BSI IT-Grundschutz: Vollständiger Leitfaden 2026 (Grundschutz++, Zertifizierung, Anforderungen)
BSI IT-Grundschutz 2026 kompakt: 111 Bausteine, BSI-Standards 200-1 bis 200-4, Grundschutz++ ab Januar 2026, Zertifizierungsprozess, NIS2-Bezug und Kosten für Behörden und Unternehmen.
BSI IT-Grundschutz: Vollständiger Leitfaden 2026
Wenn Sie in Deutschland eine Bundesbehörde leiten, ein KRITIS-Unternehmen betreiben oder als wichtige Einrichtung unter das neue NIS2-Umsetzungsgesetz fallen, ist BSI IT-Grundschutz kein Geheimtipp mehr — es ist das Referenzrahmenwerk, an dem viele Organisationen gemessen werden. Mit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 hat der IT-Grundschutz vor allem im öffentlichen Sektor deutlich an rechtlicher und operativer Bedeutung gewonnen.
Gleichzeitig reformiert das BSI den IT-Grundschutz grundlegend. Grundschutz++ wird seit 2026 schrittweise eingeführt; eine mehrjährige Übergangsphase läuft parallel. Dieser Leitfaden erklärt alles, was Behörden, Unternehmen und Compliance-Verantwortliche 2026 wissen müssen: Aufbau des Kompendiums, die vier BSI-Standards, der Zertifizierungsprozess, die Grundschutz++-Reform, Kosten, NIS2-Bezug und praktische Umsetzungsschritte.
Was ist BSI IT-Grundschutz?
BSI IT-Grundschutz ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Rahmenwerk für systematischen Aufbau und Betrieb von Informationssicherheit in Behörden und Unternehmen. Ziel ist es, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, das konkrete Schutzmaßnahmen für typische IT-Systeme, Geschäftsprozesse und Infrastrukturen bereitstellt.
Seit den 1990er Jahren kontinuierlich weiterentwickelt, ist IT-Grundschutz heute:
- Das zentrale Referenzrahmenwerk für Bundesbehörden im Regime seit Dezember 2025
- Eine anerkannte Methodik zur Operationalisierung von NIS2-bezogenen Risikomanagementanforderungen (§30 BSIG)
- Die Grundlage für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz (kombiniertes Zertifikat)
- Ein praxiserprobtes Werkzeug für den deutschen Mittelstand (KMU-tauglicher Basisschutz)
Das aktuelle IT-Grundschutz-Kompendium Edition 2023 umfasst 111 Bausteine in zehn thematischen Schichten und bleibt bis zur vollständigen Einführung von Grundschutz++ die zertifizierungsrelevante Grundlage.
Das IT-Grundschutz-Kompendium: 111 Bausteine in 10 Schichten
Das Kompendium strukturiert Sicherheitsanforderungen in modulare Bausteine (Building Blocks), die auf spezifische Systemtypen, Prozesse und Infrastrukturkomponenten angewendet werden. Die zehn Schichten des Kompendiums sind:
| Schicht | Kürzel | Inhalt |
|---|---|---|
| Sicherheitsmanagement | ISMS | Aufbau und Betrieb des ISMS |
| Organisation und Personal | ORP | Organisationsstruktur, Rollen, Awareness |
| Konzepte und Vorgehensweisen | CON | Datensicherung, Kryptografie, Datenschutz |
| Betrieb | OPS | Patch-Management, Protokollierung, Incident Response |
| Detektion und Reaktion | DER | Monitoring, Schwachstellenmanagement, Forensik |
| Netzwerke und Kommunikation | NET | Netzwerkarchitektur, Segmentierung, WLAN |
| Infrastruktur | INF | Rechenzentren, Serverräume, Büroräume |
| IT-Systeme | SYS | Server, Clients, mobile Geräte, IoT |
| Industrielle IT | IND | SCADA, OT/ICS, industrielle Steuerungen |
| Anwendungen | APP | Webanwendungen, Office, E-Mail, Datenbanken |
Jeder Baustein enthält:
- Gefährdungslage (typische Bedrohungen)
- Anforderungen (BASIS, STANDARD, ERHÖHTER SCHUTZBEDARF)
- Umsetzungshinweise (praktische Implementierungsanleitung)
- Referenzen zu ISO 27001, DSGVO und anderen Standards
Die vier BSI-Standards 200-1 bis 200-4
Das Rahmenwerk stützt sich auf vier aufeinander aufbauende BSI-Standards:
| Standard | Titel | Inhalt |
|---|---|---|
| BSI-Standard 200-1 | Management von Informationssicherheit | Aufbau und Betrieb eines ISMS gemäß ISO 27001 |
| BSI-Standard 200-2 | IT-Grundschutz-Methodik | Vorgehensmodell zur Schutzbedarfsfeststellung und Modellierung |
| BSI-Standard 200-3 | Risikoanalyse | Ergänzende Risikoanalyse für erhöhten Schutzbedarf |
| BSI-Standard 200-4 | Business Continuity Management | BCM-Prozesse, Notfallplanung, Krisenmanagement |
Diese Standards definieren wie IT-Grundschutz umgesetzt wird — das Kompendium definiert was umgesetzt werden muss.
Drei Vorgehensweisen: Basis-, Standard- und Kernabsicherung
BSI IT-Grundschutz bietet drei skalierbare Vorgehensweisen für unterschiedliche Organisationsgrößen und Risikolagen:
1. Basisabsicherung
Die Basisabsicherung adressiert grundlegende Sicherheitsmaßnahmen mit minimalem Aufwand. Sie eignet sich für:
- KMUs und Startups mit begrenzten Ressourcen
- Organisationen, die einen ersten strukturierten Sicherheitsrahmen aufbauen
- Als Einstieg vor der vollständigen Standardabsicherung
Umfang: Nur BASIS-Anforderungen aller relevanten Bausteine. Keine vollständige IT-Grundschutz-Zertifizierung möglich, aber das BSI stellt ein Testat aus.
2. Standardabsicherung
Die Standardabsicherung ist die vollständige IT-Grundschutz-Implementierung und Basis für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Sie umfasst:
- BASIS- und STANDARD-Anforderungen aller relevanten Bausteine
- Vollständige Schutzbedarfsfeststellung
- Modellierung des Informationsverbunds
Geeignet für: Mittlere und große Organisationen, Bundesbehörden, KRITIS-Betreiber.
3. Kernabsicherung
Die Kernabsicherung fokussiert sich auf besonders geschäftskritische Kronjuwelen — die wichtigsten Assets und Prozesse — mit dem höchsten Sicherheitsniveau. Geeignet für:
- Hochsensible Bereiche (Geheimschutz, kritische Infrastrukturen)
- Organisationen mit erhöhtem Schutzbedarf gemäß BSI-Standard 200-3
Grundschutz++: Die Reform ab Januar 2026
Das BSI hat den IT-Grundschutz grundlegend reformiert. Unter dem Namen Grundschutz++ wird das bisherige PDF-basierte Kompendium durch ein vollständig maschinenlesbares, prozessorientiertes Regelwerk ersetzt.
Wichtigste Änderungen
| Merkmal | Bisheriges Kompendium | Grundschutz++ |
|---|---|---|
| Format | PDF-Dokumente | Maschinenlesbares JSON |
| Anforderungsumfang | ~1.000 Anforderungen | Deutliche Reduzierung (BSI-Ziel: bis zu 80 %) |
| Struktur | Bausteine nach IT-Komponenten | Prozessorientiert |
| Automatisierung | Begrenzt | Vollständig automatisierbar |
| Messbarkeit | Manuell | CIA-Triade-Punktwerte je Anforderung |
| Verfügbarkeit | Statische Dokumente | GitHub-Repository (seit 29. Sept. 2025) |
Zeitplan
- September/Oktober 2025: Veröffentlichung der Grundschutz++-Vorschau als „Stand-der-Technik-Bibliothek" auf GitHub (BSI-Bund/Stand-der-Technik-Bibliothek)
- 1. Januar 2026: Offizieller Start von Grundschutz++
- Bis 2029: Übergangsphase — altes Kompendium und Grundschutz++ können parallel genutzt werden
- Ab 2029: Vollständige Ablösung des bisherigen Kompendiums (geplant)
Was bedeutet das für laufende Projekte?
Für laufende Zertifizierungen und Behörden, die gerade die Standardabsicherung aufbauen: Das Kompendium Edition 2023 bleibt bis 2029 vollständig gültig und zertifizierungsrelevant. Sie müssen nicht sofort auf Grundschutz++ wechseln.
Für neue Projekte ab 2026: Es empfiehlt sich, Grundschutz++ parallel zu evaluieren und frühzeitig mit der Migration zu planen, um die Übergangsphase effizient zu nutzen.
IT-Grundschutz-Zertifizierung: Schritt für Schritt
Eine vollständige IT-Grundschutz-Zertifizierung (ISO-27001-Zertifikat auf Basis von IT-Grundschutz) durchläuft sieben Hauptphasen:
Schritt 1: Initiierung und Strukturanalyse
Definieren Sie den Informationsverbund: welche Geschäftsprozesse, IT-Systeme, Räume und Kommunikationsverbindungen im Scope liegen. Benennen Sie den Informationssicherheitsbeauftragten (ISB).
Schritt 2: Schutzbedarfsfeststellung
Bewerten Sie für jeden Informationsverbund-Bestandteil den Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit (VIA-Triade). Das Ergebnis bestimmt, welche Bausteine und Anforderungsstufen angewendet werden.
Schritt 3: Modellierung des Informationsverbunds
Ordnen Sie jedem Zielobjekt die relevanten IT-Grundschutz-Bausteine zu. Dies ist die Grundschutz-Modellierung — sie definiert, welche der 111 Bausteine für Ihre Organisation gelten.
Schritt 4: IT-Grundschutz-Check (Soll-Ist-Vergleich)
Prüfen Sie für jeden angewendeten Baustein, ob die Anforderungen erfüllt sind. Nicht erfüllte Anforderungen werden als Mängel dokumentiert.
Schritt 5: Risikoanalyse (bei erhöhtem Schutzbedarf)
Wenn bestimmte Zielobjekte erhöhten Schutzbedarf aufweisen, wird ergänzend eine Risikoanalyse gemäß BSI-Standard 200-3 durchgeführt.
Schritt 6: Umsetzung der Sicherheitsmaßnahmen
Beheben Sie alle dokumentierten Mängel. Priorisieren Sie nach Risiko und verfügbaren Ressourcen. Dokumentieren Sie die Umsetzung für das Audit.
Schritt 7: Zertifizierungsaudit durch BSI-zertifizierten Auditor
Ein vom BSI zugelassener externer Auditor (Zertifizierungsstelle) prüft die vollständige Umsetzung. Das ISO-27001-Zertifikat auf Basis von IT-Grundschutz ist nach erfolgreichem Audit drei Jahre gültig. Jährliche Überwachungsaudits sind erforderlich.
BSI IT-Grundschutz vs. ISO 27001: Unterschiede und Gemeinsamkeiten
| Dimension | BSI IT-Grundschutz | ISO 27001:2022 |
|---|---|---|
| Herkunft | Deutsches BSI | International (ISO/IEC) |
| Ansatz | Katalog-basiert (Bausteine) | Risikobasiert (Annex A) |
| Detailtiefe | Sehr hoch (konkrete Maßnahmen) | Mittel (Prinzipien, risikoorientiert) |
| Zertifizierung | ISO 27001 + IT-Grundschutz-Testat | ISO 27001 |
| Behördenpflicht (DE) | Ja (Bundesverwaltung) | Nein |
| Anwendungsbereich | Primär Deutschland | Weltweit |
| Automatisierung | Ab 2026 (Grundschutz++) | Begrenzt |
| Überschneidung | > 80 % zu ISO 27001 | — |
Empfehlung für deutsche Unternehmen: Wer bereits ISO 27001 zertifiziert ist, kann mit überschaubarem Mehraufwand das kombinierte IT-Grundschutz-Zertifikat erlangen. Die Modellierung und der Grundschutz-Check fügen den bereits vorhandenen ISMS-Strukturen konkrete, deutsche Anforderungen hinzu — besonders für den Mittelstand und Behörden ein klarer Vorteil gegenüber einem rein risikobas ierten ISO-Ansatz.
BSI IT-Grundschutz und NIS2: Direkter Zusammenhang
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft trat, hat BSI IT-Grundschutz eine neue rechtliche Bedeutung erhalten:
Pflichten für Bundesbehörden
- Alle Behörden der Bundesverwaltung müssen Risikomanagementmaßnahmen auf IT-Grundschutz-Basis umsetzen (nicht mehr nur Ministerien)
- Einführung des CISO Bund als ressortübergreifende Leitungsposition
- Einhaltung der BSI-Mindeststandards verpflichtend
KRITIS-Registrierung
KRITIS-Betreiber gelten automatisch als besonders wichtige Einrichtungen und mussten sich bis zum 6. März 2026 beim BSI registrieren (BSI-Portal freigeschaltet am 6. Januar 2026).
NIS2-Bußgelder
Für besonders wichtige Einrichtungen: bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes. IT-Grundschutz-Implementierung ist der sicherste Weg, die §30-BSIG-Anforderungen (technisch-organisatorische Maßnahmen) nachweisbar zu erfüllen.
Meldepflichten
Das NIS2UmsuCG schreibt Incident-Reporting vor: Erstmeldung innerhalb von 24 Stunden, vollständiger Bericht nach 72 Stunden. IT-Grundschutz-Baustein DER.2.1 (Sicherheitsvorfallbehandlung) deckt diese Anforderungen direkt ab.
Kosten und Zeitplan: Realistische Kalkulation
| Vorgehensweise | Organisationsgröße | Typische Kosten | Zeitrahmen |
|---|---|---|---|
| Basisabsicherung | Klein (< 50 MA) | €10.000–€30.000 | 3–6 Monate |
| Standardabsicherung | Mittel (50–500 MA) | €50.000–€150.000 | 12–18 Monate |
| Kernabsicherung (krit. Assets) | Groß (> 500 MA) | €100.000–€300.000 | 18–24 Monate |
| ISO 27001 + Grundschutz (parallel) | Mittel | €60.000–€200.000 | 12–24 Monate |
Einsparung bei bestehender ISO 27001: 20–40 % der Vorbereitungskosten durch Nutzung bestehender ISMS-Dokumentation, Richtlinien und Nachweise.
Laufende Kosten: Jährliche Überwachungsaudits (ca. €5.000–€20.000), interne Aufwendungen für Monitoring, Schulungen und Dokumentationspflege.
Wie Orbiq die IT-Grundschutz-Implementierung unterstützt
IT-Grundschutz ist dokumentationsintensiv — von der Schutzbedarfsfeststellung über die Modellierung bis zum Grundschutz-Check. Orbiq vereinfacht diesen Prozess:
Kontinuierliches Monitoring. Das kontinuierliche Monitoring sammelt automatisch technische Nachweise aus Ihren Systemen — Zugangsprotokolle, Patch-Status, Konfigurationsbaselines — und eliminiert manuelle Evidenzsammlung für den Grundschutz-Check und NIS2-Meldepflichten.
Lieferantenrisikomanagement. KI-gestützte Fragebogenautomatisierung unterstützt die IT-Grundschutz-Anforderungen des Bausteins OPS.2.3 (Nutzung von Outsourcing) und NIS2-Artikel 21 direkt.
Trust Center für Behörden und Partner. Die Trust Center-Plattform ermöglicht es, den Grundschutz-Status und Sicherheitsnachweise strukturiert mit Auftraggebern und Prüfern zu teilen.
EU-Datenspeicherung. Orbiq verarbeitet alle Daten ausschließlich in europäischer Infrastruktur — kein CLOUD Act-Risiko für Ihre Compliance-Dokumentation.
Praktische IT-Grundschutz-Checkliste 2026
- ISB benennen — Informationssicherheitsbeauftragten mit ausreichend Ressourcen und direktem Berichtsweg zur Leitungsebene
- Informationsverbund definieren — Scope festlegen: Geschäftsprozesse, IT-Systeme, Infrastruktur, Kommunikationsverbindungen
- Schutzbedarfsfeststellung — VIA-Bewertung für alle Informationsverbund-Bestandteile
- Modellierung — Bausteine aus dem Kompendium zuordnen
- Grundschutz-Check — Soll-Ist-Vergleich, Mängel dokumentieren
- Risikoanalyse (BSI-Standard 200-3) — Bei erhöhtem Schutzbedarf ergänzend durchführen
- Maßnahmenplan — Priorisierte Umsetzung der fehlenden Anforderungen
- NIS2-Registrierung prüfen — KRITIS-Betreiber und wichtige/besonders wichtige Einrichtungen müssen beim BSI registriert sein
- Meldepflichtsystem einrichten — 24h-Erstmeldung, 72h-Folgebericht gemäß NIS2UmsuCG
- Grundschutz++-Migration planen — Übergang bis 2029 frühzeitig vorbereiten
- Zertifizierungsaudit einleiten — BSI-zugelassene Zertifizierungsstelle kontaktieren (TÜV, DQS, BDT, etc.)
Weiterführende Lektüre
- EU Compliance Software: Vollständiger Käufer-Leitfaden
- ISO 27001 Zertifizierung: Leitfaden
- Was ist ein ISMS?
- NIS2 Compliance-Leitfaden
- TISAX Compliance-Leitfaden
- DORA-Verordnung: Leitfaden für Finanzunternehmen
Quellen & Referenzen
- DataAgenda - BSI IT-Grundschutz-Kompendium 2023 - Offizielles Kompendium Edition 2023, 111 Bausteine in 10 Schichten
- verinice - BSI IT-Grundschutz - BSI-Hauptseite IT-Grundschutz mit allen Standards und Vorgehensmodellen
- IT-Grundschutz++ 2026 — ISMS-Ratgeber WiKi — Grundschutz++-Übersicht: JSON-Format, 80 % Reduktion, Übergangsphase bis 2029
- Grundschutz++: Die Zukunft des BSI IT-Grundschutz — HiScout — Analyse der Grundschutz++-Reform, Automatisierungspotenziale
- BSI reformiert den IT-Grundschutz — IT-Zoom — Hintergrund zur Reform, Ziele und Herausforderungen
- Cattwyk - NIS-2 Implementation Act - NIS2UmsuCG in Kraft seit 6. Dezember 2025
- NIS2-Registrierung bis 6. März 2026 — Digitalagentur Berlin — KRITIS-Registrierungspflicht und BSI-Portal-Aktivierung
- NIS2 Durchsetzung 2026 — ADVISORI — BSI-Bußgeldrahmen: €10 Mio. oder 2 % des Jahresumsatzes
- NIS-2 und KRITIS-Dachgesetz — Kleeberg — NIS2 und KRITIS für den deutschen Mittelstand
- BSI IT-Grundschutz: Übersicht 2025 — tenfold — Praxisüberblick IT-Grundschutz, Bausteinstruktur, Zertifizierungsschritte
Häufig gestellte Fragen
Was ist BSI IT-Grundschutz?
BSI IT-Grundschutz ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Rahmenwerk für Informationssicherheit. Es stellt konkrete Maßnahmen, Vorgehensmodelle und Bausteine bereit, mit denen Behörden und Unternehmen ein wirksames Informationssicherheits-Managementsystem (ISMS) aufbauen und zertifizieren lassen können. Das aktuelle Kompendium (Edition 2023) umfasst 111 Bausteine in zehn thematischen Schichten.
Ist BSI IT-Grundschutz für Unternehmen verpflichtend?
Für Bundesbehörden ist IT-Grundschutz seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 das zentrale Referenzrahmenwerk. Für Unternehmen ist IT-Grundschutz formal freiwillig, gilt jedoch als anerkanntes Sicherheitskonzept, das eng an die technisch-organisatorischen Maßnahmen nach §30 BSIG anschließt. KRITIS-Betreiber und besonders wichtige Einrichtungen nutzen IT-Grundschutz häufig als Grundlage.
Was ist Grundschutz++ und wann wird es eingeführt?
Grundschutz++ ist die grundlegende Reform des BSI IT-Grundschutzes. Das bisher stark PDF-geprägte Kompendium wird in ein maschinenlesbares, prozessorientiertes Modell überführt. Öffentliche Vorschaumaterialien erschienen Ende 2025 auf GitHub; seit 2026 führt das BSI das neue Modell schrittweise mit einer mehrjährigen Übergangsphase ein.
Wie lange dauert eine BSI IT-Grundschutz-Zertifizierung?
Von der Initiierung bis zur Ausstellung des Zertifikats dauert der Prozess typischerweise 12–24 Monate, abhängig von der Organisationsgröße und dem initialen Reifegrad. Unternehmen mit bestehender ISO-27001-Zertifizierung können die Vorbereitungszeit auf 6–12 Monate reduzieren, da die Control-Überschneidung bei über 80 % liegt. Das BSI IT-Grundschutz-Zertifikat ist drei Jahre gültig.
Was kostet eine BSI IT-Grundschutz-Zertifizierung?
Die Gesamtkosten variieren erheblich: Kleine Behörden und KMUs (Basisschutz) kalkulieren mit €20.000–€60.000 für Beratung, Tooling und internen Aufwand. Mittelgroße Organisationen (Standardschutz) rechnen mit €50.000–€150.000. Großorganisationen mit vollständiger Kernabsicherung und mehreren Bereichen können €150.000–€400.000 investieren. Hinzu kommen jährliche Überwachungskosten und der Aufwand für die Rezertifizierung alle drei Jahre.
Wie verhält sich BSI IT-Grundschutz zu NIS2?
BSI IT-Grundschutz ist mit dem NIS2UmsuCG (in Kraft seit 6. Dezember 2025) eng verzahnt: Für Bundesbehörden ist er das wichtigste Referenzrahmenwerk, und für Unternehmen liefert er starke Nachweise für die technisch-organisatorischen Maßnahmen nach §30 BSIG. Der IT-Grundschutz-Baustein DER.2.1 unterstützt zudem die Incident-Response-Prozesse, die für das NIS2-Melderegime erforderlich sind.