Artikel ‧ November 2025

NIS2 vs. ISO/IEC 27001

Unterschiedliche Wege zum gleichen Ziel?

Cybersecurity|4 Min. Lesezeit
NIS2 vs. ISO/IEC 27001

In der sich ständig weiterentwickelnden Cybersicherheitslandschaft treten Standards und Vorschriften häufig parallel auf, was die Frage aufwirft:

  • Wie sind sie aufeinander abgestimmt?
  • Und erfüllt die Einhaltung eines Standards auch die Anforderungen des anderen?

Betrachten wir ISO/IEC 27001 und die NIS2-Richtlinie der EU genauer – zwei weit verbreitete Rahmenwerke, an denen sich Unternehmen heute orientieren.

ISO/IEC 27001: Ein bewährtes globales Rahmenwerk für Informationssicherheit

ISO/IEC 27001 wurde erstmals 2005 veröffentlicht und zuletzt 2022 aktualisiert und ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert einen systematischen Ansatz für den Umgang mit sensiblen Informationen – unter Einbeziehung von Personen, Prozessen und Technologien.

Unternehmen können sich von akkreditierten Stellen zertifizieren lassen, was Folgendes umfasst:

  • Implementierung von Kontrollen aus ISO/IEC 27002 (unterstützende Richtlinie)
  • Kontinuierliche Verbesserung durch PDCA (Plan-Do-Check-Act)
  • Nachweis der tatsächlichen Umsetzung, nicht nur der Dokumentation

ISO 27001 wird geschätzt, weil sie skalierbar, auditierbar und branchen- und länderübergreifend weithin anerkannt ist. Deswegen bildet sie häufig die Grundlage für die Sicherheits-Governance von Unternehmen.

NIS2: Das regulatorische Rückgrat der EU für Cybersicherheit

Die Richtlinie 2023/1366 EU über Netz und Informationssicherheit NIS2 ist 2023 in Kraft getreten und erhöht die Anforderungen an die Cybersicherheit für kritische und wichtige Einrichtungen in der EU, darunter Energie, Verkehr, Finanzen, Gesundheitswesen, IKT Dienstleistungen, Fertigung und weitere Branchen.

Im Gegensatz zu ISO ist NIS2 rechtsverbindlich. Jeder EU-Mitgliedstaat muss sie in nationales Recht umsetzen, wobei bei Nichteinhaltung Strafen drohen.

Der Kern von NIS2 liegt in Artikel 21, der vorschreibt, dass Organisationen geeignete technische, betriebliche und organisatorische Maßnahmen zur Risikosteuerung umsetzen müssen. Dazu gehören:

  • Risikoanalyse und Sicherheitsrichtlinien
  • Incident Handling (Umgang mit Vorfällen)
  • Geschäftskontinuität und Notfallwiederherstellung
  • Sicherheit der Lieferkette
  • Zugangskontrolle und Asset Management
  • Verschlüsselung und Umgang mit Schwachstellen
  • Sicherheit und Schulung der Mitarbeiter

Wie ISO/IEC 27001 und NIS2 übereinstimmen (High-Level Mapping)

Während ISO/IEC 27001 eine freiwillige internationale Norm und NIS2 eine verbindliche EU-Richtlinie ist, stimmen ihre zugrunde liegenden Sicherheitsprinzipien und Kontrollziele weitgehend überein.

Betrachten wir einige der wichtigsten Bereiche aus Artikel 21 von NIS2 und wie sie sich mit ISO/IEC 27001 vergleichen lassen:

Risikoanalyse und Sicherheitsrichtlinien

NIS2 verlangt von Organisationen, regelmäßige Risikobewertungen durchzuführen und risikobasierte Sicherheitsrichtlinien zu implementieren (Artikel 21, Abschnitt a).

ISO/IEC 27001 stellt das Risikomanagement in den Mittelpunkt des Informationssicherheits-Managementsystems (ISMS) und integriert es in alle Bereiche der Kontrollgestaltung und -umsetzung.

Incident Handling

Artikel 21 (Abschnitt b) der NIS2 fordert Fähigkeiten zur Verhinderung, Erkennung, Reaktion und Wiederherstellung nach Vorfällen.

ISO/IEC 27001 deckt dies in mehreren Bereichen ab, darunter die Planung der Reaktion auf Vorfälle, Erkennungsfähigkeiten, Prozesse zur Lösung von Vorfällen und das Lernen nach Vorfällen, um die zukünftige Widerstandsfähigkeit zu verbessern.

Geschäftskontinuität und Notfallwiederherstellung

NIS2 (Abschnitt c) betont die Aufrechterhaltung der Geschäftskontinuität und die Sicherstellung von Notfallwiederherstellungsfähigkeiten.

ISO/IEC 27001 behandelt dies durch seine Anforderungen an die Geschäftskontinuitätsplanung, einschließlich Backup-Strategien, Redundanz und Testen von Notfallverfahren.

Sicherheit der Lieferkette

Artikel 21 (Abschnitt d) betont die Notwendigkeit, Risiken zu managen, die von Drittanbietern und Dienstleistern ausgehen.

ISO/IEC 27001 spiegelt dies durch spezielle Kontrollen im Bereich Lieferantenbeziehungsmanagement und Risikobewertung von Drittanbietern wider, wodurch sichergestellt wird, dass die Sicherheitsverantwortlichkeiten klar definiert und überwacht werden.

Zugriffskontrolle und Asset Management

Die Abschnitte e und f von Artikel 21 befassen sich mit der Notwendigkeit der Identitäts- und Zugriffsverwaltung sowie der Bestandsaufnahme von Vermögenswerten.

ISO betont diese Bereiche durch Kontrollen der Benutzerzugriffsbereitstellung, Authentifizierung, geringsten Privilegien und der Pflege eines aktuellen Vermögensregisters.

Verschlüsselung und sichere Kommunikation

Abschnitt g der NIS2 bezieht sich auf die Verwendung von Kryptografie und sicherer Kommunikation zum Schutz von Daten.

ISO/IEC 27001 enthält ebenfalls Richtlinien für die Implementierung kryptografischer Kontrollen und die Sicherung von Daten während der Übertragung und im Ruhezustand.

Verwundbarkeits- und Konfigurationsmanagement

NIS2 (Abschnitt h) fordert ein effektives Umgang mit Schwachstellen und Richtlinien zur Gewährleistung einer sicheren Konfiguration.

ISO unterstützt dies mit Kontrollen für Schwachstellenmanagement, Patching, Systemhärtung und Änderungskontrollverfahren.

Sicherheit und Sensibilisierung der Mitarbeiter

Artikel 21 betont auch, wie wichtig es ist, sicherzustellen, dass die Mitarbeiter geschult und informiert sind und im Rahmen klarer Sicherheitsrichtlinien arbeiten.

ISO/IEC 27001 enthält einen vollständigen Bereich zu Sensibilisierungsschulungen, Benutzerverantwortlichkeiten und der Entwicklung einer Sicherheitskultur im gesamten Unternehmen.

Zusammenfassend lässt sich sagen, dass NIS2 und ISO/IEC 27001 zwar in Sprache und Struktur unterscheiden, aber in Bezug auf die Sicherheitsziele dieselbe Sprache sprechen. ISO bietet einen flexiblen, detaillierten Rahmen für die Umsetzung der Anforderungen, während NIS2 die rechtlichen Mindestanforderungen festlegt, die Organisationen erfüllen müssen.

Wenn Sie nach ISO/IEC 27001 zertifiziert sind, sind Sie dann auch NIS2-konform?

In den meisten Fällen ja, aber nicht automatisch.

ISO/IEC 27001 bietet einen soliden Rahmen, der nahezu alle technischen und organisatorischen Anforderungen von NIS2 abdeckt. NIS2 stellt jedoch über technische Kontrollen hinausgehende regulatorische Anforderungen, wie zum Beispiel:

  • Spezifische Fristen für die Meldung von Vorfällen (Incidents)
  • Sektorspezifische Aufsicht durch nationale Behörden
  • Anforderungen an die Rechenschaftspflicht und Governance für die oberste Führungsebene

Mit einer ISO Zertifizierung sind Sie bereits gut aufgestellt, dennoch sind folgende Schritte erforderlich:

  • Berichtsverfahren validieren
  • AGovernance-spezifische Verpflichtungen erfüllen
  • die Übereinstimmung mit den lokalen NIS2-Implementierungen sicherstellen (da die Durchsetzung von Land zu Land unterschiedlich ist)

Wenn Sie sich auf NIS2 vorbereiten, kann die Einführung von ISO IEC 27001 ein effizienter und international etablierter Ansatz sein, um:

  • Ihre Maßnahmen (Controls) zu strukturieren
  • Ihre Sorgfaltspflicht nachzuweisen
  • einen kontinuierlichen Verbesserungszyklus einzurichten
  • sich auf die Validierung durch Dritte vorzubereiten

Fazit

ISO/IEC 27001 und NIS2 sind sich eher ähnlich als unterschiedlich. Das eine ist freiwillig, das andere obligatorisch – aber beide zielen auf dasselbe Ergebnis ab: eine robuste, risikobasierte und gut dokumentierte Cybersicherheitsstrategie.

Für Unternehmen, die in der EU tätig sind, ist die Nutzung von ISO/IEC 27001 als Grundlage für die NIS2-Konformität nicht nur effektiv, sondern auch strategisch sinnvoll.

Folge uns auf LinkedIn

Peace of Mind for your IT