NIS2 und ISO 27001: Wie der Mittelstand die Pflicht beherrschbar macht

In den letzten Monaten höre ich in fast jedem Gespräch denselben Satz: „Wir haben gehört, NIS2 kommt auf uns zu und keiner weiß genau, was wir jetzt tun müssen." Dahinter steckt selten echtes Wissen, meistens eine diffuse Unsicherheit. Genau diese Unsicherheit lässt sich auflösen, und zwar mit einem Werkzeug, das viele schon kennen: einem ISMS nach ISO/IEC 27001.

Was NIS2 überhaupt ist

NIS2 ist die EU-Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit. Sie soll das Cybersicherheitsniveau in der EU anheben und löst die ältere NIS-Richtlinie ab. In Deutschland wird sie über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Wichtig für die Praxis: In Deutschland ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 in Kraft. Die ursprüngliche EU-Frist (Oktober 2024) wurde zwar verfehlt, doch seit Dezember 2025 sind die Anforderungen vollumfänglich anwendbar, die Registrierung betroffener Einrichtungen beim BSI läuft bereits (BSI-Portal seit Januar 2026). Wer betroffen ist, sollte jetzt handeln, nicht mehr abwarten.

Sind Sie überhaupt betroffen?

NIS2 unterscheidet zwischen „besonders wichtigen" und „wichtigen" Einrichtungen. Grob gesagt trifft es mittlere und große Unternehmen. Als Richtwert nennt die Richtlinie ab etwa 50 Beschäftigte beziehungsweise ab etwa 10 Millionen Euro Jahresumsatz, jeweils in bestimmten Sektoren.

Diese Sektoren sind breit gefasst, rund 18 an der Zahl. Dazu gehören unter anderem:

• Energie, Verkehr und digitale Infrastruktur
• Gesundheit, Trinkwasser und Abwasser
• Bankwesen und öffentliche Verwaltung
• verarbeitendes Gewerbe in bestimmten Bereichen
• Anbieter digitaler Dienste

Viele Mittelständler unterschätzen ihre Betroffenheit. Selbst wenn Sie die Schwellen nicht direkt reißen, kann NIS2 Sie über die Hintertür erreichen: Ihre Kunden, die selbst betroffen sind, müssen ihre Lieferkette absichern. Sie geben die Anforderungen vertraglich an ihre Zulieferer weiter. Aus „wir sind zu klein" wird dann schnell „unser größter Kunde verlangt einen Nachweis".

NIS2 erreicht den Mittelstand oft nicht über den Gesetzestext, sondern über den Einkauf der eigenen Großkunden.

Was NIS2 konkret von Ihnen verlangt

Die zentrale Anforderung steht in Artikel 21 der Richtlinie: angemessene und verhältnismäßige Risikomanagement-Maßnahmen für die Cybersicherheit. Das ist bewusst risikobasiert formuliert, nicht als starre Checkliste. Was „angemessen" ist, hängt von Ihrer Größe, Ihrem Risiko und Ihrem Sektor ab. Inhaltlich geht es unter anderem um:

• Risikoanalyse und Konzepte für die Sicherheit der Informationssysteme
• Behandlung von Sicherheitsvorfällen (Incident Handling)
• Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement (Business Continuity)
• Sicherheit der Lieferkette
• Zugriffskontrolle und Konzepte für den Einsatz von Kryptografie
• Schulung und Sensibilisierung der Mitarbeitenden

Hinzu kommen zwei Dinge, die über reines Risikomanagement hinausgehen. Erstens die Melde- und Berichtspflichten bei erheblichen Sicherheitsvorfällen nach Artikel 23, mit gestuften Fristen gegenüber der zuständigen Behörde. Zweitens, und das wird gern überlesen, eine ausdrückliche Verantwortung und Haftung der Geschäftsleitung. NIS2 macht Cybersicherheit zur Chefsache, nicht zur reinen IT-Aufgabe.

Warum ISO 27001 das stärkste Fundament ist

Wenn Sie sich die Liste aus Artikel 21 anschauen und dann ein ISMS nach ISO/IEC 27001 daneben legen, fällt etwas auf: Das meiste davon ist genau das, was ein Informationssicherheits-Managementsystem ohnehin systematisch organisiert.

ISO 27001 bringt eine strukturierte Risikobewertung, einen Katalog erprobter Maßnahmen (die Controls aus dem Annex A) und das Prinzip der kontinuierlichen Verbesserung mit. Risikoanalyse, Zugriffskontrolle, Kryptografie, Backup, Vorfallbehandlung, Lieferantensteuerung, Awareness-Schulungen: All das ist im ISMS bereits angelegt. Wer ein gelebtes ISMS hat, erfüllt einen Großteil der NIS2-Risikomanagement-Anforderungen strukturell schon, ohne bei null anzufangen.

ISO 27001 verwandelt NIS2 von einer diffusen Angst in ein abarbeitbares Projekt mit klarem Anfang und Ende.

Wo ISO 27001 endet und NIS2 weitergeht

Jetzt der ehrliche Teil, den manche Anbieter gern verschweigen: Ein ISO-27001-Zertifikat ist nicht automatisch NIS2-Konformität. Beide überschneiden sich stark, sind aber nicht deckungsgleich. NIS2 hat zusätzliche Aspekte, die ein ISMS nicht eins zu eins abdeckt.

• Die konkreten gesetzlichen Meldepflichten und Fristen gegenüber der Behörde regelt NIS2, nicht die Norm.
• Die Registrierung der Einrichtung bei der zuständigen Stelle ist eine NIS2-spezifische Pflicht.
• Die ausdrückliche Verantwortung und Haftung der Geschäftsleitung ist gesetzlich verankert, nicht durch ein Zertifikat erfüllt.
• Bestimmte Lieferkettenanforderungen können über das hinausgehen, was Sie für die Zertifizierung umgesetzt haben.

Die ehrliche Einordnung lautet deshalb: ISO 27001 ist ein sehr starkes Fundament und ein großer Vorsprung, aber keine vollständige Erfüllung per Knopfdruck. Das ist keine schlechte Nachricht. Es heißt nur, dass Sie auf einem soliden Fundament die letzten, klar benennbaren Bausteine ergänzen, statt das ganze Haus neu zu bauen.

Aus der Pflicht einen Vorteil machen

Der entscheidende Perspektivwechsel: NIS2 ist nicht nur ein Kostenfaktor. Ein funktionierendes ISMS ist ein Verkaufsargument. In Ausschreibungen und Kundenaudits werden Sie heute schon nach Ihrem Sicherheitsniveau gefragt. Wer ein ISO-27001-Zertifikat vorlegen kann, beantwortet diese Frage mit einem belastbaren Nachweis, statt mit einer Selbstauskunft.

Ich erlebe in der Praxis regelmäßig, dass ein ISMS Türen öffnet, die ohne Nachweis verschlossen bleiben. Große Auftraggeber, gerade in regulierten Branchen, bevorzugen Zulieferer, die ihre Hausaufgaben gemacht haben. Wer NIS2 als Anlass nimmt, sein ISMS aufzubauen, erfüllt also nicht nur eine Pflicht, sondern verschafft sich einen Wettbewerbsvorteil, der über die reine Compliance hinausreicht.

Wie Sie konkret anfangen

Mein praktischer Rat, ohne dass das eine Rechtsberatung sein kann: Klären Sie zuerst nüchtern Ihre Betroffenheit. Fallen Sie direkt unter NIS2, oder kommt der Druck über Ihre Kunden? In beiden Fällen ist der nächste Schritt derselbe.

• Bestandsaufnahme: Was an Sicherheitsmaßnahmen läuft heute schon, oft mehr als gedacht?
• Gap-Analyse gegen die ISO-27001-Struktur und die NIS2-Anforderungen aus Artikel 21.
• ISMS aufbauen oder vorhandene Ansätze zu einem System verdichten.
• Die NIS2-spezifischen Lücken ergänzen: Meldeprozesse, Registrierung, Lieferkette, Verantwortlichkeiten der Geschäftsleitung.

Wer im eigenen Haus die nötige Kompetenz aufbauen will, fängt sinnvollerweise beim Verständnis der Norm an. Ein ISO/IEC 27001 Foundation-Kurs vermittelt die Grundlagen, der Lead-Auditor-Weg befähigt dazu, ein ISMS belastbar zu prüfen, auch das eigene und das von Lieferanten. Genau diese Prüfkompetenz wird unter NIS2 wertvoller, weil Lieferkettensicherheit eben nicht auf Zuruf funktioniert, sondern auf nachvollziehbaren Nachweisen.

Der wichtigste Satz zum Schluss: Sie müssen NIS2 nicht fürchten, Sie müssen es nur ordnen. Ein ISMS ist das Ordnungssystem, das aus einer Richtlinie ein Projekt macht. Und ein Projekt hat im Gegensatz zur Angst ein Ende.