BSI IT-Grundschutz, ISO 27001 und NIS2: Mapping und Unterschiede

Wer in deutschen Mittelstands- und Industriebetrieben Sicherheits-Compliance plant, trifft auf drei Frameworks, die zugleich überlappen und sich unterscheiden: BSI IT-Grundschutz, ISO/IEC 27001 und das NIS2-Umsetzungsgesetz (über § 30 BSIG). Dieser Artikel erklärt, was jedes Framework leistet, wie sie zusammenhängen und welche Kombination für welchen Anwendungsfall sinnvoll ist.

BSI IT-Grundschutz

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik ist eine deutsche Methodik aus den 1990er Jahren, kontinuierlich fortgeschrieben. Aktuell relevant ist das IT-Grundschutz-Kompendium 2025.

Logik: Bausteine. Für jeden Technologie- oder Prozess-Bereich (z.B. Web-Server, Mobile Devices, Personalsicherheit) gibt es einen Baustein mit konkreten Anforderungen. Drei Schutzbedarfskategorien (normal, hoch, sehr hoch) bestimmen, welche Anforderungen verpflichtend sind.

Stärken: Sehr konkrete Maßnahmenkataloge, leicht in deutschem Behörden- und KRITIS-Kontext anerkannt, kostengünstig (BSI stellt das Kompendium frei zur Verfügung).

Schwächen: Bausteine müssen aktuell gehalten werden, das gelingt nicht für alle Technologien gleich gut. International weniger anerkannt als ISO. Hoher initialer Modellierungsaufwand.

Zertifizierung: ISO 27001 auf Basis von IT-Grundschutz ist möglich, ein vom BSI anerkanntes Audit-Verfahren. Damit verbindet man deutschen Pragmatismus mit internationaler Norm-Anerkennung.

ISO/IEC 27001:2022

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Aktuell gültig: ISO/IEC 27001:2022 mit Annex A (revidierte Maßnahmenliste, 93 Controls in vier Themen).

Logik: Risikobasiert. Das ISMS definiert Schutzziele, identifiziert Risiken, bewertet sie, wählt geeignete Maßnahmen aus dem Annex A oder ergänzt eigene. Die Auswahl wird dokumentiert (Statement of Applicability, SoA).

Stärken: International anerkannt, Kunden- und Partner-Vertrauen, gut dokumentiertes Verfahren, in Audits etabliert.

Schwächen: Risikobasierter Ansatz lässt viel Spielraum. Zwei ISO-27001-konforme ISMS können sich in Reife und Schutzwirkung deutlich unterscheiden. Zertifizierungs-Kosten nicht unerheblich.

Zertifizierung: Externer Audit durch akkreditierte Zertifizierungsstellen. Erst-Zertifizierung, danach jährliche Überwachungsaudits, alle drei Jahre Rezertifizierung.

NIS2 (§ 30 BSIG)

NIS2 ist keine Methodik wie BSI Grundschutz und keine Norm wie ISO 27001. Es ist eine Rechtspflicht mit zehn konkreten Mindestmaßnahmen (siehe Was ist NIS2?).

Logik: Pflichtmaßnahmen-Liste. Wer in den Geltungsbereich fällt, muss die zehn Maßnahmen umsetzen, dokumentieren und auditierbar machen.

Stärken: Klarheit. Die zehn Maßnahmen sind nicht verhandelbar. Audit-Argumentation ist einfach (Maßnahme da oder nicht da).

Schwächen: Keine Methodik für die konkrete Umsetzung. Wer die zehn Punkte abhakt, hat noch kein funktionierendes ISMS. NIS2 setzt Methodik voraus, liefert sie aber nicht.

Zertifizierung: Keine. Aufsichtsbehörde ist das BSI, das anlassbezogen oder routinemäßig auditiert. Für besonders wichtige Einrichtungen proaktive Aufsicht.

Mapping zwischen den drei Frameworks

Die folgenden Tabellen zeigen typische Entsprechungen. Sie sind als Orientierung gedacht, nicht als verbindliche Eins-zu-Eins-Zuordnung.

§ 30 BSIG-Maßnahmen vs ISO 27001 Annex A

| § 30 BSIG | ISO 27001:2022 (Annex A) | |---|---| | Nr. 1 Risikoanalyse | A.5.1, A.5.7, A.6.1, A.8.2 | | Nr. 2 Vorfallsbehandlung | A.5.24, A.5.25, A.5.26, A.5.27 | | Nr. 3 Aufrechterhaltung | A.5.29, A.5.30, A.8.13, A.8.14 | | Nr. 4 Lieferketten-Sicherheit | A.5.19, A.5.20, A.5.21 | | Nr. 5 Beschaffung und Entwicklung | A.5.8, A.8.25 | | Nr. 6 Wirksamkeitsbewertung | A.5.35, A.5.36 | | Nr. 7 Cyberhygiene und Schulung | A.6.3 | | Nr. 8 Kryptografie | A.8.24 | | Nr. 9 Personalsicherheit, Zugang | A.6.1, A.6.4, A.6.5, A.5.16 | | Nr. 10 MFA und sichere Kommunikation | A.5.17, A.8.5 |

BSI Grundschutz vs ISO 27001

Das BSI veröffentlicht ein offizielles Mapping zwischen IT-Grundschutz-Bausteinen und ISO 27001 Controls. Wer ein ISO-27001-Audit anstrebt, kann auf Basis des Grundschutz-Kompendiums arbeiten. Umgekehrt deckt eine ISO-27001-Zertifizierung den Grundschutz nicht vollständig ab, weil Grundschutz konkretere Anforderungen für deutsche Behörden- und KRITIS-Anwendungsfälle stellt.

Welche Kombination für welchen Fall?

Mittelständler ohne KRITIS, ohne NIS2-Pflicht

ISO 27001 als Backbone, ergänzt um relevante Grundschutz-Bausteine wo die Behördenseite (z.B. Förderanträge) deutsche Anker erwartet. Pragmatisch, marktgängig, kunden-tauglich.

NIS2-pflichtiger Mittelständler

ISO 27001 als Backbone, ergänzt um NIS2-spezifische Aspekte (Lieferketten-Sicherheit, Schulung der Geschäftsleitung, Meldepflichten). Eine reine NIS2-Umsetzung ohne ISMS-Backbone bleibt fragmentiert.

KRITIS-Betreiber

BSI Grundschutz oder ISO 27001 auf Basis von IT-Grundschutz. Die Behördenseite (BBK, BSI) erwartet deutsche Methodik. KRITIS-Betreiber mit internationalem Kundenstamm wählen oft die Kombi-Zertifizierung.

Industriebetrieb unter Seveso-III und KRITIS

Integriertes Sicherheitsmanagement mit ISO 27001, Seveso-Sicherheitsmanagement und KRITIS-spezifischen Bausteinen. Hier zahlt sich integriertes Denken besonders aus, weil isolierte Umsetzung der drei Regelwerke zu Doppelstrukturen führt.

Was diese Frameworks nicht ersetzen

Alle drei Frameworks sind methodische Hilfsmittel, nicht Schutz selbst. Ein zertifiziertes ISMS schützt nicht vor einem Angriff. Wirksamkeit entsteht erst durch konsequente Umsetzung, regelmäßige Übung und gelebte Sicherheitskultur. Wer das verwechselt, kauft Zertifikate und steht trotzdem mit ungeschützten Toren da. Mehr dazu im Artikel Compliance vs Sicherheit.

Quellen

• BSI IT-Grundschutz-Kompendium (www.bsi.bund.de/grundschutz)
• ISO/IEC 27001:2022 und ISO/IEC 27002:2022 (DIN bezugsfähig)
• § 30 BSIG im NIS2-Umsetzungsgesetz
• BSI-Mapping IT-Grundschutz vs ISO 27001 (auf der BSI-Webseite verfügbar)