NIS2 vs. ISO 27001: Unterschiede und Synergien

TL;DR

ISO 27001 und NIS2 überlappen stark, sind aber nicht deckungsgleich. Eine ISO-27001-Zertifizierung erfüllt viele Artikel-21-Anforderungen, aber nicht alle. Behördenregistrierung, 24h/72h-Meldepflichten und persönliche Haftung der Geschäftsleitung sind NIS2-exklusiv. Beide gemeinsam zu implementieren ist der effizienteste Weg zur NIS2-Compliance.

Viele Compliance-Teams fragen sich: Wenn wir bereits ISO 27001 zertifiziert sind, sind wir dann automatisch NIS2-konform? Die kurze Antwort lautet nein, aber die Überlappungen sind erheblich, und ISO 27001 bietet eine solide Grundlage.

Dieser Artikel erklärt den Unterschied zwischen den beiden Rahmenwerken, welche Artikel-21-Maßnahmen durch ISO 27001 abgedeckt werden, welche nicht, und wie Sie den effizientesten Weg zur dualen Compliance finden.

Was ist der Unterschied?

Kriterium	ISO 27001	NIS2
Art	Freiwillige Norm (zertifizierbar)	EU-Rechtsvorschrift (verpflichtend)
Geltungsbereich	Jede Organisation weltweit	In-Scope EU-Einrichtungen
Prüfbehörde	Akkreditierte Zertifizierungsstelle	Nationale zuständige Behörde
Bußgelder	Keine (Verlust der Zertifizierung)	Bis zu 10 Mio. € / 2 % Umsatz
Vorfallsmeldung	Nicht vorgeschrieben	24h / 72h Pflichtmeldung
Lieferkette	Anhang A.15 (empfohlen)	Art. 21(2)(d) (verpflichtend)
Management-Haftung	Indirekt (Führungsverantwortung)	Direkte persönliche Haftung (Art. 20)
Behördenregistrierung	Keine Anforderung	Verpflichtend (Art. 3)

Wo überlappen sich NIS2 und ISO 27001?

Die 10 Artikel-21-Maßnahmen der NIS2 decken sich stark mit den ISO-27001:2022-Kontrollen in Anhang A. Wenn Sie ISO 27001 implementiert haben, haben Sie wahrscheinlich bereits folgende NIS2-Anforderungen adressiert:

✓

Art. 21(2)(a): Risikoanalyse

ISO 27001 Clause 6.1 + A.8.2

✓

Art. 21(2)(b): Incident-Handling

ISO 27001 A.5.24–A.5.28

✓

Art. 21(2)(c): Business Continuity

ISO 27001 A.5.29–A.5.30

✓

Art. 21(2)(e): Netzwerksicherheit

ISO 27001 A.8.20–A.8.22

✓

Art. 21(2)(g): Kryptographie

ISO 27001 A.8.24

✓

Art. 21(2)(h): Zugangskontrolle

ISO 27001 A.5.15–A.5.18

✓

Art. 21(2)(j): MFA

ISO 27001 A.8.5

✓

Art. 21(2)(f): Cyberhygiene

ISO 27001 A.6.3 + A.8.8

Was ISO 27001 nicht abdeckt

Trotz der erheblichen Überlappungen gibt es wesentliche NIS2-Anforderungen, die außerhalb des ISO-27001-Rahmens liegen:

✗

Pflicht zur Behördenregistrierung

NIS2 verlangt die Registrierung bei der zuständigen nationalen Behörde (Art. 3(3)). ISO 27001 enthält keine solche Anforderung. Ohne Registrierung riskieren Sie ein Bußgeld, noch bevor eine Sicherheitsverletzung vorliegt.

✗

24h/72h Vorfallsmeldepflicht

ISO 27001 erfordert ein Incident-Management-System, schreibt aber keine behördlichen Meldepflichten in bestimmten Zeitfenstern vor. Die NIS2-Frühwarnung muss innerhalb von 24 Stunden nach Kenntnisnahme erfolgen.

✗

Persönliche Haftung der Geschäftsleitung

NIS2 Artikel 20 macht die Leitungsorgane persönlich haftbar und verpflichtet sie zur Schulungsteilnahme. ISO 27001 verlangt lediglich 'Führungsunterstützung' (Clause 5.1). Das ist ein wesentlicher Unterschied bei der Haftung.

✗

Behördliche Durchsetzung und Bußgelder

Nichtkonformität mit NIS2 kann zu Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes führen. ISO 27001 kennt keine behördlichen Sanktionsmechanismen.

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Vollständiges Kontroll-Mapping: Alle 10 Artikel-21-Maßnahmen

Hier ist das vollständige Mapping aller 10 NIS2-Artikel-21-Maßnahmen auf ISO-27001:2022-Kontrollen, einschließlich des Abdeckungsgrades:

NIS2 Artikel 21 Maßnahme	ISO 27001:2022 Referenz	Abdeckung
21(2)(a): Risikoanalyse und Sicherheitsrichtlinien	Clause 6.1, 6.2, A.5.1, A.8.2	Vollständig
21(2)(b): Incident Handling	A.5.24–A.5.28	Teilweise (keine behördliche Meldung)
21(2)(c): Business Continuity und Backup	A.5.29, A.5.30, A.8.13, A.8.14	Vollständig
21(2)(d): Lieferkettensicherheit	A.5.19–A.5.23	Vollständig
21(2)(e): Netzwerk- und Systemsicherheit	A.8.20–A.8.22, A.8.25–A.8.28	Vollständig
21(2)(f): Wirksamkeitsbewertung der Sicherheitsmaßnahmen	Clause 9.1, 9.2, A.5.35, A.5.36	Vollständig
21(2)(g): Cyber-Hygiene und Schulung	A.6.3, A.8.7, A.8.8	Teilweise (keine Management-Schulungspflicht)
21(2)(h): Kryptographie und Verschlüsselung	A.8.24	Vollständig
21(2)(i): HR-Sicherheit und Zugangskontrolle	A.5.15–A.5.18, A.6.1–A.6.5	Vollständig
21(2)(j): Multi-Faktor-Authentifizierung	A.8.5	Vollständig

Anerkennt NIS2 ISO 27001 als Konformitätsnachweis?

Die NIS2-Richtlinie selbst nennt ISO 27001 nicht explizit als ausreichend. Das ist Sache der Mitgliedsstaaten. In der Praxis:

🇩🇪 Deutschland: BSI empfiehlt ISO 27001 oder IT-Grundschutz als akzeptable Nachweisrahmen, aber nicht als vollständigen Ersatz für die NIS2-Registrierung und Meldepflichten.

🇧🇪 Belgien: Das CyberFundamentals Framework (CFF) auf 'Essential'-Niveau ist mit ISO 27001 abgestimmt und wird vom CCB als NIS2-Nachweisrahmen akzeptiert.

🇫🇷 Frankreich: ANSSI erkennt ISO 27001 als nützlichen Ausgangspunkt an, verlangt aber zusätzliche ANSSI-spezifische Nachweise für die höchsten Risikostufen.

Kostevergleich: ISO 27001 vs. NIS2-only vs. beide

Für mittlere Unternehmen (50–250 MA), die noch kein formales Sicherheitsrahmenwerk haben, sind die ungefähren Kosten:

Ansatz	Erstimplementierung	Jährliche Kosten	Hinweise
NIS2 ohne ISO 27001	€40.000–100.000	€15.000–35.000	Kein international anerkanntes Zertifikat
ISO 27001 ohne NIS2-Extras	€50.000–120.000	€20.000–40.000	Ohne Registrierung und Meldeprozesse nicht ausreichend
Beide gemeinsam	€60.000–130.000	€20.000–40.000	Effizientester Ansatz, international anerkanntes Zertifikat

Richtwerte. Tatsächliche Kosten variieren stark je nach bestehender Infrastruktur und Entscheidung zwischen interner Umsetzung und externer Beratung.

Empfehlung: Beide gemeinsam implementieren

Die effizienteste Strategie ist, ISO 27001 als ISMS-Grundlage zu nutzen und NIS2-spezifische Anforderungen darauf aufzubauen:

ISO 27001 als ISMS-Rahmen implementieren oder zertifizieren lassen
NIS2-Anwendungsbereich bestimmen (Essential oder Important Entity?)
Bei der zuständigen nationalen Behörde registrieren
ISO-27001-Kontrollen auf NIS2-Artikel-21-Lücken prüfen (Schwerpunkt: Incident-Meldung, Management-Schulung)
24h/72h-Meldeprozesse und Kommunikationskanäle mit Behörde aufbauen
Management-Schulungen und Genehmigungsdokumentation nach Artikel 20 einrichten
Lieferketten-Risikobewertung speziell für NIS2 Art. 21(2)(d) formalisieren

Wo stehen Sie bei der NIS2-Compliance?

Nutzen Sie unsere kostenlose Artikel-21-Lückenanalyse, um Ihre aktuellen Kontrollen gegen alle 10 NIS2-Maßnahmen zu prüfen.

📊 Lückenanalyse starten 🎯 Anwendungsbereich prüfen

Häufige Fragen

Macht ISO 27001 NIS2-Konformität überflüssig?

Nein. ISO 27001 ist eine freiwillige Norm, die viele NIS2-Artikel-21-Kontrollen abdeckt, aber keine Behördenregistrierung, Vorfallsmeldepflichten oder Management-Haftungsvorschriften enthält.

Können wir ISO 27001 als Nachweis gegenüber der NIS2-Behörde vorlegen?

In vielen EU-Ländern wird ISO 27001 als hilfreich angesehen, aber Behörden verlangen in der Regel eigene Nachweise für NIS2-spezifische Anforderungen wie Vorfallsmeldungen und Registrierung.

Was ist der schnellste Weg zur NIS2-Compliance, wenn wir bereits ISO 27001 haben?

Führen Sie eine Lückenanalyse durch, um NIS2-spezifische Anforderungen zu identifizieren, die nicht von Ihrem ISMS abgedeckt werden. Konzentrieren Sie sich auf Registrierung, Vorfallsmeldung und Management-Schulungen.

Gibt es eine offizielle NIS2-Zertifizierung wie bei ISO 27001?

Nein. NIS2 selbst sieht keine eigene Zertifizierung vor. ENISA entwickelt Cybersicherheits-Zertifizierungsschemata unter dem EU Cybersecurity Act (CSA), aber diese sind nicht dasselbe wie eine NIS2-Compliance-Bescheinigung. NIS2-Konformität wird durch Behördenaufsicht und -prüfung festgestellt, nicht durch externe Zertifizierung.

Gilt ISO 27001 auch für die Lieferkette nach NIS2?

ISO 27001 Annex A.5.19–A.5.23 deckt Lieferantensicherheit ab und mappt gut auf NIS2 Artikel 21(2)(d). Allerdings sind die NIS2-Anforderungen in einigen Bereichen spezifischer, zum Beispiel bei der Bewertung von Schwachstellenoffenlegungsrichtlinien und sicheren Entwicklungspraktiken von Software-Lieferanten.