NIS2 / BSIG § 30

ISMS für NIS2 aufbauen und erweitern

NIS2 verlangt ein strukturiertes Informationssicherheits-Managementsystem. Wer bereits ISO 27001 hat, ist nah dran — aber noch nicht am Ziel.

Beratung anfragen NIS2-Übersicht

Was ist ein ISMS?

Das ISMS als Fundament der NIS2-Compliance

Ein Informationssicherheits-Managementsystem (ISMS) ist kein Produkt, das man kauft — es ist ein strukturierter Rahmen aus Richtlinien, Prozessen, Verantwortlichkeiten und Kontrollen, der dauerhaft gelebt wird. NIS2 fordert diesen Rahmen ausdrücklich.

Kein ISMS vorhanden

Höchster Aufwand, aber klarer Startpunkt. Wir begleiten Sie von der Gap-Analyse bis zum funktionierenden ISMS.

Asset-Inventar erstellen
Risikoanalyse nach § 30 BSIG aufbauen
Pflichtrichtlinien entwickeln
Rollen und Verantwortlichkeiten definieren

ISO 27001 vorhanden

Gute Ausgangslage — aber NIS2 stellt Zusatzanforderungen, die ISO 27001 nicht vollständig abdeckt.

Geschäftsleitungs-Schulungspflicht (§ 38 BSIG)
BSI-Meldepflichten integrieren
Lieferkettensicherheit ausbauen
Registrierungspflicht beim BSI prüfen

BSI-Grundschutz vorhanden

Starke technische Basis, regulatorische NIS2-Spezifika müssen ergänzt werden.

NIS2-Meldewege und Fristen integrieren
GL-Schulung und Haftungsrahmen ergänzen
Nachweispflichten dokumentieren
Scope auf NIS2-Dienste überprüfen

ISMS-Kern

Die sechs Bausteine eines NIS2-konformen ISMS

NIS2 schreibt keinen bestimmten ISMS-Standard vor, aber § 30 BSIG definiert einen klaren Anforderungskatalog. Diese sechs Bereiche müssen in jedem NIS2-konformen ISMS abgedeckt sein.

Risikoanalyse

Systematische Identifikation, Bewertung und Behandlung von Risiken für Ihre Dienste und IT-Systeme.

Incident Management

Erkennungs-, Melde- und Reaktionsprozesse für erhebliche Sicherheitsvorfälle nach § 32 BSIG.

Business Continuity

Backup-Konzepte, Notfallpläne und Krisenmanagement zur Aufrechterhaltung der Diensterbringung.

Lieferkettensicherheit

Sicherheitsanforderungen an externe Dienstleister und Lieferanten, vertraglich verankert.

Schulungen

Nachweisbare Schulung der Geschäftsleitung (§ 38) und Security Awareness für alle Mitarbeitenden.

Dokumentation & Nachweis

Prüffähige Aufzeichnungen für Aufsichtsbehörden — jederzeit abrufbar, nicht nur im Ernstfall.

Häufige Fragen

ISMS und NIS2 — was Unternehmen wirklich wissen wollen

Muss ich mein ISMS nach ISO 27001 zertifizieren lassen?

NIS2 schreibt keine ISO-27001-Zertifizierung vor. Sie kann jedoch als Nachweis gegenüber dem BSI dienen und Audit-Aufwand reduzieren. Für Unternehmen, die bereits zertifiziert sind oder in Branchen tätig sind, in denen Zertifizierungen erwartet werden, ist der Weg lohnend. Für alle anderen genügt ein dokumentiertes, funktionierendes ISMS.

Wie lange dauert der Aufbau eines NIS2-konformen ISMS?

Abhängig vom Ausgangszustand und der Unternehmensgröße: 3–6 Monate für einen strukturierten Grundaufbau mit externer Begleitung, 12–18 Monate bis zur vollständigen Reife inklusive gelebter Prozesse. Entscheidend ist, schnell mit Quick Wins zu starten und nicht auf Perfektion zu warten.

Wer ist intern für das ISMS verantwortlich?

Die Letztverantwortung liegt nach § 38 BSIG bei der Geschäftsleitung. Die operative Steuerung übernimmt ein CISO oder IT-Sicherheitsbeauftragter — intern oder als externe Dienstleistung. Wichtig: Die Geschäftsleitung kann Aufgaben delegieren, aber nicht die Verantwortung.

Verwandte Themen