NIS2 + ISO 27001-Zertifizierung: 12-Monats-Pfad

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: NIS2

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

12-Monats-Pfad zur ISO 27001:2022-Zertifizierung als NIS2-Compliance-Plus
Phasen: Gap-Analyse → SoA → Risiko-Behandlung → ISMS → Stage-1 → Stage-2 → Re-Audit
Kosten: 25–80k EUR (Beratung + Audit + erste Re-Audits)
Mehrwert: deckt 80 % der § 30 BSIG-Pflichten ab + Marketing-Vorteil
Re-Zertifizierung alle 3 Jahre + jährlicher Surveillance-Audit

Hauptartikel: Hauptartikel: ISMS aufbauen — der vollständige Pillar-Artikel zum Thema.

Monat 1-2: Scope + Vorbereitung

ISMS-Beauftragten benennen, Scope definieren, Lücken-Analyse, Roadmap.

Monat 3-6: Aufbau

12 Pflicht-Policies, Risiko-Bewertung, SoA, Asset-Inventar, Schulung.

Monat 7-8: Probebetrieb

Internes Audit, Lücken-Behebung, CAPA-Prozess, Management-Review.

Monat 9-10: Stage 1-Audit

Externe Zertifizierungsstelle prüft Doku. Lücken-Behebung.

Monat 11-12: Stage 2-Audit

Vor-Ort-Audit, Stichproben, Zertifikat. Gültig 3 Jahre.

Kosten + Aufwand

Zertifizierungsstelle: 8-25k EUR. Externe Beratung: 20-80k EUR. Eigenleistung: 50-150 PT. Total: 50-150k EUR.

Position	Spannbreite (KMU)
Zertifizierungsstelle	8.000-25.000 EUR
Externe Beratung	20.000-80.000 EUR
Eigenleistung	50-150 Personentage
Gesamt	50.000-150.000 EUR

Abdeckungs-Lücke gegenüber NIS2

ISO 27001 deckt rund 9 der 10 NIS2-Pflichtmaßnahmen ab. Die verbleibende Lücke liegt bei Lieferketten-Sicherheit (Annex A.5.19-A.5.23 braucht zusätzliche Struktur) und expliziter Awareness für die Geschäftsführer-Haftung nach § 38 BSIG. Ein fokussiertes Lieferanten-Audit-Programm und gezielte Geschäftsführungs-Schulungen schließen die Lücke.

Zusammenfassung

Für NIS2-regulierte KMU ist ISO 27001 der wirkungsstärkste Pfad: Er erschlägt den Großteil der Controls, signalisiert Kunden Ernsthaftigkeit und etabliert einen wiederkehrenden Audit-Rhythmus. Planung: 12 Monate, Budget unter 150.000 EUR im KMU-Segment.

Häufig gestellte Fragen

Bringt Zertifikat NIS2-Compliance?

Stark unterstützend, nicht 100%. Lieferketten-Sicherheit + § 38 BSIG-Bewusstsein zusätzlich nötig.

Re-Zertifizierung?

Alle 3 Jahre. Surveillance jährlich.

Quellen

Stand: 02.05.2026

BSIG 2025 (konsolidierte Fassung) — § 30 BSIG (10 Maßnahmenbereiche) (Stand: 02.05.2026)
NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)
Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 (Stand: 02.05.2026)
BSI — NIS-2 FAQ (ISO-27001-Mapping ca. 70-80 %)

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.