Viele Wege führen nach Rom (zur NIS2)

Man kann die Umsetzung der NIS2 mit verschiedenen Ansätzen angehen, der Gesetzgeber schreibt nichts vor, aber lässt vieles zu. Man kann die NIS2 mit der ISO 27001 (als internationaler Standard in der NIS2 ausdrücklich zugelassen, siehe NIS2-Richtlinie Erwägungsgrund #79) angehen, mit dem BSI IT-Grundschutz unter Mapping zur ISO 27001 (für Bundesbehörden) oder den VdS 10100 für KMU (auf Basis VdS 10.000 erstellt mit Fokus auf NIS2) nutzen. Man kann die NIS2 auch mit einem Katalog der ENISA umsetzen. Alles hat seine Vor- und Nachteile.

Manche Standards sind vor der NIS2 entstanden oder nicht auf diese fokussiert. In jedem Falle ist unabhängig von der gewählten Vorgehensweise eine inhaltliche Prüfung der Ergebnisse im Vergleich der Anforderungen zur NIS2 erforderlich, denn z. B. die ISO 27001 deckt die NIS fast vollständig ab, sie verlangt auch eine Vorgehensweise zu definieren, um einen Vorfall zu handhaben, spezifiziert aber keine festen Meldefristen oder konkret die Meldung beim BSI. Zudem ist die Schulung der Geschäftsleitung in der NIS2 direkt angesprochen und stärker bewertet als in der Norm.

Analog muss man auch bei anderen Standards (z. B. BSI IT-Grundschutz) prüfen, ob das Gesetz abgedeckt ist in der Praxis.

Wir wollen die Varianten hier aus den folgenden Blickwinkeln betrachten:

• Aufwand

• Zukunftssicherheit

• Integrationsfähigkeit mit anderen Standards

ENISA NIS2 Guidance / Maßnahmenkatalog

• Aufwand: Mittel – der Katalog ist sehr NIS2-spezifisch und gibt „handfeste“ Maßnahmen und Evidenzen, aber er ist kein vollständiger Managementsystem-Standard, d.h. man muss Struktur, Rollen, Prozesse etc. selbst sauber modellieren.

• Zukunftssicherheit: Hoch, weil ENISA eng an der NIS2-Umsetzungsverordnung, den 10 Pflichtbereichen und aktuellen „State of the Art“-Maßnahmen hängt; das Dokument selbst ist aber nicht verbindlich und kann sich verändern.

• Integrationsfähigkeit: Gut als „Overlay“: ENISA mappt explizit auf ISO 27001/27002, NIST usw., eignet sich daher ideal als NIS2-Layer über einem bestehenden ISMS (ISO, IT‑Grundschutz, VdS).

Kurz: Sehr geeignet als NIS2-spezifische Ergänzung, weniger als alleinige Struktur für ein integriertes Managementsystem.

ISO/IEC 27001

• Aufwand: Mittel bis hoch – ISO 27001 verlangt ein vollständiges ISMS mit Policy, Risikomanagement, SoA, internen Audits, Managementbewertung etc., ist aber international sehr etabliert.

• Zukunftssicherheit: Sehr hoch – ISO 27001:2022 ist frisch überarbeitet, wird global genutzt und in ENISA- und NIS2-Guidance explizit referenziert; passt gut zu EU‑Erwartungen und anderen Regulierungen.

• Integrationsfähigkeit: Exzellent – durch die High Level Structure lässt sich ISO 27001 leicht mit ISO 9001, 14001, 42001, 45001 etc. in ein integriertes Managementsystem einbauen (Vorteil gemeinsamer Prozesse für Risiken, Audits, Managementbewertungen usw.).

Kurz: Wenn man ohnehin ein zertifizierbares, international anschlussfähiges ISMS und ein integriertes Managementsystem will, ist ISO 27001 die robusteste Basis und für NIS2 gut erweiterbar.

BSI IT‑Grundschutz

• Aufwand: Hoch – der IT‑Grundschutz ist sehr detailliert und umfasst Bausteine, Gefährdungskataloge, Umsetzungshinweise und bietet sowohl „Basis-Absicherung“ als auch „Standard“- und „Kern-Absicherung“; dafür gibt er einem sehr konkrete Maßnahmen.

• Zukunftssicherheit: Hoch, insbesondere für Deutschland mit Blick auf Behörden – das BSI richtet seine Bausteine zunehmend an NIS2, KRITIS und BSIG aus; das NIS2-Umsetzungsgesetz verweist faktisch auf „Stand der Technik“, den das BSI maßgeblich mitprägt.

• Integrationsfähigkeit: Gut bis sehr gut – es gibt Mappings zu ISO 27001, und IT‑Grundschutz kann als nationale Ausprägung eines ISMS genutzt werden; in einem integrierten Managementsystem ist er aber aufgrund der Detailtiefe komplexer als ISO 27001 allein.

Kurz: Ideal, wenn das Unternehmen stark DE-reguliert ist (KRITIS, öffentliche Hand, BSI‑Nähe) und hohe Detailtiefe gefragt ist; dafür mehr Implementierungsaufwand und komplexeres Managementsystem.

VdS 10100 (NIS2-orientierter Ansatz)

• Aufwand: Mittel – VdS 10100 ist explizit als „Kochrezept“ für NIS2 konzipiert und strukturiert die Anforderungen pragmatisch, inkl. Schutzkategorien und klaren Vorgaben für Policies, Personal, KVP usw.

• Zukunftssicherheit: Gut – der Standard wurde gezielt im Kontext NIS2 entwickelt, muss aber jeweils an Änderungen von Gesetz/Leitlinien angepasst werden; er ist nicht global verbreitet oder anerkennt wie ISO 27001.

• Integrationsfähigkeit: Ordentlich – VdS 10100 baut auf VdS 10000/Informationssicherheits-Frameworks auf und ist an ISO 27001 angelehnt, lässt sich also mit ISO‑basierter Managementsystemlogik verknüpfen, ist aber eher deutschsprachigen Raum auf KMU fokussiert.

Kurz: Sehr attraktiv für kleine und mittelständische, vor allem deutsche Unternehmen, die eine praxisnahe NIS2-Umsetzung mit vertretbarem Aufwand suchen und nicht zwingend eine internationale ISO-Zertifizierung benötigen oder keine anderen Managementsysteme betreiben wollen oder können.

Fazit nach den genannten Kriterien

• Aufwand (von geringerem zu höherem Gesamtaufwand): ENISA‑Guidance (als Overlay) → VdS 10100 → ISO 27001 → BSI IT‑Grundschutz.

• Zukunftssicherheit: ISO 27001 und BSI IT‑Grundschutz sind am stabilsten und breit akzeptiert; ENISA-Guidance und VdS 10100 sind hoch relevant, aber stärker an NIS2 bzw. DE gebunden.

• Integrationsfähigkeit im Managementsystem: ISO 27001 führt, weil es sich nahtlos mit anderen ISO‑Normen integrieren lässt; IT‑Grundschutz und VdS 10100 können gut mit ISO 27001 kombiniert werden; ENISA dient am besten als NIS2-Ergänzung darüber.

Somit kann sich jede Organisation selbst den Standard suchen, der am besten zu ihr passt.

Wir favorisieren aufgrund der Qualität, des Umfangs der Normenreihe, der Internationalität und der Integrationsfähigkeit sowie der Verfügbarkeit von Hilfen aus dem Ökosystem (Trainer, Seminare, Prüfer, Tools etc.) die ISO 27001.

Zertifikate

Sollte jetzt ein (ggf. auch international) belastbares Zertifikat für den Markt oder Kunden benötigt werden, ist die ISO 27001 zu bevorzugen. Der VdS 10.000 (allgemeiner Standard, aus dem der 10.100 mit Fokus auf NIS2 hervorging) und der BSI IT-Grundschutz ist auch zertifizierbar, aber international nicht anerkannt. ENISA ist nicht zertifizierbar.

Die Prüfung durch Dritte (akkreditierte Prüfer und Prüfdienstleister) ist generell belastbarer und kann via Zertifikat einfach kommuniziert werden.

Vorsicht vor zu schnellen Schritten

Wenn man jetzt „schlank“ auf Basis ENISA anfängt und weiß, dass man später doch weitere Managementsysteme nutzen will oder eine international anerkannte Zertifizierung geplant ist, sollte man gleich auf Basis ISO 27001 starten, um keine doppelten Aufwende zu generieren und sich jeweils in die Systematik separat einarbeiten zu müssen.

Wenn das nicht geplant ist, bestehen mit ENISA und VdS 10100 pragmatische Lösungen. Den BSI IT-Grundschutz sollten nur staatliche Organisationen anstreben, er ist hochwertig, aber aufwendiger als die anderen Optionen.

Tooling

Für den Aufbau eines ISMS zur Erfüllung der NIS2 gibt es ein großes Angebot an Software im Markt, die aber nicht alle die o.g. Standards unterstützen.

Unser EnterpriseOS unterstützt die ISO 27001 und den BSI IT-Grundschutz nativ, zudem sind die NIS2 und die Verordnung 2024/2690 als Prüfstandard integriert.

Die Lösung kann aber auch für die Abbildung von ENISA und VdS 10.100 eingesetzt werden. Strukturen und Dokumentationsbasis sowie weitere Hilfsmittel sind vorhanden.

ENISA

Bei Interesse an dem ENISA – Dokument kann man dies hier (nur in Englisch) abrufen:

https://www.enisa.europa.eu/sites/default/files/2025-06/ENISA_Technical_implementation_guidance_on_cybersecurity_risk_management_measures_version_1.0.pdf

Fragen Sie uns nach Unterstützung bei der NIS2-Umsetzung!