NIS2 vs. ISO 27001: Was ist der Unterschied? | NIS2Compass Blog | NIS2Compass
Leitfaden
NIS2 vs. ISO 27001: Was ist der Unterschied?
10 Min. LesezeitNIS2Compass Team
ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab — aber nicht alle. Wo die Lücken liegen, was §30 BSIG fordert und wie Unternehmen beides verbinden.
ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab — aber die restlichen 30 % entscheiden über Bußgelder bis 10 Mio. EUR. Der größte Unterschied: NIS2 ist seit Dezember 2025 geltendes Gesetz mit Meldepflichten, Geschäftsführerhaftung und Lieferketten-Anforderungen, die in ISO 27001 fehlen. NIS2Compass zeigt im kostenlosen Vor-Check, welche Lücken in Ihrem Unternehmen bestehen.
NIS2 ist eine gesetzliche Pflicht für rund 29.500 Unternehmen in Deutschland — Verstöße kosten bis zu 10 Mio. EUR. ISO 27001 ist ein freiwilliger internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Während NIS2 vorschreibt, was umgesetzt werden muss, zeigt ISO 27001, wie ein Sicherheitssystem strukturiert aufgebaut wird.
NIS2 ist eine EU-Richtlinie, die in Deutschland als NIS2UmsuCG in nationales Recht überführt wurde. Die zentralen Pflichten stehen in §30 BSIG (technische und organisatorische Maßnahmen) und §38 BSIG (Geschäftsführerpflichten). Seit Dezember 2025 gelten diese Vorschriften ohne Übergangsfrist.
ISO 27001 ist ein internationaler Standard der ISO/IEC. Eine Zertifizierung ist freiwillig und wird durch akkreditierte Prüfstellen vergeben. Es gibt keine Behörde, die Verstöße sanktioniert — aber eine Zertifizierung signalisiert Kunden und Partnern ein hohes Sicherheitsniveau.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
NIS2 betrifft Unternehmen in 18 definierten Sektoren ab bestimmten Schwellenwerten: mindestens 50 Mitarbeiter oder mehr als 10 Mio. EUR Jahresumsatz. Das BSI überwacht die Einhaltung und kann Bußgelder verhängen.
ISO 27001 kennt keine Branchen- oder Größenbeschränkung. Jedes Unternehmen kann sich zertifizieren lassen — vom Startup bis zum Konzern. Weltweit existieren rund 96.700 ISO 27001-Zertifikate (Stand 2024). In Deutschland sind es etwa 16.000 zertifizierte Organisationen — deutlich weniger als die rund 29.500 Unternehmen, die unter NIS2 fallen.
Die Konsequenzen unterscheiden sich grundlegend. Bei NIS2 drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsführung persönlich nach §38 BSIG. Das BSI kann Nachweise einfordern und Vor-Ort-Prüfungen durchführen.
Bei ISO 27001 gibt es keine staatlichen Sanktionen. Im schlimmsten Fall verliert ein Unternehmen seine Zertifizierung — was geschäftliche Folgen haben kann, wenn Kunden oder Partner ein gültiges Zertifikat voraussetzen. Rechtlich bindend ist der Standard jedoch nicht.
Der entscheidende Punkt: Eine ISO 27001-Zertifizierung ist ein Wettbewerbsvorteil. Die Einhaltung von NIS2 ist eine gesetzliche Pflicht. Beides schließt sich nicht aus — im Gegenteil. Wie ISO 27001 als Fundament für NIS2-Compliance dient, zeigt der Artikel NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?.
§30 BSIG definiert zehn Mindestmaßnahmen für NIS2-Compliance — von Risikoanalyse über Incident Response bis zur Lieferkettensicherheit. Laut dem NIS2Compass-Mapping deckt eine bestehende ISO 27001-Zertifizierung rund 70 % dieser Anforderungen bereits ab. Die verbleibenden 30 % erfordern gezielte Ergänzungen.
Das BSI listet zehn verbindliche Risikomanagementmaßnahmen auf, die jedes betroffene Unternehmen umsetzen muss. Für Unternehmen mit bestehender ISO 27001-Zertifizierung ist die entscheidende Frage: Welche dieser Maßnahmen sind bereits abgedeckt — und wo bestehen Lücken?
Der NIS2Compass Knowledge Hub enthält eine detaillierte Gegenüberstellung. Hier die Übersicht aller zehn Maßnahmen nach §30 BSIG:
Risikoanalyse und IT-Sicherheitskonzepte — abgedeckt durch ISO 27001 A.5 bis A.8. Die systematische Risikobetrachtung gehört zum Kern jedes ISMS.
Bewältigung von Sicherheitsvorfällen — abgedeckt durch ISO 27001 A.5.24 bis A.5.28. Allerdings kennt ISO 27001 keine gesetzlichen Meldefristen — hier ergänzt §32 BSIG konkrete Vorgaben.
Betriebskontinuität und Krisenmanagement — abgedeckt durch ISO 27001 A.5.29 bis A.5.30. Backup-Konzepte und Disaster Recovery sind Standard im ISMS.
Sicherheit der Lieferkette — teilweise abgedeckt durch ISO 27001 A.5.19 bis A.5.23. NIS2 geht deutlich tiefer: §30 Abs. 2 Nr. 4 BSIG fordert eine Bewertung der Cybersicherheit jedes einzelnen Lieferanten.
Sichere Beschaffung, Entwicklung und Wartung — abgedeckt durch ISO 27001 A.8.25 bis A.8.31. Secure Development Lifecycle ist im Standard verankert.
Bewertung der Wirksamkeit — abgedeckt durch ISO 27001 Kapitel 9. Interne Audits und Managementbewertungen erfüllen diese Anforderung.
Cyberhygiene und Schulungen — teilweise abgedeckt durch ISO 27001 A.6.3. NIS2 fordert explizit Schulungen für die Geschäftsleitung gemäß §38 BSIG — das geht über den ISO-Standard hinaus.
Kryptographie und Verschlüsselung — abgedeckt durch ISO 27001 A.8.24. Kryptographische Maßnahmen sind fester Bestandteil des Annex A.
Zugangs- und Zugriffskontrollen — abgedeckt durch ISO 27001 A.5.15 bis A.5.18 sowie A.8.2 bis A.8.5. Rollenbasierte Zugriffskontrolle ist Standard.
Multi-Faktor-Authentifizierung und sichere Kommunikation — abgedeckt durch ISO 27001 A.8.5. Die technische Umsetzung hängt vom Scope des ISMS ab.
Laut einer Analyse von OpenKRITIS konzentrieren sich die Ergänzungen auf drei Bereiche: Lieferkettensicherheit, Meldepflichten und Geschäftsleitungs-Schulungen. Diese drei Punkte erfordern auch bei zertifizierten Unternehmen zusätzliche Maßnahmen.
Die gute Nachricht: Rund sieben der zehn Maßnahmen sind durch ein funktionierendes ISMS nach ISO 27001 bereits solide abgedeckt. Die verbleibenden Lücken sind klar umrissen und mit überschaubarem Aufwand zu schließen.
Die größten Lücken zwischen ISO 27001 und NIS2 liegen bei den Meldepflichten (24-Stunden-Frühwarnung an das BSI), der persönlichen Geschäftsführerhaftung nach §38 BSIG und den erweiterten Lieferketten-Anforderungen. Diese drei Bereiche erfordern bei jedem Unternehmen gezielte Maßnahmen — unabhängig vom ISO-Zertifizierungsstatus.
Auch mit einem gültigen ISO-27001-Zertifikat bleiben fünf kritische Lücken, die Sie gezielt schließen müssen:
§32 BSIG schreibt ein dreistufiges Meldeverfahren mit festen Fristen vor. Innerhalb von 24 Stunden nach Erkennung eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an das BSI erfolgen. Innerhalb von 72 Stunden folgt die Erstmeldung mit einer Bewertung des Vorfalls. Nach spätestens einem Monat ist ein detaillierter Abschlussbericht fällig. ISO 27001 verlangt zwar ein funktionierendes Incident Management, kennt aber keine gesetzlichen Meldefristen.
Die Geschäftsleitung muss Risikomanagement-Maßnahmen persönlich billigen und deren Umsetzung überwachen. Bei Verletzung dieser Pflicht haftet sie mit ihrem Privatvermögen. Bei wesentlichen Einrichtungen drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. ISO 27001 fordert lediglich „Leadership Commitment" — eine persönliche Haftung der Geschäftsführung existiert im Standard nicht. Welche finanziellen Konsequenzen konkret drohen, zeigt der Überblick zu NIS2-Bußgeldern und Strafen bei Verstößen.
§38 BSIG verpflichtet die Geschäftsleitung zur Teilnahme an Cybersicherheits-Schulungen. ISO 27001 kennt nur allgemeine Awareness-Anforderungen für Mitarbeitende — eine explizite Schulungspflicht für die Führungsebene fehlt.
Hinzu kommen erweiterte Anforderungen an die Lieferkettensicherheit. NIS2 fordert explizite Sicherheitsanforderungen an direkte Dienstleister und Lieferanten, die vertraglich abgesichert sein müssen. ISO 27001 Annex A.5.19–A.5.23 behandelt Lieferantenbeziehungen, bleibt dabei aber deutlich allgemeiner.
Schließlich besteht eine BSI-Registrierungspflicht: Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Für diese rein nationale Pflicht gibt es kein ISO-Pendant.
Nein — eine ISO 27001-Zertifizierung allein reicht nicht für NIS2-Compliance. Sie deckt rund 70 % der Anforderungen ab und bildet eine hervorragende Grundlage. Doch die gesetzlichen Pflichten wie Meldeprozesse, Geschäftsführerhaftung und BSI-Registrierung ersetzt sie nicht. ISO 27001 ist ein Sprungbrett, kein Freifahrtschein.
Ein häufiger Irrtum lautet: „Wir sind zertifiziert, also sind wir NIS2-compliant." Doch ISO 27001 weist ein funktionierendes ISMS nach — nicht die Konformität mit dem NIS2-Umsetzungsgesetz. Zwischen beiden bestehen strukturelle Unterschiede, die sich nicht durch ein Zertifikat überbrücken lassen.
Das beginnt beim Scope-Problem: Eine ISO-Zertifizierung kann auf einzelne Standorte oder Geschäftsbereiche begrenzt sein. NIS2 hingegen gilt für die gesamte betroffene Einrichtung — ohne Ausnahmen. Hinzu kommt der zeitliche Aspekt: ISO-Audits finden periodisch statt, typischerweise jährlich. Die NIS2-Pflichten gelten dagegen kontinuierlich, insbesondere die 24-Stunden-Frist für Erstmeldungen an das BSI.
Trotz dieser Lücken verschafft ISO 27001 einen erheblichen strukturellen Vorsprung. Zertifizierte Unternehmen verfügen bereits über dokumentierte Prozesse, etablierte Verantwortlichkeiten und ein Risikomanagement. Diese Bausteine lassen sich gezielt um die NIS2-spezifischen Anforderungen erweitern.
„In unserer Arbeit mit mittelständischen Unternehmen sehen wir regelmäßig, dass eine bestehende ISO 27001-Zertifizierung die NIS2-Umsetzung erheblich beschleunigt — aber die Meldeprozesse und die Haftungsfrage müssen separat adressiert werden," sagt Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass.
Welche konkreten Lücken zwischen ISO 27001 und NIS2 bestehen, zeigt der Artikel NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt. Der NIS2 Guide von NIS2Compass hilft dabei, die verbleibenden Anforderungen systematisch zu schließen — aufbauend auf dem, was Ihr ISMS bereits leistet.
Ein ISO 27001-zertifiziertes Unternehmen kann die NIS2-Lücken mit gezielten Maßnahmen in drei Bereichen schließen: Meldeprozesse aufbauen, Geschäftsleitungs-Schulung durchführen und Lieferantenverträge um NIS2-Klauseln ergänzen. Der NIS2Compass-Guide begleitet diesen Prozess in 8 Kapiteln und rund 124 Schritten.
Ein mittelständischer Maschinenbauer mit 180 Mitarbeitern ist seit 2023 nach ISO 27001 zertifiziert. Als Unternehmen im NIS2-Sektor „Verarbeitendes Gewerbe" gelten seit Dezember 2025 zusätzliche Pflichten. Das ISMS deckt viele Anforderungen ab — aber nicht alle.
Die IT-Leiterin startet mit dem NIS2Compass-Vor-Check. Die Gap-Analyse identifiziert fünf konkrete Lücken, die das bestehende ISMS nicht abdeckt. Daraus ergibt sich ein klarer Maßnahmenplan.
Meldeprozess aufbauen: Das Unternehmen implementiert die dreistufige Meldekaskade nach §32 BSIG. Innerhalb von 24 Stunden erfolgt die Erstmeldung an das BSI, nach 72 Stunden die bestätigende Meldung und nach einem Monat der Abschlussbericht. Die Template Library liefert fertige Vorlagen für jeden Meldeschritt.
Geschäftsleitungs-Schulung dokumentieren: Nach §38 BSIG muss die Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teilnehmen. Der Maschinenbauer dokumentiert Schulungsinhalte, Teilnahme und Intervalle nachweisbar.
Lieferantenverträge ergänzen: Bestehende Verträge mit IT-Dienstleistern erhalten NIS2-spezifische Sicherheitsklauseln. Dazu gehören Meldepflichten, Mindestsicherheitsstandards und Audit-Rechte.
BSI-Registrierung durchführen: Das Unternehmen registriert sich als betroffene Einrichtung beim BSI. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen — eine nachträgliche Registrierung bleibt dennoch erforderlich.
Das Ergebnis: Alle Compliance-Lücken werden in vier bis sechs Wochen geschlossen. Ohne bestehende ISMS-Basis dauert derselbe Prozess erfahrungsgemäß sechs bis zwölf Monate. Die vorhandenen Strukturen — Risikomanagement, Zugriffskontrollen, Dokumentation — bilden ein solides Fundament.
Laut Capgemini reicht ISO 27001 allein nicht mehr aus, um die NIS2-Anforderungen vollständig zu erfüllen. Doch als Sprungbrett verkürzt die Zertifizierung den Weg zur NIS2-Compliance erheblich.
Unternehmen ohne ISMS starten bei NIS2 nicht bei null, aber der Aufwand ist deutlich höher. Die gute Nachricht: NIS2 verlangt keine ISO 27001-Zertifizierung. Die zehn Maßnahmen des §30 BSIG lassen sich auch ohne formales ISMS umsetzen — mit einem strukturierten Leitfaden und den richtigen Vorlagen.
Nein. Das NIS2-Umsetzungsgesetz referenziert keine spezifische Norm als Pflicht. §30 BSIG definiert zehn Maßnahmenbereiche — wie Unternehmen diese umsetzen, bleibt ihnen überlassen. ISO 27001 ist eine anerkannte Möglichkeit, aber nicht die einzige.
Auch der BSI IT-Grundschutz bietet eine solide Basis. Viele deutsche KMU kennen das Framework bereits aus anderen regulatorischen Anforderungen. Beide Wege führen zur NIS2-Konformität — entscheidend ist die konsequente Umsetzung.
Eine ISO 27001-Erstzertifizierung kostet KMU typischerweise 15.000–50.000 EUR. Hinzu kommen jährliche Überwachungsaudits und interne Ressourcen für die Pflege des ISMS. Für Unternehmen, die ohnehin Kundenanforderungen an ein zertifiziertes ISMS erfüllen müssen, ist die Investition sinnvoll.
Für viele KMU ist ein pragmatischerer Weg effizienter: Direkt die zehn §30-Maßnahmen umsetzen, ohne den Umweg über eine vollständige Zertifizierung. Der NIS2-Umsetzungspfad von NIS2Compass begleitet Unternehmen in 8 Kapiteln und rund 124 Schritten durch genau diesen Prozess — inklusive fertiger Vorlagen für Richtlinien, Risikoanalysen und Dokumentation. Ein detaillierter Kostenvergleich zwischen Beratung und Eigenarbeit zeigt die wirtschaftlichen Unterschiede.
Der erste Schritt ist die Klärung der Betroffenheit. Nicht jedes Unternehmen fällt unter das NIS2-Umsetzungsgesetz. Der Artikel Bin ich von NIS2 betroffen? erklärt die Kriterien — Unternehmensgröße, Umsatz und Sektorzugehörigkeit.
Steht die Betroffenheit fest, empfiehlt das BSI eine Gap-Analyse als Ausgangspunkt. Der Vor-Check von NIS2Compass liefert in wenigen Minuten eine erste Standortbestimmung. Daraus ergibt sich ein individueller Umsetzungsplan — zugeschnitten auf das, was bereits vorhanden ist und was noch fehlt.
Nein. Eine ISO 27001-Zertifizierung deckt rund 70 % der NIS2-Anforderungen ab. Meldepflichten mit gesetzlichen Fristen (§32 BSIG), die persönliche Geschäftsführerhaftung (§38 BSIG) und die BSI-Registrierung müssen jedoch separat umgesetzt werden.
Nein. NIS2 schreibt kein bestimmtes Rahmenwerk vor. Die zehn Maßnahmen des §30 BSIG lassen sich auch ohne ISO 27001-Zertifizierung umsetzen — etwa mit BSI IT-Grundschutz oder einem strukturierten Leitfaden wie dem NIS2 Guide von NIS2Compass.
Drei Bereiche fehlen vollständig: Die gesetzlichen Meldefristen an das BSI (24 Stunden Frühwarnung, 72 Stunden Erstmeldung, ein Monat Abschlussbericht), die persönliche Geschäftsführerhaftung nach §38 BSIG und die BSI-Registrierungspflicht.
Mit einer bestehenden ISO 27001-Zertifizierung lassen sich die NIS2-spezifischen Lücken erfahrungsgemäß in 4–6 Wochen schließen. Ohne ISMS-Basis sollten Unternehmen mit 6–12 Monaten für die vollständige Umsetzung rechnen.
Nicht unbedingt. Wenn NIS2-Compliance das einzige Ziel ist, führt der direkte Umsetzungspfad über die §30-Maßnahmen oft schneller und günstiger zum Ergebnis. ISO 27001 lohnt sich zusätzlich, wenn Kundenanforderungen, Ausschreibungen oder langfristige ISMS-Reife angestrebt werden.
