ISO 27001 vs NIS-2: Was Sie wissen müssen
ISO 27001 und NIS-2 überschneiden sich zu 70 %. Was nur ISO abdeckt, was nur NIS-2 fordert und wie Sie Doppelarbeit vermeiden — kompakt erklärt.
ISO 27001 vs NIS-2: Was Sie wissen müssen
Key Takeaways
- ISO 27001 und NIS-2 überschneiden sich zu etwa 70 % — aber keine der beiden Normen ersetzt die andere
- NIS-2 ist gesetzliche Pflicht, ISO 27001 ist freiwillige Zertifizierung mit Marktvorteil
- Wer NIS-2 sauber umsetzt, hat die Hälfte des Wegs zur ISO-27001-Zertifizierung bereits zurückgelegt
- Die verbleibenden 30 % Unterschied sind keine Kleinigkeit — beide Seiten haben spezifische Alleinstellungsmerkmale
- Die empfohlene Reihenfolge für KMU: NIS-2 zuerst, ISO 27001 als nächster Schritt
Zwei Normen, ein Ziel, unterschiedliche Logik
ISO 27001 und NIS-2 verfolgen dasselbe übergeordnete Ziel: strukturierte, nachweisbare Informationssicherheit. Dennoch unterscheiden sie sich grundlegend in ihrer Logik.
ISO 27001 ist ein internationaler Standard, der von der International Organization for Standardization herausgegeben wird. Er definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und endet mit einer Zertifizierung durch eine akkreditierte Stelle. Die Zertifizierung ist freiwillig, wird aber von immer mehr Enterprise-Kunden und Behörden als Zugangsvoraussetzung für Geschäftsbeziehungen gefordert.
NIS-2 ist eine EU-Richtlinie, in Deutschland umgesetzt durch das NIS2UmsuCG. Sie ist kein Standard mit Zertifikat, sondern bindendes Recht mit Bußgeldsanktionen. Sie schreibt konkrete Mindestmaßnahmen vor und schafft Pflichten gegenüber einer Behörde (dem BSI), nicht gegenüber einem Kunden.
Ein weiterer wichtiger Unterschied: ISO 27001 ist technologieneutral und prinzipienbasiert — das „Wie" der Umsetzung liegt beim Unternehmen. NIS-2 ist in einigen Bereichen expliziter, etwa bei der Meldepflicht (konkrete Fristen) oder der Anforderung an Incident-Response-Prozesse.
Die 70 %-Überschneidung: Was beide fordern
Der überwiegende Teil beider Frameworks deckt sich. Wer ein NIS-2-konformes Sicherheitsprogramm aufbaut, legt gleichzeitig das Fundament für ISO 27001. Folgende Bereiche überschneiden sich:
| Themenbereich | ISO 27001 (Annex A) | NIS-2 (Art. 21) |
|---|---|---|
| Risikoanalyse und -behandlung | Kapitel 6.1, A.8.2 | Art. 21 Abs. 2 lit. a |
| Asset-Management | A.5.9, A.5.10 | implizit in Risikoanalyse |
| Zugangskontrolle & IAM | A.5.15–A.5.18 | Art. 21 Abs. 2 lit. i |
| Kryptographie | A.8.24 | Art. 21 Abs. 2 lit. h |
| Physische Sicherheit | A.7.1–A.7.14 | Art. 21 Abs. 2 lit. e |
| Incident Management | A.5.24–A.5.28 | Art. 21 Abs. 2 lit. b |
| Business Continuity | A.5.29–A.5.30 | Art. 21 Abs. 2 lit. c |
| Lieferkettenmanagement | A.5.19–A.5.22 | Art. 21 Abs. 2 lit. d |
| Mitarbeiterschulungen | A.6.3 | Art. 21 Abs. 2 lit. g |
| Schwachstellenmanagement | A.8.8 | Art. 21 Abs. 2 lit. e |
Wer diese zehn Bereiche in Dokumentation und Umsetzung sauber aufbaut, erfüllt den Kern beider Anforderungen.
Was nur ISO 27001 fordert
ISO 27001 geht in einigen Bereichen deutlich über NIS-2 hinaus. Das betrifft vor allem:
ISMS-Governance und -Dokumentation: ISO 27001 verlangt eine formal dokumentierte Management-Erklärung (Information Security Policy), ein vollständiges Statement of Applicability (SoA) für alle 93 Controls des Annex A, sowie ein dokumentiertes Verfahren für die jährliche Management-Review.
Internes Audit-Programm: ISO 27001 Abschnitt 9.2 schreibt regelmäßige interne Audits durch geschulte interne Auditoren vor. NIS-2 fordert keine internen Audits in dieser Formalität.
Messung und Kennzahlen: ISO 27001 verlangt in Abschnitt 9.1, dass die Wirksamkeit des ISMS durch messbare KPIs nachgewiesen wird. Der Ansatz muss dokumentiert und jährlich ausgewertet werden.
Annex A Controls jenseits der NIS-2-Pflichten: Einige der 93 ISO-27001-Controls gehen über NIS-2 hinaus, etwa im Bereich Intellectual Property Rights (A.5.32), Datenlöschung und -entsorgung (A.7.14) oder Entwicklungssicherheit (A.8.28, A.8.29).
Was nur NIS-2 fordert
Umgekehrt hat NIS-2 Anforderungen, die ISO 27001 so nicht kennt:
BSI-Registrierung: Eine formale Registrierung beim BSI ist in keinem ISO-Standard vorgeschrieben. NIS-2 macht sie zur behördlichen Pflicht.
24/72-Stunden-Meldepflicht: ISO 27001 fordert ein Incident-Management-System. NIS-2 setzt konkrete Fristen: Erstmeldung bei erheblichen Vorfällen binnen 24 Stunden, detaillierte Folgemeldung binnen 72 Stunden.
Persönliche Haftung der Geschäftsführung: ISO 27001 hat keine persönliche Haftungsregelung für Führungspersonen. NIS-2 macht Geschäftsführer persönlich haftbar — ein Risiko, das weit über die Unternehmenssphäre hinausgeht.
Branchenspezifische Mindestmaßnahmen: Das NIS2UmsuCG enthält für einige Sektoren zusätzliche, sektorspezifische Sicherheitsanforderungen, die über den generischen ISO-27001-Rahmen hinausgehen.
Behördliche Durchsetzung ohne Zertifizierungsnachweis: ISO 27001 schützt durch Zertifikat, das extern auditiert wurde. NIS-2-Compliance ist durch das Unternehmen selbst zu gewährleisten und kann vom BSI jederzeit überprüft werden — ohne dass ein externes Audit vorliegen muss.
Die empfohlene Strategie für KMU
Für ein KMU mit 50 bis 250 Mitarbeitern empfehlen wir folgende Reihenfolge:
Schritt 1 — NIS-2-Compliance (Monate 1–6): Gesetzliche Pflicht hat Vorrang. Bauen Sie ein grundlegendes ISMS auf, das die NIS-2-Anforderungen erfüllt. Dokumentieren Sie alles so, dass es auch als ISO-27001-Nachweis nutzbar ist. Nutzen Sie dabei die Systematik von ISO 27001 als Rahmen — auch wenn Sie noch keine Zertifizierung anstreben.
Schritt 2 — ISO-27001-Gap-Analyse (Monate 7–9): Nach stabiler NIS-2-Umsetzung lassen Sie eine Gap-Analyse gegen ISO 27001 durchführen. Typischerweise bleiben 20–30 Controls offen, die in NIS-2 keine direkte Entsprechung haben. Diese Gap-Analyse kostet bei einem externen Berater typischerweise 5.000 bis 15.000 Euro.
Schritt 3 — ISO-27001-Zertifizierung (Monate 10–18): Schließen Sie die Lücken, bereiten Sie das SoA vor, führen Sie interne Audits durch und beauftragen Sie eine akkreditierte Zertifizierungsstelle (z. B. TÜV SÜD, DQS, DNV). Die Zertifizierung öffnet Türen zu Enterprise-Kunden und öffentlichen Ausschreibungen.
Vyrex unterstützt beide Schritte: Die technische Grundlage für NIS-2 und ISO 27001 — kontinuierliches Monitoring, Schwachstellenmanagement, Compliance-Reports — liefert das Managed SIEM und die ISO-27001-Vorbereitungsberatung.
Für den Einstieg empfehlen wir auch die NIS-2 Checkliste 2026 als Selbsttest.
Kosten im Vergleich
| Maßnahme | NIS-2-Compliance | ISO-27001-Zertifizierung |
|---|---|---|
| Externe Beratung | 15.000–40.000 € | 30.000–80.000 € |
| Interne Arbeitszeit | 2–4 Personenmonate | 4–8 Personenmonate |
| Technische Maßnahmen | 10.000–50.000 €/Jahr | Ähnlich, aber breiter |
| Laufende Kosten | 5.000–20.000 €/Jahr | 10.000–25.000 €/Jahr (inkl. Auditgebühren) |
| Bußgeldrisiko bei Nichtumsetzung | Bis 10 Mio. € | Keines (freiwillig) |
Der Return on Investment von ISO 27001 liegt in der Marktfähigkeit: Ein Zertifikat öffnet Enterprise-Ausschreibungen, reduziert Versicherungsprämien und signalisiert Geschäftspartnern Vertrauenswürdigkeit — messbar in gewonnenen Aufträgen.
FAQ
Bin ich mit ISO 27001 automatisch NIS-2-konform? Nein, aber Sie haben einen erheblichen Vorsprung. ISO 27001 deckt etwa 70 % der NIS-2-Anforderungen strukturell ab. Die Lücken liegen vor allem bei NIS-2-spezifischen Pflichten wie BSI-Registrierung, 24-Stunden-Meldepflicht und den branchenspezifischen Sicherheitsmaßnahmen aus dem NIS2UmsuCG.
Was kostet eine ISO-27001-Zertifizierung für ein KMU? Für ein KMU mit 50 bis 200 Mitarbeitern sollten Sie mit 30.000 bis 80.000 Euro für Einführungsberatung, interne Arbeitszeit und Erstzertifizierung rechnen. Hinzu kommen jährliche Überwachungsaudits von ca. 5.000 bis 15.000 Euro. Das Rezertifizierungsaudit alle drei Jahre kostet ähnlich viel wie die Erstzertifizierung.
Kann ich NIS-2 als Einstieg nutzen und später auf ISO 27001 aufbauen? Ja, das ist die pragmatischste Strategie für die meisten KMU. NIS-2-Compliance ist gesetzlich erzwungen und zeitlich dringlicher. ISO 27001 baut auf demselben Fundament auf — wer sein ISMS für NIS-2 sauber dokumentiert, hat 60 bis 70 % der ISO-27001-Anforderungen bereits erfüllt.
Welche Branchen sollten ISO 27001 zusätzlich zu NIS-2 anstreben? ISO 27001 ist besonders wertvoll für Unternehmen, die als Dienstleister oder Lieferant für Enterprise-Kunden, Behörden oder internationale Konzerne arbeiten. Viele Ausschreibungen fordern ISO-27001-Zertifizierung als Zugangsvoraussetzung. Auch SaaS-Anbieter und Cloud-Dienstleister sollten ISO 27001 priorisieren.
Wie lange dauert die ISO-27001-Einführung realistisch? Für ein KMU ohne vorhandenes ISMS dauert die Einführung typischerweise 12 bis 18 Monate bis zur erfolgreichen Erstzertifizierung. Mit einem bestehenden NIS-2-konformen Sicherheitsprogramm als Basis verkürzt sich die Dauer auf 6 bis 12 Monate.
Möchten Sie wissen, wie weit Sie von ISO-27001-Zertifizierung entfernt sind? Sprechen Sie mit unserem Beratungsteam oder fordern Sie einen kostenlosen Security-Check an.
Häufige Fragen
Bin ich mit ISO 27001 automatisch NIS-2-konform?
Nein, aber Sie haben einen erheblichen Vorsprung. ISO 27001 deckt etwa 70 % der NIS-2-Anforderungen strukturell ab. Die Lücken liegen vor allem bei NIS-2-spezifischen Pflichten wie BSI-Registrierung, 24-Stunden-Meldepflicht und den branchenspezifischen Sicherheitsmaßnahmen aus dem NIS2UmsuCG.
Was kostet eine ISO-27001-Zertifizierung für ein KMU?
Für ein KMU mit 50 bis 200 Mitarbeitern sollten Sie mit 30.000 bis 80.000 Euro für Einführungsberatung, interne Arbeitszeit und Erstzertifizierung rechnen. Hinzu kommen jährliche Überwachungsaudits von ca. 5.000 bis 15.000 Euro. Das Rezertifizierungsaudit alle drei Jahre kostet ähnlich viel wie die Erstzertifizierung.
Kann ich NIS-2 als Einstieg nutzen und später auf ISO 27001 aufbauen?
Ja, das ist die pragmatischste Strategie für die meisten KMU. NIS-2-Compliance ist gesetzlich erzwungen und zeitlich dringlicher. ISO 27001 baut auf demselben Fundament auf — wer sein ISMS für NIS-2 sauber dokumentiert, hat 60 bis 70 % der ISO-27001-Anforderungen bereits erfüllt.
Welche Branchen sollten ISO 27001 zusätzlich zu NIS-2 anstreben?
ISO 27001 ist besonders wertvoll für Unternehmen, die als Dienstleister oder Lieferant für Enterprise-Kunden, Behörden oder internationale Konzerne arbeiten. Viele Ausschreibungen fordern ISO-27001-Zertifizierung als Zugangsvoraussetzung. Auch SaaS-Anbieter und Cloud-Dienstleister sollten ISO 27001 priorisieren.
Wie lange dauert die ISO-27001-Einführung realistisch?
Für ein KMU ohne vorhandenes ISMS dauert die Einführung typischerweise 12 bis 18 Monate bis zur erfolgreichen Erstzertifizierung. Mit einem bestehenden NIS-2-konformen Sicherheitsprogramm als Basis verkürzt sich die Dauer auf 6 bis 12 Monate.