NIS2 Anforderungen mit ISO 27001 erfüllen | Praxiskonzept für KMU

von Jörg Apel

NIS2 mit ISO 27001 umsetzen: Warum ein ISMS der klügste Weg zur Compliance ist

1. Management-Zusammenfassung

NIS2 ist kein reines IT-Projekt. Für betroffene Unternehmen wird Cybersicherheit zu einer Managementpflicht. Geschäftsleitungen müssen nachweisen können, dass angemessene technische, organisatorische und risikobasierte Maßnahmen umgesetzt, überwacht und weiterentwickelt werden.

Die ISO/IEC 27001 ist dafür einer der stärksten Umsetzungsrahmen. Sie bietet ein erprobtes Managementsystem für Informationssicherheit, schafft klare Verantwortlichkeiten, dokumentierte Risiken, messbare Maßnahmen und einen kontinuierlichen Verbesserungsprozess. Genau das brauchen Unternehmen, um NIS2 nicht nur formal, sondern steuerbar umzusetzen.

Wichtig ist aber: Eine ISO-27001-Zertifizierung ersetzt NIS2 nicht vollständig. Sie deckt viele Anforderungen ab, insbesondere Risikomanagement, Sicherheitsmaßnahmen, Governance, Awareness, Lieferantensteuerung und kontinuierliche Verbesserung. Zusätzlich erforderlich bleiben jedoch unter anderem eine konkrete NIS2-Betroffenheitsprüfung, Registrierungspflichten, Meldeprozesse gegenüber dem BSI, eine Zuordnung zu den gesetzlichen Anforderungen sowie die klare Einbindung der Geschäftsleitung.

Meine klare Einschätzung: Wer NIS2 ernsthaft und nachhaltig umsetzen will, sollte nicht mit einzelnen Checklisten beginnen, sondern mit einem schlanken, risikoorientierten ISMS nach ISO 27001. Für KMU ist das der pragmatischste Weg, aus regulatorischem Druck ein echtes Führungsinstrument zu machen.

2. Warum das Thema wichtig ist: NIS2 verändert die Führungsverantwortung

Viele Unternehmen betrachten NIS2 zunächst als weitere Compliance-Anforderung. Wer NIS2 ausschließlich unter Compliance-Gesichtspunkten betrachtet, übersieht den eigentlichen Mehrwert. NIS2 zielt darauf ab, die Widerstandsfähigkeit von Unternehmen gegenüber Cyberangriffen, IT-Ausfällen und Störungen in Lieferketten deutlich zu erhöhen.

Für Geschäftsführer und Führungskräfte bedeutet das: Informationssicherheit muss planbar, überprüfbar und verantwortbar werden. Es reicht nicht mehr aus, auf die IT-Abteilung zu verweisen oder einzelne technische Maßnahmen einzukaufen. Gefordert ist ein nachvollziehbares System aus Risikoanalyse, Verantwortlichkeiten, Maßnahmen, Überwachung und Verbesserung.

An dieser Stelle kommt ISO 27001 ins Spiel. Die Norm schafft den Rahmen, Informationssicherheit nicht als Sammlung einzelner Werkzeuge zu betrachten, sondern als wirksames Managementsystem. Damit wird sichtbar:

Welche Informationen, Systeme und Prozesse sind geschäftskritisch?
Welche Risiken bestehen für Verfügbarkeit, Integrität und Vertraulichkeit?
Welche Maßnahmen sind angemessen?
Wer trägt Verantwortung?
Wie wird Wirksamkeit überprüft?
Wie wird Verbesserung gesteuert?

Für ein mittelständisches Produktionsunternehmen kann das beispielsweise bedeuten: Nicht jedes System wird gleich behandelt. Die Produktionssteuerung, der Versand, das ERP-System und die Kundenkommunikation erhalten einen höheren Schutzbedarf als weniger kritische Unterstützungsprozesse. Dadurch entsteht ein Sicherheitsansatz, der wirtschaftlich vertretbar und geschäftlich begründbar ist.

3. Deckt ISO 27001 die NIS2-Anforderungen vollständig ab?

Die kurze Antwort lautet: Nein, aber sie ist eine sehr starke Grundlage.

ISO 27001 deckt große Teile der NIS2-Anforderungen strukturell ab. Dazu gehören insbesondere:

Risikomanagement, Sicherheitsleitlinien, Verantwortlichkeiten, Zugangskontrolle, Incident Management, Lieferantenmanagement, Business Continuity, Awareness, Auditierung, dokumentierte Nachweise und kontinuierliche Verbesserung.

Damit liefert ISO 27001 genau die Managementlogik, die Unternehmen für NIS2 brauchen. Besonders wertvoll ist, dass die Norm nicht nur technische Maßnahmen beschreibt, sondern die Führungs-, Steuerungs- und Nachweisfähigkeit der Organisation verbessert.

Nicht vollständig abgedeckt sind jedoch die spezifischen gesetzlichen Pflichten aus NIS2 beziehungsweise dem deutschen Umsetzungsgesetz. Dazu gehören insbesondere die Betroffenheitsprüfung, die Registrierung bei der zuständigen Behörde, gesetzliche Meldepflichten bei erheblichen Sicherheitsvorfällen, konkrete Fristen, mögliche Nachweispflichten gegenüber Behörden sowie die explizite Verantwortung der Leitungsorgane.

Deshalb sollte ein Unternehmen ISO 27001 nicht als „NIS2-Ersatz“ verstehen, sondern als belastbares Fundament. Darauf wird eine NIS2-spezifische Compliance-Schicht ergänzt.

4. Was muss zusätzlich getan werden?

Ein Unternehmen mit bestehendem ISMS nach ISO 27001 sollte eine gezielte NIS2-Gap-Analyse durchführen. Dabei wird geprüft, welche gesetzlichen Anforderungen bereits erfüllt sind und welche Ergänzungen notwendig sind.

Typische Zusatzmaßnahmen sind:

Erstens braucht es eine saubere Betroffenheitsprüfung. Unternehmen müssen klären, ob sie als wichtige oder besonders wichtige Einrichtung gelten. Diese Einschätzung sollte dokumentiert und regelmäßig überprüft werden.

Zweitens müssen Meldeprozesse definiert werden. Ein Sicherheitsvorfall muss nicht nur technisch erkannt, sondern auch rechtlich bewertet, intern eskaliert und fristgerecht gemeldet werden können. Dafür braucht es klare Rollen, Entscheidungswege und vorbereitete Kommunikationsmuster.

Drittens muss die Geschäftsleitung aktiv eingebunden werden. NIS2 macht Cybersicherheit ausdrücklich zur Führungsaufgabe. Die Geschäftsleitung sollte Risiken verstehen, Entscheidungen dokumentieren und regelmäßig über den Stand der Informationssicherheit informiert werden.

Viertens muss die Lieferkette stärker betrachtet werden. Viele Unternehmen sind nicht nur direkt betroffen, sondern auch indirekt als Dienstleister, Zulieferer oder IT-Partner. Kunden werden Nachweise verlangen. Ein ISO-27001-basiertes Lieferantenmanagement kann hier erheblich helfen.

Fünftens sollten bestehende Richtlinien, Notfallpläne und Sicherheitsprozesse auf NIS2-Bezug geprüft werden. Entscheidend ist nicht, möglichst viele Dokumente zu erzeugen. Entscheidend ist, dass die Organisation im Ernstfall handlungsfähig ist.

5. Wo geht ISO 27001 über NIS2 hinaus?

ISO 27001 geht an mehreren Stellen über NIS2 hinaus, weil sie nicht nur gesetzliche Mindestanforderungen adressiert, sondern ein vollständiges Managementsystem fordert.

NIS2 beschreibt, was Unternehmen grundsätzlich leisten müssen: Risiken managen, Sicherheitsmaßnahmen umsetzen, Vorfälle melden, Lieferketten berücksichtigen und die Geschäftsleitung einbinden. ISO 27001 beschreibt darüber hinaus, wie ein Unternehmen Informationssicherheit systematisch steuert.

Besonders stark ist ISO 27001 bei der Managementsystematik. Dazu gehören Kontextanalyse, interessierte Parteien, Zielsetzung, Ressourcenplanung, Kompetenzmanagement, interne Audits, Managementbewertung und kontinuierliche Verbesserung. Diese Elemente machen Informationssicherheit steuerbar.

Für Führungskräfte ist das entscheidend. Ein ISMS kann wie ein Cockpit genutzt werden: Risiken, Maßnahmenstatus, offene Schwachstellen, Auditfeststellungen, Lieferantenrisiken und Vorfälle werden regelmäßig ausgewertet. Aus Informationssicherheit wird damit kein Kostenblock, sondern ein Führungsinstrument.

Ein praktisches Beispiel: Ein IT-Dienstleister kann mit ISO 27001 nicht nur nachweisen, dass technische Schutzmaßnahmen vorhanden sind. Er kann auch zeigen, dass Risiken bewertet, Maßnahmen priorisiert, Lieferanten überwacht, Mitarbeiter geschult und Verbesserungen nachverfolgt werden. Genau diese Nachweisfähigkeit wird im Markt immer wichtiger.

6. Welche weiteren Frameworks können sinnvoll ergänzen?

ISO 27001 ist ein sehr guter Kern, aber nicht immer ausreichend detailliert für alle Fragestellungen. Je nach Unternehmensgröße, Branche und Reifegrad können ergänzende Rahmenwerke sinnvoll sein.

Der BSI IT-Grundschutz eignet sich besonders, wenn Unternehmen konkrete Umsetzungshilfen und praxisnahe Bausteine benötigen. Er kann ISO 27001 operativ sehr gut ergänzen.

ISO 27005 unterstützt bei der Vertiefung des Informationssicherheits-Risikomanagements. Sie ist hilfreich, wenn Risiken strukturierter bewertet und dokumentiert werden sollen.

ISO 22301 oder der BSI-Standard 200-4 sind sinnvoll, wenn Business Continuity und Notfallmanagement stärker ausgebaut werden müssen. Gerade NIS2 macht deutlich, dass Cyberresilienz nicht bei Prävention endet. Unternehmen müssen auch auf Ausfälle vorbereitet sein.

NIST Cybersecurity Framework kann hilfreich sein, um Sicherheitsaktivitäten entlang der Funktionen Identify, Protect, Detect, Respond und Recover zu strukturieren. Für Managementkommunikation ist dieses Modell oft gut verständlich.

Für kleinere Unternehmen kann auch die DIN SPEC 27076 beziehungsweise ein CyberRisikoCheck ein pragmatischer Einstieg sein. Nicht jedes Unternehmen muss sofort mit einem vollumfänglichen Zertifizierungsprojekt beginnen. Entscheidend ist der passende Reifegrad.

7. Welchen Aufwand erzeugt eine NIS2-Umsetzung?

Der Aufwand hängt stark vom aktuellen Reifegrad ab. Ein Unternehmen mit vorhandenem ISO-27001-ISMS startet deutlich besser als ein Unternehmen ohne strukturierte Informationssicherheit.

Bei niedrigem Reifegrad entstehen Aufwände für Bestandsaufnahme, Risikoanalyse, Rollenklärung, Richtlinien, technische Basismaßnahmen, Incident Response, Lieferantenbewertung, Awareness, Notfallmanagement und Dokumentation. Der größte Aufwand liegt selten im Schreiben von Dokumenten, sondern in der organisatorischen Verankerung.

Bei mittlerem Reifegrad geht es vor allem um Lückenanalyse, Priorisierung, Nachweisdokumentation, Prozessintegration und Schulung der Führungsebene.

Bei hohem Reifegrad ist NIS2 eher eine Ergänzung bestehender Strukturen. Dann stehen Mapping, Meldeprozesse, gesetzliche Nachweise und Managementberichterstattung im Vordergrund.

Für KMU empfehle ich einen realistischen Umsetzungsansatz in drei Stufen:

Zunächst wird geklärt, ob und in welcher Rolle das Unternehmen betroffen ist. Danach erfolgt eine Gap-Analyse gegen NIS2 und ISO 27001. Anschließend werden Maßnahmen risikoorientiert priorisiert: zuerst die geschäftskritischen Prozesse, dann die wichtigsten technischen und organisatorischen Maßnahmen, danach die Optimierung und Nachweisfähigkeit.

8. Integration in vorhandene Prozesse

NIS2 sollte nicht als zusätzliches Parallelprojekt aufgebaut werden. Das ist einer der häufigsten Fehler. Erfolgreiche Umsetzung entsteht, wenn Informationssicherheit in bestehende Führungs- und Betriebsprozesse integriert wird.

Risiken gehören in das Unternehmensrisikomanagement. Sicherheitsanforderungen gehören in Einkauf und Lieferantenmanagement. Änderungen an IT-Systemen gehören in ein geregeltes Change Management. Vorfälle gehören in Incident Response und Krisenmanagement. Notfallmaßnahmen gehören in Business Continuity. Schulungen gehören in Personalentwicklung und Onboarding.

So wird NIS2 nicht zum Aktenordner, sondern Teil der Unternehmenssteuerung.

Ein Beispiel aus dem Mittelstand: Wenn ein Unternehmen ohnehin monatliche Managementmeetings durchführt, kann Informationssicherheit als fester Tagesordnungspunkt aufgenommen werden. Berichtet werden nicht technische Details, sondern steuerungsrelevante Kennzahlen: kritische Risiken, offene Maßnahmen, Status wichtiger Lieferanten, relevante Vorfälle und Entscheidungen mit Budgetwirkung.

9. Wie daraus ein Führungsinstrument wird

Der eigentliche Nutzen entsteht, wenn NIS2 und ISO 27001 nicht als Pflichtübung verstanden werden, sondern als Führungsinstrument für Resilienz.

Ein gutes ISMS beantwortet Managementfragen:

Welche Geschäftsprozesse sind besonders abhängig von IT?
Wo bestehen existenzielle Risiken?
Welche Maßnahmen reduzieren das Risiko am wirksamsten?
Welche Investitionen sind notwendig und begründbar?
Welche Risiken akzeptiert die Geschäftsleitung bewusst?
Wie belastbar ist das Unternehmen im Krisenfall?

Damit wird Informationssicherheit entscheidungsfähig. Die Geschäftsleitung erhält keine technischen Detailberichte, sondern eine klare Sicht auf Risiken, Prioritäten und Handlungsbedarf.

Meine Empfehlung: Jedes betroffene Unternehmen sollte ein kompaktes NIS2-Management-Cockpit aufbauen. Dieses sollte mindestens folgende Inhalte enthalten: Betroffenheitsstatus, Top-Risiken, Maßnahmenstatus, Vorfallsübersicht, Lieferantenrisiken, Schulungsstand, Auditfeststellungen, wesentliche Schwachstellen aus Sicherheits- und Schwachstellen-Scans sowie offene Managemententscheidungen.

10. Fazit: ISO 27001 ist der beste Startpunkt, aber nicht das Ziel

ISO 27001 ist für die NIS2-Umsetzung einer der wirksamsten Hebel. Die Norm schafft Struktur, Verantwortlichkeit, Risikoorientierung und Nachweisfähigkeit. Sie hilft besonders KMU, aus einer regulatorischen Pflicht ein steuerbares Managementsystem zu machen.

Aber ISO 27001 allein reicht nicht aus. NIS2 verlangt zusätzliche gesetzliche Betrachtungen, Meldewege, Registrierung, Governance-Nachweise und eine klare Einbindung der Geschäftsleitung.

Der klügste Weg lautet daher: ISO 27001 als Fundament nutzen, NIS2-spezifische Anforderungen ergänzen und das Ganze in vorhandene Geschäftsprozesse integrieren.

So entsteht keine Bürokratie, sondern ein belastbares Führungsinstrument für Informationssicherheit, Resilienz und Vertrauen im Markt. 


Weiterführende Informationen

Weitere Beiträge zu Informationssicherheit, ISO 27001, NIS2, Risikomanagement, Business Continuity Management und Cyber-Resilienz findest Du in der Blog-Übersicht von ResKontIS. Dort kannst Du gezielt nach Kategorien und Schwerpunkten filtern.

Zum Wissensportal


Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »