Kontakt
28
Feb.

NIS2 & ISO 27001: Reicht ein ISMS für die neue EU-Richtlinie zur Cybersicherheit?

28. Februar 2025

Die EU macht ernst mit Cybersicherheit: Mit der NIS2-Richtlinie kommt ein europaweit einheitlicher Mindeststandard für die Sicherheit von Netz- und Informationssystemen – und zwar für deutlich mehr Unternehmen als bisher. Auch wenn die nationale Umsetzung in Deutschland noch aussteht, ist klar: Die Anforderungen werden kommen – und sie werden verbindlich sein.

Für viele Unternehmen stellt sich jetzt die Frage: „Reicht ein bestehendes ISMS nach ISO 27001 aus, um NIS2 zu erfüllen?“ Genau das klären wir in diesem Beitrag.

Was ist NIS2?

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist am 16. Januar 2023 in Kraft getreten.

Ihr Ziel: Ein höheres, einheitliches Cybersicherheitsniveau in der gesamten EU – und zwar nicht nur für kritische Infrastrukturen, sondern auch für viele Unternehmen, die bisher nicht reguliert waren.

Die Mitgliedstaaten müssen NIS2 bis spätestens 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland geschieht das über das NIS2-Umsetzungsgesetz (NIS2UmsuCG).

Wer ist von NIS2 betroffen?

NIS2 unterteilt betroffene Unternehmen in zwei Hauptkategorien:

1. Wesentliche Einrichtungen (Essential Entities)

Diese Unternehmen sind in besonders kritischen Bereichen tätig:

  • Energie (Strom, Gas, Öl)
  • Wasser & Abwasser
  • Gesundheit (z. B. Krankenhäuser, Labore)
  • Verkehr (Luft, Bahn, See, Straße)
  • Digitale Infrastruktur (Cloud, DNS, Rechenzentren)
  • Öffentliche Verwaltung
  • Raumfahrt

Besonderheit: Diese Einrichtungen unterliegen direkter behördlicher Aufsicht (z. B. durch das BSI).

2. Wichtige Einrichtungen (Important Entities)

Diese Kategorie betrifft viele klassische Mittelständler:

  • Maschinenbau, Chemie, Elektronik
  • Lebensmittelindustrie, Getränkeproduktion
  • Post- & Kurierdienste
  • Entsorgungsbetriebe
  • Digitale Dienste wie Hosting, Marktplätze, soziale Netzwerke
  • Forschungseinrichtungen

Schwellenwerte

NIS2 gilt für Unternehmen mit:

  • mindestens 50 Mitarbeitenden oder
  • mindestens 10 Millionen Euro Jahresumsatz oder Bilanzsumme

In besonders sensiblen Sektoren (z. B. DNS, Cloud) gilt die Richtlinie unabhängig von der Unternehmensgröße.

Die genaue nationale Umsetzung erfolgt über das NIS2UmsuCG bis Oktober 2024.

Was fordert NIS2 konkret?

NIS2 verlangt von Unternehmen ein systematisches Management von Cyberrisiken. Die wichtigsten Kernthemen:

  • Informationssicherheits-Risikomanagement
  • Business Continuity & Incident Response
  • Zugriffskontrolle & Asset-Inventar
  • Sicherheit in der Lieferkette
  • Awareness & Schulungen
  • Meldepflicht bei Vorfällen (meist innerhalb von 24 Stunden)
  • Haftung & Verantwortung der Geschäftsleitung

Verstöße gegen NIS2 können zu Bußgeldern, persönlicher Haftung und öffentlicher Nennung führen.

Wie passt ISO/IEC 27001 dazu?

Ein ISMS nach ISO 27001 liefert eine sehr gute Grundlage für die Umsetzung der NIS2-Anforderungen:

NIS2-AnforderungAbgedeckt durch ISO 27001
Risikomanagement✔ Kapitel 6 & Annex A
Verantwortlichkeiten✔ Kapitel 5 & 6
Notfallmanagement✔ Annex A.5.29, A.5.30
Lieferkettensicherheit✔ Annex A.5.20, A.5.21
Awareness & Schulung✔ Annex A.6.3, A.7.2
Zugriffsmanagement✔ Annex A.5.15 – A.5.18
Vorfallsmanagement✔ Annex A.5.24, A.6.5

Fazit: Ein zertifiziertes ISMS deckt große Teile von NIS2 ab – aber nicht alle.

Was muss zusätzlich beachtet werden?

  • Meldepflichten an Behörden (z. B. 24h-Regel bei Incidents)
  • Verantwortung der Geschäftsleitung ist formell geregelt
  • Lieferkettensicherheit muss explizit vertraglich und technisch umgesetzt werden
  • Aufsichtsbehörden haben Prüf- & Sanktionsbefugnis

Ein ISMS nach ISO 27001 muss also ggf. ergänzt und angepasst werden, um vollständig NIS2-konform zu sein.

Fazit

Die NIS2-Richtlinie bringt Cybersicherheit auf ein neues Level – für Unternehmen jeder Größe. Ein ISMS nach ISO/IEC 27001 ist der ideale Ausgangspunkt, aber kein Selbstläufer.

Wer jetzt handelt, verschafft sich einen Vorsprung – organisatorisch, rechtlich und strategisch.

Unterstützung gesucht?

Wir helfen Ihnen dabei, Ihr ISMS NIS2-konform zu machen – mit Beratung, Struktur und einer passenden Softwarelösung für die Umsetzung von Maßnahmen, Risiken und Sicherheitsanforderungen.

Nehmen Sie Kontakt auf – bevor NIS2 zur Pflicht wird.