Zum Inhalt gehen
ISO 27001

NIS2 vs. ISO 27001: Was sind die Unterschiede?

·
7 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Muss Ihr Unternehmen die NIS2 erfüllen, sich nach ISO 27001 zertifizieren lassen oder beides? Diese Frage stellen sich immer mehr IT- und Sicherheitsverantwortliche, und die Antwort ist selten eindeutig. Das eine ist verpflichtend und mit Sanktionen verbunden. Das andere ist freiwillig, wird aber von Kunden und Partnern zunehmend vorausgesetzt.

Die gute Nachricht ist, dass sich beide nicht ausschließen. In diesem Artikel erklären wir, worin sie sich unterscheiden, was sie verbindet und wie Sie das eine nutzen können, um beim anderen voranzukommen, ohne alles doppelt zu tun.

Wichtige Fakten

  • NIS2 und ISO 27001 verfolgen dasselbe Ziel, unterscheiden sich aber grundlegend. NIS2 ist eine gesetzliche Pflicht mit Sanktionen, ISO 27001 eine freiwillige Zertifizierung mit Marktwert. Beide ergänzen sich strategisch.
  • Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft und verpflichtet rund 29.500 Unternehmen in Deutschland ohne Übergangsfrist zu Risikomanagement, Meldepflichten und BSI-Registrierung, gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Laut der Bitkom-Studie „Wirtschaftsschutz 2025“ verursachten Cyberangriffe in Deutschland einen Schaden von 202,4 Milliarden Euro. 87 % der befragten Unternehmen waren betroffen, was den Handlungsdruck für strukturierte Sicherheitsrahmen wie NIS2 und ISO 27001 verdeutlicht.
  • Ein ISMS nach ISO 27001 deckt schätzungsweise 60 bis 80 % der NIS2-Anforderungen ab und bildet damit die effizienteste Grundlage für eine kombinierte Compliance-Strategie.

Was ist NIS2?

Die NIS2 (Richtlinie EU 2022/2555) ist die europäische Vorschrift, die das gemeinsame Cybersicherheitsniveau in der gesamten Europäischen Union stärkt. Sie ersetzt die alte NIS-Richtlinie von 2016, erweitert die betroffenen Sektoren und verschärft sowohl die Pflichten als auch die Sanktionen. In Deutschland wurde sie mit dem NIS-2-Umsetzungsgesetz umgesetzt, das seit dem 6. Dezember 2025 in Kraft ist und vom BSI (Bundesamt für Sicherheit in der Informationstechnik) beaufsichtigt wird. Ihre Logik ist eindeutig. Sicherheit soll nicht länger eine Sammlung empfohlener Best Practices sein, sondern eine gesetzliche und kontrollierte Pflicht.

Für wen gilt NIS2?

NIS2 gilt nicht für alle Unternehmen in gleicher Weise. Um zu bestimmen, wer betroffen ist, kombiniert die Richtlinie drei Kriterien, nämlich den geografischen Geltungsbereich (Tätigkeit oder Erbringung von Diensten in der EU), den Tätigkeitssektor und die Unternehmensgröße (in der Regel mehr als 50 Mitarbeitende oder mehr als 10 Mio. € Jahresumsatz).

Auf dieser Grundlage teilt die Richtlinie die Organisationen in zwei Kategorien ein, die im deutschen Recht folgende Bezeichnungen tragen.

  • Besonders wichtige Einrichtungen: Sie sind in hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit oder digitaler Infrastruktur tätig und unterliegen einer strengeren Aufsicht.
  • Wichtige Einrichtungen: Sie gehören zu weiteren relevanten Sektoren (digitale Dienste, verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft usw.) mit einem etwas geringeren Kritikalitätsgrad.

Wichtig zu wissen ist, dass die Größe nicht immer befreit. Auch ein KMU kann betroffen sein, wenn seine Tätigkeit kritisch ist oder wenn es Teil der Lieferkette eines betroffenen Unternehmens ist. Wir erläutern das ausführlich in unseren Artikeln dazu, für wen NIS2 gilt und worin sich besonders wichtige und wichtige Einrichtungen unterscheiden.

Pflichten und Sanktionen der NIS2

NIS2 verlangt den Übergang von punktuellen Kontrollen zu einem kontinuierlichen Risikomanagement, gestützt auf klare Nachweise und eine solide Governance. Zu den Mindestmaßnahmen, die in Deutschland in § 30 BSIG festgelegt sind, zählen unter anderem die folgenden Punkte.

  • Dokumentierte Richtlinien zur Risikoanalyse und zum Risikomanagement.
  • Das Management von Sicherheitsvorfällen mit einem strukturierten Prozess für Erkennung, Reaktion und Meldung.
  • Die Betriebskontinuität: Datensicherungen, Notfallwiederherstellung und Krisenmanagement.
  • Die Sicherheit der Lieferkette und der Lieferanten.
  • Der Einsatz von Kryptografie und Verschlüsselung.
  • Zugriffskontrolle, Multi-Faktor-Authentifizierung und Cyberhygiene.

Hinzu kommt die unmittelbare Verantwortung der Geschäftsleitung. Die Leitungsorgane müssen die Maßnahmen genehmigen und überwachen und haften bei Verstößen. Der Sanktionsrahmen ist streng. Er kann für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen und für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %.

Was ist ISO 27001?

Die ISO/IEC 27001 ist die internationale Referenznorm für Informationssicherheit. Anders als NIS2 richtet sie sich nicht an bestimmte Sektoren und wird durch kein Gesetz vorgeschrieben. Jede Organisation kann sie übernehmen, unabhängig von Größe oder Branche. Unternehmen lassen sich freiwillig zertifizieren, um Kunden, Partnern oder Versicherern ihre Sicherheitsreife nachzuweisen.

Das ISMS als Kern der ISO 27001

Das Herzstück der Norm ist das Informationssicherheits-Managementsystem (ISMS). Dabei handelt es sich um einen Rahmen, der strukturiert, wie eine Organisation ihre Risiken identifiziert, über die anzuwendenden Maßnahmen entscheidet und sich kontinuierlich verbessert. Es ist kein Projekt, das nach Abschluss endet, sondern ein Zyklus, der im Lauf der Zeit überprüft und aktualisiert wird.

Um diese Maßnahmen umzusetzen, enthält die ISO 27001:2022 ihren Anhang A mit 93 Sicherheitsmaßnahmen in vier großen Bereichen (organisatorisch, personell, physisch und technologisch). Jede Organisation wählt anhand ihrer Risikoanalyse diejenigen aus, die für ihren Kontext relevant sind.

Wie funktioniert die Zertifizierung?

Die ISO-27001-Zertifizierung wird von einer unabhängigen, akkreditierten Zertifizierungsstelle nach einem Audit erteilt. Es handelt sich nicht um einen einmaligen Vorgang, denn das Zertifikat ist zeitlich befristet und wird durch regelmäßige Überwachungsaudits sowie eine Rezertifizierung in festgelegten Abständen aufrechterhalten. Der Verlust der Zertifizierung zieht keine gesetzliche Geldbuße nach sich, kann aber in Branchen, in denen sie vertraglich gefordert wird, hohe wirtschaftliche Kosten verursachen.

Unterschiede zwischen NIS2 und ISO 27001

Beide verfolgen zwar dasselbe Ziel, die Informationssicherheit zu stärken, gehen es jedoch mit sehr unterschiedlichen Ansätzen an. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen.

Kriterium NIS2 ISO 27001
Charakter Europäische Richtlinie (gesetzliche Pflicht) Internationale Norm (freiwillige Zertifizierung)
Geografischer Geltungsbereich Europäische Union Weltweit
Für wen sie gilt Besonders wichtige und wichtige Einrichtungen kritischer Sektoren Jede Organisation, die sich zertifizieren lassen möchte
Ansatz Vorschreibend (Mindestmaßnahmen nach Artikel 21 bzw. § 30 BSIG) Risikobasiert (Maßnahmen aus Anhang A)
Governance Unmittelbare Verantwortung der Geschäftsleitung mit rechtlichen Folgen Verpflichtung der Leitung, ohne damit verbundene rechtliche Haftung
Meldung von Vorfällen Verpflichtend und mit strengen Fristen (Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 1 Monat) Verlangt das Management von Vorfällen, aber ohne externe Meldefrist
Lieferkette Ausdrückliche Anforderungen an Lieferanten Über Maßnahmen zu Lieferantenbeziehungen abgedeckt
Sanktionen Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes Verlust oder Nichterteilung des Zertifikats (ohne Geldbuße)
Aufsichtsbehörde Zuständige nationale Behörde (in Deutschland das BSI) Akkreditierte Zertifizierungsstellen
Aufrechterhaltung Kontinuierliche Compliance und Aufsicht durch die Behörde Überwachungsaudits und regelmäßige Rezertifizierung

In einem Satz, NIS2 verpflichtet Sie zur Rechenschaft gegenüber dem Gesetz, während Ihnen ISO 27001 einen strukturierten und anerkannten Rahmen bietet, um nachzuweisen, dass Sie Ihre Sicherheit gut steuern.

Wie ergänzen sich NIS2 und ISO 27001?

Hier liegt der Punkt, den viele Organisationen übersehen. Sie stehen nicht in Konkurrenz, sondern verstärken sich gegenseitig. Die Richtlinie selbst erkennt internationale Normen als gültige Referenz für die Umsetzung der Sicherheitsmaßnahmen an, und ein bereits nach ISO 27001 zertifiziertes Unternehmen hat einen großen Teil des Wegs zur NIS2 bereits zurückgelegt.

Der Grund liegt in ihrer gemeinsamen Basis des Risikomanagements. Die meisten technischen Maßnahmen, die Artikel 21 der NIS2 verlangt (Risikoanalyse, Management von Vorfällen, Betriebskontinuität, Verschlüsselung, Zugriffskontrolle oder Cyberhygiene), finden ein direktes Pendant in den Maßnahmen aus Anhang A der ISO 27001. Das ISMS liefert darüber hinaus die organisatorische Struktur, die NIS2 benötigt, etwa Richtlinien, das Risikoregister, Behandlungspläne und Kennzahlen, die jede Aufsichtsbehörde sehen möchte.

Die Unterschiede konzentrieren sich auf drei Bereiche, die ISO 27001 nicht vollständig abdeckt und die Sie ergänzen müssen.

  • Die formelle Meldung an die Behörde, mit den Fristen von 24 h, 72 h und einem Monat, die die Norm nicht vorschreibt.
  • Die Anforderungen an die Lieferkette, die in der NIS2 detaillierter und ausdrücklicher sind.
  • Die rechtliche Verantwortung der Geschäftsleitung, die in der NIS2 persönliche Folgen nach sich zieht.

Die effizienteste Strategie besteht daher darin, ISO 27001 als methodische und dokumentarische Grundlage zu nutzen und darauf die spezifische Ebene aufzusetzen, die NIS2 verlangt. So vermeiden Sie doppelte Dokumentation und nutzen die bereits getätigte Investition.

Wie unterstützt Factorial IT bei NIS2 und ISO 27001?

In der Praxis teilen NIS2 und ISO 27001 dieselbe Schwachstelle. Eine schriftliche Richtlinie nützt nichts, wenn Sie nicht nachweisen können, dass sie auf Ihrem gesamten Gerätebestand angewendet wird. Auditoren fragen nicht, ob Sie Sicherheit eingerichtet haben, sondern ob Sie es belegen können.

Genau hier verwandelt Factorial IT die Anforderungen in automatisch erzeugte operative Nachweise.

  • Inventar und Lebenszyklus des IT-Bestands: ein lebendiger Katalog aller Geräte und ihrer Software, mit Status, zugeordneter Person und Sicherheitsniveau jedes Geräts. Das ist die Grundlage jeder Risikoanalyse.
  • Sicherheit für Geräte über mehrere Betriebssysteme hinweg: Richtlinien für Verschlüsselung, Sperrung und Passwörter, die bei der Einbindung jedes Mac-, Windows- oder Linux-Geräts per MDM automatisch angewendet werden, mit nachweisbarer Fernsperrung und Fernlöschung.
  • Verwaltung von SaaS-Zugriffen: automatisierte Vergabe und automatisierter Entzug von Zugriffen, gekoppelt an die Personalabteilung, sodass die Zugriffe einer Person beim Austritt aus dem Unternehmen sofort entzogen werden und der Vorgang protokolliert bleibt.
  • Detection and Response (EDR): Schutz vor Schadsoftware und Ransomware auf jedem Gerät, mit der Möglichkeit, kompromittierte Geräte zu isolieren.
  • Nachvollziehbarkeit und Nachweise für das Audit: ein Protokoll darüber, wer was und wann getan hat, sowie exportierbare Compliance-Berichte, die die einheitliche Anwendung der Maßnahmen dokumentieren.

In der Praxis zentralisiert Factorial IT Geräte, Zugriffe und IT-Workflows auf einer einzigen Plattform, die mit Ihrem HR-System verbunden ist. Das Ergebnis ist weniger manuelle Verwaltung, mehr Transparenz und vor allem die Fähigkeit, am Tag des Audits konkrete Nachweise vorzulegen, ganz gleich, ob Ihr Ziel die Erfüllung der NIS2, die ISO-27001-Zertifizierung oder beides zugleich ist.

FAQ

Was sind die Unterschiede zwischen NIS2 und ISO 27001?

NIS2 ist eine gesetzliche Pflicht für kritische Sektoren in der EU mit hohen Sanktionen bei Nichteinhaltung. ISO 27001 ist hingegen eine freiwillige, weltweit anerkannte Norm, die auf einem risikobasierten Ansatz beruht und zu einer Zertifizierung führt, aber keine gesetzlichen Strafen nach sich zieht.

Welche Unternehmen sind NIS2-pflichtig?

NIS2-pflichtig sind „besonders wichtige“ und „wichtige“ Einrichtungen in kritischen Sektoren innerhalb der EU. In der Regel betrifft dies Unternehmen mit mehr als 50 Mitarbeitenden oder über 10 Mio. Euro Jahresumsatz, wobei auch kleinere Firmen betroffen sein können, wenn sie Teil einer kritischen Lieferkette sind.

Für wen ist ISO 27001 Pflicht?

Die Zertifizierung nach ISO 27001 ist grundsätzlich freiwillig und durch kein Gesetz vorgeschrieben. Sie kann jedoch von Kunden oder Partnern vertraglich gefordert werden, wodurch sie für bestimmte Unternehmen de facto zur Pflicht wird, um wettbewerbsfähig zu bleiben und Geschäftsbeziehungen aufrechtzuerhalten.

Ist NIS2 eine Zertifizierung?

Nein, NIS2 ist keine Zertifizierung, sondern eine gesetzliche Richtlinie. Es gibt kein offizielles „NIS2-Zertifikat“. Betroffene Unternehmen müssen jedoch die Einhaltung der Vorschriften gegenüber den nationalen Behörden, wie dem BSI in Deutschland, nachweisen können, um Sanktionen zu vermeiden.

Was ist ISO 27001 einfach erklärt?

ISO 27001 ist eine internationale Norm, die einen Rahmen für ein Informationssicherheits-Managementsystem (ISMS) vorgibt. Sie hilft Organisationen, ihre Informationsrisiken systematisch zu identifizieren, zu bewerten und zu behandeln, um Daten durch einen kontinuierlichen Verbesserungsprozess zu schützen.

Ähnliche Beiträge