Zuletzt geprüft: März 2026. Basierend auf der Richtlinie (EU) 2022/2555 (NIS2), ISO/IEC 27001:2022, der Durchführungsverordnung (EU) 2024/2690 der Kommission und den technischen Umsetzungsleitlinien von ENISA (Juni 2025).
Wenn Ihre Organisation bereits über eine ISO 27001-Zertifizierung verfügt, stellen Sie genau die richtige Frage: Wie viel von NIS2 decken wir bereits ab, und wo liegen die Lücken? Die Antwort ist ermutigend — rund 70–80 % der Sicherheitsanforderungen von NIS2 überschneiden sich mit den Kontrollen nach ISO 27001 — doch die verbleibenden 20–30 % umfassen einige der folgenreichsten Pflichten der Richtlinie: verbindliche Fristen für die Meldung von Sicherheitsvorfällen, die persönliche Haftung des Managements sowie sektorspezifische Anforderungen an die Lieferkettensicherheit, die ISO 27001 schlicht nicht adressiert.
Wenn Sie hingegen nicht über eine ISO 27001-Zertifizierung verfügen und die NIS2-Compliance von Grund auf aufbauen, fragen Sie sich möglicherweise, ob Sie die ISO-Zertifizierung als Grundlage anstreben sollten. Die kurze Antwort lautet: Ja, in den meisten Fällen ist dies der effizienteste Weg. ISO 27001 liefert den strukturierten Rahmen für ein Informationssicherheits-Managementsystem (ISMS), den NIS2 voraussetzt, ohne ihn selbst zu definieren.
Dieser Leitfaden bietet einen vollständigen Vergleich beider Rahmenwerke auf Klausel-Ebene — dort, wo sie übereinstimmen, wo sie voneinander abweichen und wie genau die Lücken geschlossen werden können. Wenn Sie als CISO, Compliance-Manager oder Berater die NIS2-Implementierung verantworten, ist dies die Mapping-Referenz, die Sie benötigen.
NIS2 und ISO 27001 im Überblick
Bevor wir in den detaillierten Vergleich einsteigen, ist es hilfreich zu verstehen, was jedes Rahmenwerk ist und was es nicht ist. Sie verfolgen grundlegend unterschiedliche Zwecke, was sowohl die Überschneidungen als auch die Lücken erklärt.
| Aspekt | NIS2 (Richtlinie 2022/2555) | ISO/IEC 27001:2022 |
|---|---|---|
| Was es ist | EU-Cybersicherheitsrecht — eine Richtlinie, die eine Umsetzung durch die Mitgliedstaaten in nationales Recht erfordert | Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) — veröffentlicht von ISO und IEC |
| Rechtsstatus | Verbindlich für in den Anwendungsbereich fallende Einrichtungen in der gesamten EU. Verstöße ziehen Bußgelder und Vollstreckungsmaßnahmen nach sich | Freiwillig. Organisationen entscheiden sich für eine Zertifizierung. Keine Bußgelder bei fehlender Zertifizierung |
| Anwendungsbereich | Sektorspezifisch: 18 kritische Sektoren, die in Annex I und Annex II definiert sind. Größenschwellen gelten (50+ Mitarbeitende oder 10 Mio. EUR+ Jahresumsatz) | Universell: jede Organisation, jeder Sektor, jede Größe kann das Rahmenwerk implementieren und sich zertifizieren lassen |
| Schwerpunkt | Cybersicherheitsresilienz kritischer Infrastrukturen und wesentlicher Dienste in der gesamten EU | Aufbau, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems |
| Durchsetzung | Nationale zuständige Behörden führen Audits und Inspektionen durch. Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes | Zertifizierungsstellen prüfen die Konformität. Ein Nichtbestehen führt zum Verlust des Zertifikats, nicht zu rechtlichen Sanktionen |
| Meldung von Sicherheitsvorfällen | Verbindliche Meldung innerhalb von 24 h/72 h/1 Monat an das nationale CSIRT | Erfordert Verfahren für das Incident Management, schreibt jedoch keine Meldefristen oder externe Benachrichtigung vor |
| Management-Verantwortlichkeit | Article 20: Vorstandsmitglieder müssen Maßnahmen genehmigen, Schulungen absolvieren und tragen persönliche Haftung | Clause 5 (Führung): Das Top-Management muss sein Engagement nachweisen, trägt jedoch keine persönliche rechtliche Haftung |
| Aktuelle Version | Verabschiedet im Dezember 2022, anwendbar seit Oktober 2024 | ISO/IEC 27001:2022 (dritte Ausgabe, Oktober 2022) |
Der grundlegende Unterschied: NIS2 sagt Ihnen, was Sie tun müssen (und bestraft Sie, wenn Sie es nicht tun). ISO 27001 sagt Ihnen, wie Sie das System aufbauen, das dies gewährleistet (und zertifiziert Sie, wenn Sie es umgesetzt haben). Sie ergänzen sich, stehen nicht im Wettbewerb — und die effizienteste Compliance-Strategie nutzt beide Rahmenwerke [1] [2].
Wo sie übereinstimmen: Das Fundament von 70–80 %
Die Überschneidung zwischen NIS2 und ISO 27001 ist erheblich und gut dokumentiert. Die technischen Umsetzungsleitlinien von ENISA bilden NIS2-Anforderungen explizit auf ISO 27001-Kontrollen ab und bestätigen, dass eine Organisation mit einem ausgereiften ISMS bereits den Großteil der technischen Sicherheitsanforderungen von NIS2 erfüllt hat [4].
Die Übereinstimmung ist in folgenden Bereichen am stärksten ausgeprägt:
- Risikomanagement. Beide Rahmenwerke basieren auf risikobasierten Ansätzen zur Informationssicherheit. NIS2 Article 21(2)(a) fordert „Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen“, was direkt auf ISO 27001 Clause 6.1 (Maßnahmen zur Behandlung von Risiken) und 8.2–8.3 (Risikobewertung und -behandlung) abbildbar ist. Wenn Ihre ISMS-Risikobewertungsmethodik ausgereift ist, ist Ihr NIS2-Risikomanagement-Fundament weitgehend vorhanden.
- Incident Management. NIS2 Article 21(2)(b) erfordert Verfahren zur Prävention, Erkennung und Reaktion. Die ISO 27001 Annex A-Kontrollen 5.24–5.28 (Incident Management) und 6.8 (Meldung von Ereignissen) decken dieselben Bereiche ab, wenn es darum geht, Verfahren zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle zu etablieren.
- Business Continuity. NIS2 Article 21(2)(c) korrespondiert mit ISO 27001 Annex A-Kontrollen 5.29–5.30 (IKT-Kontinuitätsplanung) und 8.13–8.14 (Backups und Redundanz). Beide erfordern dokumentierte Kontinuitätspläne und Backup-Verfahren.
- Lieferkettensicherheit. NIS2 Article 21(2)(d) korrespondiert mit ISO 27001 Annex A-Kontrollen 5.19–5.23 (Lieferantenmanagement). Beide erfordern die Bewertung und das Management von Sicherheitsrisiken durch Drittanbieter.
- Zugangssteuerung. NIS2 Article 21(2)(i) korrespondiert mit ISO 27001 Annex A-Kontrollen 5.15–5.18 (Identitätsmanagement) und 8.2–8.5 (Zugangskontrolle). Beide erfordern rollenbasierte Zugriffskontrolle, das Prinzip der minimalen Rechtevergabe und Identitätsmanagement.
- Kryptographie. NIS2 Article 21(2)(h) korrespondiert mit ISO 27001 Annex A-Kontrolle 8.24 (Einsatz von Kryptographie). Beide erfordern Richtlinien, die regeln, wann und wie Verschlüsselung eingesetzt wird.
- Asset-Management. NIS2 Article 21(2)(i) enthält Anforderungen an das Asset-Management, die auf ISO 27001 Annex A-Kontrollen 5.9–5.13 (Asset-Inventar, Klassifizierung und Handhabung) abbildbar sind.
- Personalsicherheit und Schulungen. NIS2 Article 21(2)(g) und (i) korrespondieren mit ISO 27001 Annex A-Kontrollen 6.1–6.6 (Personalsicherheits-Lebenszyklus) und 6.3 (Sensibilisierung und Schulung).
Diese Überschneidung erklärt, warum ISO 27001 weithin als das beste Ausgangsrahmenwerk für die NIS2-Compliance gilt. Sie bauen nicht von null auf — Sie erweitern ein bestehendes System, um zusätzliche gesetzliche Anforderungen zu erfüllen [5].
Wesentliche Erkenntnis: Die Überschneidung betrifft Sicherheitskontrollen. Die Lücken liegen in rechtlichen und Governance-Prozessen — der Meldung von Vorfällen an Behörden, der persönlichen Verantwortlichkeit auf Vorstandsebene und sektorspezifischen Anforderungen, die ISO 27001 als universeller Standard nie adressieren sollte.
Sechs wesentliche Unterschiede zwischen NIS2 und ISO 27001
Das Verständnis der Überschneidungen gibt Ihnen Sicherheit. Das Verständnis der Unterschiede zeigt Ihnen, worauf Sie Ihre Bemühungen zur Schließung von Lücken konzentrieren sollten. Diese sechs Bereiche stellen die bedeutendsten Abweichungen dar:
1. Fristen für die Meldung von Sicherheitsvorfällen
Dies ist die mit Abstand größte operative Lücke. ISO 27001 erfordert, dass Sie über Incident-Management-Verfahren (Annex A 5.24–5.28) verfügen und Ereignisse intern melden — legt jedoch keine Fristen für externe Benachrichtigungen fest. NIS2 Article 23 setzt eine strenge dreistufige Meldefrist:
| Stufe | NIS2-Anforderung | ISO 27001-Äquivalent |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls | Kein Äquivalent |
| Meldung des Sicherheitsvorfalls | Innerhalb von 72 Stunden mit Schwerebewertung, Folgenanalyse und IoCs | Kein Äquivalent |
| Abschlussbericht | Innerhalb von 1 Monat mit Ursachenanalyse und Details zu Abhilfemaßnahmen | Kein Äquivalent |
Wenn Ihre Organisation über ISO 27001 verfügt, aber noch nie Vorfälle innerhalb eines 24-Stunden-Fensters extern gemeldet hat, ist dies Ihre dringlichste Implementierungspriorität. Sie benötigen definierte Eskalationspfade, vorbereitete Meldevorlagen und einen direkten Kommunikationskanal zu Ihrem nationalen CSIRT. Eine vollständige Darstellung der Meldeanforderungen finden Sie in unserem NIS2-Leitfaden zur Meldung von Sicherheitsvorfällen.
2. Management-Verantwortlichkeit und persönliche Haftung
ISO 27001 Clause 5 verlangt vom Top-Management, „Führung und Engagement“ für das ISMS zu zeigen. Dies ist eine Governance-Anforderung — das Management muss die Richtung vorgeben, Ressourcen bereitstellen und die Leistung überprüfen. Sie hat jedoch keine persönlichen rechtlichen Konsequenzen, wenn dies nicht befolgt wird. Das schlimmste Ergebnis ist eine Nichtkonformität bei einem Zertifizierungsaudit.
NIS2 Article 20 geht erheblich weiter. Leitungsorgane müssen:
- Die Cybersicherheits-Risikomanagementmaßnahmen gemäß Article 21 förmlich billigen
- Deren Umsetzung fortlaufend aktiv überwachen (nicht nur jährliche Überprüfungen)
- Selbst Cybersicherheitsschulungen absolvieren — das Verständnis nicht an den CISO delegieren
- Bei Versäumnissen in diesen Pflichten persönliche Haftung tragen, einschließlich möglicher vorübergehender Berufsverbote für Führungspositionen in einigen Mitgliedstaaten
Dies wandelt Cybersicherheit von einer IT-Governance-Angelegenheit in eine treuhänderische Pflicht um. Ihre ISMS-Managementbewertung (ISO 27001 Clause 9.3) ist ein Ausgangspunkt, wird jedoch die NIS2-Anforderungen für dokumentierte Vorstandsbeschlüsse, Nachweise über absolvierte Schulungen und eine fortlaufende aktive Aufsicht nicht erfüllen [1] [7].
3. Tiefe der Lieferkettensicherheit
Beide Rahmenwerke befassen sich mit der Lieferantensicherheit, aber NIS2 geht tiefer. ISO 27001 Annex A 5.19–5.22 verlangt, dass Sie Lieferantenrisiken bewerten, Sicherheitsanforderungen in Verträgen festlegen und die Drittanbieter-Compliance überwachen. Dies stellt eine solide Basisabdeckung dar.
NIS2 Article 21(2)(d) und CIR 2024/2690 Kapitel 5 fügen spezifische Anforderungen hinzu, die über ISO 27001 hinausgehen:
- Ein gepflegtes Verzeichnis aller direkten Lieferanten, klassifiziert nach Kritikalität
- Koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten (kein ISO-Äquivalent)
- Spezifische vertragliche Sicherheitspflichten, die nach Lieferantenkritikalität abgestuft sind
- Bewertung der Cybersicherheitspraktiken der Lieferanten, nicht nur ihrer vertraglichen Zusagen
Wenn Ihr ISO 27001-Lieferantenmanagement auf Vertragsklauseln und jährliche Fragebögen beschränkt ist, müssen Sie es erheblich ausweiten. NIS2 erwartet, dass Sie die tatsächliche Cybersicherheitslage Ihrer kritischen Lieferanten kennen, nicht nur schriftliche Vereinbarungen vorweisen können. Implementierungsdetails finden Sie in unserem Leitfaden zur Lieferkettensicherheit.
4. Krisenmanagement
ISO 27001 deckt die Business-Continuity-Planung (Annex A 5.29–5.30) mit Fokus auf die Kontinuität von IKT-Diensten ab. NIS2 Article 21(2)(c) und CIR Kapitel 4 erweitern dies auf das Krisenmanagement — eine umfassendere Disziplin, die Folgendes umfasst:
- Formale Krisenmanagementprozesse mit definierten Rollen, Eskalationsverfahren und Kommunikationsplänen (CIR 4.3.1–4.3.4 — kein ISO-Äquivalent)
- Tischübungen und Tests der Krisenreaktionsfähigkeiten
- Integration von Cybersicherheitsvorfällen in das organisatorische Krisenmanagement, nicht nur in die IT-Kontinuität
Der Unterschied ist bedeutsam: Business Continuity stellt sicher, dass Ihre IT-Dienste wiederhergestellt werden. Krisenmanagement stellt sicher, dass Ihre Organisation überlebt, einschließlich der Stakeholder-Kommunikation, behördlicher Meldungen und des Umgangs mit Reputationsrisiken.
5. CISO-Berichtslinie und Governance-Struktur
CIR 2024/2690 Abschnitt 1.2.3 fordert, dass die für die Netz- und Informationssicherheit verantwortliche Person eine direkte Berichtslinie zum Leitungsorgan hat. ISO 27001 enthält keine entsprechende Anforderung an eine bestimmte organisatorische Berichtsstruktur.
Dies ist relevant für Organisationen, in denen die Informationssicherheit über die IT berichtet, die wiederum einem COO oder CTO unterstellt ist, ohne direkten Vorstandszugang. NIS2 erwartet, dass der CISO (oder eine gleichwertige Person) einen unmittelbaren Eskalationsweg zum Vorstand hat.
6. Sektorspezifische und rechtliche Anforderungen
ISO 27001 ist bewusst sektorunabhängig — das ist seine Stärke als universeller Standard und zugleich seine Einschränkung für die regulatorische Compliance. NIS2 führt mehrere rechtliche und sektorspezifische Anforderungen ohne ISO-Äquivalent ein:
- Registrierung der Einrichtung bei der national zuständigen Behörde (einige Mitgliedstaaten verlangen eine Selbstregistrierung bis zu bestimmten Fristen)
- Bußgeldrahmen mit Geldbußen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
- Grenzüberschreitende Kooperationspflichten über CSIRTs und die NIS-Kooperationsgruppe
- Sektorspezifische technische Standards, die von der Europäischen Kommission gemäß Article 25 verabschiedet werden können
Dies sind keine Sicherheitskontrollen — es sind rechtliche Compliance-Prozesse. Kein noch so hoher ISO 27001-Reifegrad wird sie abdecken; sie erfordern separate rechtliche und regulatorische Arbeitsstränge.
Vollständiges Controls-Mapping: NIS2 Article 21 zu ISO 27001
Diese Tabelle bildet jede NIS2 Article 21(2)-Cybersicherheitsmaßnahme auf die entsprechende ISO 27001:2022-Klausel oder Annex A-Kontrolle ab und enthält eine Deckungsbewertung. Verwenden Sie sie als Ausgangspunkt für Ihre Gap-Analyse [3] [4] [5].
| NIS2 Art. 21-Maßnahme | ISO 27001-Mapping | Abdeckung | Hinweise zu Lücken |
|---|---|---|---|
| (a) Risikoanalyse & Informationssicherheitsrichtlinien | Clause 6.1 (Risikobewertung), Clause 8.2–8.3 (Risikobehandlung), Annex A 5.1–5.4 (Richtlinien) | Hoch | ISO deckt Risikobewertungsmethodik und Richtlinienrahmen ab. NIS2 ergänzt die Anforderung einer förmlichen Billigung durch das Leitungsorgan gemäß Art. 20 |
| (b) Umgang mit Sicherheitsvorfällen | Annex A 5.24–5.28 (Incident Management), A 6.8 (Meldung von Ereignissen) | Teilweise | ISO deckt interne Incident-Prozesse ab. Keine externen Meldefristen (24 h/72 h/1 Monat) — die größte einzelne Lücke |
| (c) Business Continuity & Krisenmanagement | Annex A 5.29–5.30 (IKT-Kontinuität), A 8.13–8.14 (Backups, Redundanz) | Teilweise | ISO deckt IT-Kontinuität ab. Kein Krisenmanagement-Rahmenwerk (CIR 4.3.1–4.3.4) |
| (d) Sicherheit der Lieferkette | Annex A 5.19–5.23 (Lieferantenmanagement) | Teilweise | ISO deckt vertragliche Kontrollen ab. NIS2 ergänzt Lieferantenverzeichnis, Kritikalitätsklassifizierung, koordinierte Lieferketten-Risikobewertungen |
| (e) Sicherheit bei Erwerb, Entwicklung & Wartung | Annex A 5.8, 8.25–8.34 (sichere Entwicklung, Änderungsmanagement, Tests) | Hoch | Starke Übereinstimmung. NIS2 betont zusätzlich Prozesse zur Offenlegung von Schwachstellen |
| (f) Bewertung der Wirksamkeit | Clause 9.1 (Überwachung & Messung), A 5.36 (Compliance), A 8.34 (Audit) | Hoch | Die ISO-Klauseln zu internem Audit und Messung stimmen gut mit der NIS2-Wirksamkeitsprüfung überein |
| (g) Cyber-Hygiene & Schulungen | Annex A 6.3 (Sensibilisierung & Schulung), Clause 7.2 (Kompetenz) | Hoch | Gute Übereinstimmung. NIS2 ergänzt explizite Schulungsanforderung auf Vorstandsebene gemäß Art. 20 |
| (h) Kryptographie & Verschlüsselung | Annex A 8.24 (Einsatz von Kryptographie), A 5.14 (Informationsübertragung) | Hoch | Starke Übereinstimmung auf Richtlinienebene. NIS2 ergänzt explizite Anforderungen zur Verschlüsselung von Daten bei der Übertragung und im Ruhezustand |
| (i) Personalsicherheit, Zugangssteuerung & Asset-Management | Annex A 6.1–6.6 (Personalsicherheit), A 5.15–5.18 (Identitätsmanagement), A 8.2–8.5 (Zugangskontrolle), A 5.9–5.13 (Asset-Management) | Hoch | Umfassende Übereinstimmung. Geringfügige Lücke: NIS2 erfordert explizit Verfahren für das Privileged Access Management |
| (j) MFA & sichere Kommunikation | Annex A 8.5 (sichere Authentifizierung), A 5.14 (Informationsübertragung) | Teilweise | ISO erwähnt sichere Authentifizierung allgemein. NIS2 schreibt MFA oder kontinuierliche Authentifizierung für spezifische Zugriffsszenarien explizit vor |
Hinweise zur Tabelle: „Hoch“ bedeutet, dass Ihre vorhandenen ISO 27001-Kontrollen die technischen Anforderungen von NIS2 wahrscheinlich mit geringfügigen Anpassungen erfüllen. „Teilweise“ bedeutet, dass über das von ISO 27001 Geforderte hinaus erheblicher zusätzlicher Aufwand erforderlich ist. Die Hinweise zu Lücken zeigen genau, worauf Sie sich konzentrieren sollten.
