norppa.io
Leitfäden

NIS2-Leitfaden · 7 Min.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt — und die Lücken, die bleiben

Wenn Sie bereits ISO/IEC 27001 halten, beginnen Sie NIS2 nicht bei null — weit gefehlt. Ein funktionierendes ISMS deckt den Großteil der Art.-21-Grundlage ab. Doch Zertifizierung ist keine Compliance: NIS2 fügt gesetzliche Pflichten hinzu, die ein ISMS allein nicht erfüllt. Dieser Leitfaden zeigt, was übertragbar ist, wo die echten Lücken liegen und wie Sie sie schließen, ohne das Vorhandene neu aufzubauen.

Wichtigste Punkte

  • ISO 27001 deckt die meisten NIS2-Art.-21-Maßnahmen ab — Risikomanagement, Zugriffskontrolle, Kryptografie, Kontinuität, Lieferantenkontrollen — und ist damit ein starker Vorsprung.
  • Doch Zertifizierung ist keine Compliance: NIS2 ergänzt gesetzliche Meldefristen, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung.
  • Die größten Lücken sind meist die 24/72-Stunden-Meldepflicht und die kontinuierliche Drittparteienüberwachung, nicht die Kernkontrollen.
  • Schließen Sie die Lücken auf dem ISMS auf — nicht neu bauen; ordnen Sie Ihre Anhang-A-Kontrollen der Art.-21-Liste zu und ergänzen Sie Fehlendes.

Was Ihr ISMS bereits abdeckt

Die Art.-21-Grundlage von NIS2 und ISO/IEC 27001 (mit seinen Anhang-A-Kontrollen) überschneiden sich stark. Wenn Ihr ISMS wirklich in Betrieb ist — nicht nur zertifiziert — ist ein Großteil der technischen und organisatorischen Substanz der Richtlinie bereits vorhanden:

  • Risikomanagement — Ihr ISMS-Risikobewertungs- und -behandlungsprozess bildet Art. 21(2)(a) direkt ab.
  • Zugriffskontrolle & Kryptografie — die Anhang-A-Kontrollen zu Zugriff und Kryptografie entsprechen Art. 21(2)(i) und (h).
  • Vorfallmanagement — Ihr Vorfallprozess deckt die Handhabungsseite von Art. 21(2)(b) ab (bei der Meldeseite ergänzt NIS2 mehr).
  • Betriebskontinuität — Backup-, Wiederherstellungs- und Kontinuitätskontrollen bilden Art. 21(2)(c) ab.
  • Lieferantenbeziehungen — die Anhang-A-Lieferantenkontrollen sind das Fundament, auf dem Art. 21(2)(d) aufbaut.

Wo NIS2 über Ihr ISMS hinausgeht

Die Zertifizierung belegt, dass für einen definierten Geltungsbereich ein gemanagtes System existiert. NIS2 ist eine gesetzliche Pflicht für die gesamte einschlägige Einrichtung und ergänzt Pflichten, die ein ISO-Zertifikat allein nicht erfüllt:

Gesetzliche Vorfallmeldung — ISO 27001 verlangt, Vorfälle zu managen; NIS2 verlangt, erhebliche an eine nationale Behörde mit einer 24-Stunden-/72-Stunden-/Ein-Monats-Uhr zu melden (Art. 23). Keine ISMS-Frist entspricht dem.

Haftung & Schulung der Leitung — NIS2 verpflichtet das Leitungsorgan, die Maßnahmen zu genehmigen und zu überwachen, Schulungen zu absolvieren und persönlich zu haften (Art. 20). ISO verlangt Engagement der Leitung, keine rechtliche Verantwortung.

Kontinuierliche Lieferkettensicherung — die Anhang-A-Lieferantenkontrollen sind weitgehend punktuell. NIS2-Art. 21(2)(d) drängt zusammen mit dem Maßstab „angemessener Maßnahmen“ zu fortlaufender Überwachung des Lieferantenrisikos.

Registrierung & Geltungsbereich — viele Einrichtungen müssen sich bei ihrer nationalen Behörde registrieren, und NIS2 gilt für die gesamte einschlägige Organisation, unabhängig von Ihrem gewählten ISMS-Geltungsbereich.

Durchsetzungsrealität — eine ISO-Abweichung betrifft Sie und Ihren Zertifizierer; ein NIS2-Versäumnis kann verbindliche Anordnungen und Bußgelder bis zu 10 Mio. € oder 2 % des Umsatzes bedeuten (Art. 34).

Die Lücke schließen, ohne neu aufzubauen

Der effiziente Weg behandelt NIS2 als Ergänzung auf einem funktionierenden ISMS, nicht als Parallelprogramm:

  • Ordnen Sie Ihre Anhang-A-Kontrollen der Liste Art. 21(2)(a)–(j) zu — die meisten Felder sind bereits gefüllt.
  • Richten Sie den Meldeworkflow ein: wer „erheblich“ entscheidet, wer das CSIRT kontaktiert und das 24/72-Stunden-Playbook.
  • Bringen Sie die NIS2-Governance in den Vorstand: Genehmigung der Maßnahmen, Aufsichtsberichterstattung und Schulung der Leitung (Art. 20).
  • Heben Sie die Lieferantensicherung vom jährlichen Fragebogen auf kontinuierliche Überwachung kritischer Lieferanten.
  • Bestätigen Sie die Registrierung bei Ihrer nationalen Behörde und dass Ihr ISMS-Geltungsbereich die einschlägigen Dienste abdeckt.

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Artikel 20, 21 und 23 — die ISO/IEC-27001-Zuordnung ist indikativ; bestätigen Sie die verbindlichen Anforderungen in Ihrem nationalen Umsetzungsgesetz.

Wie norppa.io hilft

Die zwei Lücken, die ein ISMS am weitesten offen lässt, sind genau die, für die norppa.io gebaut ist: kontinuierliche Lieferantensicherung und meldebereiter Nachweis. Jeder überwachte Lieferant wird täglich über 100+ Kontrollpunkte geprüft, mit Befunden, die denselben Art.-21-Unterpunkten zugeordnet sind, die Ihr ISMS bereits spricht — so wird die Lieferkettenkontrolle kontinuierlich statt jährlich.

Und weil alles mit Zeitstempel versehen und exportierbar ist, liegt der Nachweis für eine Art.-23-Meldung oder eine behördliche Prüfung neben Ihrer ISMS-Dokumentation statt in einem getrennten Silo. norppa.io ergänzt ISO 27001, dupliziert es nicht.

Schließen Sie die Lieferkettenlücke Ihres ISMS

Sehen Sie kontinuierliche, NIS2-zugeordnete Lieferantenüberwachung im Musterbericht — zwei Minuten.

Musterbericht ansehen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.