ISO 27001 als NIS2-Nachweis — Reicht das?
Letzte Aktualisierung: 21. März 2026
Ein ISO-27001-Zertifikat deckt rund 70 % der NIS2-Anforderungen ab, ersetzt aber keine vollständige NIS2-Compliance: Gerade beim ISO 27001 NIS2 Nachweis bleiben etwa 30 % Lücke, vor allem bei Meldepflichten nach Art. 23, Lieferkettensicherheit, behördlicher Aufsicht und der Verantwortung der Geschäftsleitung. Praktisch bedeutet das: 10 NIS2-Maßnahmen aus Art. 21 lassen sich zu großen Teilen auf ISO/IEC 27001:2022 und Annex A abbilden, doch ein ISO-27001-Zertifikat allein ist weder automatischer Rechtsnachweis noch vollständige Konformitätsvermutung nach Art. 25 der Richtlinie (EU) 2022/2555.
Wenn Sie bereits ein ISMS nach ISO 27001 betreiben, starten Sie bei NIS2 nicht bei null. Sie haben meist bereits Risikoanalysen, Policies, Asset-Management, Zugriffskontrollen, Business-Continuity-Bausteine und interne Prüfmechanismen. Genau deshalb ist ISO 27001 für viele Unternehmen die beste Ausgangsbasis. Aber NIS2 fragt zusätzlich danach, ob Ihre Geschäftsleitung Cyberrisiken aktiv überwacht, ob erhebliche Vorfälle fristgerecht an die zuständige Behörde gemeldet werden und ob kritische Lieferanten vertraglich, operativ und dokumentiert gesteuert werden.
Für die Einordnung des Gesamtbilds lohnt sich parallel unser Leitfaden zur NIS2-Lieferkettensicherheit, die operative Anleitung zur NIS2-Vorfallmeldung und die Einordnung von Organhaftung bei IT-Sicherheit. Wenn Sie das Thema im Unternehmen strukturiert verankern wollen, führt der schnellste Weg meist über eine kombinierte Gap-Analyse plus gezielte NIS2-Schulung für Fach- und Führungskräfte.
Reicht ISO 27001 als NIS2-Nachweis? Die kurze Antwort
Nein, ISO 27001 reicht als NIS2-Nachweis allein nicht aus. Der Standard ist ein starkes Nachweisinstrument für Informationssicherheit, aber NIS2 ist kein reines Sicherheitsmanagement-Framework, sondern ein gesetzlicher Pflichtenkatalog. Das ist der zentrale Unterschied. ISO 27001 beantwortet vor allem die Frage, ob Sie Informationssicherheit systematisch managen. NIS2 beantwortet zusätzlich die Frage, ob Sie die spezifischen gesetzlichen Anforderungen an Governance, Risikomanagement, Meldefristen, Aufsicht und Lieferkette erfüllen.
Der praktische Wert von ISO 27001 ist dennoch hoch. Wenn Sie ein aktuelles ISMS mit Statement of Applicability, Risikobehandlung, internen Audits und Managementbewertung haben, können Sie einen großen Teil der NIS2-Maßnahmen aus Art. 21 bereits belegen. In Audits, Kundenanfragen und regulatorischen Vorgesprächen ist das ein deutlicher Vorteil. Auch nach Art. 25 NIS2 spielen europäische und internationale Standards für die praktische Nachweisführung eine wichtige Rolle. Ein ISO-27001-Zertifikat kann deshalb die Nachweislast erheblich senken.
Entscheidend ist aber die juristische Einordnung: Aus einem Standard wird kein automatischer Ersatz für eine gesetzliche Pflicht. Behörden, Auftraggeber und Gerichte prüfen im Zweifel nicht, ob Sie formal irgendeinen Standard eingeführt haben, sondern ob die tatsächlich einschlägigen NIS2-Pflichten umgesetzt, dokumentiert und wirksam betrieben werden. Genau hier entstehen die Lücken zwischen ISO 27001 und NIS2.
Die kürzeste Management-Antwort lautet daher:
| Frage | Kurze Antwort |
|---|---|
| Ist ISO 27001 eine gute Basis für NIS2? | Ja, sehr gute Basis |
| Ersetzt ISO 27001 die NIS2-Compliance vollständig? | Nein |
| Kann ein ISO-27001-Zertifikat als Nachweis dienen? | Ja, aber nur teilweise |
| Wo entstehen die größten Lücken? | Meldepflichten, Governance, Aufsicht, Lieferkette |
| Was ist der beste Weg? | ISO 27001 als Fundament plus NIS2-Gap-Closing |
Wer diese Differenz übersieht, riskiert einen klassischen Fehlschluss: "Wir sind nach ISO 27001 aufgestellt, also sind wir automatisch NIS2-konform." Genau dieser Schluss ist zu pauschal. Ein ISO-27001-Zertifikat kann ein sehr starkes Indiz sein, aber es belegt nicht automatisch, dass jede NIS2-spezifische Pflicht erfüllt wird.
Was ISO 27001 abdeckt — Mapping auf NIS2 Art. 21
ISO 27001 deckt den Kern von Art. 21 NIS2 weitgehend ab, weil beide Systeme auf risikobasierter Informationssicherheit aufbauen. Besonders stark ist die Übereinstimmung bei Risikoanalyse, Policies, sicheren Entwicklungsprozessen, Effektivitätskontrollen, Kryptografie, Zugriffsschutz und Asset-Management. Genau deshalb ist das Mapping zwischen NIS2 und ISO 27001 in vielen Projekten der logische erste Schritt.
Die folgende Gap-Analyse-Tabelle verdichtet die zehn Maßnahmen aus Art. 21 Abs. 2 NIS2 auf den tatsächlichen Abdeckungsgrad durch ISO/IEC 27001:2022:
| NIS2-Maßnahme nach Art. 21 Abs. 2 | Typische ISO-27001-Bezüge | Abdeckungsgrad durch ISO 27001 | Wichtigste Restlücke |
|---|---|---|---|
| a) Risikoanalyse und Sicherheitsrichtlinien | Klauseln 5.2, 6.1, 6.2; Annex A A.5.x | Vollständig bis weitgehend | NIS2 fordert stärkere formale Leitungsverantwortung |
| b) Bewältigung von Sicherheitsvorfällen | Klausel 8.3; Annex A A.5.24 bis A.5.27 bzw. Incident-Kontrollen | Teilweise bis weitgehend | Gesetzliche Meldefristen und Behördenkommunikation fehlen |
| c) Aufrechterhaltung des Betriebs, Backup, Wiederherstellung, Krisenmanagement | Business-Continuity- und Recovery-Kontrollen | Teilweise | NIS2 verlangt stärkere operative Resilienz- und Krisenperspektive |
| d) Sicherheit der Lieferkette | Supplier-Relationship-Kontrollen | Teilweise | Tiefergehende Vertrags-, Nachweis- und Unterlieferantensteuerung |
| e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen | Secure Development, Change Management, Patch-Management | Weitgehend vollständig | Branchenspezifische Nachweise können zusätzlich nötig sein |
| f) Bewertung der Wirksamkeit von Maßnahmen | Klausel 9, Monitoring, interne Audits | Vollständig | Kaum Lücke |
| g) Cyberhygiene und Schulungen | Awareness- und Personalkontrollen | Teilweise | NIS2 verlangt konkretere Inhalte und mehr Verbindlichkeit |
| h) Kryptografie und Verschlüsselung | Kryptografie-Kontrollen | Vollständig | Kaum Lücke |
| i) Personal, Zugangskontrolle und Asset-Management | Identitäten, Berechtigungen, physische Sicherheit, Assets | Vollständig | Kaum Lücke |
| j) Multi-Faktor-Authentifizierung und sichere Kommunikation | Zugriffsschutz, sichere Kommunikationskanäle | Teilweise | NIS2 formuliert MFA ausdrücklicher und operativer |
Für die Praxis ist diese Tabelle wichtiger als jede abstrakte Debatte über "genug" oder "nicht genug". Sie zeigt, dass ISO 27001 große Teile der technischen und organisatorischen Basis liefert. Besonders stark ist ISO 27001 dort, wo Prozesse dokumentiert, Verantwortlichkeiten definiert und Maßnahmen regelmäßig überprüft werden müssen. Genau in diesem Bereich sind reife ISMS-Strukturen oft deutlich belastbarer als punktuelle NIS2-Schnellprojekte.
Ein zweiter Vorteil von ISO 27001 ist die Evidenzlogik. NIS2 verlangt in der Praxis Nachweise, dass Maßnahmen nicht nur behauptet, sondern tatsächlich umgesetzt sind. Ein bestehendes ISMS liefert dafür bereits viele belastbare Artefakte: Risikoregister, Policies, Freigaben, Schulungsnachweise, Auditberichte, Asset-Listen, Supplier-Bewertungen, Testprotokolle oder Management-Reviews. Ohne ISO 27001 müssen Unternehmen diese Nachweise oft erst unter Zeitdruck aufbauen.
Besonders hilfreich ist ISO 27001 in drei Situationen:
- Wenn Sie Kunden oder Aufsichtsstellen zeigen müssen, dass Ihr Sicherheitsmanagement systematisch organisiert ist.
- Wenn Sie NIS2-Maßnahmen priorisieren wollen, statt alle Themen gleichzeitig anzugehen.
- Wenn Sie einen objektiven Ausgangspunkt für eine Gap-Analyse brauchen.
Gerade für mittelständische Unternehmen ist das relevant. NIS2 zwingt viele Organisationen dazu, ihr Sicherheitsniveau schnell regulatorisch belastbar zu machen. Ein vorhandenes ISO-27001-System verkürzt diesen Weg, weil Prozesse, Rollen und Nachweise bereits vorhanden sind. Das spart Aufwand, aber eben nur dann, wenn die NIS2-spezifischen Zusatzpflichten bewusst ergänzt werden.
Wo ISO 27001 NICHT genügt — die NIS2-Lücken
ISO 27001 genügt dort nicht, wo NIS2 über klassisches ISMS-Management hinaus in gesetzliche Pflichten übersetzt. Die wichtigsten Lücken betreffen Governance, externe Meldungen, Aufsicht, Lieferkette und den Verbindlichkeitsgrad einzelner Maßnahmen. Genau diese Punkte entscheiden darüber, ob ein ISO-27001-Zertifikat als nützliche Basis oder als Scheinsicherheit wirkt.
Die größten NIS2-Lücken lassen sich so zusammenfassen:
| Lückenbereich | Warum ISO 27001 allein nicht genügt | Typische NIS2-Ergänzung |
|---|---|---|
| Geschäftsleitung und Organverantwortung | ISO 27001 fordert Management-Commitment, aber nicht dieselbe gesetzliche Verantwortungslogik wie Art. 20 NIS2 | Beschlüsse, Reporting an die Leitung, dokumentierte Verantwortung, Schulung der Leitung |
| Vorfallmeldungen | ISO 27001 regelt Incident Management, nicht die gesetzlichen Meldeschritte an Behörden | Meldeprozess, Eskalationsplan, Vorlagen, Kontaktpunkte, Übungen |
| Behördliche Aufsicht | ISO 27001 ist freiwilliger Standard, NIS2 schafft Aufsicht mit Prüf- und Sanktionsmechanismen | Compliance-Register, Nachweisraum, Ansprechpartner für Behörde |
| Nationale Registrierung | ISO 27001 kennt keine Meldung oder Registrierung bei Behörden | nationales Registrierungs- und Zuständigkeitsverfahren |
| Lieferkette | ISO 27001 bewertet Lieferanten, NIS2 fordert oft tiefergehende vertragliche und operative Steuerung | Flow-down-Klauseln, Tier-2-Transparenz, Lieferantennachweise |
| Verbindlichkeit einzelner Maßnahmen | ISO 27001 ist risikobasiert flexibel, NIS2 ist in Teilen operativer und konkreter | verbindliche Mindestmaßnahmen, sektorbezogene Vorgaben |
Gerade bei Art. 20 NIS2 unterschätzen viele Unternehmen die Governance-Dimension. Die Richtlinie verlangt, dass Leitungsorgane die Maßnahmen billigen, ihre Umsetzung überwachen und sich angemessen schulen lassen. ISO 27001 kennt zwar Leadership, Policies und Managementbewertung. Daraus folgt aber noch nicht automatisch, dass die Geschäftsleitung Cyberrisiken als formale Organpflicht mit dokumentierten Beschlüssen und nachweisbarer Aufsicht behandelt.
Ähnlich problematisch ist die Nachweislogik gegenüber Behörden. ISO 27001-Audits prüfen, ob Ihr ISMS im Standardrahmen funktioniert. NIS2-Aufsicht fragt zusätzlich, ob Sie als regulierte Einrichtung die gesetzlichen Pflichten erfüllen. Ein Zertifikat kann also die Tür öffnen, aber es beantwortet nicht jede Aufsichtsfrage. Sobald Behörde oder Prüfer nach Meldefristen, zuständigen Rollen, Lieferantenabhängigkeiten oder branchenspezifischer Kritikalität fragen, endet der automatische Komfort eines Standardaudits.
Deshalb sollte jede Organisation mit ISO 27001 ein separates NIS2-Delta definieren. Ohne diese explizite Restlückenanalyse bleibt das Unternehmen in einer gefährlichen Grauzone: technisch gut organisiert, regulatorisch aber nicht vollständig belastbar. Wer tiefer in die Haftungsfrage einsteigen will, findet ergänzend eine Einordnung zur Organhaftung bei IT-Sicherheit.
Meldepflichten (Art. 23) — von ISO 27001 nicht abgedeckt
Die Meldepflichten aus Art. 23 NIS2 sind die deutlichste Lücke zwischen ISO 27001 und NIS2. ISO 27001 verlangt, dass Sicherheitsvorfälle erkannt, bewertet und behandelt werden. Der Standard verlangt aber nicht, dass erhebliche Vorfälle in einer gesetzlich vorgegebenen Taktung an Behörden oder CSIRTs gemeldet werden. Genau hier endet die Reichweite des ISO-27001-Zertifikats als NIS2-Nachweis.
Art. 23 NIS2 arbeitet mit einer gestuften externen Vorfallkommunikation. In der Richtlinie stehen eine Frühwarnung binnen 24 Stunden, eine Vorfallmeldung binnen 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Diese Fristen sind nicht bloß organisatorische Empfehlungen, sondern echte regulatorische Pflichten. Wer sie nicht abbildet, kann trotz funktionierendem ISMS NIS2-rechtlich scheitern.
Warum ist das so wichtig? Weil ISO 27001 primär interne Steuerung organisiert. Ein Incident-Response-Prozess nach ISO 27001 beantwortet Fragen wie: Wie erkennen wir Vorfälle? Wer reagiert intern? Wie dokumentieren wir Maßnahmen? NIS2 ergänzt die externe Perspektive: Wann muss die zuständige Behörde informiert werden? Welche Informationen müssen in welcher Stufe vorliegen? Wer kommuniziert? Welche grenzüberschreitenden Auswirkungen sind mitzuteilen?
Die Differenz wird in der Praxis häufig unterschätzt:
| Thema | ISO 27001 | NIS2 Art. 23 |
|---|---|---|
| Incident-Management intern | Ja | Ja |
| Externe Meldefrist binnen 24 Stunden | Nein | Ja |
| Folgemeldung binnen 72 Stunden | Nein | Ja |
| Abschlussbericht nach einem Monat | Nein | Ja |
| Behördliche Kontakt- und Eskalationswege | Nicht vorgeschrieben | Erforderlich |
| Vorlagen und Meldeübungen | Nicht ausdrücklich vorgeschrieben | Praktisch zwingend |
Wenn Sie ISO 27001 als Basis nutzen wollen, müssen Sie Ihren Incident-Prozess daher um einen NIS2-Meldeprozess erweitern. Dazu gehören mindestens:
- Kriterien, wann ein Vorfall als erheblich einzustufen ist.
- Ein Eskalationspfad, der rechtliche, technische und geschäftliche Bewertung in wenigen Stunden zusammenführt.
- Zuständige Rollen für Erstmeldung, Folgemeldung und Abschlussbericht.
- Kontaktinformationen der zuständigen Behörde oder des zuständigen Portals.
- Vorgefertigte Vorlagen, damit Meldefristen nicht an Formalien scheitern.
- Übungen, die zeigen, dass der Prozess in realen Vorfällen funktioniert.
Besonders wichtig ist der Schnittpunkt zur Geschäftsleitung. Sobald ein erheblicher Sicherheitsvorfall vorliegt, entscheidet nicht nur die Technik, sondern auch das Management über Kommunikation, Priorisierung, Ressourcen und Risikobewertung. Ein ISO-27001-Notfallhandbuch ohne klaren NIS2-Meldepfad ist dafür zu wenig.
Für die operative Umsetzung sollten Sie Ihren ISO-Incident-Response-Plan deshalb nicht ersetzen, sondern erweitern. Die beste Lösung ist meist ein zusätzlicher NIS2-Anhang mit Meldekriterien, Zeitleiste, Verantwortlichkeiten und Behördenkommunikation. Eine vertiefte Anleitung finden Sie in unserem Beitrag zur NIS2-Vorfallmeldung.
Registrierungspflicht und behördliche Aufsicht
Registrierungspflicht und behördliche Aufsicht sind keine Themen, die ISO 27001 eigenständig lösen kann. Der Standard kennt weder eine gesetzliche Einordnung als wesentliche oder wichtige Einrichtung noch ein nationales Registrierungsverfahren bei der zuständigen Behörde. Genau deshalb ist dieser Bereich ein klassisches Beispiel dafür, dass ISO 27001 und NIS2 nicht auf derselben Normebene arbeiten.
NIS2 schafft einen europäischen Rahmen für Aufsicht, Durchsetzung und Sanktionen. Die konkrete Registrierung, Benennung zuständiger Stellen und praktische Behördenkommunikation werden anschließend durch die nationale Umsetzung operationalisiert. Für Unternehmen bedeutet das: Selbst wenn Ihr ISMS stark ist und Ihr ISO-27001-Zertifikat in Kundenbeziehungen überzeugt, beantwortet es nicht automatisch die Frage, ob Ihr Unternehmen sich registrieren muss, bei welcher Behörde Sie geführt werden und welche laufenden Informationspflichten gelten.
Aus Sicht der Compliance sollten Sie deshalb vier Fragen getrennt prüfen:
- Fallen wir überhaupt in den persönlichen und sektoriellen Anwendungsbereich von NIS2?
- Sind wir als wesentliche oder wichtige Einrichtung einzuordnen?
- Welche nationale Registrierung oder Meldung ist nach Umsetzungsgesetz erforderlich?
- Wie organisieren wir die Kommunikation mit Aufsichtsbehörde oder CSIRT organisatorisch?
ISO 27001 hilft Ihnen in diesem Block nur indirekt. Ein reifes ISMS erleichtert die operative Vorbereitung auf Aufsicht, weil Rollen, Nachweise und Prozesse schon vorhanden sind. Es ersetzt aber nicht die juristische Betroffenheitsprüfung und auch nicht die nationale Registrierungslogik. Genau deshalb sollten NIS2-Projekte immer aus zwei Strängen bestehen: jurische Anwendbarkeitsprüfung und operative ISMS-Abbildung.
Für die behördliche Aufsicht ist außerdem relevant, dass NIS2 nicht nur punktuelle Maßnahmen sehen will, sondern belastbare Governance. Wenn eine Behörde Nachweise anfordert, braucht Ihr Unternehmen klare Ansprechpartner, ein aktuelles Maßnahmenregister, dokumentierte Entscheidungen der Leitung und einen konsistenten Nachweisraum. Ein ISO-27001-Zertifikat macht diese Kommunikation leichter, ersetzt sie aber nicht.
Die praktische Empfehlung lautet daher: Behandeln Sie Registrierung und Aufsicht als eigenes Arbeitspaket in Ihrer NIS2-Roadmap. Viele Unternehmen verlieren hier unnötig Zeit, weil sie ausschließlich auf technische Kontrollen schauen und die regulatorische Prozessschicht zu spät aufbauen.
Supply-Chain-Anforderungen — ISO 27001 vs. NIS2 Art. 21(2)(d)
Die Lieferkette ist einer der Bereiche, in denen ISO 27001 am deutlichsten hinter NIS2 zurückbleibt. ISO 27001 verlangt, dass Risiken in Lieferantenbeziehungen bewertet und gesteuert werden. NIS2 Art. 21 Abs. 2 Buchst. d verlangt mehr: sicherheitsbezogene Aspekte in den Beziehungen zu direkten Lieferanten und Diensteanbietern müssen systematisch in das Risikomanagement einbezogen werden. In der Praxis heißt das meist mehr Vertragstiefe, mehr Nachweise und mehr Transparenz über kritische Abhängigkeiten.
Das Problem liegt nicht darin, dass ISO 27001 Lieferanten ignoriert. Im Gegenteil: Supplier-Relationship-Kontrollen sind ein fester Teil des Standards. Die Lücke entsteht, weil NIS2 die Lieferkette stärker als potenzielles Einfallstor für erhebliche Vorfälle betrachtet. Daraus folgen in der Praxis strengere Anforderungen an Vertragsklauseln, Audit-Rechte, Sicherheitszusagen, Meldewege und die Steuerung von Unterauftragnehmern.
Die Unterschiede lassen sich kompakt so darstellen:
| Lieferkettenthema | ISO 27001 | NIS2-Perspektive |
|---|---|---|
| Direkte Lieferanten bewerten | Ja | Ja |
| Sicherheitsanforderungen vertraglich regeln | Ja, grundsätzlich | Ja, meist deutlich konkreter |
| Kritische Dienstleister priorisieren | Ja, risikobasiert | Ja, mit stärkerem Fokus auf Auswirkung auf wesentliche Dienste |
| Unterlieferanten und Abhängigkeiten transparent machen | Nur mittelbar | Praktisch deutlich wichtiger |
| Audit-Rechte und Nachweise aktiv einfordern | Teilweise | In der Praxis regelmäßig erforderlich |
| Lieferanten in Incident- und Meldeprozesse einbinden | Nicht spezifisch | Für NIS2 fast immer nötig |
Gerade bei Managed Services, Cloud, Rechenzentrum, OT-Integration, Fernwartung oder kritischer Software reicht eine generische Lieferantenbewertung nicht aus. NIS2-regulierte Unternehmen müssen zeigen können, dass sie die Sicherheitsauswirkungen ihrer Drittparteienbeziehungen verstanden und gesteuert haben. Deshalb erwarten Auftraggeber in der Praxis oft:
- konkrete Sicherheitszusagen im Vertrag,
- Meldepflichten für Vorfälle in kurzen Fristen,
- Informationsrechte zu wesentlichen Änderungen,
- Transparenz über kritische Unterauftragnehmer,
- Nachweise über Sicherheitsmaßnahmen oder Prüfungen,
- Mitwirkungspflichten in Krisen- und Wiederherstellungsszenarien.
Ein ISO-27001-Zertifikat ist hier hilfreich, weil es Vertrauen in die Grundstruktur schafft. Es ersetzt aber nicht die NIS2-spezifische Lieferkettenarchitektur. Wer tiefer in dieses Thema einsteigen will, findet ergänzend unseren Leitfaden zur NIS2-Lieferkettensicherheit.
Empfehlung: ISO 27001 als Basis + NIS2-Ergänzungen
Die beste Empfehlung für betroffene Unternehmen lautet: Nutzen Sie ISO 27001 als Fundament und schließen Sie die NIS2-Lücken systematisch. Dieser Ansatz ist effizienter, belastbarer und wirtschaftlich sinnvoller als ein isoliertes NIS2-Projekt ohne vorhandene Managementstruktur. Besonders für Unternehmen mit begrenzten Ressourcen ist es fast immer klüger, bestehende ISO-Artefakte zu erweitern, statt neue Parallelwelten zu bauen.
Ein praxistauglicher Umsetzungsplan sieht so aus:
- Betroffenheit klären. Prüfen Sie zunächst, ob und in welcher Rolle Ihr Unternehmen unter NIS2 fällt.
- ISO-Status aufnehmen. Erfassen Sie, welche ISO-27001-Bausteine bereits belastbar vorhanden sind.
- Art.-21-Mapping durchführen. Ordnen Sie die zehn NIS2-Maßnahmen Ihren bestehenden Kontrollen zu.
- NIS2-Lücken priorisieren. Typischerweise zuerst Governance, Meldepflichten, Lieferkette und Aufsicht.
- Nachweise ergänzen. Legen Sie fest, welche Policies, Protokolle, Vorlagen und Beschlüsse zusätzlich erforderlich sind.
- Verantwortung der Leitung verankern. Binden Sie Geschäftsleitung und relevante Führungskräfte dokumentiert ein.
- Üben statt nur dokumentieren. Testen Sie Meldewege, Krisenabläufe und Lieferanteneskalationen.
Besonders wirksam ist dieser Ansatz, wenn er nicht nur in der Informationssicherheit bleibt. NIS2 ist immer ein Querschnittsthema aus Recht, IT, Einkauf, Compliance und Geschäftsleitung. Ein rein technisches Projekt wird die regulatorischen Anforderungen meist nicht vollständig treffen. Umgekehrt reicht ein rein juristisches Papierprojekt ebenfalls nicht aus, wenn operative Abläufe im Ernstfall nicht funktionieren.
In der Praxis sollten Sie deshalb mindestens diese NIS2-Ergänzungen zu ISO 27001 definieren:
| Ergänzung | Ziel |
|---|---|
| Governance-Paket für die Geschäftsleitung | Art. 20 nachvollziehbar abbilden |
| NIS2-Vorfallmeldeverfahren | Art. 23 fristgerecht erfüllen |
| Registrierungs- und Aufsichtsmatrix | nationale Pflichten sauber steuern |
| Lieferanten- und Unterlieferantenprozess | Art. 21 Abs. 2 Buchst. d konkret umsetzen |
| Schulungs- und Awareness-Modul | Rollen und Pflichten praktisch verankern |
Wenn Sie diesen Weg wählen, wird ISO 27001 vom bloßen Sicherheitsstandard zum echten NIS2-Beschleuniger. Genau das ist der richtige Denkrahmen: nicht "ISO oder NIS2", sondern "ISO 27001 plus NIS2-spezifische Ergänzungen". Für die praktische Umsetzung mit Management, Fachbereichen und IT ist eine strukturierte NIS2-Schulung oft der schnellste Hebel.
Häufig gestellte Fragen (FAQ)
Reicht ISO 27001 für NIS2-Compliance?
Nein. ISO 27001 deckt viele Anforderungen aus Art. 21 NIS2 ab, aber nicht alle gesetzlichen Pflichten. Vor allem Governance, behördliche Meldefristen, Aufsicht und Lieferkettenanforderungen müssen zusätzlich umgesetzt werden.
Welche NIS2-Anforderungen deckt ISO 27001 nicht ab?
Die wichtigsten Lücken liegen bei Art. 20 und Art. 23 NIS2 sowie bei nationalen Registrierungs- und Aufsichtspflichten. Dazu kommen strengere Anforderungen an Lieferantensteuerung, Unterauftragnehmer, Meldeabläufe und die formale Einbindung der Geschäftsleitung.
Gibt es eine Konformitätsvermutung für ISO 27001 unter NIS2?
ISO 27001 kann ein starkes Indiz für ein angemessenes Sicherheitsniveau sein und die Nachweisführung deutlich erleichtern. Eine automatische vollständige Konformitätsvermutung für alle NIS2-Pflichten entsteht daraus jedoch nicht. Maßgeblich bleibt die tatsächliche Erfüllung der gesetzlichen Anforderungen.
Muss ich ISO 27001 für NIS2 haben?
Nein. NIS2 schreibt kein ISO-27001-Zertifikat zwingend vor. Unternehmen ohne ISO 27001 müssen jedoch dieselben Maßnahmen, Nachweise und Prozesse auf andere Weise ebenso belastbar abbilden.
Was ist der Unterschied zwischen NIS2 und ISO 27001?
ISO 27001 ist ein freiwilliger Managementstandard für Informationssicherheit. NIS2 ist eine gesetzliche Regulierung mit Aufsicht, Meldepflichten und möglichen Sanktionen. Darum kann ISO 27001 NIS2 stützen, aber nicht vollständig ersetzen.
Ist ein ISO-27001-Zertifikat für Kunden und Behörden trotzdem hilfreich?
Ja. Ein ISO-27001-Zertifikat erleichtert die Kommunikation mit Kunden, Partnern und Aufsichtsstellen, weil viele grundlegende Sicherheitsprozesse bereits strukturiert nachgewiesen werden können. Es ist aber nur ein Teil des Gesamtbilds und kein automatischer Vollnachweis.
Fazit: ISO 27001 ist ein starkes Fundament, aber kein vollständiger Rechtsnachweis
ISO 27001 ist für NIS2 kein Umweg, sondern meist der schnellste saubere Einstieg. Wer bereits ein funktionierendes ISMS hat, verfügt in vielen Fällen über rund 70 % der benötigten Struktur. Genau deshalb ist ISO 27001 im NIS2-Kontext so wertvoll. Der Fehler beginnt erst dort, wo aus einer starken Basis ein vermeintlich vollständiger Nachweis gemacht wird.
Wenn Sie NIS2 belastbar erfüllen wollen, behandeln Sie Ihr ISO-27001-Zertifikat als Fundament und schließen Sie die rechtlichen und operativen Restlücken gezielt. Besonders relevant sind Meldepflichten, Geschäftsleitungsverantwortung, Lieferkette, Aufsicht und nationale Registrierung. Dann wird aus ISO 27001 kein trügerisches Komfortsignal, sondern ein belastbarer Baustein Ihrer NIS2-Compliance.