NIS2 Umsetzung – Der Schritt-für-Schritt-Plan für Unternehmen
NIS2 umsetzen: Der praktische Schritt-für-Schritt-Plan mit Timeline, Maßnahmen und Checkliste – auch für betroffene Hamburger Unternehmen.
Weiterlesen
Viele Geschäftsführer sagen mir im Erstgespräch: „Wir sind ISO 27001 zertifiziert, dann sind wir bei NIS2 doch raus." Klingt logisch. Ist aber falsch. ISO 27001 schützt Sie nicht vor NIS2-Bußgeldern – und auch nicht vor Ihrer persönlichen Haftung als Geschäftsführer. Dieser Artikel zeigt die harte Abgrenzung, die Überschneidungen und was Sie zusätzlich zu ISO 27001 brauchen, um NIS2-ready zu sein.
NIS2 ist eine EU-Richtlinie, in Deutschland umgesetzt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der Bundestag hat das Gesetz am 13. November 2025 beschlossen, die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer unter NIS2 fällt, muss die Anforderungen erfüllen. Punkt.
ISO/IEC 27001 ist ein internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS). Unternehmen können sich freiwillig zertifizieren lassen. Der Standard ist hervorragend, aber eben: ein Standard, keine Behördenanforderung.
Was bedeutet das in der Praxis? Das BSI schreibt dazu klipp und klar: „Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist oder sämtliche Anforderungen nach § 30 BSIG erfüllt." Das ist die ganze Wahrheit in einem Satz.
NIS2 trifft zwei Kategorien: besonders wichtige Einrichtungen (Großunternehmen in kritischen Sektoren wie Energie, Verkehr, Gesundheit, Banken) und wichtige Einrichtungen (mittlere Unternehmen in 18 Sektoren). Als Faustregel: Ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der regulierten Sektoren sind Sie drin. Ohne Übergangsfrist.
Dazu kommt die Lieferkette: Auch wer selbst nicht unter NIS2 fällt, wird über Kundenverträge zur Umsetzung gezwungen, wenn er einen NIS2-Betroffenen beliefert.
| Merkmal | NIS2 | ISO 27001 |
|---|---|---|
| Rechtscharakter | Gesetz (BSIG n.F.) | Internationaler Standard |
| Verpflichtung | Automatisch ab Schwellenwert | Freiwillig |
| Geltungsbereich | EU-weit harmonisiert | International, unternehmensindividueller Scope |
| Sanktionen | Bis 10 Mio. € oder 2 % Umsatz + GF-Haftung | Verlust des Zertifikats |
| Fokus | Risikomanagement, Meldepflichten, Incident Response | ISMS-Prozesse, kontinuierliche Verbesserung |
| Meldepflicht | 24 h / 72 h / 1 Monat an BSI | Intern, nach Scope-Definition |
| Audit / Prüfung | BSI-Aufsicht (risikobasiert, anlasslos möglich) | Akkreditierte Zertifizierungsstelle, alle 3 Jahre |
| Registrierung | Pflicht beim BSI | Nicht vorgesehen |
| GF-Haftung | Persönlich (§ 38 BSIG n.F.) | Nicht relevant |
Wer ISO 27001 betreibt, hat ein starkes Fundament. Laut Praxis-Auswertungen von Beratern decken ISO-27001-Maßnahmen rund 70–80 % der NIS2-Risikomanagement-Anforderungen nach § 30 BSIG bereits ab.
Konkret überlappen sich vor allem:
Und hier wird es ernst. Diese Punkte finden Sie im ISO-Standard nicht – oder nur sehr weich. NIS2 macht sie zur Pflicht.
Eine „NIS2-Zertifizierung" gibt es nicht. Wer Ihnen das verkaufen will, hat die Rechtslage nicht verstanden. Das BSIG sieht keine offizielle Zertifizierung vor – es wird im Ernstfall auf Basis Ihrer Nachweise geprüft.
ISO 27001 ist ein hervorragendes Fundament – wir empfehlen den Standard jedem Mittelständler ab 50 Mitarbeitenden. Aber als alleinige NIS2-Strategie reicht er nicht, weil NIS2 drei Dinge fordert, die im ISO-Scope typischerweise fehlen: die staatliche Meldekette ans BSI, die persönliche Geschäftsführerhaftung und die explizite Pflicht, Ihre Lieferanten zu bewerten. Wer auf ISO 27001 aufsetzt und diese Delta-Punkte sauber ergänzt, ist in etwa vier Monaten NIS2-ready. Wer bei Null anfängt, braucht zwölf.
Teilweise ja – aber nie als Einziges. Das BSI akzeptiert ISO 27001 als starkes Indiz für ein funktionierendes Risikomanagement, insbesondere wenn der Scope der Zertifizierung Ihre gesamten NIS2-relevanten Systeme umfasst. Aber: Sie müssen zusätzlich nachweisen, dass Sie die NIS2-spezifischen Pflichten (Meldewege, Registrierung, Lieferkette, GF-Haftung) erfüllen.
Eine Kombinations-Strategie, die wir bei hagel IT-Services mehrfach erfolgreich umgesetzt haben: ISO-27001-Zertifizierung als Fundament – plus ein separates NIS2-Compliance-Dossier, das die Delta-Punkte abdeckt und im Ernstfall der Behörde vorgelegt werden kann.
Sie sind ISO 27001 zertifiziert und fragen sich, was Ihnen für NIS2 fehlt?
Wir schauen uns Ihr ISMS in 15 Minuten an und sagen Ihnen ehrlich, wo die Delta-Punkte liegen. Mit [Hugo Shield](/hugo-shield/) decken wir zusätzlich die Lieferketten-Compliance ab – das Feld, das ISO 27001 am dünnsten abdeckt.
Kostenloses 15-Min-Erstgespräch buchen →Nein. ISO 27001 ist ein hilfreicher Standard, aber keine Pflichtvoraussetzung für NIS2. Sie können NIS2-Anforderungen auch ohne Zertifizierung erfüllen – müssen das BSI dann aber über alternative Nachweise überzeugen. Eine ISO-Zertifizierung beschleunigt den Prozess erheblich.
In der Regel vier Dinge: formale BSI-Meldekette (24 h / 72 h / 1 Monat), Registrierung beim BSI, nachweisliche Geschäftsführer-Schulung mit Zustimmung zu den Maßnahmen, und eine dokumentierte Lieferantenbewertung. Bei guter ISO-Umsetzung sind das 3–4 Monate Zusatzarbeit.
Seit das NIS2UmsuCG am 13. November 2025 vom Bundestag beschlossen wurde, gelten die Pflichten für alle betroffenen Unternehmen. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer seither nicht registriert ist, handelt bereits rechtswidrig und riskiert Bußgelder.
Die Geschäftsleitung. § 38 BSIG (neu) sieht ausdrücklich die persönliche Haftung der Geschäftsführer vor. Das Unternehmen kann die GF dafür nicht freistellen – die Haftung ist zwingend. Das ist neu gegenüber der alten NIS-Richtlinie.
Drei Stufen: Die Frühmeldung muss innerhalb von 24 Stunden beim BSI eingehen. Die qualifizierte Meldung folgt nach 72 Stunden. Der Abschluss- oder Fortschrittsbericht muss spätestens nach einem Monat vorliegen. Alle Meldungen laufen über das BSI-Meldeportal.
Mappen Sie jeden Punkt aus § 30 BSIG auf Ihre vorhandenen ISO-Controls und dokumentieren Sie jede Lücke. Fokussieren Sie dabei auf die vier Delta-Bereiche: Meldekette, Registrierung, Lieferkette, GF-Haftung. Oder übergeben Sie die Gap-Analyse an einen Profi – bei uns dauert sie typischerweise zwei Wochen inklusive schriftlichem Maßnahmenplan. Mehr dazu auf unserer Seite zur NIS2-Beratung in Hamburg und im Profil von Jens Hagel.
Inhaltsverzeichnis
NIS2 umsetzen: Der praktische Schritt-für-Schritt-Plan mit Timeline, Maßnahmen und Checkliste – auch für betroffene Hamburger Unternehmen.
Weiterlesen
Notfallplanung für KMU: Rechtliche Pflichten, Schritt-für-Schritt-Anleitung und Vorlage für Ihren IT-Notfallplan.
Weiterlesen
Deutsche Wohnen: LG Berlin senkt Bußgeld auf 900.000 €. NIS2-Nachfrist beim BSI bis 31. Juli. EuGH: DSGVO-Verstoß kein Beweisverbot. AI Act verschoben — KI-Schulung bleibt Pflicht.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular