Muss Ihr Unternehmen die NIS2 erfüllen, sich nach ISO 27001 zertifizieren lassen oder beides? Diese Frage stellen sich immer mehr IT- und Sicherheitsverantwortliche, und die Antwort ist selten eindeutig. Das eine ist verpflichtend und mit Sanktionen verbunden. Das andere ist freiwillig, wird aber von Kunden und Partnern zunehmend vorausgesetzt.
Die gute Nachricht ist, dass sich beide nicht ausschließen. In diesem Artikel erklären wir, worin sie sich unterscheiden, was sie verbindet und wie Sie das eine nutzen können, um beim anderen voranzukommen, ohne alles doppelt zu tun.
Was ist NIS2?
Die NIS2 (Richtlinie EU 2022/2555) ist die europäische Vorschrift, die das gemeinsame Cybersicherheitsniveau in der gesamten Europäischen Union stärkt. Sie ersetzt die alte NIS-Richtlinie von 2016, erweitert die betroffenen Sektoren und verschärft sowohl die Pflichten als auch die Sanktionen. In Deutschland wurde sie mit dem NIS-2-Umsetzungsgesetz umgesetzt, das seit dem 6. Dezember 2025 in Kraft ist und vom BSI (Bundesamt für Sicherheit in der Informationstechnik) beaufsichtigt wird. Ihre Logik ist eindeutig. Sicherheit soll nicht länger eine Sammlung empfohlener Best Practices sein, sondern eine gesetzliche und kontrollierte Pflicht.
Für wen gilt NIS2?
NIS2 gilt nicht für alle Unternehmen in gleicher Weise. Um zu bestimmen, wer betroffen ist, kombiniert die Richtlinie drei Kriterien, nämlich den geografischen Geltungsbereich (Tätigkeit oder Erbringung von Diensten in der EU), den Tätigkeitssektor und die Unternehmensgröße (in der Regel mehr als 50 Mitarbeitende oder mehr als 10 Mio. € Jahresumsatz).
Auf dieser Grundlage teilt die Richtlinie die Organisationen in zwei Kategorien ein, die im deutschen Recht folgende Bezeichnungen tragen.
- Besonders wichtige Einrichtungen: Sie sind in hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit oder digitaler Infrastruktur tätig und unterliegen einer strengeren Aufsicht.
- Wichtige Einrichtungen: Sie gehören zu weiteren relevanten Sektoren (digitale Dienste, verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft usw.) mit einem etwas geringeren Kritikalitätsgrad.
Wichtig zu wissen ist, dass die Größe nicht immer befreit. Auch ein KMU kann betroffen sein, wenn seine Tätigkeit kritisch ist oder wenn es Teil der Lieferkette eines betroffenen Unternehmens ist. Wir erläutern das ausführlich in unseren Artikeln dazu, für wen NIS2 gilt und worin sich besonders wichtige und wichtige Einrichtungen unterscheiden.
Pflichten und Sanktionen der NIS2
NIS2 verlangt den Übergang von punktuellen Kontrollen zu einem kontinuierlichen Risikomanagement, gestützt auf klare Nachweise und eine solide Governance. Zu den Mindestmaßnahmen, die in Deutschland in § 30 BSIG festgelegt sind, zählen unter anderem die folgenden Punkte.
- Dokumentierte Richtlinien zur Risikoanalyse und zum Risikomanagement.
- Das Management von Sicherheitsvorfällen mit einem strukturierten Prozess für Erkennung, Reaktion und Meldung.
- Die Betriebskontinuität: Datensicherungen, Notfallwiederherstellung und Krisenmanagement.
- Die Sicherheit der Lieferkette und der Lieferanten.
- Der Einsatz von Kryptografie und Verschlüsselung.
- Zugriffskontrolle, Multi-Faktor-Authentifizierung und Cyberhygiene.
Hinzu kommt die unmittelbare Verantwortung der Geschäftsleitung. Die Leitungsorgane müssen die Maßnahmen genehmigen und überwachen und haften bei Verstößen. Der Sanktionsrahmen ist streng. Er kann für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen und für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %.
Was ist ISO 27001?
Die ISO/IEC 27001 ist die internationale Referenznorm für Informationssicherheit. Anders als NIS2 richtet sie sich nicht an bestimmte Sektoren und wird durch kein Gesetz vorgeschrieben. Jede Organisation kann sie übernehmen, unabhängig von Größe oder Branche. Unternehmen lassen sich freiwillig zertifizieren, um Kunden, Partnern oder Versicherern ihre Sicherheitsreife nachzuweisen.
Das ISMS als Kern der ISO 27001
Das Herzstück der Norm ist das Informationssicherheits-Managementsystem (ISMS). Dabei handelt es sich um einen Rahmen, der strukturiert, wie eine Organisation ihre Risiken identifiziert, über die anzuwendenden Maßnahmen entscheidet und sich kontinuierlich verbessert. Es ist kein Projekt, das nach Abschluss endet, sondern ein Zyklus, der im Lauf der Zeit überprüft und aktualisiert wird.
Um diese Maßnahmen umzusetzen, enthält die ISO 27001:2022 ihren Anhang A mit 93 Sicherheitsmaßnahmen in vier großen Bereichen (organisatorisch, personell, physisch und technologisch). Jede Organisation wählt anhand ihrer Risikoanalyse diejenigen aus, die für ihren Kontext relevant sind.
Wie funktioniert die Zertifizierung?
Die ISO-27001-Zertifizierung wird von einer unabhängigen, akkreditierten Zertifizierungsstelle nach einem Audit erteilt. Es handelt sich nicht um einen einmaligen Vorgang, denn das Zertifikat ist zeitlich befristet und wird durch regelmäßige Überwachungsaudits sowie eine Rezertifizierung in festgelegten Abständen aufrechterhalten. Der Verlust der Zertifizierung zieht keine gesetzliche Geldbuße nach sich, kann aber in Branchen, in denen sie vertraglich gefordert wird, hohe wirtschaftliche Kosten verursachen.
Unterschiede zwischen NIS2 und ISO 27001
Beide verfolgen zwar dasselbe Ziel, die Informationssicherheit zu stärken, gehen es jedoch mit sehr unterschiedlichen Ansätzen an. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen.
| Kriterium | NIS2 | ISO 27001 |
|---|---|---|
| Charakter | Europäische Richtlinie (gesetzliche Pflicht) | Internationale Norm (freiwillige Zertifizierung) |
| Geografischer Geltungsbereich | Europäische Union | Weltweit |
| Für wen sie gilt | Besonders wichtige und wichtige Einrichtungen kritischer Sektoren | Jede Organisation, die sich zertifizieren lassen möchte |
| Ansatz | Vorschreibend (Mindestmaßnahmen nach Artikel 21 bzw. § 30 BSIG) | Risikobasiert (Maßnahmen aus Anhang A) |
| Governance | Unmittelbare Verantwortung der Geschäftsleitung mit rechtlichen Folgen | Verpflichtung der Leitung, ohne damit verbundene rechtliche Haftung |
| Meldung von Vorfällen | Verpflichtend und mit strengen Fristen (Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 1 Monat) | Verlangt das Management von Vorfällen, aber ohne externe Meldefrist |
| Lieferkette | Ausdrückliche Anforderungen an Lieferanten | Über Maßnahmen zu Lieferantenbeziehungen abgedeckt |
| Sanktionen | Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes | Verlust oder Nichterteilung des Zertifikats (ohne Geldbuße) |
| Aufsichtsbehörde | Zuständige nationale Behörde (in Deutschland das BSI) | Akkreditierte Zertifizierungsstellen |
| Aufrechterhaltung | Kontinuierliche Compliance und Aufsicht durch die Behörde | Überwachungsaudits und regelmäßige Rezertifizierung |
In einem Satz, NIS2 verpflichtet Sie zur Rechenschaft gegenüber dem Gesetz, während Ihnen ISO 27001 einen strukturierten und anerkannten Rahmen bietet, um nachzuweisen, dass Sie Ihre Sicherheit gut steuern.
Wie ergänzen sich NIS2 und ISO 27001?
Hier liegt der Punkt, den viele Organisationen übersehen. Sie stehen nicht in Konkurrenz, sondern verstärken sich gegenseitig. Die Richtlinie selbst erkennt internationale Normen als gültige Referenz für die Umsetzung der Sicherheitsmaßnahmen an, und ein bereits nach ISO 27001 zertifiziertes Unternehmen hat einen großen Teil des Wegs zur NIS2 bereits zurückgelegt.
Der Grund liegt in ihrer gemeinsamen Basis des Risikomanagements. Die meisten technischen Maßnahmen, die Artikel 21 der NIS2 verlangt (Risikoanalyse, Management von Vorfällen, Betriebskontinuität, Verschlüsselung, Zugriffskontrolle oder Cyberhygiene), finden ein direktes Pendant in den Maßnahmen aus Anhang A der ISO 27001. Das ISMS liefert darüber hinaus die organisatorische Struktur, die NIS2 benötigt, etwa Richtlinien, das Risikoregister, Behandlungspläne und Kennzahlen, die jede Aufsichtsbehörde sehen möchte.
Die Unterschiede konzentrieren sich auf drei Bereiche, die ISO 27001 nicht vollständig abdeckt und die Sie ergänzen müssen.
- Die formelle Meldung an die Behörde, mit den Fristen von 24 h, 72 h und einem Monat, die die Norm nicht vorschreibt.
- Die Anforderungen an die Lieferkette, die in der NIS2 detaillierter und ausdrücklicher sind.
- Die rechtliche Verantwortung der Geschäftsleitung, die in der NIS2 persönliche Folgen nach sich zieht.
Die effizienteste Strategie besteht daher darin, ISO 27001 als methodische und dokumentarische Grundlage zu nutzen und darauf die spezifische Ebene aufzusetzen, die NIS2 verlangt. So vermeiden Sie doppelte Dokumentation und nutzen die bereits getätigte Investition.
Wie unterstützt Factorial IT bei NIS2 und ISO 27001?
In der Praxis teilen NIS2 und ISO 27001 dieselbe Schwachstelle. Eine schriftliche Richtlinie nützt nichts, wenn Sie nicht nachweisen können, dass sie auf Ihrem gesamten Gerätebestand angewendet wird. Auditoren fragen nicht, ob Sie Sicherheit eingerichtet haben, sondern ob Sie es belegen können.
Genau hier verwandelt Factorial IT die Anforderungen in automatisch erzeugte operative Nachweise.
- Inventar und Lebenszyklus des IT-Bestands: ein lebendiger Katalog aller Geräte und ihrer Software, mit Status, zugeordneter Person und Sicherheitsniveau jedes Geräts. Das ist die Grundlage jeder Risikoanalyse.
- Sicherheit für Geräte über mehrere Betriebssysteme hinweg: Richtlinien für Verschlüsselung, Sperrung und Passwörter, die bei der Einbindung jedes Mac-, Windows- oder Linux-Geräts per MDM automatisch angewendet werden, mit nachweisbarer Fernsperrung und Fernlöschung.
- Verwaltung von SaaS-Zugriffen: automatisierte Vergabe und automatisierter Entzug von Zugriffen, gekoppelt an die Personalabteilung, sodass die Zugriffe einer Person beim Austritt aus dem Unternehmen sofort entzogen werden und der Vorgang protokolliert bleibt.
- Detection and Response (EDR): Schutz vor Schadsoftware und Ransomware auf jedem Gerät, mit der Möglichkeit, kompromittierte Geräte zu isolieren.
- Nachvollziehbarkeit und Nachweise für das Audit: ein Protokoll darüber, wer was und wann getan hat, sowie exportierbare Compliance-Berichte, die die einheitliche Anwendung der Maßnahmen dokumentieren.
In der Praxis zentralisiert Factorial IT Geräte, Zugriffe und IT-Workflows auf einer einzigen Plattform, die mit Ihrem HR-System verbunden ist. Das Ergebnis ist weniger manuelle Verwaltung, mehr Transparenz und vor allem die Fähigkeit, am Tag des Audits konkrete Nachweise vorzulegen, ganz gleich, ob Ihr Ziel die Erfüllung der NIS2, die ISO-27001-Zertifizierung oder beides zugleich ist.
