NIS2-Checkliste: Was Ihr ISMS abdeckt — und was nicht
Die komplette Übersicht: Alle zehn Risikomanagementmaßnahmen aus Artikel 21, geprüft gegen ein typisches ISO-27001-ISMS. Wo Sie stehen, wo die Lücken liegen und was Sie operativ ergänzen müssen.
NIS2-Checkliste: Was Ihr ISMS abdeckt — und was nicht
Jedes Unternehmen, das unter NIS2 fällt, stellt sich dieselbe Frage: Wie viel davon haben wir eigentlich schon? Die Antwort hängt davon ab, wie man „haben" definiert. Wenn es bedeutet „wir haben einen dokumentierten Prozess" – dann deckt ein ISMS nach ISO 27001 rund 70 % ab. Wenn es bedeutet „wir können das operativ umsetzen und jederzeit nachweisen" – dann sieht die Rechnung anders aus.
Diese Checkliste geht jede der zehn Risikomanagementmaßnahmen aus Artikel 21(2) einzeln durch: Was verlangt NIS2? Was liefert ein typisches ISMS? Wo ist die Lücke? Und was muss operativ ergänzt werden?
Wie diese Checkliste zu lesen ist
Die zehn Maßnahmen aus Artikel 21(2) der NIS2-Richtlinie sind der Kern der regulatorischen Anforderungen. In der deutschen Umsetzung finden sie sich in § 30 BSIG. Für jede Maßnahme wird hier bewertet:
- ✅ ISMS deckt ab — Ein ISMS nach ISO 27001:2022 liefert die wesentlichen Prozesse und Kontrollen.
- ⚠️ ISMS liefert Grundlage, aber operative Ergänzung nötig — Der Governance-Rahmen steht, aber die operative Umsetzung unter NIS2-Anforderungen geht darüber hinaus.
- ❌ ISMS deckt nicht ab — Die Anforderung liegt außerhalb dessen, wofür ein ISMS konzipiert wurde.
Die Bewertung bezieht sich auf ein typisches, gut implementiertes ISMS nach ISO 27001:2022 – nicht auf ein minimales oder ein maximal ausgebautes. Die tatsächliche Abdeckung hängt von der konkreten Implementierung in Ihrem Unternehmen ab.
Die zehn Maßnahmen im Detail
(a) Konzepte für Risikoanalyse und Sicherheit von Informationssystemen
Was NIS2 verlangt: Richtlinien für die Risikoanalyse und die Sicherheit von Informationssystemen – einschließlich regelmäßiger Überprüfung und Aktualisierung.
ISMS-Abdeckung: ✅ Kernbestandteil
Das ist das Herzstück von ISO 27001. Risikobewertung, Risikobehandlung, Statement of Applicability, regelmäßige Reviews – all das gehört zum Standard-Repertoire eines zertifizierten ISMS. Hier besteht in der Regel kein Handlungsbedarf.
Verbleibende Aufgabe: Stellen Sie sicher, dass Ihre Risikoanalyse die spezifischen NIS2-Anforderungen berücksichtigt – insbesondere die operativen Aspekte (Meldepflicht, Lieferkette, Nachweispflicht), die über die klassische CIA-Triad hinausgehen.
(b) Bewältigung von Sicherheitsvorfällen
Was NIS2 verlangt: Maßnahmen zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen – in Verbindung mit den Meldepflichten nach Artikel 23 (Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat).
ISMS-Abdeckung: ⚠️ Grundlage ja, operative Fähigkeit fehlt
Ein ISMS nach ISO 27001 verlangt einen Incident-Management-Prozess (Annex A, A.5.24-A.5.28). Die meisten Implementierungen haben einen Incident-Response-Plan mit Rollen, Eskalationswegen und Nachbereitungsprozessen.
Die Lücke: Der Plan beschreibt, was passieren soll. NIS2 prüft, ob es tatsächlich passiert – unter Zeitdruck. Die 24-Stunden-Frist für die Frühwarnung erfordert operative Echtzeit-Koordination zwischen Security, Legal, Kommunikation und Geschäftsführung. Parallelsteuerung mit DSGVO-Meldepflichten. Versionierte Dokumentation während des Vorfalls. Templates für regulatorische Meldungen.
Was zu tun ist: Incident-Management-System aufbauen, das über den Plan hinausgeht. Tabletop-Übungen gegen die 24h-Frist. Vorlagen für alle drei Meldestufen vorbereiten.
→ NIS2-Meldepflicht: Die 24-Stunden-Frist operativ einhalten
(c) Aufrechterhaltung des Betriebs und Krisenmanagement
Was NIS2 verlangt: Business Continuity Management, Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement.
ISMS-Abdeckung: ✅ Abgedeckt
ISO 27001 adressiert Business Continuity direkt (Annex A, A.5.29-A.5.30). Die meisten ISMS-Implementierungen umfassen BCM-Pläne, Backup-Strategien und Wiederherstellungsprozeduren. Wer zusätzlich ISO 22301 implementiert hat, ist hier besonders gut aufgestellt.
Verbleibende Aufgabe: Prüfen Sie, ob Ihre BCM-Pläne die spezifischen NIS2-Szenarien abdecken – insbesondere Cybervorfälle mit gleichzeitiger Meldepflicht. Die Verbindung zwischen Krisenmanagement und dem Melderegime nach Artikel 23 muss hergestellt sein.
(d) Sicherheit der Lieferkette
Was NIS2 verlangt: Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Zulieferern und Diensteanbietern. Berücksichtigung der spezifischen Schwachstellen jedes einzelnen Lieferanten und der Gesamtqualität der Cybersicherheitspraktiken.
ISMS-Abdeckung: ⚠️ Punktuelle Bewertung, keine kontinuierliche Überwachung
ISO 27001 adressiert Lieferantenbeziehungen (Annex A, A.5.19-A.5.23). Die meisten Implementierungen umfassen Lieferantenkategorisierung, Bewertungsfragebögen beim Onboarding und jährliche Re-Assessments.
Die Lücke: NIS2 verlangt keine jährliche Momentaufnahme, sondern laufende Beherrschung. Das bedeutet: kontinuierliches Monitoring der Sicherheitslage von Lieferanten, anlassbezogene Re-Assessments bei Veränderungen, integrierte Nachweisübersicht über den Status aller relevanten Lieferanten und strukturierte Kommunikation bei Sicherheitsvorfällen in der Lieferkette.
Was zu tun ist: Monitoring-Fähigkeit aufbauen. Assessment-Modell von zyklisch auf trigger-basiert umstellen. Vertragliche Grundlagen um NIS2-spezifische Klauseln ergänzen. Nachweisführung auf Abruf umstellen.
→ NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
(e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Was NIS2 verlangt: Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich des Umgangs mit Schwachstellen und deren Offenlegung.
ISMS-Abdeckung: ✅ Weitgehend abgedeckt
ISO 27001 adressiert sichere Entwicklung (Annex A, A.8.25-A.8.34), Schwachstellenmanagement (A.8.8) und Change Management. Die meisten ISMS-Implementierungen haben Richtlinien für Secure Development, Patch-Management und Vulnerability Handling.
Verbleibende Aufgabe: Prüfen Sie, ob Ihre Schwachstellen-Offenlegungsprozesse (Vulnerability Disclosure) den NIS2-Anforderungen entsprechen. Die ENISA-Umsetzungsempfehlungen gehen hier teilweise über typische ISMS-Implementierungen hinaus.
(f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
Was NIS2 verlangt: Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen – in Verbindung mit den erweiterten Aufsichtsbefugnissen (BSI kann jederzeit Nachweise anfordern).
ISMS-Abdeckung: ⚠️ Prozess ja, kontinuierliche Evidenz nein
ISO 27001 verlangt interne Audits, Management-Reviews und kontinuierliche Verbesserung. Diese Mechanismen existieren in jedem zertifizierten ISMS.
Die Lücke: ISO 27001 arbeitet in geplanten Zyklen. NIS2 gibt Aufsichtsbehörden die Befugnis, jederzeit Nachweise anzufordern (§§ 61-65 BSIG). Die Wirksamkeit muss nicht nur bewertet, sondern auch jederzeit belegbar sein – mit verifizierbaren Artefakten, Metadaten und aktuellen Nachweisen, nicht mit Audit-Berichten aus dem letzten Quartal.
Was zu tun ist: Evidenzmanagement von „Audit-Vorbereitung" auf „kontinuierliche Verfügbarkeit" umstellen. Artefakte mit Versionierung, Gültigkeit und Verantwortlichen versehen. Die Fähigkeit aufbauen, auf BSI-Anfragen innerhalb von Tagen – nicht Wochen – reagieren zu können.
→ NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz
(g) Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen
Was NIS2 verlangt: Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen – einschließlich der Pflicht der Geschäftsführung, sich selbst regelmäßig schulen zu lassen (Art. 20(2)).
ISMS-Abdeckung: ✅ Abgedeckt
Awareness-Programme und Schulungen gehören zum Standard jedes ISO-27001-ISMS (Annex A, A.6.3). Die meisten Unternehmen haben regelmäßige Security-Awareness-Trainings.
Verbleibende Aufgabe: NIS2 macht die Schulungspflicht explizit zur Pflicht der Geschäftsführung – nicht nur der Mitarbeitenden. Prüfen Sie, ob Ihre Geschäftsführung nachweislich an Cybersicherheitsschulungen teilnimmt. Dieser Nachweis ist unter § 38 BSIG direkt haftungsrelevant.
(h) Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
Was NIS2 verlangt: Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung.
ISMS-Abdeckung: ✅ Abgedeckt
ISO 27001 adressiert Kryptographie umfassend (Annex A, A.8.24). Die meisten ISMS-Implementierungen haben Kryptographie-Richtlinien, Schlüsselmanagement-Prozesse und Verschlüsselungsstandards.
Verbleibende Aufgabe: Keine wesentliche Lücke. Stellen Sie sicher, dass Ihre Richtlinien aktuell sind und den Stand der Technik berücksichtigen.
(i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
Was NIS2 verlangt: Personalsicherheit, Zugriffskontrollrichtlinien und Asset Management.
ISMS-Abdeckung: ✅ Abgedeckt
Alle drei Bereiche gehören zum Kern von ISO 27001: Personalsicherheit (A.6.1-A.6.8), Zugriffskontrolle (A.8.1-A.8.5) und Asset Management (A.5.9-A.5.14).
Verbleibende Aufgabe: Keine wesentliche Lücke. Stellen Sie sicher, dass Multi-Faktor-Authentifizierung implementiert ist, wo NIS2 es verlangt (siehe Punkt (j)).
(j) Multi-Faktor-Authentifizierung, gesicherte Kommunikation und gesicherte Notfallkommunikation
Was NIS2 verlangt: Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme – „soweit angemessen."
ISMS-Abdeckung: ⚠️ Teilweise abgedeckt
ISO 27001 adressiert Authentifizierung und sichere Kommunikation, aber nicht mit der Spezifität, die NIS2 hier anlegt. Insbesondere die Anforderung an gesicherte Notfallkommunikation geht über typische ISMS-Implementierungen hinaus.
Die Lücke: Die meisten Unternehmen haben MFA für Standardzugänge implementiert. Aber: Gibt es gesicherte Kommunikationskanäle für den Krisenfall, die auch dann funktionieren, wenn die reguläre IT-Infrastruktur kompromittiert ist? Gibt es verschlüsselte Kommunikation für die Koordination während eines Sicherheitsvorfalls – zwischen Security, Legal, Geschäftsführung und ggf. Behörden?
Was zu tun ist: MFA-Abdeckung auf Vollständigkeit prüfen. Notfallkommunikationskanäle einrichten, die unabhängig von der regulären Infrastruktur funktionieren. Verschlüsselte Kommunikation für Vorfallkoordination sicherstellen.
Die Gesamtübersicht
| # | Maßnahme (Art. 21(2)) | ISMS | Lücke? | Priorität |
|---|---|---|---|---|
| (a) | Risikoanalyse und Sicherheitskonzepte | ✅ | — | Niedrig |
| (b) | Bewältigung von Sicherheitsvorfällen | ⚠️ | Operative 24h/72h-Fähigkeit | Hoch |
| (c) | Business Continuity und Krisenmanagement | ✅ | — | Niedrig |
| (d) | Sicherheit der Lieferkette | ⚠️ | Kontinuierliche Überwachung | Hoch |
| (e) | Sicherheit bei Erwerb, Entwicklung, Wartung | ✅ | Vulnerability Disclosure prüfen | Mittel |
| (f) | Wirksamkeitsbewertung | ⚠️ | Kontinuierliche Evidenz | Hoch |
| (g) | Cyberhygiene und Schulungen | ✅ | GF-Schulungsnachweis | Niedrig |
| (h) | Kryptographie und Verschlüsselung | ✅ | — | Niedrig |
| (i) | Personalsicherheit, Zugriffskontrolle, Assets | ✅ | — | Niedrig |
| (j) | MFA und gesicherte Notfallkommunikation | ⚠️ | Notfallkommunikation | Mittel |
Das Muster: Die Governance-Maßnahmen (a, c, e, g, h, i) sind durch ein ISMS weitgehend abgedeckt. Die operativen Maßnahmen (b, d, f, j) erfordern Ergänzungen, die über die Dokumentationsebene hinausgehen.
Drei Lücken stechen heraus – alle mit Priorität „Hoch":
- Incident Management (b): Die Meldepflicht gilt jetzt, die Fristen sind fest, die Fähigkeit fehlt in den meisten Unternehmen.
- Lieferkettensicherheit (d): Die komplexeste Lücke, die am längsten braucht, um geschlossen zu werden.
- Nachweispflicht (f): Wird beim ersten BSI-Kontakt zum Problem – und das kann jederzeit passieren.
Wie Sie diese Checkliste nutzen sollten
Schritt 1: Selbstbewertung
Gehen Sie jede der zehn Maßnahmen durch und bewerten Sie ehrlich: Nicht „haben wir einen Prozess?", sondern „können wir das unter Zeitdruck, gegenüber Dritten, nachweisbar operativ umsetzen?"
Schritt 2: Lücken priorisieren
Nutzen Sie die Prioritäts-Spalte als Ausgangspunkt. Die drei „Hoch"-Lücken sollten zuerst adressiert werden – sie haben die höchste regulatorische Dringlichkeit und das größte Risiko bei einer BSI-Prüfung.
Schritt 3: Operativen Ausbau planen
Für jede identifizierte Lücke: Was brauchen wir konkret? Welches System, welchen Prozess, welche Fähigkeit? Die vertiefenden Artikel zu den einzelnen Themen liefern die Details.
Schritt 4: ISMS und operative Systeme verbinden
Das Ziel ist nicht, das ISMS zu ersetzen – sondern es um die operative Schicht zu ergänzen, die NIS2 zusätzlich verlangt. Ein ISMS für die interne Steuerung, ein Trust Center für die externe Kommunikation und Nachweisführung.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) – Volltext – Artikel 21(2)(a-j) zu den zehn Risikomanagementmaßnahmen.
- BSI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – § 30 BSIG zur nationalen Umsetzung der Risikomanagementmaßnahmen.
- ISO/IEC 27001:2022 – Informationssicherheitsmanagementsysteme – Der ISMS-Standard mit den referenzierten Annex-A-Controls.
- ENISA – Implementing Guidance on NIS2 Security Measures – Umsetzungsempfehlungen der ENISA zu allen zehn Maßnahmen.
- ENISA – NIS2 Requirements Mapping to ISO 27001 – Mapping-Tabelle zwischen NIS2-Anforderungen und ISO 27001-Controls.
Weiterführende Inhalte
- ISO 27001 ist nicht gleich NIS2-Compliance: Was wirklich fehlt
- NIS2-Meldepflicht: Die 24-Stunden-Frist operativ einhalten
- NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
- NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz
- NIS2-Betroffenheit geklärt — und jetzt?