NIS2 & ISO 27001 Mapping

NIS2 und ISO 27001: Zwei Seiten einer Medaille

Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreiben, haben bei der NIS2-Umsetzung einen erheblichen Vorsprung. Rund 70 % der NIS2-Anforderungen werden durch ein ISO-27001-konformes ISMS abgedeckt. Doch es gibt wichtige Unterschiede: NIS2 stellt spezifische Anforderungen an Meldepflichten, Governance und Lieferkettentiefe, die über den Scope von ISO 27001 hinausgehen.

Dieses Mapping zeigt dir Maßnahme für Maßnahme, welche ISO-27001-Controls auf die NIS2-Anforderungen einzahlen und wo du zusätzliche Maßnahmen ergreifen musst. So vermeidest du doppelte Arbeit und nutzt vorhandene Strukturen optimal.

Warum ISO 27001 und NIS2 zusammen betrachten?

Seit dem 06.12.2025 ist das NIS2UmsuCG in Deutschland in Kraft. Unternehmen, die unter NIS2 fallen, müssen die Anforderungen umsetzen. Gleichzeitig ist ISO 27001 der international anerkannte Standard für Informationssicherheits-Managementsysteme. Beide Regelwerke verfolgen dasselbe Kernziel: den Schutz von Netz- und Informationssystemen vor Bedrohungen. Eine isolierte Betrachtung führt zu Doppelarbeit, inkonsistenten Prozessen und höheren Kosten.

ISO 27001 liefert das Managementsystem (ISMS), das den strukturellen Rahmen bildet: Risikoanalyse, Maßnahmenplanung, Wirksamkeitsprüfung und kontinuierliche Verbesserung. NIS2 liefert die regulatorischen Pflichten: konkrete Meldefristen, Governance-Anforderungen, Sanktionsrahmen und behördliche Aufsicht. Zusammen ergibt sich ein vollständiges Bild: Das ISMS ist das Fahrzeug, NIS2 ist die Straßenverkehrsordnung.

Der pragmatische Vorteil liegt auf der Hand: Wer bereits ein zertifiziertes ISMS nach ISO 27001 betreibt, hat rund 70 % der NIS2-Anforderungen bereits abgedeckt. Statt ein paralleles Compliance-Programm aufzubauen, erweiterst du dein bestehendes ISMS um die NIS2-spezifischen Anforderungen. Das spart nicht nur Ressourcen, sondern schafft auch eine konsistente Dokumentationsbasis für Audits und BSI-Prüfungen.

Auch Unternehmen ohne ISO-27001-Zertifizierung profitieren von der kombinierten Betrachtung. ISO 27001 bietet eine erprobte Methodik, die sich als Blaupause für die NIS2-Umsetzung eignet. Die Annex-A-Controls lassen sich direkt auf die NIS2-Maßnahmen nach Art. 21 mappen, was die Planung erheblich vereinfacht.

Cross-Reference: NIS2 Art. 21 auf ISO 27001 Annex A

Die folgende Tabelle stellt die zehn Maßnahmen aus Art. 21 der NIS2-Richtlinie den relevanten Controls aus ISO 27001:2022 Annex A gegenüber. Die Zuordnung basiert auf einer inhaltlichen Analyse der Anforderungen und dient als Orientierung für die integrierte Umsetzung.

* Mittel: ISO 27001 deckt die Grundlagen ab, aber NIS2 stellt zusätzliche spezifische Anforderungen (z. B. gestaffelte Meldefristen, Tiefe der Lieferkettenbewertung).

Was diese Tabelle verdeutlicht: Die meisten NIS2-Maßnahmen haben ein direktes Pendant in ISO 27001. Bei acht von zehn Maßnahmen ist der Abdeckungsgrad hoch. Das bedeutet nicht, dass keine zusätzliche Arbeit anfällt, aber die Grundstrukturen existieren bereits. Bei den zwei Maßnahmen mit mittlerem Abdeckungsgrad (Sicherheitsvorfälle und Lieferkette) musst du gezielt nachjustieren. Details dazu findest du im Abschnitt zu den Gaps weiter unten.

Vorteile einer kombinierten Umsetzung

Die hohe Überschneidung zwischen NIS2 und ISO 27001 bietet erhebliches Synergiepotenzial. Unternehmen, die beide Anforderungen integriert umsetzen, profitieren in mehrfacher Hinsicht:

Rund 70 % Überschneidung

Wie die Mapping-Tabelle zeigt, werden die meisten NIS2-Maßnahmen durch bestehende ISO-27001-Controls adressiert. Unternehmen mit zertifiziertem ISMS müssen keine parallelen Strukturen aufbauen, sondern können ihr bestehendes System erweitern. Das spart erheblichen Aufwand bei der initialen Umsetzung und reduziert laufende Betriebskosten.

ISO 27001 als Framework für NIS2

ISO 27001 bietet mit dem PDCA-Zyklus (Plan-Do-Check-Act), dem Risikomanagement-Prozess und der Anforderung an interne Audits genau die Managementstruktur, die NIS2 voraussetzt. Du kannst NIS2-Anforderungen als zusätzliche Controls in dein bestehendes ISMS integrieren, anstatt ein separates Compliance-Framework aufzubauen.

In der Praxis bedeutet das: Erweitere dein Statement of Applicability (SoA) um die NIS2-spezifischen Anforderungen. Integriere die NIS2-Meldefristen in deinen bestehenden Incident-Management-Prozess. Nutze deine ISO-27001-Risikoanalyse als Grundlage für die NIS2-Risikoanalyse.

Audit-Evidenz wiederverwenden

Nachweise, die du für die ISO-27001-Zertifizierung erstellst, kannst du in großen Teilen auch für NIS2-Audits und BSI-Prüfungen verwenden. Das betrifft Risikoanalysen, Sicherheitskonzepte, Audit-Berichte, Schulungsnachweise und Maßnahmentracking. Ein GRC-Tool wie Kopexa ermöglicht es dir, Evidenzen einmal zu erfassen und für beide Frameworks zu referenzieren.

Gaps: Was ISO 27001 nicht abdeckt

Trotz der hohen Überschneidung gibt es NIS2-spezifische Anforderungen, die ein ISO-27001-ISMS allein nicht erfüllt. Diese Gaps musst du gezielt adressieren. Wer davon ausgeht, dass eine ISO-27001-Zertifizierung automatisch NIS2-Compliance bedeutet, geht ein erhebliches Risiko ein.

Gestaffelte Meldepflichten

NIS2 definiert strenge, gestaffelte Meldefristen: 24 Stunden für die Frühwarnung, 72 Stunden für die detaillierte Meldung und 30 Tage für den Abschlussbericht. ISO 27001 fordert zwar ein Incident-Management (A.5.24 bis A.5.26), definiert aber keine konkreten Meldefristen an Behörden. Du musst deinen Incident-Response-Prozess um die BSI-Meldekette erweitern, vorbereitete Templates bereithalten und sicherstellen, dass die zuständigen Personen rund um die Uhr erreichbar sind. Ein Probelauf (Tabletop Exercise) mindestens zweimal jährlich ist dringend empfohlen, um die Einhaltung der 24-Stunden-Frist unter realen Bedingungen zu testen.

BSI-Registrierung und NIS2-Erklärung

Betroffene Einrichtungen müssen sich beim BSI registrieren und bestimmte Angaben machen: Kontaktdaten, Sektor, Einrichtungstyp, IP-Adressbereiche und Angaben zu den erbrachten Diensten. Besonders wichtige Einrichtungen müssen zusätzlich eine NIS2-Erklärung abgeben, in der sie bestätigen, dass die Anforderungen umgesetzt werden. Diese regulatorische Pflicht existiert in ISO 27001 nicht. Die Registrierung ist keine einmalige Aufgabe: Änderungen an den registrierten Angaben müssen dem BSI unverzüglich mitgeteilt werden.

Geschäftsführerhaftung

Die persönliche Haftung der Geschäftsleitung nach Art. 20 NIS2 hat in ISO 27001 kein Äquivalent. Zwar fordert ISO 27001 in Kapitel 5.1 das Commitment des Top-Managements, eine persönliche Haftung bei Pflichtverletzung sieht der Standard aber nicht vor. Unter NIS2 muss die Geschäftsleitung aktiv in die Governance eingebunden werden, die Risikomanagementmaßnahmen formal billigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Bei Pflichtverletzung haftet sie mit dem Privatvermögen. Dieser Haftungs- ausschluss kann vertraglich nicht abbedungen werden. Details findest du auf unserer Seite zu NIS2-Strafen und Geschäftsführerhaftung.

Lieferketten-Tiefe

ISO 27001 adressiert Lieferantenbeziehungen über die Controls A.5.19 bis A.5.22. NIS2 geht in der geforderten Tiefe und Breite deutlich weiter. NIS2 erwartet, dass du nicht nur deine direkten Lieferanten bewertest, sondern auch deren Sicherheitspraktiken und die gesamte ICT-Lieferkette in deine Risikoanalyse einbeziehst. Das umfasst Subdienstleister, Open-Source-Komponenten und Cloud-Provider in der gesamten Kette. Du musst nachweisen können, dass du die Cybersicherheitsrisiken deiner Lieferkette systematisch bewertest und angemessene vertragliche Vereinbarungen mit deinen Lieferanten triffst. Die NIS2-Anforderungen beschreiben die Details.

Sektorspezifische Pflichten

Je nach Branche können zusätzliche sektorspezifische Anforderungen gelten, die weder durch ISO 27001 noch durch die allgemeinen NIS2-Maßnahmen abgedeckt werden. Für Sektoren wie Energie, Gesundheit, Transport und digitale Infrastruktur können delegierte Rechtsakte der EU-Kommission oder nationale Verordnungen zusätzliche technische und organisatorische Anforderungen definieren. Diese sind dann ergänzend zu den allgemeinen NIS2-Pflichten umzusetzen.

Praktischer Umsetzungsansatz

Wenn du bereits ein zertifiziertes ISMS nach ISO 27001 betreibst, brauchst du kein zweites Managementsystem. Der effizienteste Weg zur NIS2-Compliance führt über die Erweiterung deines bestehenden ISMS. Die folgenden Schritte zeigen dir den konkreten Weg:

Schritt 1: Gap-Analyse durchführen

Vergleiche dein bestehendes Statement of Applicability (SoA) mit den zehn Maßnahmen aus Art. 21 NIS2. Identifiziere für jede Maßnahme, ob sie durch bestehende Controls abgedeckt ist, teilweise abgedeckt ist oder komplett fehlt. Nutze die Mapping-Tabelle oben als Ausgangspunkt. Dokumentiere die Gaps strukturiert, idealerweise in deinem GRC-Tool.

Schritt 2: SoA um NIS2-Controls erweitern

Erweitere dein SoA um die identifizierten NIS2-spezifischen Anforderungen. Erstelle für jede Lücke ein Control mit klarer Zuständigkeit, Umsetzungsfrist und Nachweispflicht. Die neuen Controls sollten in die bestehende Control-Struktur integriert werden, nicht als separater Block daneben stehen. So bleibt dein ISMS konsistent und auditierbar.

Schritt 3: Incident-Response-Prozess anpassen

Integriere die NIS2-Meldefristen in deinen bestehenden Incident-Management-Prozess. Definiere klare Eskalationswege, die sicherstellen, dass eine Frühwarnung innerhalb von 24 Stunden an das BSI erfolgen kann. Erstelle vorbereitete Melde-Templates. Benenne Verantwortliche, die rund um die Uhr erreichbar sind. Teste den Prozess mindestens halbjährlich mit einer simulierten Meldung.

Schritt 4: Governance-Strukturen anpassen

Stelle sicher, dass die Geschäftsleitung formal in die NIS2-Governance eingebunden ist. Das bedeutet: regelmäßige Berichterstattung an die Geschäftsleitung über den Stand der Cybersicherheit, formale Billigung der Risikomanagementmaßnahmen durch die Geschäftsleitung (dokumentiert und unterschrieben), nachgewiesene Teilnahme der Geschäftsleitung an Cybersicherheitsschulungen und ein Beschlussprotokoll, das die aktive Beteiligung der Geschäftsleitung an sicherheitsrelevanten Entscheidungen belegt.

Schritt 5: Lieferkettenbewertung vertiefen

Erweitere deine bestehende Lieferantenbewertung nach A.5.19 bis A.5.22 um die NIS2-spezifischen Anforderungen. Identifiziere alle kritischen ICT-Lieferanten und deren Subdienstleister. Bewerte deren Cybersicherheitspraktiken systematisch. Verankere Sicherheitsanforderungen und Meldepflichten in den Verträgen. Führe regelmäßige Reviews der Lieferkettensicherheit durch und dokumentiere die Ergebnisse als Audit-Evidenz.

Schritt 6: BSI-Registrierung und laufende Pflichten

Registriere dich beim BSI und gib die geforderten Angaben ab. Richte einen Prozess ein, der sicherstellt, dass Änderungen an den registrierten Daten unverzüglich gemeldet werden. Plane Ressourcen für die laufende Zusammenarbeit mit dem BSI ein: Auskunftsersuchen beantworten, Nachweise vorlegen, an Prüfungen mitwirken.

Der gesamte Prozess lässt sich mit einem GRC-Tool wie Kopexa erheblich beschleunigen. Du kannst die Gap-Analyse, die Maßnahmenplanung, das Evidenz-Management und die Lieferantenbewertung in einem System abbilden und für beide Frameworks (ISO 27001 und NIS2) nutzen.

Einen umfassenden Vergleich beider Frameworks findest du auf unserer Vergleichsseite ISO 27001 vs. NIS2. Dort beleuchten wir auch die strategischen Aspekte einer kombinierten Zertifizierungs- und Compliance-Strategie.