NIS-2 und ISO 27001
Warum ein Zertifikat allein nicht reicht

Die Anforderungen an Informationssicherheit steigen stetig – besonders für Cloud-, Rechenzentrums- und andere IT-Dienstleister. Viele Unternehmen verlassen sich auf ihr ISO-27001-Zertifikat, ohne zu wissen, dass die NIS-2-Durchführungsverordnung deutlich weitergehende operative Nachweise verlangt. Wer die Unterschiede nicht kennt, riskiert Bußgelder, Haftung und Reputationsschäden. In diesem Beitrag zeige ich kompakt, worauf es bei NIS-2 ankommt und wie ISO 27001 als solide Basis optimal ergänzt werden kann.

Dringlichkeit für IT-Anbieter

Die Anforderungen an Cybersicherheit steigen – mit der NIS-2-Richtlinie hat die EU den Rahmen dafür neu gesetzt. Während Deutschland mit der nationalen Umsetzung seit dem 17.10.2024 in Verzug ist, hat die EU für bestimmte Sektoren längst Fakten geschaffen: Für Anbieter von Cloud-, Rechenzentrums- und weiteren IT-Diensten gilt seit dem 07.11.2024 unmittelbar die NIS-2-Durchführungsverordnung (NIS-2-DV). Sie enthält verbindliche Sicherheitsanforderungen, die unabhängig von nationalen Übergangsfristen sofort einzuhalten sind – auch innerhalb von Konzernen.

Auf den ersten Blick ähneln viele der Anforderungen bekannten Standards wie der ISO/IEC 27001. Deshalb verweisen XaaS-Anbieter oft auf ihre bestehende Zertifizierung, wenn es um NIS-2-Compliance geht. Doch ein Zertifikat allein reicht nicht. Die Durchführungsverordnung ist präziser und umfassender. Selbst Unternehmen mit etabliertem ISMS müssen prüfen, wo zusätzliche Maßnahmen erforderlich sind.

 

ISO 27001: Managementsystem im Fokus

Die ISO 27001 ist ein bewährter Standard für Informationssicherheitsmanagement. Sie hilft Unternehmen, Cyberrisiken strukturiert anzugehen und für selbst definierte Bereiche Prozesse sowie Mindestmaßnahmen zu etablieren. 

Auditoren prüfen dabei vor allem:

  • Gibt es ein Managementsystem?
  • Sind die von der Norm geforderten Prozesse dokumentiert?
  • Wird die kontinuierliche Verbesserung des Managementsystems nachgewiesen?

Fazit: ISO/IEC 27001 ist eine solide Grundlage – bleibt aber auf der Ebene von Managementsystemen und Prozessnachweise.

NIS-2: Operative Umsetzung im Detail

NIS-2 geht deutlich weiter. Gefordert ist nicht nur ein System „auf dem Papier“, sondern der Nachweis, dass Sicherheitsmaßnahmen im Alltag wirksam greifen. 

Wichtige Unterschiede:

IT-Grundschutz als Maßstab: Während ISO 27001 darauf abzielt nachzuweisen, dass ein angemessener Werkzeugkasten zur Herstellung von IT-Sicherheit für einen selbst definierten Scope vorhanden ist, verlangt NIS-2 – ähnlich wie der BSI-Grundschutz – dass ein verbindlicher Werkzeugkasten im gesamten Unternehmen eingesetzt wird und nachweislich IT-Sicherheit schafft.

Berechtigungsmanagement: Es reicht nicht, Regeln festzuschreiben. Revisoren und Behörden prüfen, ob Zugriffsrechte tatsächlich regelmäßig implementiert, kontrolliert und entzogen werden – systemgenau und auf Revisionsniveau, denn NIS-2-DV ist ein Gesetz. 

Reifegradmodelle: Organisationen müssen darlegen, wie weit ihre Maßnahmen entwickelt sind und wie sie Fortschritte messen. Ein Konzept, das die ISO 27001 nicht kennt.

 

Praxisbeispiel: ISO-Zertifikat – und trotzdem nicht NIS-2-konform

In einem von mir begleiteten Projekt zeigte sich das sehr deutlich: 

  • Das Unternehmen war nach ISO 27001 zertifiziert und wähnte sich NIS-2-konform.
  • Prüfungsergebnis:
    • Das Berechtigungsmanagement war dokumentiert, aber nicht operativ auf NIS-2-Niveau umgesetzt.
    • Ein Reifegradmodell zur Bewertung der Sicherheitsmaßnahmen fehlte
    • Vorgaben des IT-Grundschutzes wurden nicht berücksichtigt, weil sie in der ISO/IEC 27001 gar nicht vorgesehen sind.
    • Beispiel: Regelmäßige systemgenaue Rechteprüfungen wurden nicht durchgeführt, obwohl NIS-2 dies zwingend verlangt.

Fazit: Ohne Nachbesserungen wäre das Unternehmen bei einer NIS-2-Prüfung durchgefallen – trotz Zertifikat. Erst durch die Ergänzung um Grundschutz-Elemente und den Aufbau eines Reifegradmodells konnte die Compliance-Lücke geschlossen werden.Dieses Beispiel macht deutlich: ISO 27001 ist eine gute Basis – ersetzt NIS-2 aber nicht. 

Wo entsteht die gefährliche Lücke?

Viele Unternehmen mit ISO/IEC-Zertifikat – und ihre Kunden, die sich darauf verlassen – wiegen sich in Sicherheit. Doch NIS-2 verlangt weitere operative Nachweise, die in der ISO/IEC 27001 gar nicht vorgesehen sind.

Das Risiko:

  • Ein ISO-Audit wird bestanden – eine NIS-2-Prüfung dagegen nicht.
  • Geschäftsleitung haftet persönlich.
  • Bußgelder und Reputationsschäden drohen.

Besonders kritisch: Verantwortung liegt explizit bei Geschäftsführung und Vorstand – nicht allein bei der IT.

Der richtige Ansatz: Brücke zwischen ISO und NIS-2

  • Umsetzung nach IT-Grundschutz schafft eine belastbare Basis
  • Ergänzende NIS-2-spezifische Maßnahmen schließen die Lücken
  • Ein ganzheitlicher Reifegrad-Ansatz ist unverzichtbar

Checkliste für Unternehmen: 

  • Welche NIS-2-Anforderungen werden bereits durch ISO/IEC 27001 und 27002 abgedeckt?
  • Welche weiteren Werkzeuge aus diesen Normen können genutzt werden, um Lücken zu schließen?
  • Wo sind Elemente des BSI-Grundschutz notwendig?
  • Welche Anforderungen der NIS-2-DV gehen darüber hinaus und wie können sie umgesetzt werden?

Welche Maßnahmen sind zwar umgesetzt, aber noch nicht nachweisbar dokumentiert?zt NIS-2 aber nicht. 

Fazit: Jetzt handeln, nicht abwarten

Die Zeiten, in denen ein ISO-Zertifikat als „Schutzschild“ genügte, sind vorbei. NIS-2 verlangt mehr – Behörden prüfen wie Revisoren (detailliert und operativ), nicht wie Auditoren.

Für Geschäftsleitungen bedeutet das:

  • Ignorieren ist keine Option.
  • Haftung und Verantwortung sind nicht delegierbar.
  • Nur ein an NIS-2 angepasster Sicherheitsrahmen schafft echte Rechtssicherheit.

FAQ: ISO/IEC 27001 und NIS-2

Reicht ISO 27001 für NIS-2 aus?
☞ Nein. ISO 27001 prüft das Vorhandensein eines Managementsystems; NIS-2 verlangt den Nachweis, dass Maßnahmen unternehmensweit tatsächlich umgesetzt werden.

Welche zusätzlichen Anforderungen stellt NIS-2?
☞ Unter anderem Reifegradmodelle, ein stärkerer Bezug zum IT-Grundschutz sowie detaillierte operative Nachweise, z. B. beim Berechtigungsmanagement.

Was bedeutet das für mein Unternehmen?
☞ Ein ISO-Zertifikat ist eine gute Basis, ersetzt aber keine NIS-2-Compliance. Unternehmen sollten prüfen, welche Lücken bestehen, und diese gezielt schließen.

Wer ist verantwortlich für die Umsetzung von NIS-2?
☞ Die Verantwortung liegt ausdrücklich bei Geschäftsführung und Vorstand. Die IT-Leitung kann das nicht übernehmen.

Welche Folgen drohen bei NIS-2-Verstößen?
☞ Bußgelder, aufsichtsrechtliche Maßnahmen und erhebliche Haftungsrisiken für die Geschäftsleitung.

Jetzt handeln: Haben Sie ein ISO 27001-Zertifikat und möchten wissen, ob Ihr Unternehmen NIS-2-konform ist? Dann prüfen Sie jetzt Ihre Lücken und handeln Sie gezielt.