.svg)
Wenn du für ein europäisches Unternehmen Security oder Compliance verantwortest, ist die Kombination aus NIS2 und ISO 27001 in den letzten ein bis zwei Jahren vermutlich mehr als einmal aufgekommen. Vielleicht bist du bereits nach dem ISO-Standard zertifiziert und fragst dich, wie viel dieser Arbeit sich auf die neue Richtlinie übertragen lässt. Oder du stehst vor den NIS2-Pflichten und fragst dich, ob ein ISO-27001-Programm eine sinnvolle Grundlage ist, auf der du aufbauen kannst. So oder so gilt, diese beiden Frameworks haben überraschend viele Gemeinsamkeiten, und wenn du genau weißt, wo sie sich überschneiden, kann das deinem Team Monate an doppelter Arbeit ersparen.
Dieser Artikel zeigt diese Überschneidungen im Detail, macht deutlich, wo sich die Frameworks tatsächlich unterscheiden, und erklärt, wie du ein Compliance-Programm aufbauen kannst, das beide erfüllt, ohne zwei vollständig getrennte Stränge parallel zu fahren.
Ein kurzer Überblick über das Gelände
Bevor wir in die Überschneidungen eintauchen, hilft es, ein klares Bild davon zu haben, was jedes Framework eigentlich ist. Sie kommen aus unterschiedlichen Zusammenhängen und dienen unterschiedlichen Zwecken, auch wenn ihre praktischen Anforderungen in vielen Punkten zusammenlaufen.
Was NIS2 verlangt
NIS2 ist eine Richtlinie der Europäischen Union, die seit Oktober 2024 in den Mitgliedstaaten durchsetzbar ist. Sie gilt für Organisationen in 18 kritischen und wichtigen Sektoren, darunter Energie, Transport, Finanzdienstleistungen, Gesundheitswesen und digitale Infrastruktur, und legt Mindestanforderungen an die Cybersicherheit für diese Einrichtungen fest. Der Fokus liegt auf den Ergebnissen: NIS2 sagt dir, was du erreichen musst, etwa Incident Reporting, Lieferkettenkontrollen, Business-Continuity-Planung und mehr, überlässt dir aber weitgehend das „Wie“. Verstöße können erhebliche finanzielle Folgen haben, mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Den vollständigen Text der Richtlinie kannst du hier lesen.
Was ISO 27001 festlegt
ISO 27001 ist ein international anerkannter Zertifizierungsstandard für Informationssicherheits-Managementsysteme, allgemein als ISMS bekannt. Anders als eine gesetzliche Richtlinie ist er freiwillig, aber eine Zertifizierung zeigt Kunden, Partnern und Auditoren, dass deine Organisation einen dokumentierten, risikobasierten Ansatz zum Schutz von Informationen verfolgt. Die Version des Standards von 2022 umfasst 93 Controls, die in vier Themenbereiche gegliedert sind: organisatorisch, personell, physisch und technologisch. Während NIS2 das Ziel definiert, liefert ISO 27001 dir eine detaillierte Landkarte, wie du dorthin gelangst.
Wo sich NIS2 und ISO 27001 überschneiden
Die wichtigste Erkenntnis für jedes Compliance-Team ist diese: Ein gut umgesetztes ISO-27001-Programm deckt bereits einen erheblichen Teil der NIS2-Pflichten ab. Die folgende Tabelle gibt dir einen Überblick auf hoher Ebene, anschließend schauen wir uns die einzelnen Bereiche genauer an.
Dieses Maß an Überschneidung ist kein Zufall. Als die Europäische Kommission NIS2 ausgearbeitet hat, waren etablierte Sicherheitsstandards wie ISO 27001 bereits weit verbreitet. Die technischen Anforderungen der Richtlinie stützen sich stark auf dieses bestehende Fundament.
Risikomanagement
Beide Frameworks behandeln Risikomanagement als Grundlage, nicht als optionale Zusatzschicht. Artikel 21 der NIS2 verlangt ausdrücklich, dass betroffene Einrichtungen Risikoanalysen und Sicherheitsrichtlinien für Informationssysteme umsetzen. Die ISO-27001-Klausel 6.1 zu Risikobewertung und Risikobehandlung ist einer der detailliertesten Teile des Standards und verlangt von Organisationen, Risiken anhand einer konsistenten, dokumentierten Methodik zu identifizieren, zu bewerten und zu behandeln.
Wenn dein ISO-27001-ISMS bereits ein aktives Risikoregister, regelmäßige Risikoreviews und einen dokumentierten Maßnahmenplan zur Risikobehandlung umfasst, arbeitest du in diesem Bereich bereits auf NIS2-Compliance hin. Die Methodiken unterscheiden sich in einigen Details, die zugrunde liegende Arbeit ist jedoch weitgehend dieselbe.
Incident Response und Reporting
Das ist ein Bereich, in dem sich beide Frameworks besonders gut gegenseitig verstärken. NIS2 schreibt konkrete Meldefristen vor: eine Frühwarnung an die zuständige nationale Behörde innerhalb von 24 Stunden, nachdem du von einem erheblichen Sicherheitsvorfall Kenntnis erlangt hast, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Controls in Anhang A der ISO 27001 decken den gesamten Incident-Management-Lifecycle ab, von Planung und Erkennung bis hin zu Reaktion, Wiederherstellung und Lessons Learned.
Eine Organisation mit einem ausgereiften Incident-Management-Prozess nach ISO 27001 verfügt bereits über die nötige Infrastruktur für Erkennung und Reaktion. Die spezifischen NIS2-Meldezyklen darauf aufzusetzen, ist eine deutlich kleinere Aufgabe, als alles von Grund auf neu aufzubauen. Die Agentur der Europäischen Union für Cybersicherheit veröffentlicht detaillierte Leitlinien dazu, was als meldepflichtiger Vorfall gilt und wie nationale Behörden erwarten, dass Meldungen strukturiert sind.
Lieferkettensicherheit
Die Anforderungen an die Lieferkette gehören zu den meistdiskutierten Aspekten von NIS2, und das aus gutem Grund. Die Richtlinie verlangt von betroffenen Einrichtungen, die Cybersecurity-Praktiken ihrer Lieferanten und Dienstleister zu bewerten, insbesondere dann, wenn diese an kritischen Services beteiligt sind. Die Controls 5.19 bis 5.22 in Anhang A der ISO 27001 behandeln genau das, einschließlich der Frage, wie du Vereinbarungen aufsetzt, die laufende Leistung überwachst und Änderungen in Lieferantenbeziehungen steuerst.
Wenn du im Rahmen deines ISO-27001-Programms bereits einen Lieferantenbewertungsprozess durchlaufen hast, ist die grundlegende Arbeit bereits erledigt. NIS2 kann verlangen, dass du bei bestimmten Technologieanbietern tiefer gehst, aber du erweiterst damit ein bestehendes Programm, statt bei null anzufangen. Der Artikel zu den Pflichten von Geschäftsführern unter NIS2 zeigt, wie die Verantwortung für die Lieferkette auf Führungsebene durch die Richtlinie nach oben weitergegeben wird.
Business Continuity
Sowohl NIS2 als auch ISO 27001 erwarten, dass du getestete Pläne hast, um kritische Funktionen am Laufen zu halten, wenn etwas schiefläuft. ISO 27001 behandelt das über die Controls 5.29 und 5.30 in Anhang A und adressiert damit Informationssicherheit während Störungen sowie ICT-Readiness für Business Continuity. Artikel 21 der NIS2 verlangt Business-Continuity-Management, Backup-Management und Disaster Recovery als ausdrücklich benannte Sicherheitsmaßnahmen.
Wenn du diese Arbeit bereits für deine ISO-27001-Zertifizierung erledigt hast, verfügst du über eine solide Grundlage. Der NIS2-Blickwinkel richtet sich noch expliziter auf ICT-Systeme und die kontinuierliche Verfügbarkeit kritischer Services, deshalb musst du deine Continuity-Pläne möglicherweise in genau diese Richtungen erweitern. Der Dokumentationsansatz und die Testzyklen, denen du bereits folgst, lassen sich jedoch direkt übertragen.
Die wichtigsten Unterschiede, die du trotzdem kennen musst
Überschneidung bedeutet nicht Gleichwertigkeit. NIS2 und ISO 27001 unterscheiden sich in drei wesentlichen Punkten, die prägen, wie du an beide herangehst.
Gesetzliche Verpflichtung vs. freiwillige Zertifizierung. NIS2 ist Gesetz. Wenn deine Organisation in den Anwendungsbereich fällt, ist Compliance nicht optional und Verstöße haben rechtliche Folgen. ISO 27001 ist eine bewusste Entscheidung, die du aus kommerziellen, reputationsbezogenen oder operativen Gründen triffst.
Scope. ISO 27001 kann auf einen bestimmten Teil deiner Organisation angewendet werden, etwa auf eine Produktlinie, eine Tochtergesellschaft oder einen klar definierten Servicebereich. NIS2 funktioniert nicht so. Sie gilt für deine Organisation als Ganzes, über alle Systeme und Prozesse hinweg, die für die Services relevant sind, durch die du in den Anwendungsbereich fällst.
Governance und persönliche Haftung. NIS2 legt ausdrückliche Pflichten für Leitungsorgane fest. Führungskräfte müssen Maßnahmen zum Management von Cyberrisiken genehmigen und können bei Verstößen persönlich haftbar gemacht werden. ISO 27001 empfiehlt Commitment seitens der Führung, enthält aber keine vergleichbaren Regelungen zur persönlichen Verantwortlichkeit.
Bedeutet eine ISO-27001-Zertifizierung, dass du NIS2-compliant bist?
Nein, aber sie bringt dich deutlich weiter, als vielen Organisationen bewusst ist. Eine ISO-27001-Zertifizierung erfüllt NIS2-Pflichten nicht automatisch, weil die Richtlinie spezifische Anforderungen an Governance, Meldefristen und die Verantwortung des Senior Managements enthält, die über das hinausgehen, was der Standard allein verlangt.
Trotzdem gilt: Organisationen mit einer aktuellen und gut gepflegten ISO-27001-Zertifizierung stellen in der Regel fest, dass 60 bis 70 Prozent der für NIS2 erforderlichen Arbeit bereits erledigt sind. Die verbleibende Lücke ist real, aber überbrückbar, und sie ist deutlich kleiner, als ganz von vorne anzufangen. Einige EU-Mitgliedstaaten bewegen sich in Richtung formaler Äquivalenzregelungen, Belgien hat bereits signalisiert, dass eine ISO-27001-Zertifizierung für bestimmte NIS2-Anforderungen als Compliance-Nachweis dienen kann. Die meisten anderen Mitgliedstaaten sind bislang noch nicht so weit gegangen.
Die Kertos-Plattform gleicht deine bestehenden ISO-27001-Controls automatisch mit den NIS2-Anforderungen ab und gibt dir einen klaren Überblick darüber, wo du stehst und wo tatsächlich neuer Handlungsbedarf besteht.
Aufbau eines einheitlichen Compliance-Programms
Die naheliegendste praktische Schlussfolgerung aus dem Zusammenspiel von NIS2 und ISO 27001 ist, dass du nicht zwei parallele Compliance-Programme betreiben solltest. Dieser Ansatz vervielfacht die Kosten, zersplittert die Aufmerksamkeit deines Teams und schafft Lücken an den Stellen, an denen beide Stränge nicht sauber zusammenlaufen.
Starte mit einer Gap Analysis
Wenn du bereits nach ISO 27001 zertifiziert bist, beginne damit, deine aktuellen Controls den konkreten Pflichten aus Artikel 21 der NIS2 gegenüberzustellen. So erkennst du genau, was bereits abgedeckt ist und wo neue Arbeit erforderlich wird. Wenn du beide Frameworks neu angehst, ist eine kombinierte Gap Analysis sogar effizienter als zwei getrennte, weil die sich überschneidenden Bereiche nur einmal bewertet werden müssen.
Schaffe eine gemeinsame Evidenzbasis
Eine der praktischen Herausforderungen bei Multi-Framework-Compliance ist, dass ein und derselbe Nachweis, etwa ein Risikobewertungsbericht, ein Supplier Security Questionnaire oder ein Incident-Response-Runbook, Anforderungen an mehreren Stellen erfüllen muss. Eine Compliance-Plattform, die genau dafür entwickelt wurde, ordnet Evidenz mehreren Frameworks gleichzeitig zu, sodass dein Team Dokumentation nicht doppelt erstellen muss. Die Prinzipien hinter diesem Ansatz werden im Leitfaden zu Multi-Framework-Compliance ausführlicher erläutert.
Hol die Führungsebene frühzeitig mit ins Boot
Die Governance-Anforderungen der NIS2 machen die Einbindung des Senior Managements unumgänglich. Statt das als reine Compliance-Pflichtübung zu behandeln, solltest du es als Chance nutzen, genau die Art von Führungseinbindung rund um Security zu etablieren, die auch dein ISO-27001-Programm stärkt. Organisationen, die Compliance auf Board-Ebene verankern, stellen meist fest, dass sie deutlich leichter die nötigen Ressourcen dafür bekommen. Das ist besonders wichtig, wenn du Verpflichtungen über mehrere Frameworks hinweg gleichzeitig managst.
Was das für deine Organisation bedeutet
Wenn du die Überschneidungen zwischen NIS2 und ISO 27001 verstehst, verändert das deinen Blick auf Security-Investitionen. Jede Maßnahme, die du implementierst und die gleichzeitig Anforderungen aus beiden Frameworks erfüllt, liefert doppelten Compliance-Wert. Ein Risikomanagementprozess, der gleichzeitig die Klausel 6.1 der ISO 27001 und Artikel 21 der NIS2 erfüllt, ist kein Kompromiss. Es ist gutes Programmdesign.
Der effizienteste Weg durch beide Frameworks besteht darin, sie als zwei Perspektiven auf ein einziges Security-Programm zu behandeln, nicht als zwei getrennte Projekte. Kertos wurde genau für diese Art von Continuous Compliance entwickelt, damit dein ISMS über mehrere Frameworks hinweg jederzeit audit-ready bleibt, während die Plattform gleichzeitig die Evidenzsammlung automatisiert, die sonst viel Zeit deines Teams binden würde. Buche eine Demo und sieh dir genau an, wo dein aktuelles Programm im Hinblick auf NIS2 und ISO 27001 steht.
