NIS-2 für Unternehmen mit ISO-27001-Zertifizierung –
Warum das Zertifikat allein nicht reicht.

Die Anforderungen an Informationssicherheit steigen stetig – besonders für Cloud-, Rechenzentrums- und andere IT-Anbieter. Viele Unternehmen verlassen sich auf ihr ISO-27001-Zertifikat, ohne zu wissen, dass die NIS-2-Durchführungsverordnung für sie deutlich weitergehende operative Nachweise verlangt. Wer die Unterschiede nicht kennt, riskiert Bußgelder, Haftung und Reputationsschäden. In diesem Beitrag zeige ich kompakt, worauf es bei NIS-2 ankommt und wie ISO 27001 als solide Basis optimal ergänzt werden kann.

– Veröffentlicht am 25. August 2025 · Aktualisiert am 03. Januar 2026 –

Dringlichkeit für IT-Anbieter

Die zunehmende Vernetzung von Menschen und Produkten bietet immer größere Angriffsflächen für Korruption und schwerwiegende Cyberangriffe. Auch unter Innovations- und Kostendruck muss die Sicherheit der zugrundeliegenden Netz- und Informationssysteme daher gewährleistet sein. Mit der NIS-2-Richtlinie hat die EU den Rahmen dafür neu gesetzt. Während Deutschland mit der nationalen Umsetzung bis Dezember 2025 in Verzug war, hatte die EU für bestimmte Sektoren längst Fakten geschaffen:

Für Betreiber von Internet-Knoten, Domänennamensystem-Diensteanbieter (ausgenommen Root-Namenservern), TLD-Namensregister, Anbieter von Cloud- und Rechenzentrumsdiensten, Betreiber von Inhaltszustelldiensten, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentliche zugänglicher elektronischer Kommunikationsdienste, Anbieter verwalteter Dienste (Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt) und Anbieter verwalteter Sicherheitsdienste gilt seit dem 07.11.2024 unmittelbar die

NIS-2-Durchführungsverordnung (NIS-2-DV).

Sie enthält verbindliche Anforderungen, die unbeschadet des deutschen Umsetzungsgesetzes als sektorale Sonderregelungen unmittelbar einzuhalten sind. Abzustellen ist auf die einzelne rechtliche Einheit – ein Konzernprivileg gibt es nicht.

Auf den ersten Blick ähneln viele der Anforderungen bekannten Standards wie der ISO/IEC 27001. Deshalb verweisen z.B. XaaS-Anbieter oft auf ihre bestehende Zertifizierung, wenn es um NIS-2-Compliance geht. Doch ein Zertifikat allein reicht nicht. Die Durchführungsverordnung ist präziser und umfassender. Selbst Unternehmen mit etabliertem ISMS müssen prüfen, wo zusätzliche Maßnahmen erforderlich sind.

 

ISO 27001: Managementsystem im Fokus

Die ISO 27001 ist ein bewährter Standard für Informationssicherheitsmanagement. Sie hilft Unternehmen, Cyberrisiken strukturiert anzugehen und für selbst definierte Bereiche Prozesse sowie Mindestmaßnahmen zu etablieren. 

Auditoren prüfen dabei vor allem:

  • Gibt es ein Managementsystem?
  • Sind die von der Norm geforderten Prozesse dokumentiert?
  • Wird die kontinuierliche Verbesserung des Managementsystems nachgewiesen?

Fazit: ISO/IEC 27001 ist eine solide Grundlage – bleibt aber auf der Ebene von Managementsystemen und Prozessnachweise.

NIS-2: Operative Umsetzung im Detail

NIS-2 geht deutlich weiter. Gefordert ist nicht nur ein System „auf dem Papier“, sondern der Nachweis, dass Sicherheitsmaßnahmen im Alltag wirksam greifen. 

Wichtige Unterschiede:

IT-Grundschutz als Maßstab: Während ISO 27001 darauf abzielt nachzuweisen, dass ein angemessener Werkzeugkasten zur Herstellung von IT-Sicherheit für einen selbst definierten Scope vorhanden ist, verlangt NIS-2 – ähnlich wie der BSI-Grundschutz – dass ein verbindlicher Werkzeugkasten im gesamten Unternehmen eingesetzt wird und nachweislich IT-Sicherheit schafft.

Berechtigungsmanagement: Es reicht nicht, Regeln festzuschreiben. Revisoren und Behörden prüfen, ob Zugriffsrechte tatsächlich regelmäßig implementiert, kontrolliert und entzogen werden – systemgenau und auf Revisionsniveau, denn NIS-2-DV ist ein Gesetz. 

Reifegradmodelle: Organisationen müssen darlegen, wie weit ihre Maßnahmen entwickelt sind und wie sie Fortschritte messen. Ein Konzept, das die ISO 27001 nicht kennt.

 

Praxisbeispiel: ISO-Zertifikat – und trotzdem nicht NIS-2-konform

In einem von mir begleiteten Projekt zeigte sich das sehr deutlich: 

  • Das Unternehmen war nach ISO 27001 zertifiziert und wähnte sich NIS-2-konform.
  • Prüfungsergebnis:
    • Das Berechtigungsmanagement war dokumentiert, aber nicht operativ auf NIS-2-Niveau umgesetzt.
    • Ein Reifegradmodell zur Bewertung der Sicherheitsmaßnahmen fehlte
    • Vorgaben des IT-Grundschutzes wurden nicht berücksichtigt, weil sie in der ISO/IEC 27001 gar nicht vorgesehen sind.
    • Beispiel: Regelmäßige systemgenaue Rechteprüfungen wurden nicht durchgeführt, obwohl NIS-2 dies zwingend verlangt.

Fazit: Ohne Nachbesserungen wäre das Unternehmen bei einer NIS-2-Prüfung durchgefallen – trotz Zertifikat. Erst durch die Ergänzung um Grundschutz-Elemente und den Aufbau eines Reifegradmodells konnte die Compliance-Lücke geschlossen werden.Dieses Beispiel macht deutlich: ISO 27001 ist eine gute Basis – ersetzt NIS-2 aber nicht. 

Wo entsteht die gefährliche Lücke?

Viele Unternehmen mit ISO/IEC-Zertifikat – und ihre Kunden, die sich darauf verlassen – wiegen sich in Sicherheit. Doch NIS-2 verlangt weitere operative Nachweise, die in der ISO/IEC 27001 gar nicht vorgesehen sind.

Das Risiko:

  • Ein ISO-Audit wird bestanden – eine NIS-2-Prüfung dagegen nicht.
  • Geschäftsleitung haftet persönlich.
  • Bußgelder und Reputationsschäden drohen.

Besonders kritisch: Verantwortung liegt explizit bei Geschäftsführung und Vorstand – nicht allein bei der IT.

Der richtige Ansatz: Brücke zwischen ISO und NIS-2

  • Ergänzende NIS-2-spezifische Maßnahmen schließen die Lücken
  • Ein ganzheitlicher Reifegrad-Ansatz ist unverzichtbar

Checkliste für Unternehmen: 

  • Welche NIS-2-Anforderungen werden bereits durch ISO/IEC 27001 und 27002 abgedeckt?
  • Welche weiteren Werkzeuge aus diesen Normen können genutzt werden, um Lücken zu schließen?
  • Wo sind Elemente des BSI-Grundschutz notwendig?
  • Welche Anforderungen der NIS-2-DV gehen darüber hinaus und wie können sie umgesetzt werden?
  • Welche Maßnahmen sind zwar umgesetzt, aber noch nicht nachweisbar dokumentiert? 

Fazit: Machen Sie eine Bestandsaufnahme und lassen Sie sich rechtlich beraten

Die Zeiten, in denen ein ISO-Zertifikat als „Schutzschild“ genügte, sind vorbei. NIS-2 verlangt mehr – Behörden prüfen wie Revisoren (detailliert und operativ), nicht wie Auditoren.

Für Geschäftsleitungen bedeutet das:

  • Ignorieren ist keine Option.
  • Haftung und Verantwortung sind nicht delegierbar.
  • Nur ein an NIS-2 angepasster Sicherheitsrahmen schafft echte Rechtssicherheit.

FAQ: ISO/IEC 27001 und NIS-2

Reicht ISO 27001 für NIS-2 aus?
☞ Nein. ISO 27001 prüft das Vorhandensein eines Managementsystems; NIS-2 verlangt den Nachweis, dass Maßnahmen unternehmensweit tatsächlich umgesetzt werden.

Welche zusätzlichen Anforderungen stellt NIS-2?
☞ Unter anderem Reifegradmodelle, ein stärkerer Bezug zum IT-Grundschutz sowie detaillierte operative Nachweise, z. B. beim Berechtigungsmanagement.

Was bedeutet das für mein Unternehmen?
☞ Ein ISO-Zertifikat ist eine gute Basis, ersetzt aber keine NIS-2-Compliance. Unternehmen sollten prüfen, welche Lücken bestehen, und diese gezielt schließen.

Wer ist verantwortlich für die Umsetzung von NIS-2?
☞ Die Verantwortung liegt ausdrücklich bei Geschäftsführung und Vorstand. Die IT-Leitung kann das nicht übernehmen.

Welche Folgen drohen bei NIS-2-Verstößen?
☞ Bußgelder, aufsichtsrechtliche Maßnahmen und erhebliche Haftungsrisiken für die Geschäftsleitung.

Jetzt handeln: Haben Sie ein ISO 27001-Zertifikat und möchten wissen, ob Ihr Unternehmen NIS-2-konform ist? Dann prüfen Sie jetzt Ihre Lücken und handeln Sie gezielt.