NIS2 - ISO 27001 Mapping: Anforderungen im Vergleich

Wenn Ihr Unternehmen bereits nach ISO 27001:2022 zertifiziert ist, müssen Sie bei der NIS2-Konformität nicht von vorn beginnen.
Beide Frameworks legen einen Schwerpunkt auf Risikomanagement, Reaktion auf Sicherheitsvorfälle, Lieferantensicherheit und Governance.
Eine ISO-Zertifizierung allein bedeutet jedoch noch keine NIS2-Compliance. In diesem Leitfaden erläutern wir die Gemeinsamkeiten und Unterschiede.

Die Beziehung zwischen NIS2 und ISO 27001 verstehen

Um NIS2-Compliance umzusetzen, müssen Sie nicht unbedingt ganz von vorne starten. Wenn Sie bereits Cybersicherheitszertifizierungen wie ISO 27001 erworben haben, können Sie auf Ihren bisherigen Strukturen aufbauen und die neue Richtlinie leichter umsetzen.

Wir möchten jedoch ausdrücklich betonen: Die beiden Rahmenwerke sind nicht identisch. NIS2 stellt in vielen Bereichen deutlich höhere Anforderungen als ISO 27001, denn das Ziel der Richtlinie ist es, kritische Infrastrukturen und ganze Gesellschaften besser zu schützen.

In diesem Leitfaden erfahren Sie, wie Ihr bestehendes Informationssicherheitsprogramm Ihnen einen Vorsprung verschaffen kann und wo sich die Anforderungen der beiden Frameworks unterscheiden.

Überschneidungen zwischen NIS2 und ISO 27001:2022

Sowohl ISO 27001:2022 als auch NIS2 fordern einen strukturierten, risikobasierten Ansatz für Informationssicherheit. Sie verpflichten Organisationen, Risiken zu identifizieren, geeignete Maßnahmen zu implementieren und ihre Sicherheitslage kontinuierlich zu verbessern. Dazu gehören:

Risikomanagement, einschließlich Identifizierung, Bewertung und Behandlung: Bewertung von Bedrohungen, Schwachstellen, deren Eintrittswahrscheinlichkeit und potenziellen Auswirkungen auf Anlagen und Betriebsabläufe.
Incident-Management: Einrichtung von Prozessen zur Erkennung, Reaktion und Bewertung von Sicherheitsvorfällen.
Zugriffskontrollen und Identitätsmanagement: Sicherstellung, dass nur autorisiertes Personal Zugriff auf kritische Systeme oder Informationen hat.
Lieferantensicherheit: Bewertung von Risiken in der Lieferkette und Implementierung von Schutzmaßnahmen für Beziehungen zu Drittanbietern.
Planung der Geschäftskontinuität: Vorbereitung auf die Aufrechterhaltung des Betriebs bei Störungen.

Beide Frameworks betonen zudem Governance und Verantwortlichkeit und fordern die Einbindung Geschäftsführung, klare Rollen und dokumentierte Richtlinien. In vielen Fällen bilden die Maßnahmen zur Erfüllung der ISO 27001-Anforderungen eine solide Grundlage für die NIS2-Compliance.

Diese Überschneidung ist der Grund, warum Organisationen die ISO 27001-Zertifizierung oft als sinnvollen ersten Schritt zur Erfüllung der NIS2-Verpflichtungen betrachten. Die beiden Rahmenwerke sind jedoch nicht austauschbar.

NIS2-Anforderungen den ISO 27001:2022-Maßnahmen zugeordnet

Um Unternehmen bei der Umsetzung der NIS2-Anforderungen zu unterstützen, hat die Europäische Agentur für Cybersicherheit (ENISA) einige NIS2-Anforderungen anderen Cybersicherheitsrahmenwerken zugeordnet. Wir haben die entsprechenden Abschnitte der NIS2-Richtlinie extrahiert und ihre Bezeichnungen den passenden Maßnahmen der ISO 27001 in Anhang A zugeordnet.

Dieser Abgleich ist nicht als Rechtsberatung zu verstehen und bestätigt auch nicht, dass die Implementierung dieser ISO 27001-Maßnahmen automatisch die NIS2-Compliance bedeutet.

Sie bietet vielmehr einen guten Ausgangspunkt, um zu verstehen, wie Ihre bisherigen Cybersicherheitsstrukturen und -maßnahmen die anstehenden Compliance-Aufgaben unterstützen können.

NIS2-Anforderungen den ISO 27001-Kontrollen zugeordnet (zum Erweitern klicken)

NIS2-Anforderung		ISO 27001:2022-Standard
Punkt Nr.	Titel	Entsprechende Klausel und/oder Kontrolle gemäß Anhang A
1.1	Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen	Klausel 5.2 > Politik Anhang A 5.1 > Informationssicherheitsrichtlinien Anhang A 5.36 > Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit Anhang A 5.4 > Verantwortlichkeiten der Leitung Klausel 9.3 > Managementbewertung
1.2	Rollen, Verantwortlichkeiten und Befugnisse	Klausel 5.3 > Rollen, Verantwortlichkeiten und Befugnisse in der Organisation Anhang A 5.2 > Informationssicherheitsrollen und - verantwortlichkeiten Anhang A 5.4 > Verantwortlichkeiten der Leitung
2.1	Rahmenwerk für das Risikomanagement	Klausel 6.1 > Maßnahmen zum Umgang mit Risiken und Chancen Klausel 6.2 > Informationssicherheitsziele und Planung zu deren Erreichung Klausel 8.2 > Informationssicherheitsrisikobeurteilung Klausel 8.3 > Informationssicherheitsrisikobehandlung Anhang A 5.7 > Bedrohungsintelligenz
2.2	Überwachung der Einhaltung der Vorschriften	Klausel 9.2 > Internes Audit Anhang A 5.31 > Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen Anhang A 5.35 > Unabhängige Überprüfung der Informationssicherheit Anhang A 5.36 > Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
2.3	Unabhängige Überprüfung der Informations- und Netzwerksicherheit	Klausel 9.2 > Internes Audit Klausel 10.1 > Nichtkonformität und Korrekturmaßnahmen Anhang A 5.35 > Unabhängige Überprüfung der Informationssicherheit Anhang A 8.34 > Schutz der Informationssysteme während der Überwachungsprüfung
3.1	Richtlinie zum Umgang mit Zwischenfällen	Anhang A 5.24 > Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
3.2	Überwachung und Protokollierung	Anhang A 5.28 > Sammeln von Beweismaterial Anhang A 8.15 > Protokollierung Anhang A 8.16 > Überwachung von Aktivitäten Anhang A 8.17 > Uhrensynchronisation
3.3	Ereignisberichterstattung	Anhang A 6.8 > Meldung von Informationssicherheitsereignissen
3.4	Ereignisbewertung und -klassifizierung	Anhang A 5.25 > Beurteilung und Entscheidung über Informationssicherheitsereignisse
3.5	Reaktion auf Zwischenfälle	Anhang A 5.26 > Reaktion auf Informationssicherheitsvorfälle
3.6	Nachbesprechungen des Vorfalls	Anhang A 5.27 > Erkenntnisse aus Informationssicherheitsvorfällen
4.1	Geschäftskontinuitäts- und Notfallwiederherstellungsplan	Anhang A 5.29 > Informationssicherheit bei Störungen Anhang A 5.30 > IKT-Bereitschaft für Business Continuity
4.2	Backup-Verwaltung	Anhang A 8.13 > Sicherung von Information Anhang A 8.14 > Redundanz von informationsverarbeitenden Einrichtungen
4.3	Krisenmanagement	Anhang A 5.26 > Reaktion auf Informationssicherheitsvorfälle Anhang A 5.29 > Informationssicherheit bei Störungen Anhang A 5.30 > IKT-Bereitschaft für Business Continuity
5.1	Richtlinie zur Lieferkettensicherheit	Anhang A 5.19 > Informationssicherheit in Lieferantenbeziehungen Anhang A 5.20 > Behandlung von Informationssicherheit in Lieferantenvereinbarungen Anhang A 5.21 > Umgang mit der Informationssicherheit in der IKT-Lieferkette Anhang A 8.30 > Ausgegliederte Entwicklung
5.2	Verzeichnis der Lieferanten und Dienstleister	Anhang A 5.22 > Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
6.1	Sicherheit beim Erwerb von IKT-Dienstleistungen, IKT-Systemen oder IKT-Produkten	Anhang A 5.21 > Umgang mit der Informationssicherheit in der IKT-Lieferkette Anhang A 5.23 > Informationssicherheit für die Nutzung von Cloud-Diensten
6.2	Sicherer Entwicklungslebenszyklus	Anhang A 8.25 > Lebenszyklus einer sicheren Entwicklung Anhang A 8.31 > Trennung von Entwicklungs-, Prüf- und Produktionsumgebungen
6.3	Konfigurationsverwaltung	Anhang A 8.9 > Konfigurationsmanagement
6.4	Änderungsmanagement, Reparaturen und Instandhaltung	Klausel 6.3 > Planning of Changes Klausel 8.1 > Betriebliche Planung und Steuerung Anhang A 7.13 > Instandhaltung von Geräten und Betriebsmitteln Anhang A 8.32 > Änderungssteuerung
6.5	Sicherheitstests	Anhang A 8.29 > Sicherheitsprüfung in Entwicklung und Abnahme Anhang A 8.33 > Prüfinformationen Anhang A 8.34 > Schutz der Informationssysteme während der Überwachungsprüfung
6.6	Verwaltung von Sicherheitspatches	Anhang A 8.31 > Trennung von Entwicklungs-, Prüf- und Produktionsumgebungen Anhang A 8.32 > Änderungssteuerung
6.7	Netzwerksicherheit	Anhang A 8.16 > Überwachung von Aktivitäten Anhang A 8.20 > Netzwerksicherheit
6.8	Netzwerksegmentierung	Anhang A 8.22 > Trennung von Netzwerken
6.9	Schutz vor bösartiger und nicht autorisierter Software	Anhang A 5.32 > Geistige Eigentumsrechte Anhang A 8.7 > Schutz gegen Schadsoftware
6.10	Umgang mit Schwachstellen und Offenlegung	Anhang A 8.8 > Handhabung von technischen Schwachstellen
7.1	Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken	Klausel 6.2 > Informationssicherheitsziele und Planung zu deren Erreichung Klausel 9 > Bewertung der Leistung Klausel 9.3 > Managementbewertung
8.1	Sensibilisierung und grundlegende Cyberhygienepraktiken	Klausel 7.3 > Bewusstsein Anhang A 6.3 > Informationssicherheitsbewusstsein, -ausbildung und -schulung Anhang A 8.7 > Schutz gegen Schadsoftware
8.2	Sicherheitsschulung	Klausel 7.2 > Kompetenz Anhang A 6.3 > Informationssicherheitsbewusstsein, -ausbildung und -schulung
9.1	Kryptographie	Anhang A 5.31 > Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen Anhang A 8.24 > Verwendung von Kryptographie
10.1	Personalsicherheit	Klausel 7.1 > Ressourcen Klausel 7.2 > Kompetenz Anhang A 6.2 > Beschäftigungs- und Vertragsbedingungen Anhang A 6.3 > Informationssicherheitsbewusstsein, -ausbildung und -schulung
10.2	Hintergrundprüfung	Anhang A 6.1 > Sicherheitsüberprüfung
10.3	Verfahren zur Beendigung oder Änderung des Arbeitsverhältnisses	Anhang A 6.5 > Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
10.4	Disziplinarverfahren	Anhang A 6.4 > Maßregelungsprozess
11.1	Zugriffskontrollrichtlinie	Anhang A 5.15 > Zugangssteuerung Anhang A 7.2 > Physischer Zutritt Anhang A 8.3 > – Informationszugangsbeschränkung Anhang A 8.21 > Sicherheit von Netzwerkdiensten
11.2	Verwaltung der Zugriffsrechte	Anhang A 5.3 > Aufgabentrennung Anhang A 5.18 > Zugangsrechte
11.3	Privilegierte Konten und Systemadministratorkonten	Anhang A 8.2 > Privilegierte Zugangsrechte Anhang A 8.18 > Gebrauch von Hilfsprogrammen mit privilegierten Rechten
11.4	Verwaltungssysteme	Anhang A 8.2 > Privilegierte Zugangsrechte Anhang A 8.18 > Gebrauch von Hilfsprogrammen mit privilegierten Rechten
11.5	Identifikation	Anhang A 5.16 > Identitätsmanagement
11.6	Authentifizierung	Anhang A 5.17 > Informationen zur Authentifizierung
11.7	Multi-Faktor-Authentifizierung	Anhang A 8.5 > Sichere Authentifizierung
12.1	Anlagenklassifizierung	Anhang A 5.9 > Inventar der Informationen und anderen damit verbundenen Werten Anhang A 5.12 > Klassifizierung von Information Anhang A 5.13 > Kennzeichnung von Information
12.2	Umgang mit Vermögenswerten	Anhang A 5.9 > Inventar der Informationen und anderen damit verbundenen Werten Anhang A 5.10 > Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten Anhang A 5.14 > Informationsübertragung Anhang A 7.10 > Speichermedien
12.3	Richtlinie für Wechseldatenträger	Anhang A 7.7 > Arbeitsumgebung und Bildschirmsperren Anhang A 7.10 > Speichermedien
12.4	Anlageninventar	Anhang A 5.9 > Inventar der Informationen und anderen damit verbundenen Werten
12.5	Einzahlung, Rückgabe oder Löschung von Vermögenswerten bei Beendigung des Arbeitsverhältnisses	Anhang A 5.11 > Rückgabe von Werten Anhang A 5.18 > Zugangsrechte Anhang A 8.24 > Verwendung von Kryptographie
13.1	Unterstützende Hilfsprogramme	Anhang A 7.11 > Versorgungseinrichtungen
13.2	Schutz vor physischen und umweltbedingten Bedrohungen	Anhang A 7.3 > Sichern von Büros, Räumen und Einrichtungen Anhang A 7.5 > Schutz vor physischen und umweltbedingten Bedrohungen
13.3	Perimeter- und physische Zugangskontrolle	Anhang A 7.1 > Physische Sicherheitsperimeter Anhang A 7.2 > Physischer Zutritt Anhang A 7.4 > Physische Sicherheitsüberwachung

Wo sich NIS2 und ISO 27001 unterscheiden

Freiwillig vs. verpflichtend
Der wohl grundlegende Unterschied besteht darin, dass ISO 27001 freiwillig ist, während NIS2 für europäische Unternehmen in bestimmten Sektoren, die als wichtig oder besonders wichtig für das Funktionieren der Gesellschaft gelten, eine rechtliche Verpflichtung darstellt.

Eine ISO 27001-Zertifizierung belegt Ihr Engagement für Informationssicherheit und kann Ihnen einen Wettbewerbsvorteil verschaffen. Im Gegensatz dazu ist die Einhaltung von NIS2 für betroffene Unternehmen zwingend erforderlich, und Verstöße führen zu erheblichen Bußgeldern und behördlichen Maßnahmen.
Anwendungsbereich und Schwerpunkt
ISO 27001 konzentriert sich auf die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Dieses flexible Framework können Organisationen an ihre individuellen Risiken und Gegebenheiten anpassen. Das Hauptziel ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Der Anwendungsbereich von NIS2 ist deutlich breiter. Die Richtlinie behandelt nicht nur Informationssicherheit, sondern legt ebenso großen Wert auf die Betriebssicherheit kritischer Infrastrukturen. Dazu gehört sicherzustellen, dass essentielle Dienste auch während Störungen durch Cyberangriffe, Naturkatastrophen oder Lieferkettenausfälle aufrechterhalten werden können. NIS2 betrachtet Sicherheit daher nicht nur aus Unternehmens-, sondern auch aus gesellschaftlicher Perspektive.
Anforderungen an die Geschäftskontinuität
ISO 27001 verpflichtet Sie dazu, sich auf Störungen vorzubereiten, die Ihre Betriebsabläufe und Datensicherheit beeinträchtigen könnten. NIS2 geht einen Schritt weiter: Die Richtlinie fordert Vorkehrungen für großflächige Krisen, die nationale oder gesellschaftliche Auswirkungen haben können – beispielsweise Kettenausfälle in Versorgungsunternehmen, Transportsystemen oder Gesundheitsnetzwerken.
Verpflichtungen gegenüber Lieferanten und der Lieferkette
Beide Frameworks befassen sich mit der Lieferantensicherheit, NIS2 stellt jedoch strengere Anforderungen. Die Sorgfaltspflicht wird über direkte Lieferanten hinaus auf mehrere Stufen der Lieferkette ausgedehnt. Um die Anforderungen zu erfüllen, müssen Sie bei Lieferanten auch Schwachstellen finden und beheben, mit denen Sie nicht direkt vertraglich verbunden sind.
Reifegrad und Flexibilität der Maßnahmen
ISO 27001 ermöglicht Flexibilität: Ist eine Maßnahme aufgrund besonderer Umstände nicht anwendbar, kann sie mit entsprechender Begründung ausgeschlossen werden. NIS2 bietet weniger Spielraum; bestimmte Maßnahmen sind explizit vorgeschrieben.

Darüber hinaus erwartet NIS2 einen höheren Reifegrad der Maßnahmen. Während ISO 27001 flexibel an die Risikobereitschaft einer Organisation angepasst werden kann, schreibt NIS2 modernste Informationssicherheit vor, die nicht nur den Auswirkungen auf die Organisation, sondern auch auf die Gesellschaft und die Wirtschaft insgesamt gerecht wird.
Auditierung und Aufsicht
Bei ISO 27001 bereitet man sich üblicherweise auf ein geplantes Audit vor und konzentriert seine Bemühungen oft auf die Monate davor. Unter NIS2 können wichtige Einrichtungen jederzeit unangekündigten Prüfungen unterzogen werden, was eine kontinuierliche Bereitschaft zur Compliance fordert.

Die Falle „Zertifizierung gleich Compliance“ vermeiden

Ein weit verbreiteter Irrtum ist, dass eine ISO 27001-Zertifizierung automatisch auch die NIS2-Compliance bedeutet. Zwar erleichtert die Überschneidung vieler Maßnahmen die Umsetzung der NIS2-Vorgaben, doch die Unterschiede in Umfang, rechtlicher Verpflichtung und Durchsetzung bedeuten, dass eine ISO-Zertifizierung allein nicht ausreicht.

Eine ISO-zertifizierte Organisation kann trotz Zertifizierung noch Defizite aufweisen. Vor allem in folgenden Bereichen:

Risikomanagement unter Berücksichtigung gesellschaftlicher Auswirkungen
Meldung von Sicherheitsvorfällen an Behörden und betroffene Kunden
Administrative Pflichten wie Registrierung und Kommunikation mit Behörden
Erweiterte Sorgfaltspflichten in der Lieferkette
Einhaltung expliziter Maßnahmenanforderungen, bei denen keine risikobasierten Ausnahmen erlaubt sind
Nachweis der kontinuierlichen Compliance, auch bei möglichen unangekündigten Audits

Wie Sie Ihre NIS2-Compliance mit ISO 27001 unterstützen können

Für Organisationen in NIS2-regulierten Sektoren bietet ISO 27001 eine starke Grundlage. Sie fördert eine gelebte Sicherheitskultur, stellt ein bewährtes Managementsystem bereit und deckt sich in vielen Bereichen mit den NIS2-Anforderungen.

Um vollständige NIS2-Compliance zu erreichen, sind folgende Maßnahmen erforderlich:

Gap-Analyse, um Bereiche zu identifizieren, in denen NIS2 strengere oder ergänzende Maßnahmen verlangt
Planung der operativen Resilienz über die IT-Kontinuität hinaus
Erweitertes Lieferketten-Risikomanagement
Prozesse zur kontinuierlichen Einhaltung regulatorischer Vorgaben

Wenn Sie die Gemeinsamkeiten und Unterschiede beider Frameworks verstehen, können Sie die Stärken von ISO 27001 gezielt nutzen und gleichzeitig die Anforderungen von NIS2 vollständig erfüllen. Das Ergebnis ist nicht nur die Einhaltung gesetzlicher Bestimmungen, sondern auch eine höhere Resilienz gegenüber sich wandelnden Bedrohungen.

Häufig gestellte Fragen

Ist unser Unternehmen NIS2-compliant, wenn wir über eine ISO 27001:2022-Zertifizierung verfügen?

Was ist der Unterschied zwischen den ISO 27001-Clauses (Klauseln) und den Maßnahmen im Anhang A?

Deckt diese Tabelle alle unsere NIS2-Verpflichtungen ab?

Nein. Sie bietet lediglich einen Überblick darüber, wie Ihre bestehenden Cybersicherheitsstrukturen gemäß ISO 27001 Sie bei der Erreichung wichtiger Meilensteine für NIS2 unterstützen können. Um ein umfassendes Bild davon zu erhalten, wie NIS2 Ihr Unternehmen betrifft, empfehlen wir Ihnen eine Gap-Analyse und Risikobewertung, um Ihre Handlungsfelder zu identifizieren. Nutzen Sie unsere Plattform und unsere Experten, um Ihre Compliance-Maßnahmen effizienter zu gestalten.