind bereits abgedeckt, und wo bestehen Lücken?

Wie sieht das Mapping der zehn Maßnahmen konkret aus?

Der NIS2Compass Knowledge Hub enthält eine detaillierte Gegenüberstellung. Hier die Übersicht aller zehn Maßnahmen nach §30 BSIG:

Risikoanalyse und IT-Sicherheitskonzepte: abgedeckt durch ISO 27001 A.5 bis A.8. Die systematische Risikobetrachtung gehört zum Kern jedes ISMS.
Bewältigung von Sicherheitsvorfällen: abgedeckt durch ISO 27001 A.5.24 bis A.5.28. Allerdings kennt ISO 27001 keine gesetzlichen Meldefristen. Hier ergänzt §32 BSIG konkrete Vorgaben.
Betriebskontinuität und Krisenmanagement: abgedeckt durch ISO 27001 A.5.29 bis A.5.30. Backup-Konzepte und Disaster Recovery sind Standard im ISMS.
Sicherheit der Lieferkette: teilweise abgedeckt durch ISO 27001 A.5.19 bis A.5.23. NIS2 geht deutlich tiefer: §30 Abs. 2 Nr. 4 BSIG fordert eine Bewertung der Cybersicherheit jedes einzelnen Lieferanten.
Sichere Beschaffung, Entwicklung und Wartung: abgedeckt durch ISO 27001 A.8.25 bis A.8.31. Secure Development Lifecycle ist im Standard verankert.
Bewertung der Wirksamkeit: abgedeckt durch ISO 27001 Kapitel 9. Interne Audits und Managementbewertungen erfüllen diese Anforderung.
Cyberhygiene und Schulungen: teilweise abgedeckt durch ISO 27001 A.6.3. NIS2 fordert explizit Schulungen für die Geschäftsleitung gemäß §38 BSIG, das geht über den ISO-Standard hinaus.
Kryptographie und Verschlüsselung: abgedeckt durch ISO 27001 A.8.24. Kryptographische Maßnahmen sind fester Bestandteil des Annex A.
Zugangs- und Zugriffskontrollen: abgedeckt durch ISO 27001 A.5.15 bis A.5.18 sowie A.8.2 bis A.8.5. Rollenbasierte Zugriffskontrolle ist Standard.
Multi-Faktor-Authentifizierung und sichere Kommunikation: abgedeckt durch ISO 27001 A.8.5. Die technische Umsetzung hängt vom Scope des ISMS ab.

Wo liegen die größten Lücken?

Laut einer Analyse von OpenKRITIS konzentrieren sich die Ergänzungen auf drei Bereiche: Lieferkettensicherheit, Meldepflichten und Geschäftsleitungs-Schulungen. Diese drei Punkte erfordern auch bei zertifizierten Unternehmen zusätzliche Maßnahmen.

Die gute Nachricht: Rund sieben der zehn Maßnahmen sind durch ein funktionierendes ISMS nach ISO 27001 bereits solide abgedeckt. Die verbleibenden Lücken sind klar umrissen und mit überschaubarem Aufwand zu schließen.

Welche NIS2-Anforderungen deckt ISO 27001 nicht ab?

Die größten Lücken zwischen ISO 27001 und NIS2 liegen bei den Meldepflichten (24-Stunden-Frühwarnung an das BSI), der persönlichen Geschäftsführerhaftung nach §38 BSIG und den erweiterten Lieferketten-Anforderungen. Diese drei Bereiche erfordern bei jedem Unternehmen gezielte Maßnahmen, unabhängig vom ISO-Zertifizierungsstatus.

Auch mit einem gültigen ISO-27001-Zertifikat bleiben fünf kritische Lücken, die Sie gezielt schließen müssen:

1. Warum reicht ISO-Incident-Management für die NIS2-Meldepflichten nicht aus?

§32 BSIG schreibt ein dreistufiges Meldeverfahren mit festen Fristen vor. Innerhalb von 24 Stunden nach Erkennung eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an das BSI erfolgen. Innerhalb von 72 Stunden folgt die Erstmeldung mit einer Bewertung des Vorfalls. Nach spätestens einem Monat ist ein detaillierter Abschlussbericht fällig. ISO 27001 verlangt zwar ein funktionierendes Incident Management, kennt aber keine gesetzlichen Meldefristen.

2. Was bedeutet die persönliche Geschäftsführerhaftung nach §38 BSIG?

Die Geschäftsleitung muss Risikomanagement-Maßnahmen persönlich billigen und deren Umsetzung überwachen. Bei Verletzung dieser Pflicht haftet sie mit ihrem Privatvermögen. Bei wesentlichen Einrichtungen drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. ISO 27001 fordert lediglich „Leadership Commitment". Eine persönliche Haftung der Geschäftsführung existiert im Standard nicht. Welche finanziellen Konsequenzen konkret drohen, zeigt der Überblick zu NIS2-Bußgeldern und Strafen bei Verstößen.

3. Welche weiteren NIS2-Pflichten fehlen in ISO 27001?

§38 BSIG verpflichtet die Geschäftsleitung zur Teilnahme an Cybersicherheits-Schulungen. ISO 27001 kennt nur allgemeine Awareness-Anforderungen für Mitarbeitende. Eine explizite Schulungspflicht für die Führungsebene fehlt.

Hinzu kommen erweiterte Anforderungen an die Lieferkettensicherheit. NIS2 fordert explizite Sicherheitsanforderungen an direkte Dienstleister und Lieferanten, die vertraglich abgesichert sein müssen. ISO 27001 Annex A.5.19–A.5.23 behandelt Lieferantenbeziehungen, bleibt dabei aber deutlich allgemeiner.

Schließlich besteht eine BSI-Registrierungspflicht: Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Laut dpa-Recherchen zum Fristende hatten sich nur rund 11.500 von etwa 29.500 betroffenen Unternehmen registriert, eine Quote von etwa 38 %. Für diese rein nationale Pflicht gibt es kein ISO-Pendant. Laut Branchenberichten prüft das BSI seit Mai 2026 aktiv und hat bereits im vierten Quartal 2025 47 formale Hinweise wegen fehlender Registrierung versandt. Öffentlich bekannte Bußgelder gibt es nach NIS2UmsuCG bisher nicht.

Reicht eine ISO 27001-Zertifizierung für NIS2-Compliance?

Nein, eine ISO 27001-Zertifizierung allein reicht nicht für NIS2-Compliance. Sie deckt rund 70 % der Anforderungen ab und bildet eine hervorragende Grundlage. Doch die gesetzlichen Pflichten wie Meldeprozesse, Geschäftsführerhaftung und BSI-Registrierung ersetzt sie nicht. ISO 27001 ist ein Sprungbrett, kein Freifahrtschein.

Warum reicht die Zertifizierung allein nicht aus?

Ein häufiger Irrtum lautet: „Wir sind zertifiziert, also sind wir NIS2-compliant." Doch ISO 27001 weist ein funktionierendes ISMS nach, nicht die Konformität mit dem NIS2-Umsetzungsgesetz. Zwischen beiden bestehen strukturelle Unterschiede, die sich nicht durch ein Zertifikat überbrücken lassen.

Das beginnt beim Scope-Problem: Eine ISO-Zertifizierung kann auf einzelne Standorte oder Geschäftsbereiche begrenzt sein. NIS2 hingegen gilt für die gesamte betroffene Einrichtung, ohne Ausnahmen. Hinzu kommt der zeitliche Aspekt: ISO-Audits finden periodisch statt, typischerweise jährlich. Die NIS2-Pflichten gelten dagegen kontinuierlich, insbesondere die 24-Stunden-Frist für Erstmeldungen an das BSI.

Wo liegt dann der Vorteil einer bestehenden Zertifizierung?

Trotz dieser Lücken verschafft ISO 27001 einen erheblichen strukturellen Vorsprung. Zertifizierte Unternehmen verfügen bereits über dokumentierte Prozesse, etablierte Verantwortlichkeiten und ein Risikomanagement. Diese Bausteine lassen sich gezielt um die NIS2-spezifischen Anforderungen erweitern.

„In unserer Arbeit mit mittelständischen Unternehmen sehen wir regelmäßig, dass eine bestehende ISO 27001-Zertifizierung die NIS2-Umsetzung erheblich beschleunigt — aber die Meldeprozesse und die Haftungsfrage müssen separat adressiert werden," sagt Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass.

Welche konkreten Lücken zwischen ISO 27001 und NIS2 bestehen, zeigt der Artikel NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt. Der NIS2 Guide von NIS2Compass hilft dabei, die verbleibenden Anforderungen systematisch zu schließen, aufbauend auf dem, was Ihr ISMS bereits leistet.

Wie nutzen Unternehmen ISO 27001 als Sprungbrett für NIS2?

Ein ISO 27001-zertifiziertes Unternehmen kann die NIS2-Lücken mit gezielten Maßnahmen in drei Bereichen schließen: Meldeprozesse aufbauen, Geschäftsleitungs-Schulung durchführen und Lieferantenverträge um NIS2-Klauseln ergänzen. Der NIS2Compass-Guide begleitet diesen Prozess in 8 Kapiteln und rund 124 Schritten.

Wie sieht das in der Praxis aus?

Ein mittelständischer Maschinenbauer mit 180 Mitarbeitern ist seit 2023 nach ISO 27001 zertifiziert. Als Unternehmen im NIS2-Sektor „Verarbeitendes Gewerbe" gelten seit Dezember 2025 zusätzliche Pflichten. Das ISMS deckt viele Anforderungen ab, aber nicht alle.

Die IT-Leiterin startet mit dem NIS2Compass-Vor-Check. Die Gap-Analyse identifiziert fünf konkrete Lücken, die das bestehende ISMS nicht abdeckt. Daraus ergibt sich ein klarer Maßnahmenplan.

Welche Schritte schließen die Lücken?

Meldeprozess aufbauen: Das Unternehmen implementiert die dreistufige Meldekaskade nach §32 BSIG. Innerhalb von 24 Stunden erfolgt die Erstmeldung an das BSI, nach 72 Stunden die bestätigende Meldung und nach einem Monat der Abschlussbericht. Die Template Library liefert fertige Vorlagen für jeden Meldeschritt.
Geschäftsleitungs-Schulung dokumentieren: Nach §38 BSIG muss die Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teilnehmen. Der Maschinenbauer dokumentiert Schulungsinhalte, Teilnahme und Intervalle nachweisbar.
Lieferantenverträge ergänzen: Bestehende Verträge mit IT-Dienstleistern erhalten NIS2-spezifische Sicherheitsklauseln. Dazu gehören Meldepflichten, Mindestsicherheitsstandards und Audit-Rechte.
BSI-Registrierung durchführen: Das Unternehmen registriert sich als betroffene Einrichtung beim BSI. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen, eine nachträgliche Registrierung bleibt dennoch erforderlich.

Was bringt die ISMS-Basis konkret?

Das Ergebnis: Alle Compliance-Lücken werden in vier bis sechs Wochen geschlossen. Ohne bestehende ISMS-Basis dauert derselbe Prozess erfahrungsgemäß sechs bis zwölf Monate. Die vorhandenen Strukturen — Risikomanagement, Zugriffskontrollen, Dokumentation — bilden ein solides Fundament.

Laut Capgemini reicht ISO 27001 allein nicht mehr aus, um die NIS2-Anforderungen vollständig zu erfüllen. Doch als Sprungbrett verkürzt die Zertifizierung den Weg zur NIS2-Compliance erheblich.

Was bedeutet das für Unternehmen ohne ISO 27001?

Unternehmen ohne ISMS starten bei NIS2 nicht bei null, aber der Aufwand ist deutlich höher. Laut der Bitkom-Studie „Wirtschaftsschutz 2025" halten sich nur rund 50 % der deutschen Unternehmen für ausreichend gegen Cyberangriffe vorbereitet, der Bedarf an einer strukturierten NIS2-Umsetzung ist branchenübergreifend hoch. Die gute Nachricht: NIS2 verlangt keine ISO 27001-Zertifizierung. Die zehn Maßnahmen des §30 BSIG lassen sich auch ohne formales ISMS umsetzen, vorausgesetzt es liegen ein strukturierter Leitfaden und passende Vorlagen bereit.

Schreibt NIS2 ein bestimmtes Framework vor?

Nein. Das NIS2-Umsetzungsgesetz referenziert keine spezifische Norm als Pflicht. §30 BSIG definiert zehn Maßnahmenbereiche. Wie Unternehmen diese umsetzen, bleibt ihnen überlassen. ISO 27001 ist eine anerkannte Möglichkeit, aber nicht die einzige.

Auch der BSI IT-Grundschutz bietet eine solide Basis. Viele deutsche KMU kennen das Framework bereits aus anderen regulatorischen Anforderungen. Beide Wege führen zur NIS2-Konformität. Entscheidend ist die konsequente Umsetzung.

Lohnt sich eine ISO 27001-Zertifizierung für KMU?

Eine ISO 27001-Erstzertifizierung kostet KMU typischerweise 15.000–50.000 EUR. Hinzu kommen jährliche Überwachungsaudits und interne Ressourcen für die Pflege des ISMS. Für Unternehmen, die ohnehin Kundenanforderungen an ein zertifiziertes ISMS erfüllen müssen, ist die Investition sinnvoll.

Für viele KMU ist ein pragmatischerer Weg effizienter: Direkt die zehn §30-Maßnahmen umsetzen, ohne den Umweg über eine vollständige Zertifizierung. Der NIS2-Umsetzungspfad von NIS2Compass begleitet Unternehmen in 8 Kapiteln und rund 124 Schritten durch genau diesen Prozess, inklusive fertiger Vorlagen für Richtlinien, Risikoanalysen und Dokumentation. Ein detaillierter Kostenvergleich zwischen Beratung und Eigenarbeit zeigt die wirtschaftlichen Unterschiede.

Wo fängt man ohne ISMS am besten an?

Der erste Schritt ist die Klärung der Betroffenheit. Nicht jedes Unternehmen fällt unter das NIS2-Umsetzungsgesetz. Der Artikel Bin ich von NIS2 betroffen? erklärt die Kriterien: Unternehmensgröße, Umsatz und Sektorzugehörigkeit.

Steht die Betroffenheit fest, empfiehlt das BSI eine Gap-Analyse als Ausgangspunkt. Der Vor-Check von NIS2Compass liefert in wenigen Minuten eine erste Standortbestimmung. Daraus ergibt sich ein individueller Umsetzungsplan, zugeschnitten auf das, was bereits vorhanden ist und was noch fehlt.

Häufig gestellte Fragen

Macht mich eine ISO 27001-Zertifizierung automatisch NIS2-konform?

Nein. Eine ISO 27001-Zertifizierung deckt rund 70 % der NIS2-Anforderungen ab. Meldepflichten mit gesetzlichen Fristen (§32 BSIG), die persönliche Geschäftsführerhaftung (§38 BSIG) und die BSI-Registrierung müssen jedoch separat umgesetzt werden.

Brauche ich ISO 27001, um NIS2 zu erfüllen?

Nein. NIS2 schreibt kein bestimmtes Rahmenwerk vor. Die zehn Maßnahmen des §30 BSIG lassen sich auch ohne ISO 27001-Zertifizierung umsetzen, etwa mit BSI IT-Grundschutz oder einem strukturierten Leitfaden wie dem NIS2 Guide von NIS2Compass.

Welche NIS2-Pflichten fehlen in ISO 27001 komplett?

Drei Bereiche fehlen vollständig: Die gesetzlichen Meldefristen an das BSI (24 Stunden Frühwarnung, 72 Stunden Erstmeldung, ein Monat Abschlussbericht), die persönliche Geschäftsführerhaftung nach §38 BSIG und die BSI-Registrierungspflicht.

Wie lange dauert die NIS2-Umsetzung mit bestehendem ISO 27001?

Mit einer bestehenden ISO 27001-Zertifizierung lassen sich die NIS2-spezifischen Lücken erfahrungsgemäß in 4–6 Wochen schließen. Ohne ISMS-Basis sollten Unternehmen mit 6–12 Monaten für die vollständige Umsetzung rechnen.

Lohnt sich eine ISO 27001-Zertifizierung nur für NIS2?

Nicht unbedingt. Wenn NIS2-Compliance das einzige Ziel ist, führt der direkte Umsetzungspfad über die §30-Maßnahmen oft schneller und günstiger zum Ergebnis. ISO 27001 lohnt sich zusätzlich, wenn Kundenanforderungen, Ausschreibungen oder langfristige ISMS-Reife angestrebt werden.