Direkt zum Artikeltext springen

NIS2 vs. ISO 27001: Der Unterschied, den jeder Geschäftsführer kennen muss

Inhalt in Kürze

  • NIS2 ist Gesetz (verpflichtend, mit persönlicher Geschäftsführerhaftung), ISO 27001 ist Standard (freiwillig, aber wertvoll).
  • Eine ISO-27001-Zertifizierung deckt laut BSI nicht automatisch die Anforderungen aus § 30 BSIG ab – Sie brauchen zusätzliche Nachweise.
  • Bußgelder bei NIS2-Verstößen: bis zu 10 Mio. € oder 2 % vom weltweiten Jahresumsatz für besonders wichtige Einrichtungen.
  • Ein bestehendes ISMS nach ISO 27001 deckt ca. 70–80 % der NIS2-Pflichten ab – der Rest (Meldewege, Registrierung, Lieferkette, Haftung) muss ergänzt werden.

Viele Geschäftsführer sagen mir im Erstgespräch: „Wir sind ISO 27001 zertifiziert, dann sind wir bei NIS2 doch raus." Klingt logisch. Ist aber falsch. ISO 27001 schützt Sie nicht vor NIS2-Bußgeldern – und auch nicht vor Ihrer persönlichen Haftung als Geschäftsführer. Dieser Artikel zeigt die harte Abgrenzung, die Überschneidungen und was Sie zusätzlich zu ISO 27001 brauchen, um NIS2-ready zu sein.

NIS2 vs. ISO 27001: Die entscheidende Grundunterscheidung

NIS2 ist eine EU-Richtlinie, in Deutschland umgesetzt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der Bundestag hat das Gesetz am 13. November 2025 beschlossen, die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer unter NIS2 fällt, muss die Anforderungen erfüllen. Punkt.

ISO/IEC 27001 ist ein internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS). Unternehmen können sich freiwillig zertifizieren lassen. Der Standard ist hervorragend, aber eben: ein Standard, keine Behördenanforderung.

Was bedeutet das in der Praxis? Das BSI schreibt dazu klipp und klar: „Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist oder sämtliche Anforderungen nach § 30 BSIG erfüllt." Das ist die ganze Wahrheit in einem Satz.

Wer ist von NIS2 betroffen?

NIS2 trifft zwei Kategorien: besonders wichtige Einrichtungen (Großunternehmen in kritischen Sektoren wie Energie, Verkehr, Gesundheit, Banken) und wichtige Einrichtungen (mittlere Unternehmen in 18 Sektoren). Als Faustregel: Ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der regulierten Sektoren sind Sie drin. Ohne Übergangsfrist.

Dazu kommt die Lieferkette: Auch wer selbst nicht unter NIS2 fällt, wird über Kundenverträge zur Umsetzung gezwungen, wenn er einen NIS2-Betroffenen beliefert.

Die zentrale Vergleichstabelle

Merkmal NIS2 ISO 27001
Rechtscharakter Gesetz (BSIG n.F.) Internationaler Standard
Verpflichtung Automatisch ab Schwellenwert Freiwillig
Geltungsbereich EU-weit harmonisiert International, unternehmensindividueller Scope
Sanktionen Bis 10 Mio. € oder 2 % Umsatz + GF-Haftung Verlust des Zertifikats
Fokus Risikomanagement, Meldepflichten, Incident Response ISMS-Prozesse, kontinuierliche Verbesserung
Meldepflicht 24 h / 72 h / 1 Monat an BSI Intern, nach Scope-Definition
Audit / Prüfung BSI-Aufsicht (risikobasiert, anlasslos möglich) Akkreditierte Zertifizierungsstelle, alle 3 Jahre
Registrierung Pflicht beim BSI Nicht vorgesehen
GF-Haftung Persönlich (§ 38 BSIG n.F.) Nicht relevant
10 Mio €
Max. Bußgeld NIS2
24 h
Frühmeldung an BSI
70–80 %
ISO-27001-Abdeckung

Wo sich beide überschneiden

Die gute Nachricht:

Wer ISO 27001 betreibt, hat ein starkes Fundament. Laut Praxis-Auswertungen von Beratern decken ISO-27001-Maßnahmen rund 70–80 % der NIS2-Risikomanagement-Anforderungen nach § 30 BSIG bereits ab.

Konkret überlappen sich vor allem:

  • Risikomanagement-Prozess – ISO-Kapitel 6 und 8 treffen fast 1:1 die § 30 BSIG-Anforderungen.
  • Zugriffskontrolle und Kryptografie – Annex-A-Controls (A.8, A.5.10, A.5.14, A.8.24) liefern direkt Bausteine für NIS2.
  • Business Continuity und Backup – In ISO 27001 (A.5.29, A.5.30) und NIS2 beides Pflicht.
  • Mitarbeiterschulungen und Awareness – Beide verlangen systematische Programme, nicht „einmal im Jahr eine PDF".
  • Lieferkettensicherheit – ISO hat A.5.19–A.5.22, NIS2 fordert explizit Lieferkettenbewertungen.

Was ISO 27001 NICHT abdeckt – aber NIS2 verlangt

Und hier wird es ernst. Diese Punkte finden Sie im ISO-Standard nicht – oder nur sehr weich. NIS2 macht sie zur Pflicht.

  • Formale BSI-Meldepflicht. 24 h Frühmeldung, 72 h qualifizierte Meldung, 1 Monat Abschlussbericht an das BSI – über deren Meldeportal. ISO 27001 schreibt interne Vorfallbehandlung vor, aber keine staatliche Meldung.
  • Registrierung beim BSI. Betroffene Unternehmen müssen sich proaktiv registrieren. Die erste Frist war der 6. März 2026.
  • Persönliche Geschäftsführerhaftung. § 38 BSIG (neu): Die Geschäftsleitung haftet persönlich für die Umsetzung. Ein ISO-Zertifikat schützt Sie nicht.
  • Konkrete technische Mindestanforderungen. NIS2 schreibt z. B. Multi-Faktor-Authentifizierung, Kryptografie und Zugriffskontrolle als Mindestmaßnahmen vor. ISO lässt das über die Risikobewertung flexibel.
  • Explizite Lieferkettenbewertung mit Haftung. Sie müssen Ihre Lieferanten bewerten – und im Zweifel nachweisen, dass Sie das getan haben.
  • Anlasslose BSI-Prüfungen. Die Aufsichtsbehörde kann ohne Vorankündigung prüfen. Ein ISO-Auditor kommt nur zum vereinbarten Termin.
Wichtig:

Eine „NIS2-Zertifizierung" gibt es nicht. Wer Ihnen das verkaufen will, hat die Rechtslage nicht verstanden. Das BSIG sieht keine offizielle Zertifizierung vor – es wird im Ernstfall auf Basis Ihrer Nachweise geprüft.

Jens Hagel: Warum ISO 27001 allein nicht reicht

ISO 27001 ist ein hervorragendes Fundament – wir empfehlen den Standard jedem Mittelständler ab 50 Mitarbeitenden. Aber als alleinige NIS2-Strategie reicht er nicht, weil NIS2 drei Dinge fordert, die im ISO-Scope typischerweise fehlen: die staatliche Meldekette ans BSI, die persönliche Geschäftsführerhaftung und die explizite Pflicht, Ihre Lieferanten zu bewerten. Wer auf ISO 27001 aufsetzt und diese Delta-Punkte sauber ergänzt, ist in etwa vier Monaten NIS2-ready. Wer bei Null anfängt, braucht zwölf.

Jens Hagel Jens HagelMitgründer frag.hugo, Geschäftsführer hagel IT-Services

5-Schritte-Plan: Von ISO 27001 zu NIS2-Readiness

  1. Betroffenheit prüfen. Klären Sie verbindlich, ob Sie unter „wichtige" oder „besonders wichtige Einrichtung" fallen. Nutzen Sie unseren NIS2-Betroffenheitscheck oder das Prüftool des BSI.
  2. Gap-Analyse § 30 BSIG gegen Ihr ISMS. Mappen Sie jeden Punkt aus § 30 BSIG auf Ihre bestehenden ISO-27001-Controls. Dokumentieren Sie jede Lücke – das ist später Ihr Haftungsschutz.
  3. Meldeprozess an das BSI aufsetzen. Rollen und Fristen (24 h / 72 h / 1 Monat) im Incident-Response-Playbook verankern. Einen verantwortlichen Ansprechpartner zum BSI benennen.
  4. Lieferkette bewerten. Kritische Dienstleister identifizieren, Fragebögen versenden, Ergebnisse dokumentieren. Vertragsklauseln zu Meldepflichten ergänzen.
  5. Geschäftsführung schulen und Nachweis erbringen. Die persönliche Haftung entfällt nur, wenn die GF die Maßnahmen nachweislich kennt und genehmigt hat. Schulungspflicht ist Gesetz, kein Soft-Skill.

Reicht die ISO-Zertifizierung als BSI-Nachweis?

Teilweise ja – aber nie als Einziges. Das BSI akzeptiert ISO 27001 als starkes Indiz für ein funktionierendes Risikomanagement, insbesondere wenn der Scope der Zertifizierung Ihre gesamten NIS2-relevanten Systeme umfasst. Aber: Sie müssen zusätzlich nachweisen, dass Sie die NIS2-spezifischen Pflichten (Meldewege, Registrierung, Lieferkette, GF-Haftung) erfüllen.

Eine Kombinations-Strategie, die wir bei hagel IT-Services mehrfach erfolgreich umgesetzt haben: ISO-27001-Zertifizierung als Fundament – plus ein separates NIS2-Compliance-Dossier, das die Delta-Punkte abdeckt und im Ernstfall der Behörde vorgelegt werden kann.

Das Wichtigste: NIS2 ist Gesetz, ISO 27001 ist Standard – beide gehören zusammen, aber keiner ersetzt den anderen. Mit einem bestehenden ISMS haben Sie 70–80 % der Strecke hinter sich. Die restlichen 20–30 % (Meldekette, Registrierung, Lieferkette, GF-Haftung) sind der Unterschied zwischen „zertifiziert" und „rechtssicher".

Sie sind ISO 27001 zertifiziert und fragen sich, was Ihnen für NIS2 fehlt?

Wir schauen uns Ihr ISMS in 15 Minuten an und sagen Ihnen ehrlich, wo die Delta-Punkte liegen. Mit [Hugo Shield](/hugo-shield/) decken wir zusätzlich die Lieferketten-Compliance ab – das Feld, das ISO 27001 am dünnsten abdeckt.

Kostenloses 15-Min-Erstgespräch buchen →

Häufige Fragen (FAQ)

Brauche ich ISO 27001, um NIS2-konform zu sein?

Nein. ISO 27001 ist ein hilfreicher Standard, aber keine Pflichtvoraussetzung für NIS2. Sie können NIS2-Anforderungen auch ohne Zertifizierung erfüllen – müssen das BSI dann aber über alternative Nachweise überzeugen. Eine ISO-Zertifizierung beschleunigt den Prozess erheblich.

Wenn ich ISO 27001 zertifiziert bin, was fehlt mir noch für NIS2?

In der Regel vier Dinge: formale BSI-Meldekette (24 h / 72 h / 1 Monat), Registrierung beim BSI, nachweisliche Geschäftsführer-Schulung mit Zustimmung zu den Maßnahmen, und eine dokumentierte Lieferantenbewertung. Bei guter ISO-Umsetzung sind das 3–4 Monate Zusatzarbeit.

Ab wann bin ich NIS2-pflichtig?

Seit das NIS2UmsuCG am 13. November 2025 vom Bundestag beschlossen wurde, gelten die Pflichten für alle betroffenen Unternehmen. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer seither nicht registriert ist, handelt bereits rechtswidrig und riskiert Bußgelder.

Wer haftet bei NIS2-Verstößen persönlich?

Die Geschäftsleitung. § 38 BSIG (neu) sieht ausdrücklich die persönliche Haftung der Geschäftsführer vor. Das Unternehmen kann die GF dafür nicht freistellen – die Haftung ist zwingend. Das ist neu gegenüber der alten NIS-Richtlinie.

Welche Meldefristen gelten bei einem Sicherheitsvorfall?

Drei Stufen: Die Frühmeldung muss innerhalb von 24 Stunden beim BSI eingehen. Die qualifizierte Meldung folgt nach 72 Stunden. Der Abschluss- oder Fortschrittsbericht muss spätestens nach einem Monat vorliegen. Alle Meldungen laufen über das BSI-Meldeportal.

Wie starte ich die NIS2-Gap-Analyse, wenn ich schon ISO 27001 habe?

Mappen Sie jeden Punkt aus § 30 BSIG auf Ihre vorhandenen ISO-Controls und dokumentieren Sie jede Lücke. Fokussieren Sie dabei auf die vier Delta-Bereiche: Meldekette, Registrierung, Lieferkette, GF-Haftung. Oder übergeben Sie die Gap-Analyse an einen Profi – bei uns dauert sie typischerweise zwei Wochen inklusive schriftlichem Maßnahmenplan. Mehr dazu auf unserer Seite zur NIS2-Beratung in Hamburg und im Profil von Jens Hagel.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Jens Hagel

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.

21 Jahre IT-Unternehmer statista / brand eins Award Microsoft Partner WatchGuard Gold
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular