Eine der häufigsten Fragen 2026: "Wir sind ISO 27001 zertifiziert, sind wir damit NIS2-konform?". Die kurze Antwort: ISO 27001 ist eine starke Basis, aber kein Eins-zu-eins-Ersatz. NIS2 verlangt zusätzlich Geschäftsleitungs-Pflichten (Art. 20), eine Lieferketten-Strategie und Meldepflichten, die ISO 27001 nicht explizit fordert. Hier eine pragmatische Mapping-Übersicht.

Deckungsgleiche Bereiche

NIS2 Art. 21 Abs. 2 (a) Risikomanagement: ISO 27001 Klausel 6.1.2 + Annex A 5.7 deckt das vollständig ab.

NIS2 Art. 21 Abs. 2 (b) Incident-Handling: ISO 27001 Annex A 5.24-5.28 deckt Erkennung, Reaktion, Lessons Learned. Was fehlt: die NIS2-spezifischen 24h/72h/Monatsfristen — die müssen prozessual addiert werden.

NIS2 Art. 21 Abs. 2 (c) Business Continuity: ISO 27001 Annex A 5.29-5.30 plus ISO 22301-Empfehlung deckt das gut ab.

NIS2 Art. 21 Abs. 2 (e) Sicherheit der Netzwerkbeschaffung: ISO 27001 Annex A 8.20-8.23 ist deckungsgleich.

NIS2 Art. 21 Abs. 2 (g) Cyber-Hygiene + Schulung: ISO 27001 Annex A 6.3 ist die Basis.

NIS2 Art. 21 Abs. 2 (h) Kryptographie: ISO 27001 Annex A 8.24 ist deckungsgleich.

NIS2 Art. 21 Abs. 2 (i) Personal-Sicherheit + Asset-Management: ISO 27001 Annex A 6.x + 5.9-5.14 deckt das.

NIS2 Art. 21 Abs. 2 (j) MFA + Verschlüsselung + Sprach- und Videodaten: ISO 27001 Annex A 8.5 + 8.24 deckt MFA-Anforderung.

Wo NIS2 strukturell zusätzlich verlangt

Art. 20 Geschäftsleitungs-Pflichten: ISO 27001 fordert Top-Management-Commitment in Klausel 5, aber NIS2 geht weiter. Konkrete Schulungs-Pflicht für Leitungsorgane, dokumentierte Billigung der Maßnahmen mit Beschluss-Protokoll, persönliche Haftung. Das muss als separate Governance-Schicht über das ISMS gelegt werden.

Art. 21 Abs. 2 (d) Lieferketten-Sicherheit: ISO 27001 Annex A 5.19-5.23 ist deckungsgleich für die Beziehungs-Ebene, aber NIS2 verlangt explizit, dass die Sicherheits-Maßnahmen der Lieferanten nach Reife bewertet werden und die Ergebnisse in vertraglichen Klauseln landen. Die NIS2-Lieferanten-Bewertung ist tiefer als die ISO 27001-Vendor-Assessment.

Art. 21 Abs. 2 (f) Wirksamkeits-Bewertung der Maßnahmen: ISO 27001 hat das in Klausel 9 (Performance Evaluation, Internal Audit, Management Review), aber NIS2 verlangt zusätzlich, dass die Bewertung gegen objektive Wirksamkeits-Kriterien erfolgt (z. B. Reduktion der mittleren Erkennungszeit, Backup-Restore-Tests).

Art. 23 Meldepflichten: ISO 27001 fordert Incident-Reporting intern, aber nicht an die Aufsicht. Die NIS2-Kaskade (24h/72h/Monat) ist genuin neu und muss als eigener Prozess mit eigener Verantwortlichkeit aufgebaut werden.

Art. 24 Konformitäts-Bewertung durch Dritte: NIS2 kann verlangen, dass die Maßnahmen durch eine unabhängige Stelle bewertet werden (in Deutschland über BSI-Kompetenzzentren). ISO 27001 hat das nicht im selben Format.

Wo ISO 27001 strukturell zusätzlich verlangt

Statement of Applicability (SoA): ISO 27001 erzwingt die formale Begründung, warum welcher Annex-A-Control aktiviert oder ausgeschlossen ist. NIS2 hat kein Äquivalent.

Risiko-Bewertungs-Methodik und Akzeptanz-Kriterien (ISO 27001 Klausel 6.1.2 + 6.1.3): NIS2 setzt das implizit voraus, ohne die Methodik vorzugeben.

Kontinuierliche Verbesserung (Klausel 10): NIS2 fordert das implizit über Wirksamkeits-Bewertung, aber ISO 27001 macht es zur expliziten Plan-Do-Check-Act-Pflicht.

Praktische Konsequenzen

Ein ISO-27001-zertifiziertes Unternehmen hat 70-80% der NIS2-Pflichten aus Art. 21 bereits operativ erfüllt. Die kritischen Lücken liegen meistens in: Art. 20 (Governance), Art. 21 Abs. 2 (d) Lieferkette tief, Art. 23 (Meldekaskade), und in der Wirksamkeits-Mess-Disziplin.

Pragmatischer Zusatz-Aufwand: 6-9 Monate, hauptsächlich für Governance-Setup, Lieferketten-Vertiefung und Meldewege-Test.

Die wichtige strategische Frage: ISO 27001 als Basis erhalten und NIS2 als zusätzliche Governance-Schicht aufsetzen, oder NIS2-Spezialprogramm parallel laufen lassen. In den meisten Fällen ist die Schicht-Variante effizienter.

Gap-Analyse-Vorlage

Spalte 1: NIS2 Art. 20-23 Pflichten (10 Mindestmassnahmen plus Governance).

Spalte 2: Mapping auf ISO 27001 Klausel + Annex A Control.

Spalte 3: Status der Umsetzung (vollständig / teilweise / nicht).

Spalte 4: Beleg (Dokument, Audit-Befund, Selbst-Erklärung).

Spalte 5: Identifizierte Lücke + Maßnahme + Termin.

Spalte 6: Verantwortliche Rolle + Stakeholder-Abnahme.

Diese Tabelle ist das eigentliche Memo, das BSI oder Aufsicht im Pruefungsfall sehen will.

Was DecisionOS dabei tut

Die Gap-Analyse selbst ist eine strukturierte Entscheidung über Priorität, Zeit, Budget und Risikoakzeptanz pro identifizierte Lücke. DecisionOS produziert das als auditfähiges Memo: pro Lücke eine kompakte Begründung mit Stakeholder-Alignment (CISO, ISMS-Beauftragter, Vorstand) und Readiness Score, der den ISO-27001/NIS2-Gesamt-Reifegrad signalisiert.

ISO 27001 vs NIS2 Mapping 2026: Wo Controls passen und wo Lücken bleiben