Die NIS2-Richtlinie fordert ein Informationssicherheits-Managementsystem (ISMS) von Unternehmen. Wer bereits nach einem anerkannten Rahmenwerk wie ISO 27001, BSI IT-Grundschutz oder TISAX arbeitet, hat für seine NIS2-Compliance einen echten Vorsprung. Doch keines dieser Rahmenwerke deckt die NIS2-Anforderungen an ein ISMS vollständig ab.
Wir zeigen die typischen Lücken auf, erläutern, wie Sie eine strukturierte Gap-Analyse durchführen, und zeigt Ihnen, was Ihr ISMS konkret noch braucht, um NIS2-konform zu sein.
Was fehlt Ihrem ISMS für NIS2-Compliance?
Zur Erläuterung ziehen wir das am häufigsten verwendete Rahmenwerk für ISMS heran, die ISO 27001: Wer nach ISO 27001 zertifiziert ist, hat die meiste Arbeit für NIS2-Compliance bereits getan. Die Strukturen sind da, die Prozesse laufen, das Risikomanagement ist etabliert.
Doch die deutsche Umsetzung der NIS2-Richtlinie stellt in § 30 Abs. 2 BSIG zusätzliche Anforderungen, die von der ISO 27001 nicht abgefragt werden und die gezielt ergänzt werden müssen:
Krisenmanagement
ISO 27001 fordert ein Business Continuity Management, aber kein explizites Krisenmanagement im Sinne von NIS2. Gemeint sind hier organisatorische Strukturen und Entscheidungsprozesse für den Ernstfall: wer entscheidet was, in welcher Zeit, mit welchen Befugnissen.
Offenlegung von Schwachstellen
ISO 27001 kennt Schwachstellenmanagement im Sinne von Patch-Management und technischer Behebung. NIS2 geht weiter: § 30 Abs. 2 Nr. 5 BSIG verlangt ein klares Konzept zur koordinierten Offenlegung von Schwachstellen, das regelt, wann und wie das BSI sowie betroffene Nutzer informiert werden.
Personalsicherheit, Zugriffskontrolle und IKT-Konzepte
ISO 27001 adressiert diese Bereiche, aber NIS2 verlangt formalisierte Konzepte, die explizit dokumentiert und nachweisbar sind.
MFA, kontinuierliche Authentifizierung und gesicherte Kommunikation
ISO 27001 empfiehlt diese Maßnahmen, NIS2 macht sie zur Pflicht, einschließlich gesicherter Sprach-, Video- und Textkommunikation sowie Notfallkommunikationssystemen.
Lieferkettensicherheit
ISO 27001 adressiert Lieferantenbeziehungen, aber NIS2 verlangt eine deutlich systematischere Bewertung der Cybersicherheitspraktiken aller wesentlichen Lieferanten und Dienstleister (siehe weiter unten).
Hinzu kommen unter NIS2 Pflichten, welche die ISO 27001 strukturell gar nicht kennt:
§ 32 BSIG – Meldepflichten
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet, nach 72 Stunden konkretisiert und nach 30 Tagen abschließend berichtet werden.
§ 33 BSIG – Registrierungspflicht
Betroffene Einrichtungen müssen sich beim BSI registrieren.
§ 38 BSIG – Schulungspflicht der Geschäftsleitung
Die Leitungsebene muss nachweislich geschult sein und die Umsetzung aktiv beaufsichtigen.
Tipp: Lesen Sie dazu auch, wie eine NIS2-Geschäftsleitungsschulung ideal durchzuführen ist.
Welche zusätzlichen NIS2-Anforderungen gelten für KRITIS-Betreiber?
Wer als Betreiber kritischer Infrastrukturen (KRITIS) eingestuft ist, trägt eine zusätzliche Verantwortung, die über die allgemeinen NIS2-Pflichten hinausgeht:
§ 31 Abs. 2 BSIG – Systeme zur Angriffserkennung
§ 31 Abs. 2 BSIG verlangt den Einsatz von Systemen zur Angriffserkennung. KRITIS-Betreiber müssen fortwährend in der Lage sein, Bedrohungen zu identifizieren, zu vermeiden und bei eingetretenen Störungen geeignete Gegenmaßnahmen einzuleiten. Das ist technisch und organisatorisch aufwändig. Das BSI hat dazu eine Orientierungshilfe veröffentlicht, die als praktischer Einstieg empfohlen wird.
§ 34 BSIG – Registrierungspflicht
§ 34 BSIG schreibt eine gesonderte Registrierungspflicht vor. Anders als die allgemeine Registrierung nach § 33 BSIG müssen KRITIS-Betreiber zusätzliche Angaben machen, darunter Name, Rechtsform, Handelsregisternummer, Kontaktdaten, IP-Adressbereiche sowie Angaben zu Sektor und Branche.
§ 39 BSIG – Stand der Technik
§ 39 BSIG verpflichtet KRITIS-Betreiber, dem BSI regelmäßig und unaufgefordert nachzuweisen, dass ihre Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Der Nachweis erfolgt durch Sicherheitsaudits, Zertifizierungen oder Prüfungen durch anerkannte Stellen, spätestens zwei Jahre nach dem maßgeblichen Zeitpunkt und anschließend alle zwei Jahre.
Branchenspezifische Sicherheitsstandards
Viele KRITIS-Betreiber müssen sich zudem an Branchenspezifischen Sicherheitsstandards (B3S) orientieren. Diese werden von den jeweiligen Branchenverbänden entwickelt und vom BSI anerkannt. Sie konkretisieren die allgemeinen Anforderungen des § 30 BSIG für die jeweilige Branche und sind ein wichtiges Instrument zur Nachweisführung gegenüber dem BSI. Eine Übersicht der anerkannten B3S findet sich auf der BSI-Website.
Praxiserfahrung: In unserer Beratungspraxis erleben wir es regelmäßig: Unternehmen mit laufender ISO-27001-Zertifizierung sind technisch oft gut aufgestellt. Die Überraschung kommt beim ersten Blick auf die Dokumentation. Meldeprozesse existieren, aber niemand hat sie je mit dem BSI als Adressat gedacht. Die Geschäftsführung ist eingebunden, aber Schulungsnachweise fehlen. Genau hier liegt der eigentliche Aufwand für NIS2, nicht im Rechenzentrum, sondern im Besprechungsraum.
Hinweis: Wenn Sie Ihr ISMS nach einem anderen Rahmenwerk wie BSI IT-Grundschutz, TISAX entwickeln, erfahren Sie hier, was diese Frameworks für NIS2 leisten und wo die Lücken liegen.
Wie identifizieren Sie Lücken in Ihrem ISMS?
Der erste Schritt zur Erweiterung eines bestehenden ISMS für NIS2-Compliance ist immer eine ehrliche Bestandsaufnahme: Was haben Sie, was fehlt, und wo reicht die Dokumentation nicht für einen Behördennachweis?
Unserer Erfahrung nach hat sich folgende Vorgehensweise für eine solche NIS2-Gap-Analyse bewährt:
- Bestandsaufnahme: Alle bestehenden Sicherheitsmaßnahmen, Prozesse und Nachweise inventarisieren.
- Mapping: Bestehende Maßnahmen den zehn Anforderungskategorien des § 30 Abs. 2 BSIG zuordnen.
- Lückenidentifikation: Fehlende oder unvollständige Maßnahmen identifizieren, mit besonderem Augenmerk auf Meldepflichten, Geschäftsleiterschulung und Registrierungspflicht.
- Priorisierung: Maßnahmen nach Risiko und Umsetzungsaufwand priorisieren.
- Umsetzungsplanung: Einen realistischen Zeitplan mit klaren Verantwortlichkeiten erstellen.
Tipp: Das BSI-Reifegrad-Modell bewertet ISMS und Maßnahmenumsetzung auf einer Skala von „Geplant” bis „Messbar” und hilft Einrichtungen dabei, ihren aktuellen Stand strukturiert einzuordnen. Es ist ein nützliches Werkzeug, um Lücken zur NIS2-Konformität systematisch zu identifizieren und den Fortschritt nachvollziehbar zu dokumentieren.
Welche Fehler sind bei der Erweiterung eines ISMS für NIS2 zu vermeiden?
In der Praxis werden von Unternehmen zwei Bereiche besonders oft unterschätzt:
Incident Response Management
Meldeprozesse funktionieren nur, wenn sie vor dem Ernstfall durchdacht und geübt sind. § 32 BSIG verlangt
- eine Erstmeldung innerhalb von 24 Stunden,
- einen Zwischenbericht nach 72 Stunden und
- einen Abschlussbericht nach 30 Tagen.
In der Praxis scheitert das oft nicht an fehlendem Willen, sondern an unklaren Zuständigkeiten: Wer meldet? An wen intern? Wer informiert das BSI? Simulationsübungen helfen, diese Fragen zu beantworten, bevor ein realer Vorfall sie aufwirft.
Lieferketten
Bei der Lieferkette unterschätzen viele Unternehmen den Aufwand einer systematischen Lieferantenbewertung. Es reicht nicht, einen Fragebogen zu verschicken. Die EU-Cybersicherheitsagentur ENISA empfiehlt in ihren Good Practices for Supply Chain Cybersecurity, Kriterien wie die Rechtsordnung des Lieferanten, vorhandene NIS2-Konformitätserklärungen sowie Eigentumsverhältnisse zu berücksichtigen. Das erfordert Prozesse, Verantwortlichkeiten und Dokumentation.
Tipp: Spezialisierte ISMS-Software hilft mittels Asset Management dabei, die Anforderungen von NIS2 an das Lieferkettenmanagement in der Praxis umzusetzen. Lesen Sie dazu auch, wie Sie mit unserer SaaS-Lösung activeMind.cloud Ihre NIS2-Compliance schneller erreichen.
Fazit: Ein ISMS ist ein guter Startpunkt für NIS2-Konformität
Wer bereits über ein strukturiertes ISMS verfügt, muss das Rad für NIS2 nicht neu erfinden. ISO 27001, BSI IT-Grundschutz, TISAX bieten eine solide Grundlage. Sie ersetzen jedoch keine gezielte Gap-Analyse gegen die Anforderungen des § 30 Abs. 2 BSIG.
Die typischen Lücken liegen selten im technischen Kernbereich, sondern bei behördengerechten Meldeprozessen, der Schulung und Haftungsverankerung der Geschäftsleitung sowie der systematischen Lieferkettenbewertung. Wer diese Bereiche in seinem ISMS konsequent adressiert, schützt sein Unternehmen vor empfindlichen NIS2-Bußgeldern und schafft gleichzeitig die Grundlage für eine nachhaltige Cyberresilienz.
Am besten beginnen Sie jetzt mit der Bestandsaufnahme, solange Sie noch die Wahl haben, das Tempo selbst zu bestimmen.
