Is BSI IT-Grundschutz verplicht?

Voor Duitse federale autoriteiten is IT-Grundschutz sinds 6 december 2025 het centrale referentiekader onder het NIS2UmsuCG-regime. Voor bedrijven is IT-Grundschutz formeel vrijwillig, maar het is wel een erkend beveiligingskader dat sterk aansluit op de technisch-organisatorische maatregelen die onder §30 BSIG worden verwacht. KRITIS-operators en belangrijke of essentiële entiteiten gebruiken IT-Grundschutz vaak als nalevingsgrondslag.

Wat is Grundschutz++ en wanneer wordt het ingevoerd?

Grundschutz++ is de fundamentele hervorming van BSI IT-Grundschutz. Het traditioneel PDF-gecentreerde compendium verschuift naar een machineleesbaar, procesgericht model. Publieke previewmaterialen verschenen eind 2025 op GitHub, en het BSI voert het nieuwe model vanaf 2026 gefaseerd in met een meerjarige overgangsperiode.

Hoe verhoudt BSI IT-Grundschutz zich tot NIS2?

BSI IT-Grundschutz is nauw verweven met de NIS2UmsuCG (van kracht sinds 6 december 2025): voor federale autoriteiten is het het belangrijkste referentiekader, en voor bedrijven levert het sterke onderbouwing voor de technisch-organisatorische maatregelen die onder §30 BSIG worden verwacht. Bouwsteen DER.2.1 ondersteunt bovendien de incidentresponsprocessen die voor het meldregime nodig zijn.

BSI IT-Grundschutz: Volledige Gids 2026 (Grundschutz++, Certificering, Vereisten)

Published 30 mrt 2026

By Orbiq Team

BSI IT-Grundschutz: Volledige Gids 2026 (Grundschutz++, Certificering, Vereisten)

BSI IT-Grundschutz 2026: 111 bouwstenen, BSI-normen 200-1 t/m 200-4, Grundschutz++-hervorming vanaf januari 2026, certificeringsproces, NIS2-verband en kosten voor Duitse autoriteiten en bedrijven.

bsi-it-grundschutz

informatiebeveiliging

nis2

eu-compliance

kritis

BSI IT-Grundschutz: Volledige Gids 2026

Als u een Duitse federale autoriteit leidt, een kritieke infrastructuur (KRITIS) exploiteert of als belangrijke of essentiële entiteit onder de nieuwe NIS2-uitvoeringswet valt, is BSI IT-Grundschutz niet langer een vrijblijvende aanbeveling — het is het referentiekader waaraan veel Duitse organisaties zullen worden gespiegeld. Met de inwerkingtreding van de NIS2-uitvoerings- en cyberversterkingswet (NIS2UmsuCG) op 6 december 2025 heeft IT-Grundschutz vooral in de Duitse publieke sector duidelijk meer juridische en operationele betekenis gekregen.

Tegelijkertijd hervormt het BSI IT-Grundschutz fundamenteel. Grundschutz++ wordt vanaf 2026 gefaseerd ingevoerd, met een meerjarige overgangsperiode. Deze gids legt alles uit wat autoriteiten, bedrijven en complianceprofessionals in 2026 moeten weten: structuur van het Compendium, de vier BSI-normen, het certificeringsproces, de Grundschutz++-hervorming, kosten, het NIS2-verband en praktische implementatiestappen.

Wat is BSI IT-Grundschutz?

BSI IT-Grundschutz is het informatiebeveiligingskader ontwikkeld door het Federaal Bureau voor Informatiebeveiliging (BSI) voor de systematische opbouw en exploitatie van informatiebeveiliging bij autoriteiten en bedrijven. Het doel is een informatiebeveiligingsbeheersysteem (ISMS) op te bouwen dat concrete beschermingsmaatregelen biedt voor typische IT-systemen, bedrijfsprocessen en infrastructuren.

Continu ontwikkeld sinds de jaren negentig, is IT-Grundschutz vandaag:

Het centrale referentiekader voor Duitse federale autoriteiten binnen het regime sinds december 2025
Een erkende methodologie voor het operationaliseren van NIS2-gerelateerde risicobeheerverwachtingen (§30 BSIG)
De basis voor een ISO 27001-certificering op basis van IT-Grundschutz (gecombineerd certificaat)
Een beproefd instrument voor het Duitse MKB (MKB-vriendelijke basisbeveiliging)

Het huidige IT-Grundschutz Compendium editie 2023 bevat 111 bouwstenen verdeeld over tien thematische lagen en blijft de certificeringsrelevante basis totdat Grundschutz++ volledig is ingevoerd.

Het IT-Grundschutz Compendium: 111 bouwstenen in 10 lagen

Het Compendium structureert beveiligingsvereisten in modulaire bouwstenen (Bausteine) die worden toegepast op specifieke systeemtypen, processen en infrastructuurcomponenten. De tien lagen zijn:

Laag	Code	Inhoud
Beveiligingsmanagement	ISMS	Opbouw en beheer van het ISMS
Organisatie en personeel	ORP	Organisatiestructuur, rollen, bewustwording
Concepten en aanpakken	CON	Databack-up, cryptografie, gegevensbescherming
Exploitatie	OPS	Patchbeheer, logging, incidentrespons
Detectie en respons	DER	Monitoring, kwetsbaarheidsbeheer, forensisch onderzoek
Netwerken en communicatie	NET	Netwerkarchitectuur, segmentatie, WLAN
Infrastructuur	INF	Datacenters, serverruimten, kantoorruimten
IT-systemen	SYS	Servers, clients, mobiele apparaten, IoT
Industriële IT	IND	SCADA, OT/ICS, industriële besturing
Toepassingen	APP	Webtoepassingen, Office, e-mail, databases

Elke bouwsteen bevat:

Dreigingslandschap (typische bedreigingen voor dit componenttype)
Vereisten (BASIS, STANDAARD, VERHOOGDE BESCHERMINGSBEHOEFTE)
Implementatierichtlijnen (praktische stap-voor-stap-instructies)
Kruisverwijzingen naar ISO 27001, AVG en andere normen

De vier BSI-normen 200-1 t/m 200-4

Het kader steunt op vier onderling verbonden BSI-normen:

Norm	Titel	Inhoud
BSI-norm 200-1	Management van informatiebeveiliging	Opbouw en beheer van een ISMS conform ISO 27001
BSI-norm 200-2	IT-Grundschutz-methodologie	Aanpak voor beschermingsbehoeftenanalyse en modellering
BSI-norm 200-3	Risicoanalyse	Aanvullende risicoanalyse voor hoge beschermingsbehoeften
BSI-norm 200-4	Business Continuity Management	BCM-processen, noodplanning, crisismanagement

Deze normen definiëren hoe IT-Grundschutz wordt geïmplementeerd — het Compendium definieert wat er geïmplementeerd moet worden.

Drie implementatiebenaderingen: Basis-, standaard- en kernbeveiliging

BSI IT-Grundschutz biedt drie schaalbare implementatiebenaderingen voor verschillende organisatieomvangen en risicoprofielen:

1. Basisbeveiliging (Basisabsicherung)

De basisbeveiliging richt zich op fundamentele beveiligingsmaatregelen met minimale inspanning. Geschikt voor:

MKB-bedrijven en startups met beperkte middelen
Organisaties die hun eerste gestructureerde beveiligingskader opbouwen
Een startpunt vóór volledige standaardbeveiliging

Bereik: Alleen BASIS-vereisten van alle relevante bouwstenen. Geen volledige IT-Grundschutz-certificering mogelijk, maar het BSI geeft een attestatie (Testat) af.

2. Standaardbeveiliging (Standardabsicherung)

De standaardbeveiliging is de volledige IT-Grundschutz-implementatie en de basis voor een ISO 27001-certificering op basis van IT-Grundschutz. Ze omvat:

BASIS- en STANDAARD-vereisten van alle relevante bouwstenen
Volledige beschermingsbehoeftenanalyse
Modellering van het informatiedomein

Geschikt voor: Middelgrote en grote organisaties, federale autoriteiten, KRITIS-operators.

3. Kernbeveiliging (Kernabsicherung)

De kernbeveiliging richt zich op de meest bedrijfskritische kroonjuwelen op het hoogste beveiligingsniveau. Geschikt voor:

Hoogst gevoelige gebieden (geclassificeerde gegevens, kritieke infrastructuur)
Organisaties met hoge beschermingsbehoeften conform BSI-norm 200-3

Grundschutz++: De hervorming vanaf januari 2026

Het BSI heeft IT-Grundschutz fundamenteel hervormd. Onder de naam Grundschutz++ wordt het bestaande PDF-compendium vervangen door een volledig machineleesbaar, procesgericht regelwerk.

Belangrijkste wijzigingen

Kenmerk	Huidig Compendium	Grundschutz++
Formaat	PDF-documenten	Machineleesbaar JSON
Vereistenbereik	~1.000 vereisten	Aanzienlijke reductie (BSI-doelstelling: tot 80%)
Structuur	Bouwstenen per IT-component	Procesgericht
Automatisering	Beperkt	Volledig automatiseerbaar
Meetbaarheid	Handmatig	CIA-triad-scores per vereiste
Beschikbaarheid	Statische documenten	GitHub-repository (sinds 29 sept. 2025)

Tijdlijn

September/oktober 2025: Publicatie Grundschutz++-preview op GitHub (BSI-Bund/Stand-der-Technik-Bibliothek)
1 januari 2026: Officiële lancering Grundschutz++
Tot 2029: Overgangsperiode — oud Compendium en Grundschutz++ kunnen parallel worden gebruikt
Vanaf 2029: Volledige vervanging van het huidige Compendium (gepland)

IT-Grundschutz-certificering: Stap voor stap

Een volledige IT-Grundschutz-certificering (ISO 27001-certificaat op basis van IT-Grundschutz) doorloopt zeven hoofdfasen:

Stap 1: Initiatie en structuuranalyse

Definieer het informatiedomein (Informationsverbund): welke bedrijfsprocessen, IT-systemen, ruimten en communicatieverbindingen in scope vallen. Benoem de informatiebeveiligingsfunctionaris (ISB).

Stap 2: Beschermingsbehoeftenanalyse

Beoordeel de beschermingsbehoeften van elk component in het informatiedomein op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid (CIA-triad). Het resultaat bepaalt welke bouwstenen en vereistenniveaus van toepassing zijn.

Stap 3: Modellering van het informatiedomein

Wijs de relevante IT-Grundschutz-bouwstenen toe aan elk doelobject. Dit is de IT-Grundschutz-modellering — zij bepaalt welke van de 111 bouwstenen op uw organisatie van toepassing zijn.

Stap 4: IT-Grundschutz-controle (gapanalyse)

Controleer voor elke toegepaste bouwsteen of aan de vereisten wordt voldaan. Niet-nagekomen vereisten worden gedocumenteerd als tekortkomingen.

Stap 5: Risicoanalyse (bij hoge beschermingsbehoeften)

Als bepaalde doelobjecten hoge beschermingsbehoeften hebben, wordt aanvullend een risicoanalyse uitgevoerd conform BSI-norm 200-3.

Stap 6: Implementatie van beveiligingsmaatregelen

Herstel alle gedocumenteerde tekortkomingen. Prioriteer op basis van risico en beschikbare middelen. Documenteer de implementatie voor de audit.

Stap 7: Certificeringsaudit door BSI-goedgekeurde auditor

Een door het BSI goedgekeurde externe auditor (certificeringsinstantie) verifieert de volledige implementatie. Het ISO 27001-certificaat op basis van IT-Grundschutz is geldig voor drie jaar. Jaarlijkse surveillance-audits zijn vereist.

BSI IT-Grundschutz en NIS2: Directe verbinding

Met de NIS2-uitvoerings- en cyberversterkingswet (NIS2UmsuCG), die op 6 december 2025 in werking trad, heeft BSI IT-Grundschutz een nieuwe juridische betekenis gekregen:

Verplichtingen voor federale autoriteiten

Alle federale overheidsdiensten moeten risicobeheermaatregelen op basis van IT-Grundschutz implementeren
Invoering van de CISO Bund als departementoverschrijdende leidinggevende functie
Naleving van BSI-minimumnormen is verplicht

KRITIS-registratie

KRITIS-operators kwalificeren automatisch als essentiële entiteiten en moesten zich vóór 6 maart 2026 registreren bij het BSI.

NIS2-boetes

Voor essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag). Implementatie van IT-Grundschutz is de meest betrouwbare manier om aantoonbaar te voldoen aan de §30 BSIG-vereisten.

Incidentmeldingsverplichtingen

De NIS2UmsuCG verplicht tot incidentmelding: eerste kennisgeving binnen 24 uur, volledig rapport binnen 72 uur. IT-Grundschutz-bouwsteen DER.2.1 (Behandeling van beveiligingsincidenten) dekt deze vereisten rechtstreeks af.

Kosten en tijdlijn: Realistische schattingen

Aanpak	Organisatieomvang	Typische kosten	Tijdlijn
Basisbeveiliging	Klein (< 50 medewerkers)	€10.000–€30.000	3–6 maanden
Standaardbeveiliging	Midden (50–500 medewerkers)	€50.000–€150.000	12–18 maanden
Kernbeveiliging (kritieke assets)	Groot (> 500 medewerkers)	€100.000–€300.000	18–24 maanden
ISO 27001 + IT-Grundschutz (parallel)	Midden	€60.000–€200.000	12–24 maanden

Besparing met bestaande ISO 27001: 20–40% reductie in voorbereidingskosten door gebruik van bestaande ISMS-documentatie, beleid en bewijsmateriaal.

Hoe Orbiq IT-Grundschutz-implementatie ondersteunt

IT-Grundschutz is documentatie-intensief — van de beschermingsbehoeftenanalyse en modellering tot de IT-Grundschutz-controle. Orbiq vereenvoudigt dit proces:

Continue monitoring. Continue monitoring verzamelt automatisch technisch bewijsmateriaal van uw systemen — toegangslogboeken, patchstatus, configuratiebaselines — waardoor handmatige bewijsverzameling voor de IT-Grundschutz-controle en NIS2-meldingsverplichtingen overbodig wordt.

Leveranciersrisicobeheer. AI-gestuurde vragenlijstautomatisering ondersteunt direct de IT-Grundschutz-vereisten van bouwsteen OPS.2.3 (Gebruik van outsourcing) en NIS2 artikel 21.

Trust Center voor autoriteiten en partners. Het Trust Center Platform maakt het mogelijk IT-Grundschutz-status en beveiligingsbewijzen op gestructureerde wijze te delen met opdrachtgevers en auditors.

EU-gegevensopslag. Orbiq verwerkt alle gegevens uitsluitend in Europese infrastructuur — geen CLOUD Act-blootstelling voor uw compliancedocumentatie.

Verwante lectuur

Bronnen en referenties

BSI — IT-Grundschutz Compendium — Officieel Compendium editie 2023, 111 bouwstenen in 10 lagen
BSI — IT-Grundschutz — BSI-hoofdpagina met alle normen en methodologische modellen
IT-Grundschutz++ 2026 — ISMS-Ratgeber WiKi — Grundschutz++-overzicht: JSON-formaat, 80% reductie, overgangsperiode tot 2029
Grundschutz++: De toekomst van BSI IT-Grundschutz — HiScout — Analyse van de Grundschutz++-hervorming, automatiseringspotentieel
BSI hervormt IT-Grundschutz — IT-Zoom — Achtergrond van de hervorming, doelen en uitdagingen
NIS2-uitvoeringswet in werking — BSI Persbericht — NIS2UmsuCG van kracht sinds 6 december 2025
NIS2-registratie vóór 6 maart 2026 — Digitalagentur Berlin — KRITIS-registratieverplichting en BSI-portalactivering
NIS2-handhaving 2026 — ADVISORI — BSI-boetekader: €10 mln of 2% van de jaaromzet
NIS2 en KRITIS — Kleeberg — NIS2 en KRITIS voor het Duits MKB
BSI IT-Grundschutz Overzicht 2025 — tenfold — Praktisch overzicht: bouwsteenstructuur, certificeringsstappen