Zertifizierung für NIS2?
Viele Unternehmen, die bereits nach ISO 27001 zertifiziert sind, starten mit einem Vorsprung in die NIS2-Umsetzung. Und das zu Recht — die Norm deckt rund 70–80 % der NIS2-Anforderungen ab. Risikoanalyse, Zugangskontrollen, Incident Management, Business Continuity: all das kennen ISO 27001 zertifizierte Unternehmen bereits.
Aber: 70–80 % sind nicht 100 %. Und genau in den verbleibenden 20–30 % stecken die Anforderungen, die unter NIS2 gesetzlich vorgeschrieben, behördlich prüfbar und im Ernstfall bußgeldbewehrt sind.
Dieser Beitrag zeigt Ihnen konkret, wo die Lücken liegen — und warum sie kleiner sind als viele denken, wenn man weiß, wo man suchen muss.
ISO 27001 ist freiwillig. Sie zeigt Unternehmen, wie ein gutes Informationssicherheitsmanagementsystem aufgebaut wird — strukturiert, risikobasiert, zertifizierbar. Das ist der Wert dieser Norm.
NIS2 ist Gesetz. Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft — ohne Übergangsfrist. Das bedeutet: Wer betroffen ist, muss die Anforderungen jetzt erfüllen — nicht irgendwann.
In Österreich tritt die nationale Umsetzung von NIS2 mit dem NISG 2026 am 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt müssen alle in Österreich betroffenen Unternehmen alle Anforderungen erfüllen.
Stellen Sie sich vor, Sie haben einen modernen Sicherheitsdienst, der Ihr Gebäude bewacht. Er hat Protokolle, Schichtpläne, Notfallprozesse — alles dokumentiert und zertifiziert. Das ist Ihr ISO 27001 ISMS.
NIS2 ist eine EU-Richtlinie, die zusätzlich vorschreibt: Bei einem Einbruch verlangt sie eine dreistufige Meldepflicht (Erstmeldung innerhalb 24 Stunden, erweiterte Meldung innerhalb 72 Stunden, Abschlussbericht innerhalb 1 Monat). Die Geschäftsführung kann bei Pflichtverletzung persönlich dafür haftbar gemacht werden. Kein noch so gut aufgestellter Sicherheitsdienst ersetzt diese Pflicht — wenn sie nicht vertraglich und prozessual in seinen Abläufen verankert ist.
ISO 27001 kennt Incident Management. Es beschreibt, wie Sicherheitsvorfälle erkannt, bewertet, dokumentiert und nachbereitet werden. Das ist wichtig und richtig.
Was ISO 27001 nicht abbildet: die operative Fähigkeit, innerhalb von 24 Stunden eine konforme Meldung an die zuständige Behörde abzusetzen — während der Vorfall noch läuft.
Stellen Sie sich folgende Situation vor:
Montag Morgen, 8:47 Uhr. Ihr IT-Leiter meldet einen Ransomware-Angriff. Systeme sind teilweise verschlüsselt. Parallel müssen in den nächsten Stunden Fragen beantwortet werden, die nichts mit IT zu tun haben: Wer meldet? An welche Behörde — BSI in Deutschland, die zuständige Stelle in Österreich? Mit welchen konkreten Informationen? Wer in der Geschäftsführung zeichnet die Meldung ab?
Das dreistufige Melderegime unter NIS2:
- 1FrühwarnungInnerhalb von 24 Stunden nach Bekanntwerden des Vorfalls
- 2Qualifizierte MeldungInnerhalb von 72 Stunden — mit detaillierter Einschätzung
- 3AbschlussberichtInnerhalb eines Monats — vollständige Dokumentation
Handlungsschritt: Haben Sie einen dokumentierten Meldeprozess, der genau diese Schritte abbildet? Wer ist verantwortlich? Wer springt ein, wenn die verantwortliche Person nicht erreichbar ist?
ISO 27001 verlangt "Management Commitment" — die Unternehmensführung muss hinter dem ISMS stehen. Das ist bewusst weit formuliert und lässt Spielraum.
NIS2 geht weiter. Die Geschäftsleitung muss die Sicherheitsmaßnahmen persönlich billigen, ihre Umsetzung aktiv überwachen und selbst an Schulungen teilnehmen. Das ist kein semantischer Unterschied — es ist ein fundamentaler Wandel in der Verantwortungsstruktur.
Konkret bedeutet das: Ein Geschäftsführer, der sagt "das macht unsere IT-Abteilung", erfüllt die NIS2-Anforderungen nicht. Er muss nachweislich in Entscheidungen in Bezug auf Netzwerk- und Informationssicherheit eingebunden sein — mit Protokollen, Schulungsnachweisen und dokumentierten Freigabeentscheidungen. Diese Nachweispflicht ist nicht delegierbar.
In Deutschland haftet die Geschäftsführung bei Pflichtverletzung persönlich. Für Österreich gilt mit Inkrafttreten des NISG 2026 am 1. Oktober 2026 eine vergleichbare Regelung.
Handlungsschritt: Kann Ihre Geschäftsführung heute nachweisen, dass sie die NIS2-Maßnahmen persönlich freigegeben und überwacht hat? Gibt es Schulungsnachweise? Gibt es Sitzungsprotokolle, die diese Einbindung belegen?
Die Registrierung beim BSI ist ein rein regulatorisches Erfordernis, das in keinem ISMS-Standard vorgesehen ist. Das BSI-Registrierungsportal ist seit Januar 2026 freigeschaltet.
Das klingt nach Bürokratie — und ist es auch. Aber es ist verpflichtende Bürokratie mit Konsequenzen: Wer sich nicht registriert, hat bereits den ersten NIS2-Verstoß begangen, unabhängig davon, wie gut sein ISMS aufgestellt ist.
Handlungsschritt: Prüfen Sie, ob Ihr Unternehmen beim BSI registriert ist. Falls nicht — dieser Schritt hat gesetzlichen Vorrang.
ISO 27001 adressiert Lieferantensicherheit — durch Vertragsklauseln, Risikobeurteilungen und in der Regel jährliche Fragebögen an Lieferanten. Das ist ein guter Ausgangspunkt.
NIS2 stellt höhere Anforderungen. Betroffene Unternehmen müssen ihre kritischen Lieferanten aktiv und nachweisbar auf Cybersicherheit prüfen. Ein jährlicher Fragebogen reicht nicht aus, wenn ein Lieferant zwischenzeitlich einen schwerwiegenden Vorfall hatte, der Ihre eigene Infrastruktur betrifft.
Was das konkret bedeutet:
Ein Lieferant, der einen Sicherheitsvorfall hat und Ihr Unternehmen nicht rechtzeitig informiert, kann Sie in eine Meldepflicht bringen, für die Sie verantwortlich sind — auch wenn Sie selbst nichts falsch gemacht haben.
Handlungsschritt: Welche Ihrer Lieferanten sind kritisch für Ihren Betrieb? Gibt es definierte Prozesse zur regelmäßigen Sicherheitsbewertung dieser Partner — über Fragebögen hinaus?
ISO 27001 ist keine Fehlinvestition — im Gegenteil. Unternehmen, die ein bestehendes ISMS haben, verfügen über einen echten Vorsprung. Sie denken bereits in Prozessen, Rollen und Dokumentation. Sie haben eine Struktur, die NIS2 in weiten Teilen bereits abbildet.
Aber diese Struktur muss gezielt erweitert werden. Nicht alles neu aufbauen — sondern die spezifischen NIS2-Lücken schließen:
Aufsetzen, dokumentieren und regelmäßig testen — für DE und AT separat.
Einbindung in Entscheidungen zu Netzwerk- und Informationssicherheit nachweisbar dokumentieren.
Pflichtschritt mit gesetzlichem Vorrang — sofort prüfen und abschließen.
Kritische Lieferanten aktiv und nachweisbar prüfen — über Fragebögen hinaus.
Wie groß diese Lücken in Ihrem konkreten Fall sind — das ist von Unternehmen zu Unternehmen verschieden. Genau das gilt es herauszufinden, bevor es die Aufsichtsbehörde tut.
Finden Sie es in einem kostenlosen, unverbindlichen Gespräch heraus. Kein Audit, keine Vorbereitung, kein Risiko.