Startseite
BeLogical
cyber-security

NIS-2 & ISO 27001: Reicht ein ISMS – oder bleibt trotzdem Haftungs- und Nachweislücke?

ISO 27001 hilft massiv bei NIS-2 – aber Zertifikat ≠ Nachweisfähigkeit. So machen Sie aus ISMS echte NIS-2-Compliance.

Reza Mohammadi
Autor
Reza Mohammadi - Lead Entwickler

schreibt über Entwicklung, Code-Qualität und Team-Prozesse. Refactoring-Strategien, API-Design und warum "quick fix" selten schnell ist.

Key Takeaways
Passende Dienstleistung
SecureLogical Logo SecureLogical

Passende Dienstleistung fuer dieses Thema: SecureLogical

Inhalt

Management Summary: ## Die Kernfrage: „Wir sind ISO 27001” – sind wir damit NIS-2-sicher? > ISO 27001 ist ein starkes Fundament. Aber NIS-2 bewertet nicht Ihre Absicht – sondern Ihre Wirksamkeit, Nachweisfähigkeit und Führungspflicht. Viele Organisationen fühlen sich mit ISO 27001 „fertig”. NIS-2 (in Deutschland über das NIS-2-Umsetzungsgesetz/BSIG konkretisiert) verschiebt den Maßstab:

Die Kernfrage: „Wir sind ISO 27001” – sind wir damit NIS-2-sicher?

Was ist NIS-2 & ISO 27001? Die Definition für B2B

NIS-2 & ISO 27001 ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist NIS-2 & ISO 27001 essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

ISO 27001 ist ein starkes Fundament. Aber NIS-2 bewertet nicht Ihre Absicht – sondern Ihre Wirksamkeit, Nachweisfähigkeit und Führungspflicht.

Viele Organisationen fühlen sich mit ISO 27001 „fertig”. NIS-2 (in Deutschland über das NIS-2-Umsetzungsgesetz/BSIG konkretisiert) verschiebt den Maßstab: Es reicht nicht, ein Managementsystem zu haben. Sie müssen belegen können, dass Risikomanagementmaßnahmen angemessen, wirksam und geeignet umgesetzt und betrieben werden – inklusive Meldeprozessen, Lieferkettensteuerung und Leitungspflichten.

Wichtig: § 30 BSIG stellt klar, dass Maßnahmen den Stand der Technik einhalten und einschlägige europäische/internationale Normen berücksichtigen sollen – ISO 27001 ist also explizit anschlussfähig. Aber: NIS-2 verlangt zusätzlich konkrete „Betriebsrealität” (z. B. Incident-Meldungen in engen Fristen) und klare Verantwortung auf Geschäftsleitungsebene.
Links: § 30 BSIG (Gesetze im Internet) § 30 BSIG, BSI-Übersicht zu Risikomanagementmaßnahmen BSI

Wo ISO 27001 NIS-2 direkt abdeckt

ISO 27001 liefert die Struktur, die NIS-2 praktisch voraussetzt:

  • Governance & Rollen: Verantwortlichkeiten, Policy-Set, Management-Review
  • Risikomanagement: Risikoanalyse, Risikobehandlung, Akzeptanzkriterien
  • Kontrollsystem: Controls (Annex A), interne Audits, Korrekturmaßnahmen
  • Dokumentation: Nachvollziehbarkeit (wenn sie aktuell und vollständig ist)

Genau das spiegelt § 30 BSIG: Risikoanalyse-Konzepte, Wirksamkeitsbewertung, Asset-/Zugriffsmanagement, Incident Response, BCM/Backups, Lieferkette, Schwachstellenmanagement, MFA usw. (als Mindestmaßnahmen in § 30 Abs. 2 BSIG).
Links: BSI-Infopaket „Risikomanagementmaßnahmen” BSI

Wo ISO 27001 typischerweise Lücken lässt (und NIS-2 weh tut)

1) Zertifikat ≠ gelebter Betrieb

ISO-Audits prüfen Stichproben. NIS-2 wird in der Praxis auf „betriebliche Wirksamkeit” hinauslaufen: Können Sie im Incident schnell, konsistent und belegbar handeln?

Typische Lücke:

  • ISMS-Dokumente sind sauber – aber Asset-Inventar, Identitäten, Abhängigkeiten und Wiederanlauf sind nicht „krisenfest”.

2) Meldefristen und Meldequalität (24h/72h/1 Monat)

NIS-2 verlangt eine strukturierte Meldelogik für erhebliche Vorfälle (Frühwarnung <24h, Meldung <72h, Abschluss <1 Monat). Das ist weniger „Policy” und mehr Incident Operating Model.
Links: BSI-Übersicht Meldeprozess (Art. 23 NIS-2) PDF

3) Lieferkette: Von „Supplier Assessment” zu „Kaskadenresilienz”

ISO 27001 hat Lieferketten-Controls – in der Praxis sind sie oft Fragebögen. NIS-2 macht Lieferkette zu einem Kernrisiko: Beziehungen zu unmittelbaren Anbietern/Dienstleistern, inklusive Sicherheitsanforderungen, Monitoring, Notfallpfade.

4) Leitungsverantwortung & Schulungspflichten

In Deutschland ist die Geschäftsleitungspflicht im BSIG ausdrücklich: Umsetzung/Überwachung und Schulungspflicht (§ 38 BSIG). ISO 27001 kennt Management Commitment – NIS-2 macht daraus Pflicht mit Nachweislogik.
Links: BSI-Handreichung zur Geschäftsleitungsschulung BSI

Der praxisnahe Ansatz: „ISO 27001 als Motor – NIS-2 als Zielbild”

Schritt 1: NIS-2 Scope sauber schneiden (sonst bauen Sie am falschen Ende)

  • Sind Sie „wichtig”/„besonders wichtig” (Sektor + Größe + Unternehmensgruppe)?
  • Welche Dienste/Standorte/Tochtergesellschaften fallen wirklich rein?
  • Welche IT/OT-Dienste sind kritisch für die Erbringung?

Tipp: BSI-Anlagen zu Sektoren nutzen (Anlage 1/2).
Links: Sektoren Anlage 1 BSI, Anlage 2 BSI

Schritt 2: Control-Mapping mit „Evidence” statt nur „Control vorhanden”

Machen Sie aus dem ISO-Statement of Applicability ein NIS-2-Evidence-Pack:

  • Control (z. B. MFA)
  • Implementierung (wo, für wen, Ausnahmen)
  • Betriebsnachweis (Logs, Reports, KPIs)
  • Test/Übung (Restore-Test, Incident-Drill)
  • Owner (fachlich + technisch)

Schritt 3: Die 10 Mindestmaßnahmen aus § 30 BSIG als Leitplanken

Nutzen Sie die § 30-Liste als „Minimum Baseline” – und legen Sie Ihre ISO-Controls dagegen:

  1. Risikoanalyse & IT-Sicherheitskonzepte
  2. Incident Response
  3. Business Continuity (Backup/Recovery/Krisenmanagement)
  4. Lieferkette
  5. Secure Dev/Acquire/Maintain + Schwachstellenmanagement
  6. Wirksamkeitsbewertung von Maßnahmen
  7. Schulung & Awareness
  8. Kryptografie
  9. Zugriffskontrolle/Asset Management
  10. MFA/gesicherte Kommunikation/Notfallkommunikation
    Link: § 30 BSIG + BSI-Infopaket § 30, BSI

Schritt 4: „Board Pack” etablieren (damit Leitungspflichten praktisch werden)

Ein funktionierendes Board Pack für Cyber/NIS-2 enthält monatlich/quarterly:

  • Top-Risiken (mit Trend)
  • Incident-Status & Learnings
  • Patch/Vuln-Exposure (kritisch/high)
  • MFA/Privileged Access Coverage
  • Backup/Restore-Test-Ergebnisse
  • Lieferkette: kritische Findings & Maßnahmen
  • Übungsstatus (Tabletop/Notfallkommunikation)

Schritt 5: Tooling für Nachweisfähigkeit (nicht nur Security-Tooling)

Wenn Sie ISO haben, ist das häufig „Dokumente + Tickets + Excel”. NIS-2 belohnt eine saubere „Single Source of Truth” für:

  • Assets & Identitäten
  • Policies/Controls
  • Evidence & Prüfpfade
  • Incidents & Meldungen

Genau hier setzt ein Security-Operations- und Compliance-Workflow an (z. B. Evidence-Sammlungen, Rollen, Audit-Trails, Wiederanlaufprotokolle).

FAQ: Die SERP-Fragen, die Entscheider wirklich stellen

„Sind wir mit ISO 27001 automatisch NIS-2-compliant?”

Nein. ISO 27001 deckt viel ab, aber NIS-2 erwartet zusätzlich konkrete Betriebsfähigkeit (Meldefristen, BCM-Realität, Lieferkettenkaskaden, Leitungspflichten).

„Müssen wir ISO 27001 jetzt unbedingt zertifizieren?”

Nicht zwingend. ISO 27001 ist ein bewährtes Framework, aber NIS-2 verlangt Ergebnis- und Nachweislogik – die kann auch ohne Zertifikat erfüllt werden (nur dann brauchen Sie klare interne Belege).

„Was ist der schnellste Weg, Lücken zu finden?”

Gap-Assessment entlang der § 30-Mindestmaßnahmen – aber mit Evidence-Pflicht (Logs, Tests, Protokolle, Übungen), nicht nur „Control existiert”.

Fazit: NIS-2 & ISO 27001: Reicht ein ISMS – oder bleibt trotzdem Haftungs- und Nachweislücke?

Dieser Artikel beleuchtet die Facetten von NIS-2 & ISO 27001: Reicht ein ISMS – oder bleibt trotzdem Haftungs- und Nachweislücke?. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

Weiterführende Artikel

Fazit: Menschliche Expertise statt generischem KI-Content

In diesem Beitrag haben wir uns mit dem Thema ‘NIS-2 & ISO 27001: Reicht ein ISMS – oder bleibt trotzdem Haftungs- und Nachweislücke?’ beschäftigt und die wichtigsten Aspekte für B2B-Unternehmen erläutert. Die Beispiele zeigen, dass generische KI-Content-Generatoren und automatisierte Prozesse ohne Qualitätskontrolle kein Ersatz für menschliche Expertise sind. In der Cyber‑Security verdeutlichen Studien, dass Mehrfach-Authentifizierung bis zu 99 % der automatisierten Hackerangriffe verhindern kann. Im SEO-Umfeld müssen Templates, strukturierte Daten und Validierungsregeln eingehalten werden, damit Programmatic SEO nicht zu Thin Content führt. Bei der Nutzung von KI müssen Datenschutz und DSGVO eingehalten werden; mehr Daten erhöhen nicht zwangsläufig die Qualität, sondern steigern das Risiko. Setzen Sie KI daher als Werkzeug ein, nicht als Ersatz für strategische Entscheidungen, und verlassen Sie sich auf menschliche Erfahrung, wenn es um Sicherheit, Content-Qualität und Compliance geht.

Cyber Security

Sicherheit für Ihr Unternehmen?

Wir schützen Systeme, Daten und Prozesse – von Risikoanalyse bis Maßnahmenplan.

Sicherheitscheck anfragen