Seit Januar 2023 setzt NIS-2 neue Maßstäbe für die Cybersicherheit. In Deutschland ist das Gesetz zur Umsetzung der EU-Richtlinie („NIS2UmsuCG“) seit dem 6. Dezember 2025 in Kraft – und macht die Sicherstellung von Cybersicherheit und Resilienz damit endgültig zum Compliance-Thema. Unterstützung zur Erlangung von Rechtskonformität bietet hier die Norm ISO/IEC 27001: Sie liefert das methodische Gerüst, um die Anforderungen systematisch und nachvollziehbar dokumentiert zu erfüllen.
Mit der Veröffentlichung des Gesetzes im Bundesgesetzblatt im Dezember 2025 wurden die neuen Anforderungen rechtsverbindlich und müssen nun von „besonders wichtigen“ und „wichtigen“ Einrichtungen in festgelegten, kritischen Sektoren umgesetzt werden. Maßgeblich sind Schwellenwerte für Mitarbeiterzahl, Umsatz oder Bilanzsumme, die bereits bei 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz beginnen. Auch kleine Unternehmen oder Zulieferer können unter NIS-2 fallen, wenn sie gegenüber ihren Kunden aus der kritischen Infrastruktur in ihrer Lieferkette nachweispflichtig sind beziehungsweise werden.
Die Richtlinie fordert von Unternehmen ein Umdenken: Informationssicherheit ist nicht mehr nur eine Frage von Best Practices, sondern eine rechtliche Vorgabe. Das „BSI-Gesetz“ (BSIG) ist das zentrale deutsche Gesetz für die Umsetzung der NIS 2 Richtlinie. Gemäß § 30 BSIG sind Unternehmen zu umfassenden organisatorischen und technischen Maßnahmen verpflichtet – risikobasiert, nach „Stand der Technik“ angemessen und verhältnismäßig. Wer vorsätzlich oder fahrlässig gegen die nach BSIG anwendbaren NIS 2 Pflichten verstößt oder Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift, begeht eine Ordnungswidrigkeit im Sinne des § 65 BSIG. Diese Ordnungswidrigkeiten werden, ähnlich wie bei der DSGVO, sicher nicht unmittelbar mit Inkrafttreten des Gesetzes geahndet, allerdings können die Bußgelder (bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes) empfindliche Größenordnungen erreichen.
Strukturierte Informationssicherheit mit der ISO/IEC 27001
Ein wirksames Instrument zur Umsetzung der NIS-2-Anforderungen ist die ISO/IEC 27001. Die international gültige Norm ist ein etablierter Leitfaden zur Implementierung eines risikobasierten und prozessorientierten Informationssicherheits-Managementsystems (ISMS). Besonders nützlich ist der umfangreiche Maßnahmenkatalog im Anhang A, eine praxisnahe Toolbox, mit der sich der „Stand der Technik“ (als juristischer Maßstab) in praktikablen, überprüfbaren Maßnahmen abbilden lässt. Dieser Mindestsatz von 93 Maßnahmen beziehungsweise „Controls“ enthält konkrete Handlungsempfehlungen für organisatorische, personelle, technische und physische Risikomanagementmaßnahmen. Diese Controls lassen sich unmittelbar den Themenfeldern des § 30 (2) BSIG zuordnen und reichen von der Bewältigung von Sicherheitsvorfällen über grundlegende Schulungen und Sensibilisierungsmaßnahmen bis zu Business Continuity Management und Multi-Faktor-Authentifizierung.
Entscheidend für die Wirksamkeit eines ISMS sind jedoch nicht einzelne Maßnahmen, sondern die grundlegende Herangehensweise: Unter Berücksichtigung potenzieller Gefahren und interessierter Parteien – inklusive bösartiger Akteure – sind von der Geschäftsleitung zielgerichtete Prozesse zur Umsetzung, Aufrechterhaltung und fortlaufenden Verbesserung des ISMS und seiner Maßnahmen einzurichten. Herzstück ist hier der PDCA-Zyklus (Plan-Do-Check-Act): Risiken werden analysiert und bewertet, risikomindernde Maßnahmen eingeführt, regelmäßig überprüft und bei Bedarf angepasst. Dies passt zu dem „lebenden“ Risikomanagement, das NIS-2 vorschreibt.
Für den Rechenschaftsnachweis sind die Schritte des PDCA-Zyklus konsequent zu dokumentieren – denn, was nicht dokumentiert ist, hat im Zweifelsfall nicht stattgefunden.
Wie NIS-2 und ISO/IEC 27001 ineinandergreifen
Die Überschneidungen zwischen NIS-2 und ISO/IEC 27001 sind tatsächlich beachtlich. Die Norm deckt alle technisch-organisatorischen Anforderungen des § 30 (2) BSIG ab – und das ist kein Zufall. Die EU Kommission führt die ISO/IEC 27001 explizit als Orientierungshilfe bei der NIS-2-Umsetzung auf, und die Richtlinie beruht zu großen Teilen auf den gleichen Prinzipien. Allen voran: Informationssicherheit ist kein einmaliger Zustand, sondern ein kontinuierlicher PDCA-Prozess, basierend auf einem etablierten Risikomanagement.
Ein Kernpunkt von NIS-2 ist das Risikomanagement, um die Auswirkungen von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit auf informationstechnische Systeme in kritischen Prozessen beherrschbar zu halten. Der neue § 38 BSIG verpflichtet die Geschäftsleitung unmittelbar, Sicherheitsmaßnahmen umzusetzen und zu überwachen – mit Haftungsverantwortung. Gemäß der ISO/IEC 27001 hat die „oberste Leitung“ Informationssicherheitsziele, die entsprechenden Rollen, Verantwortlichkeiten und Befugnisse festzulegen, die dafür nötigen Mittel bereitzustellen sowie Fortschritte regelmäßig zu bewerten. Die Norm bildet also die Governance-Strukturen ab, die NIS-2 einfordert.
Der Maßnahmenkatalog im Anhang A der ISO/IEC 27001 adressiert immer wieder auch die Stärkung der Cyberresilienz – von Mitarbeiterschulungen bis hin zu sicheren Konfigurationen sowie Kryptografie und Authentifizierungsprozessen – und andere zentrale Ziele von NIS-2. Anforderungen, wie Lieferkettensicherheit oder Business Continuity Management, sind ebenfalls feste Bestandteile der ISO/IEC 27001. Die Norm unterstützt beim Aufbau funktionierender Managementprozesse für Sicherheitsvorfälle und Meldewege, um die eng gesetzten Fristen und formalen Berichtspflichten der NIS 2-Richtlinie einzuhalten. Sie verlangt hierfür klar definierte Prozesse zum Umgang mit Sicherheitsvorfällen, einschließlich deren Meldung und laufender Auswertung. Und doch braucht es mehr als die ISO/IEC 27001 für NIS-2-Compliance.
Die Grenzen der ISO/IEC 27001
Auch wenn die EU bei der NIS-2-Umsetzung auf die ISO/IEC 27001 verweist, ist eine Zertifizierung weder vorgeschrieben noch ein juristisch belastbarer Nachweis der Rechtskonformität. Für eine vollständige Compliance reicht die Orientierung an der Norm nicht aus. Unternehmen müssen eigenverantwortlich ihren spezifischen Registrierungs- und Meldepflichten gesetzeskonform nachkommen. Die ISO/IEC 27001 bildet also viele Prozesse und Strukturen ab, die für die NIS-2-Compliance erforderlich sind; sie ersetzt aber nicht die Auseinandersetzung mit den konkreten gesetzlichen Vorgaben.
Dennoch ist die ISO 27001 dank ihres praxisnahen Anhangs A und der Tatsache, dass sie einen Großteil der technisch-organisatorischen NIS-2-Anforderungen abdeckt, ein geeigneter Weg, um die Erfüllung dieser Vorgaben zu unterstützen. Und unabhängig von NIS-2 können Organisationen, die die ISO/IEC 27001 umsetzen, ein wichtiges Vertrauenssignal an Behörden, Geschäftspartner und Kunden senden.