Warum ISO 27001 der ideale Grundstein ist – und warum NIS2 dennoch zusätzliche Schritte erfordert.
Die Umsetzung der NIS2-Richtlinie ist in Deutschland verschoben, allerdings werden die Anforderungen für die betroffenen Unternehmen nicht verschwinden. Sich jetzt bereits mit den Anforderungen der ISO-Norm 27001 zu befassen kann Unternehmen dabei helfen, die geforderten Sicherheitsstandards zu erreichen. Zwischen den beiden Themenfeldern gibt es allerdings auch einige Unterschiede zu betrachten.
Verbindlichkeit: NIS2 ist für betroffene Unternehmen verpflichtend, während ISO/IEC 27001 eine freiwillige Zertifizierung darstellt.
Geltungsbereich: NIS2 gilt als EU-Richtlinie speziell für „wesentliche“ und „wichtige“ Einrichtungen in kritischen Sektoren. Im Gegensatz dazu ist ISO/IEC 27001 ein weltweit anwendbarer Standard für Informationssicherheits-Managementsysteme (ISMS).
Zielsetzung: Das Hauptziel von NIS2 liegt in der Cybersicherheit und der Resilienz kritischer Sektoren. ISO/IEC 27001 fokussiert sich dagegen allgemein auf das Management der Informationssicherheit durch ISMS.
Risikomanagement: Während NIS2 ein Risikomanagement mit dem Schwerpunkt auf Cybersicherheit fordert, umfasst ISO/IEC 27001 ein allgemeines Risikomanagement für alle Arten von Informationswerten.
Berichtspflichten: NIS2 verpflichtet Unternehmen zur Meldung von Cybervorfällen innerhalb von 24 bis 72 Stunden. ISO/IEC 27001 kennt keine verpflichtenden Meldepflichten für Vorfälle.
Überwachung und Sanktionen: NIS2 wird von nationalen Behörden überwacht, wobei hohe Strafen bei Nichteinhaltung drohen. Bei ISO/IEC 27001 erfolgt keine behördliche Kontrolle, stattdessen gibt es freiwillige Audits.
Anforderungen an die Lieferkette: NIS2 stellt strenge Vorgaben für Drittanbieter und Lieferanten. Bei ISO/IEC 27001 hingegen gibt es lediglich Empfehlungen, aber keine expliziten Anforderungen.
Zertifizierung: Eine direkte Zertifizierung ist bei NIS2 nicht vorgesehen, es geht vielmehr um den Nachweis der Compliance. ISO/IEC 27001 hingegen ist durch akkreditierte Stellen zertifizierbar.
Sonstige Anforderungen: NIS2 beinhaltet darüber hinaus Anforderungen wie Governance, Krisenmanagement, Business Continuity, Cyberhygiene und Sensibilisierungspflichten. ISO/IEC 27001 fokussiert sich primär auf ISMS und die Informationssicherheit.
Die ISO-Norm 27001 deckt viele Anforderungen von NIS2 ab, reicht aber allein nicht aus. Unternehmen müssen zusätzliche Maßnahmen ergreifen, insbesondere in Meldepflichten, Cybersicherheitsanforderungen, Lieferkettensicherheit und behördlicher Überwachung, um vollständig NIS2-konform zu sein.
Quelle: https://www.it-daily.net/it-sicherheit/cloud-security/iso-iec-27001
Autor: Markus Vatter, Head of Compliance, 12.08.2025
