ISO 27001 ist nicht gleich NIS2-Compliance: Was wirklich fehlt
ISO 27001 liefert das Governance-Fundament für NIS2 – aber keine operative Umsetzung. Was zwischen ISMS-Dokumentation und tatsächlicher NIS2-Compliance fehlt, und warum das seit dem 6. Dezember 2025 ein konkretes Problem ist.
ISO 27001 ist nicht gleich NIS2-Compliance: Was wirklich fehlt
Viele Unternehmen in Deutschland haben ein ISMS nach ISO 27001 – zertifiziert, dokumentiert, eingebettet in ein GRC-Tool. Die Annahme: Damit sind wir auf NIS2 vorbereitet. Die Realität: ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Die verbleibenden 30 % sind die, bei denen es ernst wird.
ISO 27001 strukturiert die interne Governance. NIS2 verlangt darüber hinaus operative Fähigkeiten: Meldepflichten unter Zeitdruck, kontinuierliche Lieferantenüberwachung und jederzeit abrufbare Nachweise. Ein ISMS allein kann das nicht leisten.
Direkt zu:
- Was ISO 27001 abdeckt – und wo es aufhört
- Die drei operativen Lücken
- Was das konkret für Ihr Unternehmen bedeutet
Warum diese Unterscheidung jetzt relevant ist
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Rund 30.000 Unternehmen in Deutschland sind betroffen. Wer als besonders wichtige oder wichtige Einrichtung eingestuft wird, muss die Anforderungen jetzt erfüllen – nicht irgendwann.
Die BSI-Registrierung läuft, die Meldepflichten gelten, und das BSI kann jederzeit Nachweise anfordern. In dieser Situation greifen viele Unternehmen auf das zurück, was sie haben: ihr ISMS. Und das ist auch richtig – als Ausgangspunkt. Aber eben nicht als Zielzustand.
Die Gleichung „ISO 27001 = NIS2-Compliance" ist die gefährlichste Vereinfachung, die gerade im Markt kursiert. Nicht weil ISO 27001 schlecht wäre – im Gegenteil. Sondern weil sie den Blick auf das verstellt, was tatsächlich noch fehlt.
Was ISO 27001 abdeckt – und wo es aufhört {#was-iso-27001-abdeckt}
Kurz: ISO 27001 liefert die Governance-Struktur, die NIS2 in Artikel 20 und weiten Teilen von Artikel 21 verlangt. Was fehlt, sind die operativen Anforderungen.
ISO 27001 und NIS2 teilen eine gemeinsame Grundlogik: risikobasiertes Informationssicherheitsmanagement. Wer ein ISMS nach ISO 27001:2022 betreibt, hat in der Regel bereits solide Grundlagen:
- Risikobewertungen und Maßnahmenplanung (NIS2 Art. 21(2)(a))
- Richtlinien für Business Continuity (NIS2 Art. 21(2)(c))
- Zugangskontrollen und Asset Management (NIS2 Art. 21(2)(i))
- Schulungs- und Awareness-Programme (NIS2 Art. 21(2)(g))
- Verfahren zur Bewertung der Wirksamkeit von Maßnahmen (NIS2 Art. 21(2)(f))
- Kryptographie-Richtlinien (NIS2 Art. 21(2)(h))
Auch die ENISA erkennt diese Überschneidung an: In Erwägungsgrund 79 der NIS2-Richtlinie wird die Implementierung internationaler Standards wie der ISO 27000-Reihe ausdrücklich empfohlen.
Soweit die gute Nachricht. Die weniger gute: NIS2 bleibt nicht bei Governance stehen. Die Richtlinie – und damit das BSIG in seiner novellierten Fassung – verlangt Maßnahmen, die über das hinausgehen, was ein ISMS typischerweise leisten kann. Nicht weil das ISMS falsch aufgebaut wäre, sondern weil es für einen anderen Zweck konzipiert wurde.
Ein ISMS ist ein internes Steuerungsinstrument. NIS2 verlangt zusätzlich operative Fähigkeiten mit Außenwirkung: Kommunikation unter Zeitdruck, kontinuierliche Sichtbarkeit in die Lieferkette und Nachweise, die nicht erst für den nächsten Audit-Termin zusammengestellt werden.
Die drei operativen Lücken zwischen ISO 27001 und NIS2 {#die-drei-operativen-luecken}
1. Meldepflicht: 24 Stunden sind kein Dokumentationsproblem
NIS2 Artikel 23 in Verbindung mit § 32 BSIG führt ein dreistufiges Melderegime ein: Frühwarnung innerhalb von 24 Stunden, qualifizierte Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Bei KRITIS-Betreibern gelten zusätzliche Detailanforderungen.
ISO 27001 kennt Incident Management – als Prozess, der dokumentiert, bewertet und nachbereitet wird. In der Regel nach dem Vorfall. Was ISO 27001 nicht abbildet: die Fähigkeit, innerhalb von 24 Stunden einen koordinierten, faktenbasierten Bericht an das BSI zu liefern, während der Vorfall noch läuft.
Das ist kein Dokumentationsproblem. Das ist ein Betriebssystem-Problem. Denn in diesen 24 Stunden müssen parallel Fragen beantwortet werden, die verschiedene Bereiche betreffen: Was ist passiert? Wie schwer ist der Vorfall? Wer entscheidet was, auf welcher Grundlage? Wie koordinieren sich Security, Legal, Kommunikation und Geschäftsführung? Und wie wird das alles versioniert und nachweisbar dokumentiert – während es passiert?
Wer einen Incident-Response-Plan hat, hat eine Richtlinie. Wer die 24-Stunden-Frist zuverlässig einhalten kann, hat ein Incident-Management-System. Der Unterschied ist operativ – und er ist der Unterschied, den NIS2 prüft.
→ Vertiefung: NIS2-Meldepflicht: Die 24-Stunden-Frist operativ einhalten
2. Lieferkettensicherheit: Einmal im Jahr reicht nicht
Artikel 21(2)(d) der NIS2-Richtlinie – umgesetzt in § 30 BSIG – verlangt Maßnahmen zur Sicherheit der Lieferkette. Konkret: sicherheitsrelevante Aspekte der Beziehungen zu direkten Zulieferern und Diensteanbietern, unter Berücksichtigung der spezifischen Schwachstellen jedes einzelnen Lieferanten.
Die meisten ISMS-Lösungen bilden Lieferantenbewertungen ab – beim Onboarding oder einmal jährlich. Ein Fragebogen wird verschickt, die Antworten werden abgelegt, der Prozess ist dokumentiert. Formal korrekt, operativ unzureichend.
NIS2 meint etwas anderes. Es geht nicht um das Abhaken von Fragebögen. Es geht darum, geschäftskritische Abhängigkeiten kontinuierlich beherrschbar zu halten – in einer geopolitischen Realität, die sich permanent verschiebt. Das erfordert eine dauerhaft gepflegte Schnittstelle zu Dienstleistern und Zulieferern: laufendes Monitoring, anlassbezogene Re-Assessments, integrierte Nachweise und schnelle Kommunikation, wenn sich die Lage verändert.
Ein ISMS dokumentiert, dass eine Lieferantenbewertung stattgefunden hat. NIS2 prüft, ob die Lieferkette tatsächlich beherrscht wird – nicht ob der Prozess existiert, sondern ob er funktioniert.
→ Vertiefung: NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
3. Nachweispflicht: Evidenz auf Abruf, nicht auf Anfrage
Artikel 21(2)(f) verlangt Verfahren zur Bewertung der Wirksamkeit von Maßnahmen. Gleichzeitig erweitert NIS2 die Befugnisse der Aufsichtsbehörden erheblich: Das BSI kann Vor-Ort-Inspektionen, Audits und Scans durchführen – und jederzeit Informationen anfordern (§§ 61-65 BSIG).
ISO 27001 bereitet Unternehmen auf Audits vor – typischerweise in einem geplanten Zyklus. Was NIS2 verlangt, ist ein anderes Betriebsmodell: Nachweise müssen jederzeit verfügbar sein, nicht erst zusammengestellt werden, wenn die Anfrage kommt.
Das bedeutet konkret: Verifizierbare Artefakte statt Behauptungen – also Systeme und Logs, nicht nur Dokumente. Artefakte mit Metadaten: Versionsstatus, Gültigkeitszeitraum, Verantwortliche, Änderungshistorie. Die Fähigkeit, aktuelle Lieferantenbewertungen, Vorfallberichte und Kontrollnachweise jederzeit einem Prüfer vorzulegen.
Evidenz ist unter NIS2 kein „Audit-Dekoration" – sie ist der kontinuierliche Output laufender Arbeit. Wer Nachweise erst für den Audit zusammenstellt, hat ein Governance-System. Wer sie jederzeit abrufen kann, hat ein operatives System. NIS2 verlangt Letzteres.
→ Vertiefung: NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz
Was ISO 27001 abdeckt und was nicht – die Übersicht
| NIS2-Anforderung | ISO 27001 | Operative Ergänzung nötig? |
|---|---|---|
| Risikoanalyse und Sicherheitskonzepte (Art. 21(2)(a)) | ✅ Kernbestandteil | Nein |
| Business Continuity und Krisenmanagement (Art. 21(2)(c)) | ✅ Abgedeckt | Nein |
| Schulungen und Awareness (Art. 21(2)(g)) | ✅ Abgedeckt | Nein |
| Kryptographie-Richtlinien (Art. 21(2)(h)) | ✅ Abgedeckt | Nein |
| Zugangskontrollen und Asset Management (Art. 21(2)(i)) | ✅ Abgedeckt | Nein |
| Wirksamkeitsbewertung (Art. 21(2)(f)) | ⚠️ Prozess ja, kontinuierliche Evidenz nein | Ja |
| Incident Handling und Meldepflicht (Art. 21(2)(b), Art. 23) | ⚠️ Prozess ja, operative 24h-Fähigkeit nein | Ja |
| Lieferkettensicherheit (Art. 21(2)(d)) | ⚠️ Punktuelle Bewertung, keine kontinuierliche Überwachung | Ja |
| Geschäftsführerhaftung (Art. 20, § 38 BSIG) | ⚠️ Rollen definiert, persönliche Haftung nicht operationalisiert | Ja |
Was das konkret für Ihr Unternehmen bedeutet {#was-das-konkret-bedeutet}
Die Konsequenzen sind klar geregelt: Verstöße gegen Artikel 21 oder 23 können bei besonders wichtigen Einrichtungen zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen. Bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 %. Und § 38 BSIG macht die Geschäftsführung persönlich haftbar – ein Verzicht auf Ersatzansprüche gegenüber der Leitung ist gesetzlich unwirksam.
Das sind keine theoretischen Szenarien. Das BSI hat die Befugnis, jederzeit Nachweise anzufordern, Audits durchzuführen und Anordnungen zu erlassen. Die Frage ist nicht ob, sondern wann.
Was Unternehmen jetzt tun sollten
Wer ein ISMS hat, hat eine gute Ausgangslage. Aber drei Schritte sind notwendig, um den Weg von ISO 27001 zu tatsächlicher NIS2-Compliance zu schließen:
Erstens: Gap-Analyse zwischen ISMS und den operativen NIS2-Anforderungen. Nicht „haben wir einen Prozess?", sondern „können wir das unter Zeitdruck und gegenüber Dritten operativ umsetzen?" Die drei Lücken oben – Meldepflicht, Lieferkette, Nachweispflicht – sind der Startpunkt.
Zweitens: Operative Systeme für das aufbauen, was das ISMS nicht abdeckt. Ein Incident-Management-System, das innerhalb von 24 Stunden koordinierte Meldungen produzieren kann. Ein Vendor-Assurance-Prozess, der über jährliche Fragebögen hinausgeht. Eine Evidenzschicht, die Nachweise kontinuierlich bereitstellt – nicht nur für den nächsten Audit.
Drittens: ISMS und operative Systeme verbinden. NIS2-Compliance ist kein Entweder-oder. Ein ISMS für die interne Steuerung, ein Trust Center für die externe Kommunikation und Nachweisführung – beide Seiten derselben Medaille. Wer beides verbindet, macht aus Compliance-Aufwand ein funktionierendes System.
→ Weiterführend: NIS2-Betroffenheit geklärt — und jetzt? Die operativen Lücken nach dem ISMS
Quellen
- Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) – Volltext – Amtsblatt der Europäischen Union. Vollständiger Text der NIS2-Richtlinie einschließlich der Artikel 20, 21 und 23.
- BSI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – Bundesamt für Sicherheit in der Informationstechnik. Umsetzungsgesetz, Registrierungsanforderungen und Orientierungshilfen.
- ISO/IEC 27001:2022 – Informationssicherheitsmanagementsysteme – Internationale Organisation für Normung. Der in diesem Artikel als Governance-Basis referenzierte ISMS-Standard.
- ENISA – Implementing Guidance on NIS2 Security Measures – Technische Umsetzungsempfehlungen für die Risikomanagementmaßnahmen nach Artikel 21.
- ENISA – NIS2 Requirements Mapping to ISO 27001 – Mapping-Tabelle der ENISA zwischen NIS2-Anforderungen und ISO 27001-Controls.
- BSI – NIS-2-Betroffenheitsprüfung – Orientierungshilfe des BSI zur Prüfung der NIS2-Betroffenheit.