Viele Unternehmen fragen sich: Brauche ich NIS2 UND ISO 27001? Oder reicht eine ISO 27001-Zertifizierung aus, um NIS2-konform zu sein?
Die Antwort: Beide verfolgen unterschiedliche Ansätze, die sich überschneiden, aber nicht identisch sind. Dieser Guide zeigt Ihnen die Unterschiede, Gemeinsamkeiten und wie ISO 27001 Ihnen bei NIS2-Compliance helfen kann.
Was ist ISO 27001?
ISO/IEC 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie ist freiwillig und definiert Best Practices für systematische Informationssicherheit.
Kernelemente von ISO 27001:
- Risikomanagement: Identifikation, Bewertung und Behandlung von Sicherheitsrisiken
- Technische und organisatorische Maßnahmen (TOMs): 93 Controls in Annex A nach ISO 27001:2022 (zuvor 114 in der Version 2013) – z.B. Zugriffskontrolle, Verschlüsselung, Backup
- Kontinuierliche Verbesserung: PDCA-Zyklus (Plan-Do-Check-Act)
- Audit und Zertifizierung: Durch unabhängige, akkreditierte Stellen
Warum ISO 27001? Viele Unternehmen nutzen die Zertifizierung, um Vertrauen bei Kunden und Partnern zu schaffen – besonders in B2B-Beziehungen und bei Ausschreibungen.
Was ist NIS2?
Die NIS2-Richtlinie ist eine EU-Richtlinie mit gesetzlicher Pflicht für Unternehmen in 18 kritischen Sektoren (ab 50 Mitarbeitenden oder mehr als €10 Mio Umsatz bzw. Bilanzsumme). Sie fordert Risikomanagement, Meldepflichten, Lieferkettensicherheit und persönliche Verantwortung der Geschäftsleitung – mit empfindlichen Bußgeldern.
→ Vollständiger NIS2-Guide: Betroffenheit, Pflichten, Fristen
Direkter Vergleich: NIS2 vs. ISO 27001
| Kriterium | NIS2-Richtlinie | ISO 27001 |
|---|---|---|
| Art | EU-Richtlinie (gesetzlich verpflichtend) | Internationale Norm (freiwillig) |
| Anwendungsbereich | 18 kritische Sektoren (Energie, Gesundheit, Finanzen, etc.) | Alle Branchen weltweit |
| Ziel | Schutz kritischer Infrastrukturen in der EU | Informationssicherheit allgemein |
| Meldepflichten | Ja (24h/72h/1 Monat an Behörden) | Nein (nur interne Dokumentation) |
| Lieferketten-Sicherheit | Explizit gefordert (EU-koordinierte Risikobewertung, behördliche Durchsetzung) | Abgedeckt durch 5 Supplier Controls (A.5.19–A.5.23), aber ohne behördliche Aufsicht |
| Geschäftsleitung-Verantwortung | Überwachungspflicht, Haftung nach nationalem Recht möglich | Rechenschaftspflicht ("Top Management") |
| Sanktionen | Wesentliche: bis €10 Mio oder 2 % des weltweiten Vorjahresumsatzes des Gesamtunternehmens; Wichtige: bis €7 Mio oder 1,4 % des weltweiten Vorjahresumsatzes des Gesamtunternehmens (je nachdem, was höher ist) | Entzug des Zertifikats, Vertragsstrafen |
| Kosten | Variable Kosten für Umsetzung | Zertifizierung €15k–€50k+, jährliche Audits (Richtwerte) |
| Aufsicht | Nationale Behörden (z.B. BSI in Deutschland) | Akkreditierte Zertifizierungsstellen |
Wo überschneiden sich NIS2 und ISO 27001?
Eine ISO 27001-Zertifizierung ist eine hervorragende Grundlage für NIS2-Compliance. Große Teile der organisatorischen und technischen Anforderungen überschneiden sich deutlich:
- Risikomanagement: Beide fordern einen systematischen, risikobasierten Ansatz. Ein ISO 27001-konformer Risikomanagement-Prozess deckt einen erheblichen Teil der NIS2-Anforderungen ab.
- Technische & organisatorische Maßnahmen (TOMs): Die 93 Controls aus Annex A (z.B. Zugriffskontrolle, Verschlüsselung, Backup-Strategie, Notfallpläne) sind in den meisten Fällen auch für NIS2 relevant.
- Audits & Überprüfungen: Beide verlangen regelmäßige interne und externe Audits. Ein ISO 27001-Auditplan kann für NIS2 erweitert werden.
Was ISO 27001 NICHT abdeckt (die NIS2-Lücken)
Hier liegen die entscheidenden Unterschiede. Selbst mit einer perfekten ISO 27001-Zertifizierung müssen Sie für NIS2 folgende Punkte zusätzlich implementieren:
- Strikte Meldepflichten: Der 3-stufige Meldeprozess (24h/72h/1 Monat) an die Behörden ist eine Kernforderung von NIS2, die in ISO 27001 nicht existiert.
- Lieferketten-Sicherheit: NIS2 geht durch die EU-koordinierte Risikobewertung kritischer Lieferketten (Art. 22) und die behördliche Durchsetzung über ISO 27001 hinaus. ISO 27001:2022 bietet mit 5 dedizierten Supplier Controls (A.5.19–A.5.23) allerdings eine solide inhaltliche Grundlage.
- Verantwortung der Geschäftsleitung: NIS2 macht Leitungsorgane ausdrücklich verantwortlich und sie können nach nationalem Recht haftbar gemacht werden. ISO 27001 fordert lediglich eine Rechenschaftspflicht.
- Branchenspezifische Anforderungen: NIS2 kann je nach Sektor (z.B. Energie, Gesundheit) spezifischere Anforderungen stellen, die in der allgemeinen ISO 27001-Norm nicht enthalten sind.
Best Practice: ISO 27001 als Fundament für NIS2
Die beste Strategie für Unternehmen, die von NIS2 betroffen sind:
- ISO 27001 implementieren: Nutzen Sie die Norm als bewährtes Framework, um ein robustes Informationssicherheits-Managementsystem (ISMS) aufzubauen.
- Gap-Analyse durchführen: Analysieren Sie, welche der oben genannten NIS2-spezifischen Punkte in Ihrem ISMS noch fehlen.
- ISMS erweitern: Ergänzen Sie Ihr Managementsystem um die fehlenden NIS2-Prozesse:
- Incident-Response-Plan mit Meldepflichten (24h/72h/1 Monat)
- Lieferanten-Management-Prozess mit NIS2-Anforderungen
- Schulungsprogramm für die Geschäftsleitung (Verantwortlichkeiten!)
- (Optional) Zertifizieren lassen: Eine ISO 27001-Zertifizierung kann gegenüber Behörden und Kunden als starker Nachweis für ein funktionierendes ISMS dienen.
Kosten-Nutzen-Analyse
Szenario A (nur NIS2): Sie implementieren nur die Mindestanforderungen von NIS2.
- Vorteil: Geringere initiale Kosten.
- Nachteil: Kein international anerkannter Nachweis, potenziell unstrukturierter Ansatz, bei Audits müssen Sie mühsam Ihre individuellen Maßnahmen nachweisen.
Szenario B (ISO 27001 + NIS2-Erweiterung): Sie bauen ein ISMS nach ISO 27001 auf und ergänzen die NIS2-spezifischen Punkte.
- Vorteil: Strukturiertes, bewährtes Vorgehen, international anerkanntes Zertifikat (Wettbewerbsvorteil), erleichtert Audits erheblich, höhere Sicherheit.
- Nachteil: Höhere initiale Kosten für Beratung und Zertifizierung.
Ausblick: EU Cybersecurity Certification und DVO 2024/2690
Zwei regulatorische Entwicklungen könnten das Verhältnis ISO 27001 ↔ NIS2 grundlegend verändern:
- EU Cybersecurity Certification Package (Januar 2026): Die EU arbeitet an einem zertifizierungsbasierten Compliance-Weg, der es Unternehmen ermöglichen könnte, über anerkannte Zertifizierungen (wie ISO 27001) einen vereinfachten NIS2-Konformitätsnachweis zu erbringen. Für Unternehmen mit bestehender Zertifizierung wäre das ein erheblicher Vorteil.
- Durchführungsverordnung (EU) 2024/2690: Konkretisiert die abstrakten Anforderungen aus Art. 21 NIS2 für bestimmte Einrichtungen des digitalen Sektors (u. a. Cloud-, Rechenzentrums-, DNS- und Managed-Service-Anbieter) und ermöglicht für diese ein detailliertes Mapping zwischen NIS2-Pflichten und ISO-27001-Controls. Für andere Sektoren dient sie als Orientierung und macht die Gap-Analyse präziser.
FAQ zu NIS2 und ISO 27001
Muss ich beides haben?
NIS2: Ja, wenn Sie betroffen sind (18 Sektoren, grundsätzlich ab 50 Mitarbeitenden oder mehr als €10 Mio Umsatz bzw. Bilanzsumme, mit sektoralen Ausnahmen).
ISO 27001: Nein, freiwillig. Aber empfohlen, wenn Sie Kunden/Partner mit Sicherheitsanforderungen haben oder an Ausschreibungen teilnehmen.
Reicht ISO 27001-Zertifizierung für NIS2-Compliance?
Nein. ISO 27001 deckt einen erheblichen Teil der strukturellen Anforderungen ab, aber Sie müssen zusätzlich implementieren: Meldepflichten (24h/72h/1 Monat), Lieferkettensicherheit (formale Assessments) und Schulungen für die Geschäftsleitung.
Kann ich mein ISO 27001-Zertifikat als NIS2-Compliance-Nachweis nutzen?
Teilweise. Das Zertifikat zeigt, dass Sie ein ISMS haben. Sie müssen aber zusätzlich nachweisen, dass Sie NIS2-spezifische Punkte erfüllen (Meldeprozess, Lieferketten-Checks, Verantwortung der Geschäftsleitung).
Was kostet ISO 27001-Zertifizierung?
Einmalig: €15.000–€50.000+ (Richtwerte – stark abhängig von Unternehmensgröße und Komplexität)
Jährlich: €5.000–€15.000 (Re-Audits, Wartung, Schulungen)
Welche Behörde ist für NIS2 in Deutschland zuständig?
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Meldungen erfolgen über das BSI-Meldeportal: BSI-Meldeportal für NIS2
Wann tritt NIS2 in Kraft?
Die NIS2-Richtlinie ist seit 16. Januar 2023 in Kraft. Deutschland: NIS2UmsuCG seit 6.12.2025. Österreich: NISG 2026 ab 1.10.2026. → Alle Fristen im Detail
Gilt NIS2 auch in Österreich und der Schweiz?
Ja – Österreich hat das NISG 2026 (in Kraft ab 1.10.2026), Deutschland das NIS2UmsuCG (in Kraft seit 6.12.2025). In der Schweiz gilt NIS2 nicht direkt, bei EU-Geschäft aber indirekt.
→ Nationale Umsetzung, Fristen und Behörden im Detail