TL;DR ISO 27001 und die NIS-2-Richtlinie überlappen substantiell, aber sie sind nicht deckungsgleich. Wer ISO 27001 zertifiziert ist, hat etwa 70 bis 80 Prozent der NIS-2-Pflichten technisch erfüllt. Die restlichen 20 bis 30 Prozent entscheiden über Nachweisbarkeit und Vorstandshaftung. Ein integriertes Programm spart Aufwand und reduziert das Risiko.

Warum die Frage relevant ist

Viele Unternehmen, die NIS 2 unterliegen, haben bereits ISO 27001 implementiert oder zertifiziert. Die Versuchung ist groß, zu denken: „Wir sind ISO-zertifiziert, NIS 2 ist abgedeckt." Das stimmt zur Hälfte. Wer die Hälfte für die Wahrheit hält, läuft auf eine teure Überraschung zu, weil die NIS-2-spezifischen Pflichten zur Vorstandshaftung und zu Meldewegen nicht von ISO 27001 erfasst werden.

Andere Unternehmen starten mit NIS 2 ohne ISO-Vorgeschichte. Für sie stellt sich die Frage andersherum: lohnt ISO 27001 als Fundament, oder reicht ein NIS-2-spezifisches Programm?

Was beide gemeinsam haben

Auf der inhaltlichen Ebene überschneiden sich beide Werke deutlich. ISO/IEC 27001:2022 Anhang A definiert 93 Kontrollen über die Themen Organisationskontrollen, Personenkontrollen, physische Kontrollen und technische Kontrollen. Die zehn Maßnahmen aus Artikel 21 NIS 2 lassen sich überwiegend auf diese Kontrollen abbilden:

  • - Risikomanagement (NIS 2 Artikel 21 Absatz 2 a) → ISO 27001 Klausel 6.1 und A.5
  • - Incident Management (Absatz 2 b) → ISO 27001 A.5.24 bis A.5.30
  • - Backup, Krisenmanagement (Absatz 2 c) → A.5.29, A.5.30
  • - Lieferkettensicherheit (Absatz 2 d) → A.5.19 bis A.5.23
  • - Sichere Entwicklung und Wartung (Absatz 2 e) → A.8.25 bis A.8.34
  • - Bewertung der Wirksamkeit (Absatz 2 f) → Klausel 9
  • - Cyber-Hygiene und Schulungen (Absatz 2 g) → A.6.3
  • - Kryptografie (Absatz 2 h) → A.8.24
  • - Personalsicherheit, Zugriffskontrolle (Absatz 2 i) → A.6 und A.8.1 bis A.8.18
  • - Multi-Faktor-Authentifizierung, sichere Kommunikation (Absatz 2 j) → A.5.17, A.8.5

Wer ein gut geführtes ISO 27001 ISMS hat, hat die inhaltliche Substanz der NIS-2-Maßnahmen weitgehend abgedeckt.

Wo NIS 2 über ISO 27001 hinausgeht

Drei Bereiche, in denen NIS 2 zusätzliche oder konkretere Pflichten setzt:

Meldepflichten mit harten Fristen. ISO 27001 verlangt ein Incident-Management-Verfahren. NIS 2 schreibt konkrete Fristen vor: 24 Stunden für die Frühwarnung, 72 Stunden für die aktualisierte Meldung, 30 Tage für den Abschlussbericht. Mit dem BSI als adressierte Behörde. ISO 27001 sagt nicht, an wen und wann gemeldet werden muss.

Persönliche Vorstandshaftung. ISO 27001 verlangt Management-Verantwortung (Klausel 5.1) und eine Management-Review (Klausel 9.3). NIS 2 geht weiter: die Geschäftsleitung muss Maßnahmen aktiv billigen, sich schulen lassen, und haftet persönlich. Aufsichtsbehörden können leitende Personen suspendieren.

Gesetzliche Verbindlichkeit. ISO 27001 ist freiwillig. Eine Zertifizierung ist ein Marktversprechen. NIS 2 ist Gesetz. Verstöße führen zu Bußgeldern (bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen) und behördlichen Anordnungen.

Hinzu kommen NIS-2-spezifische Anforderungen an die Lieferkette, die zwar ISO-konform sind, in der Praxis aber tiefer gehen als das, was viele zertifizierte Unternehmen heute leben.

Was ISO 27001 hat, das NIS 2 nicht hat

In die andere Richtung bietet ISO 27001 Werkzeuge, die NIS 2 nicht standardmäßig vorsieht:

  • - Zertifizierbarkeit durch akkreditierte Stellen, mit jährlichen Surveillance-Audits
  • - Strukturiertes ISMS-Framework mit klaren Klauseln und einer Audit-Logik, die international anerkannt ist
  • - Marktwirksamkeit: ISO 27001 ist in Ausschreibungen und Lieferanten-Bewertungen weit verbreitet, NIS-2-Compliance ist gesetzliche Pflicht, kein Wettbewerbs-Differenzierer

Für die meisten Unternehmen ergibt es Sinn, ISO 27001 als Fundament zu nehmen und NIS 2 darauf aufzubauen.

Integriertes Programm: wie das aussieht

Ein integriertes Compliance-Programm bearbeitet ISO 27001 und NIS 2 in einem Stack:

  1. 1. Eine Risikobewertung, zwei Sichten. ISO-konformes Risikomanagement nach Klausel 6.1, ergänzt um NIS-2-spezifische Bedrohungsszenarien (insbesondere für die Lieferkette und Verfügbarkeit).
  2. 2. Ein Kontroll-Katalog, zwei Mappings. Die ISO-27001-Kontrollen aus Anhang A werden zusätzlich auf die NIS-2-Maßnahmen aus Artikel 21 gemappt. Lücken werden geschlossen.
  3. 3. Ein Vorstands-Beschluss, beide Pflichten. Die Management-Verantwortung nach ISO 27001 Klausel 5.1 wird um die NIS-2-Pflichten zur aktiven Billigung und Schulung erweitert.
  4. 4. Ein Meldeprozess, mit harten Fristen. Das ISO-Incident-Management wird um die 24/72/30-Tage-Fristen und den BSI-Meldeweg ergänzt.
  5. 5. Eine Dokumentation, zwei Audits. ISO-Auditor und BSI-Aufsicht greifen auf die gleichen Nachweise zu, mit klarem Mapping.

Dieses Vorgehen vermeidet Doppelarbeit, hält die Audit-Tauglichkeit hoch und macht das Compliance-Programm für die Geschäftsleitung steuerbar.

Wer mit was anfangen sollte

  • - ISO 27001 vorhanden, NIS 2 neu: Lückenanalyse gegen Artikel 21 NIS 2, Meldeprozess hinzufügen, Vorstands-Schulung etablieren. Geschätzter Zusatzaufwand: 3 bis 6 Monate, je nach Reifegrad.
  • - Beides neu: Mit ISO 27001 als Fundament starten, NIS 2 von Anfang an mitdenken. Zeithorizont 9 bis 18 Monate bis zur Zertifizierung, mit NIS-2-Konformität deutlich früher erreichbar.
  • - NIS 2 ohne ISO-Plan: Funktioniert, ist aber strategisch kürzer gedacht. Wer in B2B-Ausschreibungen erfolgreich sein will, wird ISO 27001 ohnehin brauchen.

Wie GermanAI Defense unterstützt

Wir führen Unternehmen durch beide Werke in einem Programm. ISO-27001-Zertifizierungsbegleitung, NIS-2-Lückenanalyse und Umsetzung, BSI-konformes Meldewesen, Audit-taugliche Dokumentation. Selbst nach ISO/IEC 27001:2022 zertifiziert, mit Sitz in Frankfurt am Main.

→ Mehr zu unserer GRC- und Compliance-Beratung: germanaidefense.de/grc