Wer sich gerade zum ersten Mal mit NIS-2 beschäftigt, stößt schnell auf eine lange Liste neuer Pflichten: Risikoanalysen, Meldefristen, Lieferkettenbewertungen, Governance-Verantwortung auf Geschäftsführungsebene. Es wirkt wie ein komplettes neues Compliance-Programm, das von Grund auf aufgebaut werden muss.

Für die meisten Unternehmen stimmt das nicht. Wer bereits ein Informationssicherheits-Managementsystem nach ISO 27001 betreibt – zertifiziert oder nicht – hat einen erheblichen Teil der Arbeit bereits erledigt. Branchenanalysen kommen übereinstimmend zu einem ähnlichen Bild: rund 70 Prozent der NIS-2-Anforderungen werden durch ein ISO-27001-konformes ISMS bereits abgedeckt.

Die Zahl im Kontext

70 Prozent heißt: Acht von zehn NIS-2-Maßnahmen haben ein direktes Pendant in den 93 Controls von ISO 27001 Annex A. Das ist keine vage Ähnlichkeit – es ist eine strukturelle Übereinstimmung in den Kernbereichen Risikomanagement, Zugriffskontrolle, Vorfallmanagement und Lieferkette.

Venn-Diagramm: ISO 27001 und NIS-2 — etwa 70% Überschneidung im gemeinsamen Geltungsbereich, daneben die zusätzlichen NIS-2-Anforderungen wie Meldepflichten, Lieferkettenüberwachung und behördliche Kontrollen
ISO 27001 als Fundament — NIS-2 schließt die Lücke gezielt.

Wo die Überschneidung konkret liegt

Beide Regelwerke verlangen im Kern dieselben vier Dinge. Erstens eine systematische Risikoanalyse – ISO 27001 definiert das in Klausel 6.1, NIS-2 fordert es in Artikel 21. Zweitens technische und organisatorische Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrolle und Hardening – das ist praktisch deckungsgleich mit Annex A. Drittens ein Vorfallmanagement-Prozess mit Erkennung, Reaktion und Nachbereitung. Viertens die Bewertung und Steuerung von Lieferantenrisiken.

Wer also bereits ein ISMS betreibt, verfügt in diesen vier Bereichen über dokumentierte Prozesse, definierte Verantwortlichkeiten und – im besten Fall – über Nachweise aus vergangenen Audits. Genau das ist es, was ein NIS-2-Auditor sehen will.

Die Lücke ist klein – aber teuer

Hier beginnt der Teil, der in den meisten Übersichtsartikeln zu kurz kommt. Ein ISO-27001-Zertifikat bedeutet nicht automatisch NIS-2-Konformität. Die verbleibenden 30 Prozent sind nicht gleichmäßig über alle Bereiche verteilt – sie konzentrieren sich auf drei Punkte, die NIS-2 deutlich konkreter fasst als ISO 27001 es verlangt.

Erstens die Meldefristen. NIS-2 verlangt eine erste Meldung innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Sicherheitsvorfalls, eine Folgemeldung nach 72 Stunden und einen Abschlussbericht nach einem Monat. ISO 27001 fordert einen Vorfallmanagement-Prozess – aber keine gesetzlich bindenden Fristen in dieser Granularität.

Zweitens die Lieferkettentiefe. ISO 27001 verlangt die Bewertung von Lieferantenrisiken auf einer allgemeinen Ebene. NIS-2 Artikel 21 Absatz 2 Buchstabe d verlangt eine Bewertung der Sicherheit in der gesamten Lieferkette einschließlich der Beziehungen zwischen jedem Unternehmen und seinen unmittelbaren Anbietern – mit deutlich höherem Dokumentationsanspruch.

Drittens die persönliche Haftung der Geschäftsführung. NIS-2 macht Geschäftsführer persönlich verantwortlich für die Umsetzung von Risikomanagementmaßnahmen – mit der Möglichkeit persönlicher Bußgelder. ISO 27001 kennt diese Form der Durchgriffshaftung nicht.

Der teure Irrtum

"Wir sind ISO-27001-zertifiziert, also sind wir NIS-2-konform" ist die häufigste Fehleinschätzung, die wir im Stresstest sehen. Sie ist zu 70 Prozent richtig – und genau das macht sie gefährlich. Die fehlenden 30 Prozent sind nicht Kleinigkeiten, sondern die Punkte mit dem höchsten Bußgeldrisiko.

Was das praktisch bedeutet

Für Unternehmen mit bestehendem ISMS ist die NIS-2-Umsetzung kein Neuaufbau, sondern eine gezielte Ergänzung. Der sinnvolle Weg: Bestehende ISO-27001-Controls als Fundament nehmen, die drei beschriebenen Lücken – Meldefristen, Lieferkettentiefe, Governance-Verantwortung – gezielt schließen, und alles in einer Form dokumentieren, die im Ernstfall innerhalb von 24 Stunden auswertbar ist.

Das ist der Kern dessen, was Executable Compliance unter "Collect Once, Comply Many" versteht: ein einzelnes IAM-Control, einmal sauber implementiert und dokumentiert, erfüllt gleichzeitig Anforderungen aus NIS-2, ISO 27001, DORA und dem EU AI Act – weil die zugrundeliegende Frage in allen vier Regelwerken praktisch identisch ist.

Die entscheidende Frage ist also nicht "Müssen wir bei Null anfangen?" – sondern "Wo genau liegen unsere 30 Prozent?"