BSI IT-Grundschutz: Vollständiger Leitfaden 2026 (Grundschutz++, Zertifizierung, Anforderungen)
BSI IT-Grundschutz 2026 kompakt: 111 Bausteine, BSI-Standards 200-1 bis 200-4, Grundschutz++ ab Januar 2026, Zertifizierungsprozess, NIS2-Bezug und Kosten für Behörden und Unternehmen.
BSI IT-Grundschutz: Vollständiger Leitfaden 2026
Wenn Sie in Deutschland eine Bundesbehörde leiten, ein KRITIS-Unternehmen betreiben oder als wichtige Einrichtung unter das neue NIS2-Umsetzungsgesetz fallen, ist BSI IT-Grundschutz kein Geheimtipp mehr — es ist das Referenzrahmenwerk, an dem viele Organisationen gemessen werden. Mit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 hat der IT-Grundschutz vor allem im öffentlichen Sektor deutlich an rechtlicher und operativer Bedeutung gewonnen.
Gleichzeitig reformiert das BSI den IT-Grundschutz grundlegend. Grundschutz++ wird seit 2026 schrittweise eingeführt; eine mehrjährige Übergangsphase läuft parallel. Dieser Leitfaden erklärt alles, was Behörden, Unternehmen und Compliance-Verantwortliche 2026 wissen müssen: Aufbau des Kompendiums, die vier BSI-Standards, der Zertifizierungsprozess, die Grundschutz++-Reform, Kosten, NIS2-Bezug und praktische Umsetzungsschritte.
Was ist BSI IT-Grundschutz?
BSI IT-Grundschutz ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Rahmenwerk für systematischen Aufbau und Betrieb von Informationssicherheit in Behörden und Unternehmen. Ziel ist es, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, das konkrete Schutzmaßnahmen für typische IT-Systeme, Geschäftsprozesse und Infrastrukturen bereitstellt.
Seit den 1990er Jahren kontinuierlich weiterentwickelt, ist IT-Grundschutz heute:
- Das zentrale Referenzrahmenwerk für Bundesbehörden im Regime seit Dezember 2025
- Eine anerkannte Methodik zur Operationalisierung von NIS2-bezogenen Risikomanagementanforderungen (§30 BSIG)
- Die Grundlage für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz (kombiniertes Zertifikat)
- Ein praxiserprobtes Werkzeug für den deutschen Mittelstand (KMU-tauglicher Basisschutz)
Das aktuelle IT-Grundschutz-Kompendium Edition 2023 umfasst 111 Bausteine in zehn thematischen Schichten und bleibt bis zur vollständigen Einführung von Grundschutz++ die zertifizierungsrelevante Grundlage.
Das IT-Grundschutz-Kompendium: 111 Bausteine in 10 Schichten
Das Kompendium strukturiert Sicherheitsanforderungen in modulare Bausteine (Building Blocks), die auf spezifische Systemtypen, Prozesse und Infrastrukturkomponenten angewendet werden. Die zehn Schichten des Kompendiums sind:
| Schicht | Kürzel | Inhalt |
|---|---|---|
| Sicherheitsmanagement | ISMS | Aufbau und Betrieb des ISMS |
| Organisation und Personal | ORP | Organisationsstruktur, Rollen, Awareness |
| Konzepte und Vorgehensweisen | CON | Datensicherung, Kryptografie, Datenschutz |
| Betrieb | OPS | Patch-Management, Protokollierung, Incident Response |
| Detektion und Reaktion | DER | Monitoring, Schwachstellenmanagement, Forensik |
| Netzwerke und Kommunikation | NET | Netzwerkarchitektur, Segmentierung, WLAN |
| Infrastruktur | INF | Rechenzentren, Serverräume, Büroräume |
| IT-Systeme | SYS | Server, Clients, mobile Geräte, IoT |
| Industrielle IT | IND | SCADA, OT/ICS, industrielle Steuerungen |
| Anwendungen | APP | Webanwendungen, Office, E-Mail, Datenbanken |
Jeder Baustein enthält:
- Gefährdungslage (typische Bedrohungen)
- Anforderungen (BASIS, STANDARD, ERHÖHTER SCHUTZBEDARF)
- Umsetzungshinweise (praktische Implementierungsanleitung)
- Referenzen zu ISO 27001, DSGVO und anderen Standards
Die vier BSI-Standards 200-1 bis 200-4
Das Rahmenwerk stützt sich auf vier aufeinander aufbauende BSI-Standards:
| Standard | Titel | Inhalt |
|---|---|---|
| BSI-Standard 200-1 | Management von Informationssicherheit | Aufbau und Betrieb eines ISMS gemäß ISO 27001 |
| BSI-Standard 200-2 | IT-Grundschutz-Methodik | Vorgehensmodell zur Schutzbedarfsfeststellung und Modellierung |
| BSI-Standard 200-3 | Risikoanalyse | Ergänzende Risikoanalyse für erhöhten Schutzbedarf |
| BSI-Standard 200-4 | Business Continuity Management | BCM-Prozesse, Notfallplanung, Krisenmanagement |
Diese Standards definieren wie IT-Grundschutz umgesetzt wird — das Kompendium definiert was umgesetzt werden muss.
Drei Vorgehensweisen: Basis-, Standard- und Kernabsicherung
BSI IT-Grundschutz bietet drei skalierbare Vorgehensweisen für unterschiedliche Organisationsgrößen und Risikolagen:
1. Basisabsicherung
Die Basisabsicherung adressiert grundlegende Sicherheitsmaßnahmen mit minimalem Aufwand. Sie eignet sich für:
- KMUs und Startups mit begrenzten Ressourcen
- Organisationen, die einen ersten strukturierten Sicherheitsrahmen aufbauen
- Als Einstieg vor der vollständigen Standardabsicherung
Umfang: Nur BASIS-Anforderungen aller relevanten Bausteine. Keine vollständige IT-Grundschutz-Zertifizierung möglich, aber das BSI stellt ein Testat aus.
2. Standardabsicherung
Die Standardabsicherung ist die vollständige IT-Grundschutz-Implementierung und Basis für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Sie umfasst:
- BASIS- und STANDARD-Anforderungen aller relevanten Bausteine
- Vollständige Schutzbedarfsfeststellung
- Modellierung des Informationsverbunds
Geeignet für: Mittlere und große Organisationen, Bundesbehörden, KRITIS-Betreiber.
3. Kernabsicherung
Die Kernabsicherung fokussiert sich auf besonders geschäftskritische Kronjuwelen — die wichtigsten Assets und Prozesse — mit dem höchsten Sicherheitsniveau. Geeignet für:
- Hochsensible Bereiche (Geheimschutz, kritische Infrastrukturen)
- Organisationen mit erhöhtem Schutzbedarf gemäß BSI-Standard 200-3
Grundschutz++: Die Reform ab Januar 2026
Das BSI hat den IT-Grundschutz grundlegend reformiert. Unter dem Namen Grundschutz++ wird das bisherige PDF-basierte Kompendium durch ein vollständig maschinenlesbares, prozessorientiertes Regelwerk ersetzt.
Wichtigste Änderungen
| Merkmal | Bisheriges Kompendium | Grundschutz++ |
|---|---|---|
| Format | PDF-Dokumente | Maschinenlesbares JSON |
| Anforderungsumfang | ~1.000 Anforderungen | Deutliche Reduzierung (BSI-Ziel: bis zu 80 %) |
| Struktur | Bausteine nach IT-Komponenten | Prozessorientiert |
| Automatisierung | Begrenzt | Vollständig automatisierbar |
| Messbarkeit | Manuell | CIA-Triade-Punktwerte je Anforderung |
| Verfügbarkeit | Statische Dokumente | GitHub-Repository (seit 29. Sept. 2025) |
Zeitplan
- September/Oktober 2025: Veröffentlichung der Grundschutz++-Vorschau als „Stand-der-Technik-Bibliothek" auf GitHub (BSI-Bund/Stand-der-Technik-Bibliothek)
- 1. Januar 2026: Offizieller Start von Grundschutz++
- Bis 2029: Übergangsphase — altes Kompendium und Grundschutz++ können parallel genutzt werden
- Ab 2029: Vollständige Ablösung des bisherigen Kompendiums (geplant)
Was bedeutet das für laufende Projekte?
Für laufende Zertifizierungen und Behörden, die gerade die Standardabsicherung aufbauen: Das Kompendium Edition 2023 bleibt bis 2029 vollständig gültig und zertifizierungsrelevant. Sie müssen nicht sofort auf Grundschutz++ wechseln.
Für neue Projekte ab 2026: Es empfiehlt sich, Grundschutz++ parallel zu evaluieren und frühzeitig mit der Migration zu planen, um die Übergangsphase effizient zu nutzen.
IT-Grundschutz-Zertifizierung: Schritt für Schritt
Eine vollständige IT-Grundschutz-Zertifizierung (ISO-27001-Zertifikat auf Basis von IT-Grundschutz) durchläuft sieben Hauptphasen:
Schritt 1: Initiierung und Strukturanalyse
Definieren Sie den Informationsverbund: welche Geschäftsprozesse, IT-Systeme, Räume und Kommunikationsverbindungen im Scope liegen. Benennen Sie den Informationssicherheitsbeauftragten (ISB).
Schritt 2: Schutzbedarfsfeststellung
Bewerten Sie für jeden Informationsverbund-Bestandteil den Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit (VIA-Triade). Das Ergebnis bestimmt, welche Bausteine und Anforderungsstufen angewendet werden.
Schritt 3: Modellierung des Informationsverbunds
Ordnen Sie jedem Zielobjekt die relevanten IT-Grundschutz-Bausteine zu. Dies ist die Grundschutz-Modellierung — sie definiert, welche der 111 Bausteine für Ihre Organisation gelten.
Schritt 4: IT-Grundschutz-Check (Soll-Ist-Vergleich)
Prüfen Sie für jeden angewendeten Baustein, ob die Anforderungen erfüllt sind. Nicht erfüllte Anforderungen werden als Mängel dokumentiert.
Schritt 5: Risikoanalyse (bei erhöhtem Schutzbedarf)
Wenn bestimmte Zielobjekte erhöhten Schutzbedarf aufweisen, wird ergänzend eine Risikoanalyse gemäß BSI-Standard 200-3 durchgeführt.
Schritt 6: Umsetzung der Sicherheitsmaßnahmen
Beheben Sie alle dokumentierten Mängel. Priorisieren Sie nach Risiko und verfügbaren Ressourcen. Dokumentieren Sie die Umsetzung für das Audit.
Schritt 7: Zertifizierungsaudit durch BSI-zertifizierten Auditor
Ein vom BSI zugelassener externer Auditor (Zertifizierungsstelle) prüft die vollständige Umsetzung. Das ISO-27001-Zertifikat auf Basis von IT-Grundschutz ist nach erfolgreichem Audit drei Jahre gültig. Jährliche Überwachungsaudits sind erforderlich.
BSI IT-Grundschutz vs. ISO 27001: Unterschiede und Gemeinsamkeiten
| Dimension | BSI IT-Grundschutz | ISO 27001:2022 |
|---|---|---|
| Herkunft | Deutsches BSI | International (ISO/IEC) |
| Ansatz | Katalog-basiert (Bausteine) | Risikobasiert (Annex A) |
| Detailtiefe | Sehr hoch (konkrete Maßnahmen) | Mittel (Prinzipien, risikoorientiert) |
| Zertifizierung | ISO 27001 + IT-Grundschutz-Testat | ISO 27001 |
| Behördenpflicht (DE) | Ja (Bundesverwaltung) | Nein |
| Anwendungsbereich | Primär Deutschland | Weltweit |
| Automatisierung | Ab 2026 (Grundschutz++) | Begrenzt |
| Überschneidung | > 80 % zu ISO 27001 | — |
Empfehlung für deutsche Unternehmen: Wer bereits ISO 27001 zertifiziert ist, kann mit überschaubarem Mehraufwand das kombinierte IT-Grundschutz-Zertifikat erlangen. Die Modellierung und der Grundschutz-Check fügen den bereits vorhandenen ISMS-Strukturen konkrete, deutsche Anforderungen hinzu — besonders für den Mittelstand und Behörden ein klarer Vorteil gegenüber einem rein risikobas ierten ISO-Ansatz.
BSI IT-Grundschutz und NIS2: Direkter Zusammenhang
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft trat, hat BSI IT-Grundschutz eine neue rechtliche Bedeutung erhalten:
Pflichten für Bundesbehörden
- Alle Behörden der Bundesverwaltung müssen Risikomanagementmaßnahmen auf IT-Grundschutz-Basis umsetzen (nicht mehr nur Ministerien)
- Einführung des CISO Bund als ressortübergreifende Leitungsposition
- Einhaltung der BSI-Mindeststandards verpflichtend
KRITIS-Registrierung
KRITIS-Betreiber gelten automatisch als besonders wichtige Einrichtungen und mussten sich bis zum 6. März 2026 beim BSI registrieren (BSI-Portal freigeschaltet am 6. Januar 2026).
NIS2-Bußgelder
Für besonders wichtige Einrichtungen: bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes. IT-Grundschutz-Implementierung ist der sicherste Weg, die §30-BSIG-Anforderungen (technisch-organisatorische Maßnahmen) nachweisbar zu erfüllen.
Meldepflichten
Das NIS2UmsuCG schreibt Incident-Reporting vor: Erstmeldung innerhalb von 24 Stunden, vollständiger Bericht nach 72 Stunden. IT-Grundschutz-Baustein DER.2.1 (Sicherheitsvorfallbehandlung) deckt diese Anforderungen direkt ab.
Kosten und Zeitplan: Realistische Kalkulation
| Vorgehensweise | Organisationsgröße | Typische Kosten | Zeitrahmen |
|---|---|---|---|
| Basisabsicherung | Klein (< 50 MA) | €10.000–€30.000 | 3–6 Monate |
| Standardabsicherung | Mittel (50–500 MA) | €50.000–€150.000 | 12–18 Monate |
| Kernabsicherung (krit. Assets) | Groß (> 500 MA) | €100.000–€300.000 | 18–24 Monate |
| ISO 27001 + Grundschutz (parallel) | Mittel | €60.000–€200.000 | 12–24 Monate |
Einsparung bei bestehender ISO 27001: 20–40 % der Vorbereitungskosten durch Nutzung bestehender ISMS-Dokumentation, Richtlinien und Nachweise.
Laufende Kosten: Jährliche Überwachungsaudits (ca. €5.000–€20.000), interne Aufwendungen für Monitoring, Schulungen und Dokumentationspflege.
Wie Orbiq die IT-Grundschutz-Implementierung unterstützt
IT-Grundschutz ist dokumentationsintensiv — von der Schutzbedarfsfeststellung über die Modellierung bis zum Grundschutz-Check. Orbiq vereinfacht diesen Prozess:
Kontinuierliches Monitoring. Das kontinuierliche Monitoring sammelt automatisch technische Nachweise aus Ihren Systemen — Zugangsprotokolle, Patch-Status, Konfigurationsbaselines — und eliminiert manuelle Evidenzsammlung für den Grundschutz-Check und NIS2-Meldepflichten.
Lieferantenrisikomanagement. KI-gestützte Fragebogenautomatisierung unterstützt die IT-Grundschutz-Anforderungen des Bausteins OPS.2.3 (Nutzung von Outsourcing) und NIS2-Artikel 21 direkt.
Trust Center für Behörden und Partner. Die Trust Center-Plattform ermöglicht es, den Grundschutz-Status und Sicherheitsnachweise strukturiert mit Auftraggebern und Prüfern zu teilen.
EU-Datenspeicherung. Orbiq verarbeitet alle Daten ausschließlich in europäischer Infrastruktur — kein CLOUD Act-Risiko für Ihre Compliance-Dokumentation.
Praktische IT-Grundschutz-Checkliste 2026
- ISB benennen — Informationssicherheitsbeauftragten mit ausreichend Ressourcen und direktem Berichtsweg zur Leitungsebene
- Informationsverbund definieren — Scope festlegen: Geschäftsprozesse, IT-Systeme, Infrastruktur, Kommunikationsverbindungen
- Schutzbedarfsfeststellung — VIA-Bewertung für alle Informationsverbund-Bestandteile
- Modellierung — Bausteine aus dem Kompendium zuordnen
- Grundschutz-Check — Soll-Ist-Vergleich, Mängel dokumentieren
- Risikoanalyse (BSI-Standard 200-3) — Bei erhöhtem Schutzbedarf ergänzend durchführen
- Maßnahmenplan — Priorisierte Umsetzung der fehlenden Anforderungen
- NIS2-Registrierung prüfen — KRITIS-Betreiber und wichtige/besonders wichtige Einrichtungen müssen beim BSI registriert sein
- Meldepflichtsystem einrichten — 24h-Erstmeldung, 72h-Folgebericht gemäß NIS2UmsuCG
- Grundschutz++-Migration planen — Übergang bis 2029 frühzeitig vorbereiten
- Zertifizierungsaudit einleiten — BSI-zugelassene Zertifizierungsstelle kontaktieren (TÜV, DQS, BDT, etc.)
Weiterführende Lektüre
- EU Compliance Software: Vollständiger Käufer-Leitfaden
- ISO 27001 Zertifizierung: Leitfaden
- Was ist ein ISMS?
- NIS2 Compliance-Leitfaden
- TISAX Compliance-Leitfaden
- DORA-Verordnung: Leitfaden für Finanzunternehmen
Quellen & Referenzen
- BSI — IT-Grundschutz-Kompendium — Offizielles Kompendium Edition 2023, 111 Bausteine in 10 Schichten
- BSI — IT-Grundschutz — BSI-Hauptseite IT-Grundschutz mit allen Standards und Vorgehensmodellen
- IT-Grundschutz++ 2026 — ISMS-Ratgeber WiKi — Grundschutz++-Übersicht: JSON-Format, 80 % Reduktion, Übergangsphase bis 2029
- Grundschutz++: Die Zukunft des BSI IT-Grundschutz — HiScout — Analyse der Grundschutz++-Reform, Automatisierungspotenziale
- BSI reformiert den IT-Grundschutz — IT-Zoom — Hintergrund zur Reform, Ziele und Herausforderungen
- NIS-2-Umsetzungsgesetz in Kraft — BSI Pressemitteilung — NIS2UmsuCG in Kraft seit 6. Dezember 2025
- NIS2-Registrierung bis 6. März 2026 — Digitalagentur Berlin — KRITIS-Registrierungspflicht und BSI-Portal-Aktivierung
- NIS2 Durchsetzung 2026 — ADVISORI — BSI-Bußgeldrahmen: €10 Mio. oder 2 % des Jahresumsatzes
- NIS-2 und KRITIS-Dachgesetz — Kleeberg — NIS2 und KRITIS für den deutschen Mittelstand
- BSI IT-Grundschutz: Übersicht 2025 — tenfold — Praxisüberblick IT-Grundschutz, Bausteinstruktur, Zertifizierungsschritte