NIS2 vs. ISO 27001: Was sich überschneidet, was nicht, und was Sie noch tun müssen
Wenn Ihre Organisation ISO 27001-zertifiziert ist, sind Sie den meisten voraus. Ihr ISMS deckt einen großen Teil der NIS2-Anforderungen ab. Aber "ein großer Teil" ist nicht "alles."
NIS2 führt spezifische Pflichten ein, die ISO 27001 nicht abdeckt — und die Konsequenzen bei Nichteinhaltung sind gravierend.
Die kurze Antwort
NIS2 vs. ISO 27001 — Anforderungsvergleich
◈Nur NIS2Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)Persönliche Haftung auf Leitungsebene für CybersicherheitLieferkettensicherheitspflichten für wesentliche EinrichtungenSektorspezifische regulatorische Pflichten⬡Gemeinsame AnforderungenInformationssicherheits-RisikomanagementZugangssteuerung und IdentitätsmanagementGeschäftskontinuität und NotfallwiederherstellungSicherheitsbewusstsein und Schulung◇Nur ISO 27001Interne Audit- und ManagementbewertungszyklenDokumentation der Erklärung zur Anwendbarkeit (SoA)Formelle Zertifizierung und externe Prüfung◈Nur NIS2Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)Persönliche Haftung auf Leitungsebene für CybersicherheitLieferkettensicherheitspflichten für wesentliche EinrichtungenSektorspezifische regulatorische Pflichten⬡Gemeinsame AnforderungenInformationssicherheits-RisikomanagementZugangssteuerung und IdentitätsmanagementGeschäftskontinuität und NotfallwiederherstellungSicherheitsbewusstsein und Schulung◇Nur ISO 27001Interne Audit- und ManagementbewertungszyklenDokumentation der Erklärung zur Anwendbarkeit (SoA)Formelle Zertifizierung und externe PrüfungDie mittlere Spalte zeigt Anforderungen, die NIS2 und ISO 27001 gemeinsam haben
ISO 27001 gibt Ihnen das Managementsystem. NIS2 fügt gesetzliche Pflichten hinzu — mit festen Fristen, persönlicher Haftung und behördlicher Meldepflicht.
Detaillierter Vergleich: die 10 Artikel-21-Maßnahmen
| # | NIS2-Maßnahme | ISO 27001 | Lücke? |
|---|---|---|---|
| 1 | Risikoanalyse & Sicherheitskonzepte | Vollständig abgedeckt | ✅ Keine |
| 2 | Vorfallbewältigung | Größtenteils abgedeckt | ⚠️ 24h/72h/1-Monat-Meldepflicht fehlt |
| 3 | Betriebskontinuität & Krisenmanagement | Größtenteils abgedeckt | ⚠️ Krisenkoordination mit CSIRTs fehlt |
| 4 | Lieferketten-\nsicherheit | Teilweise abgedeckt | ⚠️ Spezifische Lieferantenbewertungen fehlen |
| 5 | Sichere Entwicklung & Wartung | Abgedeckt | ✅ Gering |
| 6 | Wirksamkeitsbewertung | Abgedeckt | ✅ Keine |
| 7 | Cyberhygiene & Schulung | Abgedeckt | ⚠️ Vorstandsschulung fehlt |
| 8 | Kryptografie | Abgedeckt | ✅ Keine |
| 9 | Personalsicherheit & Zugang | Abgedeckt | ✅ Keine |
| 10 | MFA & sichere Kommunikation | Teilweise | ⚠️ MFA-Pflicht und Notfallkommunikation fehlen |
Die 6 kritischen Lücken
1. Verpflichtende Behördenmeldung
24h Erstmeldung, 72h Folgemeldung, 1 Monat Abschlussbericht — existiert in ISO 27001 nicht.
2. Persönliche Vorstandshaftung
Artikel 20 macht einzelne Vorstandsmitglieder persönlich haftbar. ISO 27001 kennt keine persönliche rechtliche Haftung.
3. Verpflichtende Vorstandsschulung
NIS2 fordert explizit Cybersicherheitsschulung auf Vorstandsebene.
4. Registrierungspflicht
Behördliche Registrierung — gibt es in ISO 27001 nicht.
5. Spezifische Lieferketten-\nsicherheit
Bewertung der Cybersicherheitspraktiken jedes direkten Zulieferers.
6. MFA- und Notfallkommunikationspflicht
NIS2 verlangt MFA und gesicherte Notfallkommunikation ausdrücklich.
Praktischer Fahrplan
- Meldeprozess aufbauen — 24h/72h/1-Monat-Fristen einhalten
- Vorstand informieren — persönliche Haftung, Schulung planen
- Lieferkettenbewertungen durchführen
- MFA implementieren auf allen kritischen Systemen
- Bei nationaler Behörde registrieren
Mit ISO 27001 können Sie die Lücken in 3-6 Monaten schließen. Ohne: rechnen Sie mit 6-12 Monaten.
Starten Sie mit einem kostenlosen Quickscan
Unser kostenloser NIS2-Quickscan zeigt genau, wo Ihre NIS2-spezifischen Lücken trotz ISO 27001 liegen.