Manager
Consultant, Diplom-Wirtschaftsinformatiker, Information Security Officer (ISO), IT Compliance Manager, IT-Risk-Practitioner (ITRP)
NIS-2 sicher erreichen: Warum ISO 27001 nur der erste Schritt ist
- ISO 27001 ist ein starkes Fundament, ersetzt NIS-2 aber nicht
- NIS-2 fordert zusätzliche Pflichten wie Meldewege und Managementverantwortung
- Unternehmen müssen Scope, Prozesse und Dokumentation erweitern
- Readiness-Check und Beratung ebnen den Weg zur NIS-2-Compliance
Carina Richters
Associate Partner
Compliance Officer (TÜV), Rechtsanwältin
NIS-2 verschärft die Anforderungen an Cybersicherheit. Das BSI zeigt klar auf: Eine ISO-27001-Zertifizierung ist ein wertvoller Wegbereiter, aber kein vollständiger Nachweis. Unternehmen müssen zusätzliche gesetzliche Pflichten erfüllen und ihr ISMS gezielt erweitern. Wir zeigen Ihnen, wie Sie den richtigen Weg einschlagen und Ihr Unternehmen sicher zur NIS-2-Compliance führen.
NIS-2 verändert die Anforderungen an Cybersicherheit grundlegend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt, wie Unternehmen ihren Weg zur NIS-2-Konformität gestalten können. Die Botschaft ist eindeutig: ISO 27001 ebnet den Weg, ersetzt NIS-2 aber nicht.
Wir möchten Ihnen Orientierung geben, damit Sie die nächsten Schritte sicher gehen.
ISO 27001: Ein starkes Fundament, aber kein vollständiger Nachweis
Viele Unternehmen setzen bereits auf ISO 27001, um Informationssicherheit strukturiert zu steuern. Das BSI bestätigt, dass der Standard bewährte Prozesse und Kontrollen entlang des gesamten Informationslebenszyklus bietet. Er schafft Ordnung, Transparenz und Verantwortlichkeiten.
Doch das BSI macht ebenso klar: Eine ISO-27001-Zertifizierung reicht nicht aus, um NIS-2 konform zu sein. Dafür nennt das BSI drei zentrale Gründe:
- Geltungsbereich: ISO 27001 erlaubt einen begrenzten Scope. NIS-2 verlangt Maßnahmen für den gesamten relevanten Einrichtungsbetrieb.
- Risikobehandlung: ISO 27001 erlaubt Risikoakzeptanz und Risikotransfer. NIS-2 schließt beides weitgehend aus.
- Rechtliche Pflichten: Meldepflichten, Registrierungspflichten und Geschäftsführungsverantwortung sind nicht Teil der Norm, aber verpflichtend nach NIS-2.
Wie Sie jetzt den richtigen Weg einschlagen
Das BSI empfiehlt zwei Wege, abhängig davon, wo Ihr Unternehmen heute steht.
1. Ihr ISMS ist bereits nach ISO 27001 zertifiziert:
Nutzen Sie Ihr ISMS als Fundament und schließen Sie gezielt die Lücken zu NIS-2, zum Beispiel bei Meldeprozessen oder der Einbindung der Geschäftsführung.
Ergänzend sollten Sie prüfen:
- ob der bestehende Scope wirklich alle relevanten Geschäftsprozesse, Systeme und Lieferketten abdeckt.
- ob Risiken bisher akzeptiert oder transferiert wurden, obwohl NIS-2 eine verpflichtende Umsetzung geeigneter Maßnahmen verlangt.
- ob formale Meldeprozesse mit klaren Fristen existieren.
- ob die Rolle der Geschäftsleitung dokumentiert, geschult und nachweisbar eingebunden ist.
- ob Abläufe für die Kommunikation mit dem BSI definiert sind.
Damit entwickeln Sie Ihr bestehendes ISMS gezielt in Richtung NIS-2 weiter.
2. Ihr ISMS ist In Planung:
Bauen Sie Ihr ISMS von Beginn an so auf, dass es die Anforderungen des § 30 BSIG integriert.
Wichtige Weichenstellungen:
- Der Scope muss alle relevanten Unternehmensbereiche umfassen.
- Meldepflichten, Registrierungspflichten und Managementverantwortung sollten von Anfang an Teil des ISMS sein.
- Eine frühe Gap-Analyse hilft, gesetzliche Anforderungen zu identifizieren, die über ISO 27001 hinausgehen.
- Entscheidungen, Verantwortlichkeiten und Behördenkommunikation sollten nachvollziehbar dokumentiert werden.
- Lieferketten und externe Dienstleister sollten umfassend berücksichtigt werden.
So entsteht ein ISMS, das nicht nur ISO-konform ist, sondern gleichzeitig den Weg zur NIS-2-Compliance ebnet.
Unser Angebot: Ihr Weg zur NIS-2-Compliance
- Readiness-Check NIS-2
Wir prüfen, wo Ihr Unternehmen heute steht, zeigen konkrete Lücken auf und geben Ihnen eine klare Route zur Umsetzung. - Beratung zur NIS-2-Compliance
Wir begleiten Ihr Unternehmen auf dem gesamten Weg zur NIS-2-Umsetzung. Wir entwickeln Maßnahmen, unterstützen bei der Dokumentation, gestalten Meldeprozesse und stärken die Managementverantwortung. Gemeinsam schaffen wir ein Sicherheitsniveau, das den gesetzlichen Anforderungen entspricht und Ihre Organisation nachhaltig schützt. - NIS-2 Geschäftsleiterschulung
Wir schulen Ihre Geschäftsleitung zu den Pflichten aus NIS-2. Die Inhalte passen wir individuell an Ihre Organisation an. Alle Teilnehmer erhalten ein Zertifikat als Nachweis gegenüber internen Stellen und Behörden. - NIS-2 Betroffenheitsanalyse für Gesundheitswirtschaft und Forschung
Wenn Sie noch unsicher sind, ob Ihr Unternehmen unter NIS-2 fällt, schaffen wir Klarheit. Mit unserer „NIS-2 Betroffenheitsanalyse für die Gesundheitswirtschaft und Forschung“ finden Sie heraus, ob Ihr Unternehmen oder Ihre Forschungseinrichtung als „besonders wichtige“ oder „wichtige“ Einrichtung nach NIS-2 eingestuft wird und ob Sie entsprechend handeln müssen.
Wir verstehen die Herausforderungen, die NIS-2 mit sich bringt. Wir zeigen Ihnen die Richtung, begleiten Sie Schritt für Schritt und sorgen dafür, dass Ihr Unternehmen sicher und gesetzeskonform aufgestellt ist.
Kontaktieren Sie uns. Gemeinsam ebnen wir Ihren sicheren Weg zur NIS-2-Compliance.
Aus dem Newsletter
„Gesundheits- und Sozialwirtschaft“ Weitere Informationen zur Umsetzung
der NIS-2-Richtlinie