Ist ein ISMS nach ISO 27001 für NIS2 ausreichend?

Ein ISMS nach ISO 27001 deckt den größten Teil der NIS2-Anforderungen ab. Ergänzungen sind vor allem bei den spezifischen Meldepflichten (24h-Erstmeldung), der expliziten Lieferkettendokumentation und der Geschäftsführer-Schulungspflicht erforderlich. Eine ISO-27001-Zertifizierung ist jedoch nicht zwingend — NIS2 verlangt die Umsetzung der Maßnahmen, nicht eine bestimmte Zertifizierung.

Was passiert, wenn mein Unternehmen NIS2 nicht umsetzt?

Neben Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen aufsichtsrechtliche Maßnahmen durch das BSI, einschließlich Anordnungen zur Umsetzung. Die Geschäftsführung haftet persönlich für die Nichteinhaltung. Im schlimmsten Fall kann das BSI die Geschäftstätigkeit einschränken.

Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitenden?

Grundsätzlich richtet sich NIS2 an Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Umsatz. Es gibt jedoch Ausnahmen: Anbieter von DNS-Diensten, TLD-Registrierungen, Cloud-Computing, Rechenzentren, CDN-Diensten und Vertrauensdiensten fallen unabhängig von ihrer Größe unter die Regelung. Zudem können kleinere Unternehmen indirekt betroffen sein, wenn sie als Zulieferer regulierter Einrichtungen Sicherheitsanforderungen erfüllen müssen.

Wie lange dauert die Einführung eines NIS2-konformen ISMS?

Die Dauer hängt von der Ausgangslage und der Unternehmensgröße ab. Bei einer konsequenten Umsetzung mit externer Unterstützung und geeigneter ISMS-Software können KMU in 6 bis 12 Monaten ein grundlegendes ISMS aufbauen. Größere Organisationen sollten 12 bis 18 Monate einplanen.

Muss ich mein ISMS zertifizieren lassen, um NIS2 zu erfüllen?

Nein, NIS2 verlangt keine bestimmte Zertifizierung. Allerdings erleichtert eine ISO-27001-Zertifizierung den Nachweis gegenüber dem BSI erheblich und bietet zusätzliche Vorteile bei Kundenanforderungen und Ausschreibungen.

NIS2 und ISMS: Was Unternehmen jetzt umsetzen müssen

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland geltendes Recht. Übergangsfristen gibt es keine. Über 30.000 Unternehmen aus 18 Sektoren müssen nachweisen, dass sie ein systematisches Risikomanagement betreiben, Sicherheitsvorfälle melden können und ihre Lieferkette absichern. In der Praxis bedeutet das: Ohne ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) lässt sich NIS2 nicht erfüllen.

Dieser Artikel erklärt, welche Pflichten NIS2 konkret mit sich bringt, warum ein ISMS der beste Weg zur Compliance ist und welche Schritte Unternehmen jetzt priorisieren sollten.

NIS2 in Deutschland – Zeitstrahl und aktuelle Fristen

Die europäische NIS2-Richtlinie (EU 2022/2555) wurde im Januar 2023 auf EU-Ebene beschlossen. Deutschland hat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erst im Spätherbst 2025 final verabschiedet.

Datum	Ereignis
6. Dezember 2025	Inkrafttreten des NIS2UmsuCG. Alle Anforderungen an technische und organisatorische Maßnahmen gelten ab diesem Tag.
6. Januar 2026	Das BSI-Melde- und Informationsportal öffnet. Betroffene Unternehmen können sich registrieren.
6. März 2026	Registrierungsfrist beim BSI für „besonders wichtige Einrichtungen".
Laufend	Meldepflicht bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (Bewertung) und einem Monat (Abschlussbericht).

Wichtig: Das Gesetz sieht keine Schonfrist für die Implementierung vor. Unternehmen, die heute noch kein ISMS betreiben, befinden sich faktisch bereits in der Nichteinhaltung.

Wer ist von NIS2 betroffen?

NIS2 erweitert den Kreis der betroffenen Unternehmen erheblich. Entscheidend sind Branchenzugehörigkeit und Unternehmensgröße.

Sektoren

Besonders wichtige Einrichtungen umfassen u. a. Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum.

Wichtige Einrichtungen ergänzen die Liste um Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.

Schwellenwerte

Grundsätzlich fallen Unternehmen unter NIS2, wenn sie mindestens 50 Beschäftigte haben oder einen Jahresumsatz von über 10 Millionen Euro erzielen und einem der regulierten Sektoren angehören. Bestimmte Einrichtungen wie DNS-Dienste oder Anbieter öffentlicher Kommunikationsnetze fallen unabhängig von ihrer Größe unter die Regelung.

Warum NIS2 praktisch ein ISMS verlangt

Der Gesetzestext schreibt kein ISMS im Wortlaut vor. Was NIS2 jedoch fordert, lässt sich ohne ein strukturiertes Managementsystem nicht umsetzen. § 30 des neuen BSIG verlangt u. a.:

Systematisches Risikomanagement für Netz- und Informationssysteme
Dokumentierte Sicherheitsrichtlinien und deren Umsetzung
Vorfallmanagement mit klar definierten Meldeketten
Business Continuity Management einschließlich Backup- und Krisenmanagement
Sicherheit in der Lieferkette
Regelmäßige Schulungen für Geschäftsleitung und Mitarbeitende
Kryptografie und Verschlüsselung wo angemessen
Maßnahmen zur Zugriffskontrolle und zum Asset-Management

All diese Anforderungen entsprechen den Kernbestandteilen eines ISMS nach ISO 27001 oder nach BSI IT-Grundschutz.

Bußgelder und Geschäftsführer-Haftung

Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %.

Die Geschäftsführung muss die Umsetzung der Sicherheitsmaßnahmen genehmigen, deren Einhaltung überwachen und an regelmäßigen Schulungen teilnehmen. Bei Pflichtverletzungen können Geschäftsführer persönlich haftbar gemacht werden.

ISMS nach ISO 27001 als NIS2-Erfüllungsweg

NIS2-Anforderung	ISO 27001 Entsprechung
Risikomanagement	Klausel 6.1, 8.2 — Risikobewertung und -behandlung
Sicherheitsrichtlinien	Klausel 5.2 — Informationssicherheitspolitik
Vorfallmanagement	A.5.24–A.5.28 — Incident Management
Business Continuity	A.5.29–A.5.30 — BCM und Redundanz
Lieferkettensicherheit	A.5.19–A.5.23 — Lieferantenbeziehungen
Zugriffskontrolle	A.5.15–A.5.18, A.8.2–A.8.5
Kryptografie	A.8.24 — Einsatz von Kryptografie
Schulungen	A.6.3 — Informationssicherheitsbewusstsein

Schritt für Schritt: NIS2-konformes ISMS aufbauen

Schritt 1: Betroffenheit klären

Nutzen Sie die BSI-Betroffenheitsprüfung und klären Sie, ob Ihr Unternehmen als „besonders wichtige" oder „wichtige" Einrichtung eingestuft wird.

Schritt 2: Gap-Analyse durchführen

Erfassen Sie den Ist-Zustand Ihrer Informationssicherheit. Eine strukturierte Gap-Analyse zeigt, welche NIS2-Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht.

Schritt 3: Geltungsbereich definieren

Legen Sie fest, welche Geschäftsprozesse, Standorte und Systeme vom ISMS abgedeckt werden.

Schritt 4: Risikomanagement aufsetzen

Identifizieren und bewerten Sie die Risiken für Ihre Informationswerte systematisch.

Schritt 5: Maßnahmen implementieren

Leiten Sie aus der Risikoanalyse konkrete Sicherheitsmaßnahmen ab und priorisieren Sie nach Risikohöhe.

Schritt 6: Dokumentation sicherstellen

NIS2 verlangt nachweisbare Compliance. Dokumentieren Sie alle Richtlinien, Prozesse und Maßnahmen. Eine ISMS-Software kann diesen Prozess erheblich beschleunigen.

Schritt 7: Meldeprozesse etablieren

Definieren Sie Incident-Response-Prozesse, die die NIS2-Meldefristen (24h/72h/1 Monat) einhalten können.

Schritt 8: Schulungen durchführen

Schulen Sie die Geschäftsleitung zu ihren NIS2-Pflichten und alle Mitarbeitenden zum sicheren Umgang mit Informationen.

Einen detaillierten Leitfaden finden Sie in ISMS einführen: Schritt-für-Schritt-Anleitung.

Welche ISMS-Software hilft bei der NIS2-Umsetzung?

Bei der Auswahl einer ISMS-Software für die NIS2-Compliance sollten Sie besonders auf folgende Funktionen achten:

NIS2-spezifische Vorlagen und Mappings
Integriertes Risikomanagement
Incident Management mit Fristen-Tracking
Lieferantenmanagement
Audit-Trail und Reporting
Hosting in Deutschland/EU

Einen aktuellen Überblick finden Sie in unserem ISMS-Software-Vergleich.

Häufige Fragen zu NIS2 und ISMS

Sie müssen NIS2 umsetzen?

Vergleichen Sie jetzt die führenden ISMS-Lösungen für den DACH-Raum — mit Funktionsübersicht, Preiseinschätzung und Nutzerbewertungen.

Zum ISMS-Software-Vergleich

Top-Vergleiche

Weitere Vergleiche