FIRST-MOVER EDITION

BSI Grundschutz++ 2027/28 — der Vorbereitungs-Guide

Die BSI-Reform 2026 bringt OSCAL/JSON-basierte maschinenlesbare Controls. Voraussichtlich ab 2028 Pflicht (finale Spec noch ausstehend). Wir zeigen, was KMU jetzt schon vorbereiten sollten — bevor verinice, opus i und HiScout migrieren.

PDF
Sofort per Mail
Kein Spam
DSGVO-konform

20 Seiten · PDF · stand Mai 2026

frag.hugo

BSI Grundschutz++ 2027/28 — der Vorbereitungs-Guide

PDF Stand 2026

Verifiziert

TÜV-zertifiziert

Format

Direkt-Download

2028

BSI-Grundschutz++ Pflicht (voraussichtlich)

OSCAL

JSON-Standard maschinenlesbar

ISO-27001-Annex-A-Controls bereits modelliert

0 €

Migrations-Aufwand für Hugo-Kunden

Das BSI veröffentlicht 2026 die finale Grundschutz++-Spec. OSCAL (Open Security Controls Assessment Language) vom NIST wird Standard für maschinenlesbare Compliance-Doku. Bestehende Tools wie verinice, opus i und HiScout müssen ihre Datenmodelle migrieren. Hugo ist von Anfang an OSCAL-kompatibel — Sie brauchen nichts zu tun. Andere Mandanten verbringen 2027 mit der Migration.

Inhalt

Was steckt im First-Mover-Guide?

8 Bausteine — sofort einsetzbar in Ihrem Unternehmen.

Was ist Grundschutz++?

Die BSI-Reform 1.1.2026 bringt OSCAL-basierte Controls. Maschinenlesbar, JSON-Format, Multi-Tool-kompatibel.

OSCAL erklärt für KMU

Open Security Controls Assessment Language: Profile, Component-Definitions, Plan-of-Action. Vom NIST entwickelt, vom BSI adaptiert.

Migration verinice → Grundschutz++

verinice nutzt eigenes Datenmodell. Migration ab Q2 2026 angekündigt. Was Hugo-Kunden ersparen.

Migration opus i (kronsoft)

opus i ist Eclipse/Java-basiert. Migration langwierig. ITSEC-Manager als Übergangslösung.

Migration HiScout

HiScout schon teilweise OSCAL-vorbereitet. Aber proprietäres Spec, nicht 1:1 BSI-konform.

Hugo-Roadmap zur Grundschutz++-Konformität

Datenmodell schon OSCAL-kompatibel ausgelegt. Auto-Importer ab BSI-Spec-Veröffentlichung. Marketing: ready ab Tag 1.

Vorbereitungs-Checkliste für KMU

7 Schritte bis 2027, die Sie heute schon angehen können — auch ohne neues Tool.

Grundschutz++ vs ISO 27001

Beides parallel sinnvoll. ISO ist global, BSI-GS++ ist DACH-Pflicht für KRITIS.

Wer 2027 erst anfängt mit Grundschutz++, hat 2028 keine Pflicht-Doku fertig. Hugo-Kunden sind vorbereitet — wir sind first-mover, weil wir OSCAL-Modellierung von Anfang an mitgedacht haben.

Nils Oehmichen

TÜV-zertifizierter Datenschutzberater · frag.hugo

Häufige Fragen

Was Sie vor dem Download wissen sollten.

Wann ist Grundschutz++ Pflicht?

Stand Mai 2026: Finale Spec wird Ende 2026 erwartet. Pflicht voraussichtlich 1.1.2028 für KRITIS und neue NIS2-Betroffene. Bestand-Zertifikate haben Übergangsfrist bis 2030.

Was ist OSCAL?

Open Security Controls Assessment Language vom NIST. Ein offener JSON-Standard für maschinenlesbare Sicherheits-Controls. Erlaubt Tool-übergreifende Compliance-Doku — was bei klassischen GRC-Tools nicht ging.

Bin ich von Grundschutz++ betroffen?

Wenn Sie KRITIS-Sektor sind (Energie, Wasser, Verkehr, Banken etc.), NIS2-Wichtige-Einrichtung mit BSI-Grundschutz-Verpflichtung, oder ISO-27001-zertifiziert sind und einen BSI-Audit anstreben — ja.

Muss ich von verinice / opus i wechseln?

Nein, beide Anbieter werden migrieren. Aber: Migration ist 2027 das größte ISMS-Projekt nach NIS2. Wer schon mit Hugo arbeitet, hat keinen Migrationsaufwand.

Was unterscheidet Grundschutz++ von Grundschutz?

Grundschutz: Bausteine in Word/PDF, manuell. Grundschutz++: maschinenlesbare OSCAL-Profile, automatisierbar, tool-übergreifend. Funktional ähnlich, aber Doku-Aufwand drastisch reduziert.

Jetzt herunterladen

E-Mail eintragen, Download kommt sofort per Mail.