Reicht ISO 27001 für NIS2-Compliance aus? | NIS2Compass | NIS2Compass
Leitfaden
Reicht ISO 27001 für NIS2-Compliance aus?
10 Min. LesezeitNIS2Compass Team
Nein, sagt das BSI. ISO 27001 ist ein solides Fundament für NIS2, aber Scope-Freiheit, Risikoakzeptanz und §32/§38-Pflichten bleiben offen. So schließen Sie die Lücken.
Nein. Eine ISO-27001-Zertifizierung allein reicht nicht für NIS2-Compliance, das hat das BSI auf seiner offiziellen Infoseite zu ISO/IEC 27001 im NIS-2-Kontext klargestellt. Die Zertifizierung ist ein wertvolles Fundament, doch Scope-Freiheit, Risikoakzeptanz und gesetzliche Pflichten wie BSI-Registrierung, 24-Stunden-Meldepflicht und §38-Haftung der Geschäftsleitung bleiben offen. NIS2Compass zeigt im kostenlosen Vor-Check, welche Lücken Ihr Unternehmen schließen muss.
Nein, das BSI stellt auf seiner offiziellen Infoseite klar: "Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist oder sämtliche Anforderungen nach § 30 BSIG erfüllt." In Deutschland sind rund 29.500 Unternehmen NIS2-betroffen, aber nur etwa 16.000 sind ISO-zertifiziert. Beide Zahlen überschneiden sich nur teilweise.
Diese Position ist eindeutig und verbindlich. Das BSI hat dafür eine eigene Infoseite ISO/IEC 27001 im Kontext NIS-2/BSIG veröffentlicht und damit auf eine der am häufigsten gestellten Fragen aus seinen #nis2know-Webinaren reagiert. Wer eine ISO-Zertifizierung als automatischen Compliance-Nachweis betrachtet, argumentiert gegen die ausdrückliche Position der zuständigen Aufsichtsbehörde.
Die Größenordnungen machen die Lücke sichtbar. Laut BSI fallen rund 29.500 Unternehmen in Deutschland unter das NIS2-Umsetzungsgesetz. Demgegenüber stehen laut ISO Survey 2024 etwa 16.000 gültige ISO-27001-Zertifikate im deutschen Markt. Selbst wenn jedes zertifizierte Unternehmen NIS2-betroffen wäre, was nicht der Fall ist, bliebe rein rechnerisch eine deutliche Lücke. In der Praxis verschiebt sich das Bild zusätzlich, weil viele Zertifikate auf Konzerne, IT-Dienstleister oder Cloud-Provider entfallen, die nicht der typischen NIS2-Zielgruppe entsprechen.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Die Botschaft ist deshalb klar: ISO 27001 ist ein solides Fundament, aber kein Freifahrtschein. Wer zertifiziert ist, startet nicht bei null und hat einen klaren Vorsprung gegenüber Unternehmen ohne ISMS-Basis. Der Vorsprung ersetzt aber weder den BSI-Registrierungsnachweis noch die Meldekaskade, noch die persönliche Haftung der Geschäftsleitung. Genau hier setzt NIS2Compass an: Der NIS2 Guide führt ISO-zertifizierte Unternehmen strukturiert durch die Schließung der verbleibenden Lücken, ohne das vorhandene ISMS infrage zu stellen.
Das BSI nennt zwei strukturelle Gründe: ISO 27001 erlaubt Unternehmen eine freie Scope-Definition ihres ISMS und akzeptiert Risikoakzeptanz als legitime Behandlungsoption. Das BSIG hingegen verlangt die Umsetzung der Risikomanagementmaßnahmen für den gesamten relevanten Einrichtungsbetrieb und fordert angemessene, wirksame und verhältnismäßige Maßnahmen, ohne Cherry-Picking.
Problem 1: Scope-Freiheit. ISO 27001 lässt Unternehmen selbst entscheiden, welchen Geltungsbereich ihr ISMS abdeckt. Eine Zertifizierung kann auf einen einzelnen Standort, eine Abteilung oder einen Geschäftsbereich begrenzt sein. Ein Konzern darf etwa nur die Konzernzentrale zertifizieren und die Produktionswerke außen vor lassen. Die NIS2-Richtlinie und das BSIG kennen diese Wahlfreiheit nicht. Das BSI formuliert auf seiner Infoseite zu ISO/IEC 27001 im Kontext NIS-2/BSIG unmissverständlich: "das BSIG verlangt die Umsetzung der Risikomanagementmaßnahmen für den gesamten relevanten Einrichtungsbetrieb". Wer also nur Teile seiner Einrichtung zertifiziert hat, schließt damit keine NIS2-Lücke, sondern verschiebt sie nur.
"Die meisten ISO-zertifizierten Unternehmen unterschätzen den Scope-Punkt. Wenn die Zertifizierung historisch nur die Konzern-IT umfasst, das BSIG aber alle Werke und Standorte einbezieht, klafft eine Lücke, die mit einem Zertifikat allein nicht zu schließen ist." — Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass
Problem 2: Risikoakzeptanz. ISO 27001 erlaubt vier Risikobehandlungsoptionen: Reduktion, Vermeidung, Transfer und Akzeptanz. Das BSI stellt dazu klar: "ISO/IEC 27001 erlaubt neben Risikoreduktion auch Risikoakzeptanz oder Risikotransfer als zulässige Behandlungsoptionen". NIS2 ist anders strukturiert. §30 Abs. 1 BSIG schreibt zehn Maßnahmenbereiche vor, die "angemessene, wirksame und verhältnismäßige technische und organisatorische Maßnahmen" verlangen. Die Aussage "Wir akzeptieren das Risiko" reicht hier nicht aus, wenn der Maßnahmenbereich für die Einrichtung relevant ist. Die Risikoakzeptanz bleibt als Methodik zulässig, sie ersetzt aber nicht die gesetzliche Umsetzungspflicht. Diese beiden Punkte adressiert das BSI auch regelmäßig in seiner Webinarreihe #nis2know.
Eine bestehende ISO-27001-Zertifizierung deckt rund 70 bis 80 Prozent der zehn §30-Maßnahmenbereiche aus dem BSIG ab. Das BSI selbst formuliert es so: "Sehr wohl aber bildet eine ISO/IEC 27001-Zertifizierung ein gutes Fundament auf dem sich im Sinne der Pflichten nach BSIG aufbauen lässt." Zertifizierte Unternehmen starten also mit einem klaren Vorsprung in die NIS2-Umsetzung.
Konkret bringt die ISO-Norm vier strukturelle Bausteine mit, die das BSIG ebenfalls verlangt. Diese Strukturen sind keine Detailmaßnahmen, sondern das Gerüst, auf dem alle weiteren Anforderungen aufsetzen. Wer sie bereits etabliert hat, spart in der NIS2-Umsetzung typischerweise Monate gegenüber einem Greenfield-Start.
Was ISO 27001 für NIS2 abdeckt:
Risikomanagement-Rahmen (ISO Kapitel 6, Annex A.5): Risikoidentifikation, Bewertung und Behandlung sind methodisch verankert und dokumentiert.
Dokumentierte Verantwortlichkeiten und Leadership Commitment (ISO Kapitel 5): Die Geschäftsleitung übernimmt formale Verantwortung für das ISMS, Rollen sind benannt.
Wirksamkeitsbewertung über internes Audit und Management-Review (ISO Kapitel 9): Etablierte Prüfzyklen, mit denen die Umsetzung der Maßnahmen regelmäßig kontrolliert wird.
Kontinuierliche Verbesserung im PDCA-Zyklus (ISO Kapitel 10): Strukturierte Korrektur- und Verbesserungsmaßnahmen sind Teil des Standardbetriebs.
Asset-Management, Zugriffskontrolle und Kryptographie (ISO Annex A): Zentrale technische Schutzmaßnahmen sind in den Kontrollkatalog integriert.
Der konkrete Abdeckungsgrad von rund 70 bis 80 Prozent stammt aus dem openKRITIS NIS2-Mapping, das die ISO-Kontrollen den §30-Anforderungen systematisch gegenüberstellt. Eine detaillierte Gegenüberstellung der zehn §30-Maßnahmen mit den ISO-Kontrollen finden Sie im Vergleich NIS2 vs. ISO 27001 — Was ist der Unterschied?.
Die Botschaft ist eindeutig: Wer ISO hat, startet nicht bei null, ist aber nicht am Ziel. Die verbleibenden 20 bis 30 Prozent betreffen genau die NIS2-spezifischen Pflichten, die der nächste Abschnitt benennt.
Auch ein gültiges ISO-27001-Zertifikat ersetzt fünf spezifische NIS2-Pflichten nicht: die BSI-Registrierungspflicht, die dreistufige Meldekaskade nach §32 BSIG, die persönliche Geschäftsleitungshaftung nach §38 BSIG, die verpflichtenden Schulungen der Geschäftsleitung sowie die vollständige verbindliche Umsetzung aller zehn §30-Maßnahmenbereiche ohne Cherry-Picking.
BSI-Registrierungspflicht (§33 BSIG): Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Diese rein nationale Pflicht kennt ISO 27001 nicht, sie hat im internationalen Standard kein Gegenstück. Wer die Frist verpasst hat, muss nachregistrieren und riskiert Bußgelder. Eine Praxis-Checkliste zur §30 BSIG zeigt das konkrete Vorgehen für Nachzügler.
Meldepflichten nach §32 BSIG:§32 BSIG schreibt drei feste Meldefristen vor, die ISO 27001 nicht kennt:
- 24 Stunden: Frühwarnung an das BSI nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls
- 72 Stunden: Erstmeldung mit Bewertung des Vorfalls
- 1 Monat: Abschlussmeldung mit detaillierter Auswertung
ISO-Incident-Management ist methodisch solide, aber es kennt keine gesetzlichen Fristen. Die Eskalationskette ans BSI muss separat aufgebaut, technisch getestet und dokumentiert werden.
Persönliche Haftung der Geschäftsleitung (§38 BSIG):§38 BSIG formuliert es eindeutig: "Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts." ISO 27001 fordert lediglich "Leadership Commitment". Eine persönliche zivilrechtliche Haftung der Geschäftsleitung kennt der internationale Standard nicht. Welche Bußgelder zusätzlich drohen, zeigt der Überblick zu NIS2-Bußgeldern und Strafen bei Verstößen.
Schulungspflicht für die Geschäftsleitung (§38 Abs. 3 BSIG): Das Gesetz verlangt explizit: "Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen". ISO 27001 fordert generelle Awareness-Maßnahmen für Mitarbeitende, benennt aber keine Schulungspflicht für die Vorstands- oder Geschäftsführungsebene. Die Teilnahme muss nachweisbar dokumentiert werden.
Vollständige Umsetzung aller §30-Maßnahmenbereiche: §30 BSIG listet zehn Bereiche, die "angemessen, wirksam und verhältnismäßig" umzusetzen sind. Wenn ein Bereich für die Einrichtung relevant ist, reicht eine Risikoakzeptanz nach ISO-Methodik nicht aus. Cherry-Picking einzelner Maßnahmen ist mit dem BSIG nicht vereinbar.
Ein mittelständischer Maschinenbauer mit 220 Mitarbeitern ist seit 2022 nach ISO 27001 zertifiziert, allerdings nur mit Scope auf die Konzernzentrale in Stuttgart. Als wichtige Einrichtung im Sektor "Verarbeitendes Gewerbe" (NIS2-Anhang II) gelten die NIS2-Pflichten seit Dezember 2025 für das gesamte Unternehmen, also auch für die zwei Werke in Sachsen und Polen.
Was die ISO-Zertifizierung bringt:
Risikomanagement-Methodik ist etabliert und dokumentiert
Dokumentationsstrukturen für Richtlinien und Nachweise sind vorhanden
Internes Audit und Management-Review laufen jährlich
Verantwortlichkeiten sind geklärt, ein ISB ist benannt
Was trotzdem fehlt:
Scope-Erweiterung auf die Werke in Sachsen und Polen, da das BSIG den gesamten Einrichtungsbetrieb verlangt
BSI-Registrierung nach §33 BSIG, die im März 2026 fällig war
Meldeprozess nach §32 BSIG mit 24-Stunden-Frühwarnung, 72-Stunden-Erstmeldung und Abschlussbericht
Schulungsplan für die Geschäftsleitung nach §38 Absatz 3 BSIG
Lieferanten-Mapping für die Werke, da Lieferkettensicherheit einrichtungsweit gilt
Der NIS2Compass-Vor-Check identifiziert diese Lücken in 15 Minuten. Der NIS2 Guide bringt die Geschäftsführung anschließend in 8 Kapiteln strukturiert durch die Schließung. Die Template Library liefert die fertigen Vorlagen für Meldeprozess, Schulungsplan und Lieferanten-Bewertung.
Das BSI empfiehlt fünf Schritte für ISO-zertifizierte Unternehmen: Scope der Zertifizierung gegen die NIS2-Einrichtungsdefinition prüfen, strukturierte Gap-Analyse gegen §30 BSIG durchführen, Meldeprozess nach §32 BSIG aufbauen, Geschäftsleitung nach §38 BSIG einbinden und die Brücke zwischen ISO und NIS2 schriftlich dokumentieren.
Scope-Review: Prüfen Sie, ob der zertifizierte Geltungsbereich die gesamte NIS2-betroffene Einrichtung abdeckt. Wenn nein: Scope erweitern oder ergänzende Strukturen außerhalb der Zertifizierung aufbauen. Dieser Schritt ist die wichtigste Weichenstellung.
Strukturierte Gap-Analyse gegen §30 BSIG: Die zehn Maßnahmenbereiche durchgehen und für jeden prüfen, ob die ISO-Implementierung sie angemessen, wirksam und verhältnismäßig abdeckt. Der Vor-Check liefert diese Gap-Analyse strukturiert in 18 Schritten.
Meldeprozess nach §32 BSIG aufbauen: Eskalationskette für die 24-Stunden-Frühwarnung, 72-Stunden-Erstmeldung und Abschlussmeldung nach einem Monat definieren, Verantwortlichkeiten festlegen, BSI-Meldewege dokumentieren. Die Template Library liefert dafür fertige Vorlagen.
Geschäftsleitung einbinden:§38 BSIG verlangt die aktive Umsetzung und Überwachung der Risikomanagementmaßnahmen durch die Geschäftsleitung sowie regelmäßige Schulungen. Schulungsplan dokumentieren, Teilnahmen nachweisen.
Dokumentation erweitern: Welche §30-Maßnahmen sind über ISO abgedeckt, welche separat aufgebaut? Diese Brücke muss schriftlich vorliegen und ist Teil der Nachweispflicht gegenüber dem BSI.
Der NIS2Compass-Guide führt ISO-zertifizierte Unternehmen typischerweise in 4 bis 6 Wochen durch die Schließung der NIS2-spezifischen Lücken, gegenüber 6 bis 12 Monaten ohne ISMS-Basis. Im Knowledge Hub finden sich weiterführende Fachartikel zu §30 BSIG, ISMS und Geschäftsleitungshaftung. Wer tiefer in die ISMS-Tool-Diskussion einsteigen möchte, findet in NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt eine ergänzende Perspektive auf die typischen Tool-Lücken.
Nein. Das BSI hat in seiner FAQ offiziell klargestellt, dass eine ISO-27001-Zertifizierung NIS2-Compliance nicht ersetzt. Die Norm deckt rund 70 bis 80 Prozent der §30-Anforderungen ab. Spezifische Pflichten wie BSI-Registrierung, die §32-Meldekaskade und die §38-Geschäftsleitungshaftung müssen Sie separat aufbauen und dokumentieren.
Nein. Das BSI formuliert es eindeutig: "Eine solche Zertifizierung kann nicht als Nachweis der NIS-2-Konformität betrachtet werden." ISO 27001 wird als methodisches Fundament anerkannt, nicht als Compliance-Beleg. Bei einer BSI-Prüfung müssen Sie alle NIS2-Pflichten separat und nachweisbar erfüllen, unabhängig von Ihrer Zertifizierung.
ISO 27001 erlaubt eine bewusste Scope-Begrenzung auf einzelne Standorte oder Geschäftsbereiche. Das BSIG verlangt jedoch den gesamten relevanten Einrichtungsbetrieb. Umfasst Ihr ISO-Scope nicht die vollständige Einrichtung, müssen Sie ihn entweder erweitern oder die verbleibenden Lücken außerhalb des ISMS gezielt schließen und dokumentieren.
Ja. ISO 27001 verlangt zwar Incident Management, kennt aber keine gesetzlichen Meldefristen. §32 BSIG fordert eine 24-Stunden-Frühwarnung, eine 72-Stunden-Erstmeldung und eine Abschlussmeldung innerhalb eines Monats. Sie müssen die Eskalationskette ans BSI zusätzlich aufbauen, technisch testen und in Ihren Vorfallprozess integrieren.
Das BSI empfiehlt vier Schritte: Scope der ISO-Zertifizierung gegen die NIS2-Einrichtungsdefinition prüfen, Gap-Analyse gegen die zehn §30-Maßnahmenbereiche durchführen, ergänzende Maßnahmen dokumentieren sowie NIS2-spezifische Pflichten zu Meldung, Haftung und Schulung separat aufbauen. Der NIS2Compass-Vor-Check unterstützt Sie strukturiert bei der Gap-Analyse.
