- Typ
- Internationaler Standard (ISO/IEC)
- Aktuelle Version
- ISO/IEC 27001:2022
- Gegenstand
- Informationssicherheits-Managementsystem (ISMS)
- Nutzen für NIS2
- Deckt viele NIS2-Anforderungen bereits ab
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ISO 27001?
ISO/IEC 27001 ist der international führende Standard für Informationssicherheit und der einzige aus der ISO-27000-Reihe, gegen den sich eine Organisation zertifizieren lassen kann. Er legt fest, wie Organisationen ein Informationssicherheits-Managementsystem (ISMS) aufbauen, betreiben und stetig verbessern. Ziel ist der Schutz der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – unabhängig davon, ob diese digital, auf Papier oder im Wissen der Mitarbeitenden vorliegen. Der Standard ist bewusst branchen- und technologieneutral formuliert, damit ihn vom Handwerksbetrieb bis zum Konzern jede Organisation auf ihre eigene Größe und Risikolage zuschneiden kann.
Aufbau: Hauptteil und Annex A
ISO 27001 besteht aus einem normativen Hauptteil (Kapitel 4 bis 10) und dem Anhang A. Der Hauptteil beschreibt die Anforderungen an das Managementsystem selbst: Kontext der Organisation, Führung, Planung, Risikomanagement, Betrieb und kontinuierliche Verbesserung. Der Annex A listet konkrete Sicherheitsmaßnahmen (Controls) auf – etwa zu Zugriffskontrolle, Verschlüsselung, Lieferantenmanagement und Notfallvorsorge. In der aktuellen Version ISO/IEC 27001:2022 sind es 93 Maßnahmen in vier Themenbereichen (organisatorisch, personenbezogen, physisch, technologisch). Welche davon umgesetzt werden, ergibt sich aus der Risikobewertung und wird in der „Erklärung zur Anwendbarkeit" (SoA) begründet.
Wie läuft die Zertifizierung ab?
Nach dem Aufbau des ISMS prüft eine akkreditierte Zertifizierungsstelle das System in einem zweistufigen Audit (Dokumentenprüfung und Vor-Ort-Audit). Das Zertifikat ist anschließend drei Jahre gültig und wird durch jährliche Überwachungsaudits begleitet, bevor eine Rezertifizierung ansteht. Eine Zertifizierung ist freiwillig, schafft aber Vertrauen bei Kunden, Behörden und Partnern und ist in Ausschreibungen oft eine harte Anforderung.
ISO 27001 und NIS2
ISO 27001 und NIS2 verfolgen dasselbe Ziel mit unterschiedlichen Mitteln: Wo die Norm einen freiwilligen, zertifizierbaren Rahmen für ein ISMS beschreibt, formuliert die seit dem 6. Dezember 2025 in Deutschland geltende NIS2-Umsetzung gesetzliche Pflichten, deren Verletzung mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) beziehungsweise 7 Mio. Euro oder 1,4 % (für wichtige Einrichtungen) geahndet werden kann. Ein nach ISO 27001 aufgebautes ISMS deckt dabei einen großen Teil der von NIS2 geforderten Maßnahmen bereits ab – etwa Risikomanagement, technische und organisatorische Schutzmaßnahmen sowie Governance bis in das Leitungsorgan. Verpflichtend ist die Zertifizierung trotzdem nicht.
Konkret: Ein mittelständischer Maschinenbauer mit gültigem ISO-27001-Zertifikat muss für NIS2 kein zweites System bauen. Er gleicht seine bestehenden Controls mit den NIS2-Pflichten ab, ergänzt die gesetzlich vorgegebene Meldekette (Erstmeldung binnen 24 Stunden, Bestätigung binnen 72 Stunden, Abschlussbericht binnen eines Monats) und holt die BSI-Registrierung nach. Die Erstfrist 06.03.2026 ist abgelaufen. Eine Nachregistrierung beim BSI bleibt jedoch möglich und sollte ohne weiteren Verzug erfolgen.
ISO 27001 ↔ NIS2 im direkten Vergleich
Die folgende Tabelle ordnet typische ISO-27001-Bausteine den Pflichten aus Art. 21 NIS2 zu. Sie zeigt, an welchen Stellen ein bestehendes ISMS direkt einzahlt – und wo NIS2 darüber hinausgeht.
| Bereich | ISO 27001 (Annex A 2022) | NIS2 Art. 21 |
|---|---|---|
| Risikomanagement | Kap. 6 + A.5.7 (Risikobewertung, SoA) | Abs. 2 a) – Risikoanalyse & Sicherheitskonzepte |
| Vorfallbehandlung | A.5.24–A.5.28 (Incident Management) | Abs. 2 b) + Meldekette 24h/72h/1 Monat (§ 32 BSIG) |
| Business Continuity | A.5.29–A.5.30 (Kontinuität, Backups) | Abs. 2 c) – Backup, Wiederherstellung, Krisenmanagement |
| Lieferkette | A.5.19–A.5.23 (Lieferantenbeziehungen) | Abs. 2 d) – Sicherheit in der Lieferkette |
| Kryptografie & Zugriff | A.8.24, A.5.15–A.5.18 (Verschlüsselung, Zugriffskontrolle) | Abs. 2 h)+j) – Kryptografie, Zugriffs- & Asset-Management |
| Governance | Kap. 5 (Führung & Verantwortung) | Art. 20 – Pflicht & Haftung des Leitungsorgans |
Eine Lücke bleibt fast immer offen: Die NIS2-Meldepflichten an das BSI sind in ISO 27001 nicht enthalten. Sie müssen separat eingerichtet werden.
Was müssen Sie konkret tun?
- Geltungsbereich abgleichen: Prüfen Sie, ob der ISMS-Scope Ihres Zertifikats wirklich alle NIS2-relevanten Dienste und Anlagen umfasst – oft ist er enger gefasst.
- Gap-Analyse fahren: Stellen Sie Ihre Erklärung zur Anwendbarkeit (SoA) den zehn Maßnahmenkategorien aus Art. 21 NIS2 gegenüber und dokumentieren Sie Abweichungen.
- Meldekette aufsetzen: Definieren Sie Verantwortliche und Eskalationswege für die Fristen 24h / 72h / 1 Monat an das BSI – dieser Teil fehlt im ISMS.
- BSI-Registrierung nachholen: Die Erstfrist 06.03.2026 ist abgelaufen; registrieren Sie betroffene Einrichtungen umgehend nach.
- Leitungsorgan einbinden: Lassen Sie die Geschäftsführung die Risikomaßnahmen formal billigen und an einer Schulung teilnehmen – Art. 20 NIS2 macht sie persönlich haftbar.
Weiterführende Quelle: ISO/IEC 27001 – offizielle Standardseite der ISO
Häufige Fragen
Was ist ISO 27001 einfach erklärt?
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und der einzige der ISO-27000-Reihe, gegen den sich Organisationen zertifizieren lassen können. Die Norm beschreibt, wie ein Unternehmen Informationssicherheit systematisch aufbaut, steuert und kontinuierlich verbessert, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Die aktuelle Version ISO/IEC 27001:2022 enthält im Annex A 93 Sicherheitsmaßnahmen in vier Themenbereichen.
Ist ISO 27001 für NIS2 verpflichtend?
Eine ISO-27001-Zertifizierung ist für NIS2 nicht zwingend vorgeschrieben, hilft aber erheblich: Ein nach ISO 27001 aufgebautes ISMS deckt viele der von NIS2 in Artikel 21 geforderten Maßnahmen bereits ab, etwa Risikomanagement, technische Schutzmaßnahmen und Governance. Die NIS2-Umsetzung gilt in Deutschland seit dem 6. Dezember 2025 und ahndet Verstöße mit Bußgeldern bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Wie läuft eine ISO-27001-Zertifizierung ab?
Ein Unternehmen baut zunächst ein ISMS auf, dokumentiert Prozesse und Maßnahmen und lässt das System anschließend von einer akkreditierten Zertifizierungsstelle in einem zweistufigen Audit aus Dokumentenprüfung und Vor-Ort-Audit prüfen. Das ISO-27001-Zertifikat ist danach drei Jahre gültig und wird durch jährliche Überwachungsaudits begleitet, bevor eine Rezertifizierung ansteht. Die Zertifizierung ist freiwillig, schafft aber Vertrauen bei Kunden, Behörden und Partnern.