Normenvergleich

NIS2 vs. ISO 27001 vs. BSI-Grundschutz

Drei Regelwerke, drei Rollen — keine Konkurrenz, sondern Ergänzung. Wir erklären, was welches Regelwerk leistet und wo die entscheidenden Unterschiede liegen.

Beratung anfragen NIS2-Übersicht

Drei Regelwerke — drei Rollen

NIS2, ISO 27001 und BSI-Grundschutz im Vergleich

Die drei Regelwerke werden oft als Alternativen diskutiert. Das ist ein Irrtum: Sie adressieren unterschiedliche Ebenen derselben Fragestellung und können — richtig kombiniert — erheblichen Synergieeffekt erzeugen.

Kriterium	NIS2 / BSIG	ISO 27001	BSI-Grundschutz
Charakter	EU-Recht, verbindlich für betroffene Einrichtungen	Internationaler Standard, freiwillig	Nationaler Standard (BSI), freiwillig
Zweck	Regulatorische Pflicht, Sanktionen bei Verstoß	Zertifizierung, Vertrauensnachweis	Operative Sicherheitsmaßnahmen
GL-Schulungspflicht	Ja, § 38 BSIG, zwingend	Nein	Nein
Meldepflichten	Ja, 24h/72h/1 Monat ans BSI	Nein	Nein
Bußgelder	Ja, bis 10 Mio. € / 2 % Umsatz	Nein	Nein
Zertifizierbar	Nein (Compliance-Nachweis möglich)	Ja	Ja
Lieferkettenpflicht	Ausdrücklich, § 30 Abs. 2 Nr. 4 BSIG	Empfohlen (A.15)	Empfohlen

Hebel nutzen

Was ISO 27001 für NIS2 bereits leistet

Wer ISO-27001-zertifiziert ist, hat den Großteil der NIS2-Anforderungen bereits strukturell erfüllt. Risikoanalyse, Dokumentation, Audit-Zyklen, Incident Management — alles vorhanden. Aber drei Bereiche erfordern gezielte Ergänzungen.

Lücke 1: GL-Schulungspflicht

ISO 27001 fordert kein persönliches Schulungsnachweis der Geschäftsleitung. § 38 BSIG schon — mit Nachweispflicht.

Lücke 2: BSI-Meldepflichten

ISO 27001 kennt keine behördlichen Meldefristen. NIS2 schreibt Erstmeldung innerhalb von 24 Stunden vor.

Lücke 3: Registrierung beim BSI

Betroffene Einrichtungen müssen sich beim BSI registrieren — unabhängig von einer ISO-Zertifizierung.

Empfehlung: ISO 27001 als ISMS-Fundament nutzen und gezielt um die NIS2-spezifischen Anforderungen ergänzen. Das spart erheblichen Aufwand gegenüber einem Parallelaufbau.

Entscheidungshilfe

Welches Regelwerk für welche Situation?

Wir sind NIS2-pflichtig und haben kein ISMS — wo anfangen?

Starten Sie mit einer Gap-Analyse auf Basis der BSIG-Anforderungen. Bauen Sie parallel ein ISMS auf, das die NIS2-Pflichtbausteine abdeckt. Eine ISO-27001-Zertifizierung können Sie als nächsten Schritt angehen — sie erleichtert künftige Audits und stärkt den Nachweis gegenüber dem BSI.

Wir haben ISO 27001 — müssen wir trotzdem NIS2-Compliance-Maßnahmen umsetzen?

Ja. ISO 27001 ist keine NIS2-Compliance. Sie liefert eine hervorragende Basis, ersetzt aber nicht die BSIG-spezifischen Pflichten: GL-Schulung, BSI-Registrierung, Meldepflichten und die Nachweisführung gegenüber der deutschen Aufsichtsbehörde.

Kann eine ISO-27001-Zertifizierung als NIS2-Nachweis dienen?

Teilweise. Das BSI erkennt bestehende Zertifizierungen als Indiz für ein funktionierendes ISMS an. Sie ersetzen jedoch nicht den vollständigen NIS2-Compliance-Nachweis — insbesondere nicht für die Bereiche, die ISO 27001 nicht abdeckt (Meldepflichten, GL-Haftung, Registrierung).

Verwandte Themen

Weiterführende NIS2-Themen

NIS2-Compliance auf Basis Ihrer bestehenden Zertifizierungen

Wir analysieren Ihre Ausgangssituation und zeigen, welche gezielten Maßnahmen den größten NIS2-Hebel haben.

Jetzt Beratung anfragen