ISO 27001 vs NIS2
ISO 27001:2022 bietet eine solide Grundlage – deckt aber nur rund 70% der NIS2-Anforderungen ab. Eine systematische Lückenanalyse.
Übersicht
Viele deutsche Unternehmen haben bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 implementiert oder sind zertifiziert. Die naheliegende Frage: Reicht das für NIS2? Die kurze Antwort: Teilweise. ISO 27001:2022 deckt circa 70% der NIS2-Anforderungen ab – aber die verbleibenden 30% enthalten genau die Bereiche, in denen NIS2 über klassische Informationssicherheit hinausgeht.
ISO 27001 ist ein allgemeines Rahmenwerk für Informationssicherheitsmanagement. NIS2 ist eine gesetzliche Verpflichtung mit spezifischen Anforderungen an Meldepflichten, Geschäftsführerhaftung, Lieferkettensicherheit und behördliche Registrierung. Der Unterschied ist fundamental: ISO 27001 fragt, ob Sie ein Managementsystem haben. NIS2 fragt, ob Sie spezifische gesetzliche Pflichten erfüllen.
Diese Analyse zeigt exakt, wo ISO 27001 und NIS2 überlappen, wo Lücken bestehen und wie Unternehmen mit bestehender Zertifizierung den kürzesten Weg zur NIS2-Compliance finden.
Risikomanagement
ISO 27001 Klausel 6.1 und Annex A.8 decken die Risikoanalyse und -behandlung nach §30 Abs. 2 Nr. 1 BSIG weitgehend ab. Methodik und Dokumentation sind übertragbar.
Zugangssteuerung
Annex A.5.15–A.5.18 und A.8.3–A.8.5 entsprechen den Anforderungen an Zugangs- und Zugriffssteuerung nach §30 Abs. 2 Nr. 9 BSIG. MFA-Anforderungen gehen jedoch über den ISO-Standard hinaus.
Vorfallbehandlung
Annex A.5.24–A.5.28 decken Erkennung, Reaktion und Lessons Learned ab. Die NIS2-spezifischen Meldefristen (24h/72h/1 Monat) und BSI-Meldewege sind in ISO 27001 nicht enthalten.
Betriebskontinuität
Annex A.5.29–A.5.30 und A.8.13–A.8.14 adressieren Business Continuity und Disaster Recovery. NIS2 verlangt zusätzlich Krisenmanagement und regelmäßige Tests.
Kryptografie
Annex A.8.24 deckt den Einsatz kryptografischer Maßnahmen ab. NIS2 verlangt spezifischere Dokumentation der Algorithmenauswahl und des Schlüsselmanagements.
Lieferantenmanagement
Annex A.5.19–A.5.22 adressieren Lieferantenbeziehungen und Cloud-Dienste. NIS2 geht deutlich weiter: Bewertung der Cybersicherheitspraktiken aller direkten Lieferanten, vertragliche Anforderungen und laufende Überwachung.
Awareness und Schulung
Annex A.6.3 deckt Sensibilisierung und Schulung ab. NIS2 verlangt zusätzlich die persönliche Schulungspflicht der Geschäftsleitung (§38 Abs. 3 BSIG) – eine in ISO 27001 nicht vorgesehene Anforderung.
BSI-Registrierung (§33 BSIG)
ISO 27001 enthält keine behördliche Registrierungspflicht. Die Selbstidentifikation als betroffene Einrichtung und die Registrierung beim BSI ist eine eigenständige NIS2-Pflicht ohne ISO-Äquivalent.
Meldepflichten (§32 BSIG)
Die dreistufige Meldekaskade (24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht) an das BSI hat kein Äquivalent in ISO 27001. ISO kennt die Pflicht zur Vorfallbehandlung, aber nicht die gesetzlichen Meldefristen und -wege.
Geschäftsführerhaftung (§38 BSIG)
Die persönliche Haftung der Geschäftsleitung – Billigung, Überwachung und Schulungspflicht – ist ein NIS2-Spezifikum. ISO 27001 verlangt Management-Commitment (Klausel 5.1), aber keine persönliche Haftung mit Bußgeldfolgen.
Bußgeldrahmen
NIS2 sieht Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes vor (besonders wichtige Einrichtungen). ISO 27001 ist ein freiwilliger Standard ohne Sanktionsmechanismus.
Erweiterte Lieferkettensorgfalt
NIS2 verlangt die Bewertung der Cybersicherheitspraktiken aller direkten Lieferanten, vertragliche Sicherheitsanforderungen und laufende Überwachung. ISO 27001 Annex A.5.19–A.5.22 ist weniger spezifisch und verlangt keine systematische Bewertung aller Lieferanten.
NIS2-spezifische Governance
NIS2 verlangt spezifische Governance-Strukturen: benannte Verantwortliche für Cybersicherheit, dokumentierte Aufsichtsprozesse durch die Geschäftsleitung und regelmäßige Management-Reviews mit Nachweis. ISO 27001 ist hier flexibler und weniger vorschreibend.
| NIS2-Maßnahme (§30 BSIG) | ISO 27001:2022 | Abdeckung |
|---|---|---|
| Risikoanalyse und Informationssicherheit | Klausel 6.1, A.5.1, A.8.8 | Vollständig |
| Bewältigung von Sicherheitsvorfällen | A.5.24–A.5.28 | Teilweise – Meldefristen fehlen |
| Betriebskontinuität und Krisenmanagement | A.5.29–A.5.30, A.8.13–A.8.14 | Teilweise – Krisenmanagement-Spezifika fehlen |
| Sicherheit der Lieferkette | A.5.19–A.5.22 | Teilweise – erweiterte Sorgfalt fehlt |
| Sicherheit bei Erwerb, Entwicklung und Wartung | A.8.25–A.8.31 | Vollständig |
| Bewertung der Wirksamkeit | Klausel 9.1, A.5.35–A.5.36 | Vollständig |
| Cybersicherheitsschulung und Cyberhygiene | A.6.3 | Teilweise – §38-Schulung fehlt |
| Kryptografie und Verschlüsselung | A.8.24 | Vollständig |
| Personalsicherheit, Zugangssteuerung, Asset-Management | A.5.9–A.5.18, A.6.1–A.6.6, A.8.1–A.8.5 | Vollständig |
| MFA und gesicherte Kommunikation | A.8.5 | Teilweise – spezifische MFA-Anforderungen fehlen |
- ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection
- ISO/IEC 27002:2022 – Information security controls
- BSIG – §30, §32, §33, §38 – Maßnahmen, Meldepflichten, Registrierung, Geschäftsführerhaftung
- ENISA – Mapping of NIS2 requirements to ISO 27001 controls (2024)
- BSI – IT-Grundschutz-Kompendium und NIS2-Umsetzungsleitfaden