Warum das ISO-Zertifikat dem BSI allein nicht reicht
7 Min. Lesezeit
Seit dem 6. Dezember 2025 gilt das novellierte BSIG. Der Kreis der beaufsichtigten Einrichtungen wächst laut BSI von rund 4.500 auf etwa 29.500. Viele davon haben ein ISO-27001-Zertifikat im Schrank und halten sich damit für abgesichert. Das BSI stellt in seinem Infopaket zur Norm klar: Eine ISO-Zertifizierung ist weder NIS2-Konformität noch ein zulässiger Nachweis im Aufsichtsverfahren.
Das Wichtigste in Kürze
- Kein Ersatz: Das BSI erkennt eine ISO-27001-Zertifizierung ausdrücklich nicht als Konformitätsnachweis nach BSIG an. Die Aufsicht prüft die Paragrafen 30, 32 und 38 direkt.
- Große Schnittmenge: Die BSI-Mapping-Tabelle ordnet alle zehn Maßnahmenfelder aus Paragraf 30 konkreten ISO-Controls zu. Ein sauberes ISMS reduziert den Umsetzungsaufwand spürbar.
- Drei Lücken: Geltungsbereich, Risikoakzeptanz und die behördliche Meldepflicht kennt die Norm so nicht. Genau hier scheitert der Reflex, das Zertifikat einfach vorzulegen.
- Chefsache: Paragraf 38 verpflichtet die Geschäftsleitung persönlich zur Umsetzung, Überwachung und regelmäßigen Schulung. Diese Pflicht lässt sich nicht an ein Zertifikat delegieren.
Verwandt:NIS2 nach der Frist: Jetzt beginnt die BSI-Aufsicht / Adaptive MFA im NIS2-Audit
Drei BSIG-Pflichten, von denen Ihr ISO-Audit nichts weiß
Was ist NIS2? NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit, in Deutschland umgesetzt durch das novellierte BSIG. Sie verpflichtet betroffene Einrichtungen zu Risikomanagement, zur Meldung erheblicher Vorfälle und zur Registrierung beim BSI, mit persönlicher Verantwortung der Geschäftsleitung.
Das Zertifikat bleibt dabei ein starkes Fundament. Ein gelebtes ISMS deckt laut BSI-Mapping einen großen Teil der gesetzlichen Maßnahmen ab. Nur eben nicht alles. Wer die Lücken kennt, spart sich teure Doppelarbeit und Nacharbeit im ersten Audit.
Ob eine Einrichtung unter das Gesetz fällt, hängt an Sektor und Größe. Das eigene Sicherheitsniveau spielt für die Betroffenheit keine Rolle. Paragraf 28 BSIG teilt in besonders wichtige und wichtige Einrichtungen, KRITIS-Betreiber gelten automatisch als besonders wichtig. Wer betroffen ist, trägt drei zentrale Pflichten, die ein ISO-Auditor bei seiner Zertifizierung gar nicht prüft.
Die erste ist die Registrierung nach Paragraf 33. Die zweite ist die Meldung erheblicher Vorfälle nach Paragraf 32. Die dritte ist das Risikomanagement samt Dokumentation nach Paragraf 30. ISO 27001 ist eine freiwillige Norm, das BSIG ist geltendes Recht mit einer Aufsichtsbehörde dahinter. Das ist der Kern des Missverständnisses: Ein Auditor bescheinigt ein Managementsystem, eine Behörde verlangt die Erfüllung konkreter gesetzlicher Pflichten.
Das BSI formuliert diese Trennung in seinem Infopaket zur Norm unmissverständlich. Eine Zertifizierung ist ein guter Reifegrad-Beleg, im Aufsichtsverfahren zählt sie nicht als Konformitätsnachweis.
Wo ISO 27001 laut BSI-Mapping schon trägt
Die gute Nachricht steht in der offiziellen Mapping-Tabelle des BSI. Paragraf 30 Absatz 2 listet zehn verpflichtende Maßnahmenfelder, von der Risikoanalyse über Incident Response und Business Continuity bis zu Lieferkette, Kryptografie und Mehr-Faktor-Authentifizierung. Für jedes dieser Felder benennt das BSI die passenden Klauseln und Controls aus ISO 27001 in der Fassung von 2022.
Konkret heißt das: Wer ein gelebtes ISMS betreibt, hat den Großteil der Bausteine schon im Haus. Risikoregister, Incident-Response-Playbooks, Lieferantenbewertung, eine Kryptografie-Richtlinie und eine MFA-Roadmap zahlen direkt auf die gesetzlichen Felder ein. Das BSI spricht davon, dass eine Zertifizierung den Umsetzungsaufwand reduzieren kann. Eine feste Prozentzahl nennt die Behörde bewusst nicht. Wer sie erfindet, verkauft eine Scheingenauigkeit.
Ein Vorbehalt bleibt. Das Mapping hat informativen Charakter ohne rechtliche Bindung. Ein umgesetztes Control nach ISO erfüllt die gesetzliche Pflicht nur dann, wenn Geltungsbereich und Umsetzungstiefe stimmen. Und genau an diesen beiden Stellen tun sich die Lücken auf.
Drei Lücken, die ein Zertifikat nicht schließt
Die erste Lücke betrifft den Geltungsbereich. In ISO 27001 legt die Organisation ihren Scope selbst fest, oft auf eine Abteilung, einen Standort oder einen einzelnen Prozess begrenzt. Das BSIG kennt diese Freiheit nicht. Die Maßnahmen gelten für die regulierten Dienste und die IT-Systeme, die sie erbringen. Ein Zertifikat, das nur die IT-Abteilung umfasst, deckt die gesetzliche Anforderung meist nicht ab.
Die zweite Lücke liegt in der Risikobehandlung. ISO erlaubt es, Risiken bewusst zu akzeptieren oder per Versicherung zu transferieren. Paragraf 30 verlangt dagegen die tatsächliche Umsetzung geeigneter Maßnahmen nach dem Stand der Technik. Ein pauschales Akzeptieren relevanter Risiken trägt vor der Aufsicht nicht. Wer sein Risikoregister ehrlich führt, sollte jeden Eintrag mit dem Status akzeptiert gegen die gesetzliche Umsetzungspflicht prüfen.
Die dritte Lücke ist die Meldepflicht. Ein Incident-Response-Prozess nach ISO regelt die interne Eskalation. Er kennt aber keinen Meldekanal zur Behörde. Paragraf 32 verlangt eine dreistufige Meldung an die gemeinsame Meldestelle von BSI und BBK: eine Frühwarnung binnen 24 Stunden, eine Folgemeldung binnen 72 Stunden und eine Abschlussmeldung binnen eines Monats nach der Folgemeldung. Die Leitlinie des BSI lautet Schnelligkeit vor Vollständigkeit. Eine interne Meldung an das eigene Sicherheitsteam ersetzt diese Pflicht nicht.
Die folgende Übersicht fasst zusammen, wo das Zertifikat trägt und wo das Gesetz darüber hinausgeht.
| Thema | ISO 27001 deckt typisch ab | BSIG verlangt zusätzlich |
|---|---|---|
| Geltungsbereich | Scope frei wählbar, oft einzelne Einheit | Maßnahmen für alle Systeme der regulierten Dienste |
| Risikobehandlung | Akzeptanz und Transfer von Risiken zulässig | Verpflichtende Umsetzung nach Paragraf 30, kein pauschaler Transfer |
| Incident Response | Interne Eskalations- und IR-Prozesse | Behördenmeldung nach Paragraf 32: 24h, 72h, ein Monat |
| Geschäftsleitung | Management-Review, Freigabe der Leitlinie | Persönliche Pflicht nach Paragraf 38: Umsetzung, Überwachung, Schulung |
| Registrierung | Nicht Bestandteil der Norm | Registrierung nach Paragraf 33, Aufsicht ohne Zertifikat als Nachweis |
Paragraf 38: Warum die Geschäftsführung persönlich in der Pflicht bleibt
Der vielleicht wichtigste Unterschied steht in Paragraf 38. Die Geschäftsleitung muss die Risikomanagement-Maßnahmen nach Paragraf 30 umsetzen und ihre Umsetzung überwachen. Diese Pflicht ist persönlich und lässt sich nicht an den CISO oder an ein Zertifikat abgeben. Bei schuldhafter Verletzung greift eine Schadensersatzpflicht nach gesellschaftsrechtlichen Maßstäben.
Dazu kommt eine Schulungspflicht. Die Geschäftsleitung muss sich regelmäßig schulen lassen, um Risiken erkennen und bewerten zu können. Das ISO-Management-Review nach Klausel 9.3 deckt die organisatorische Steuerung ab. Die gesetzliche Persönlichkeitspflicht der Leitung ersetzt es nicht.
Eine Präzisierung ist hier wichtig, weil sie oft falsch zitiert wird. Die EU-Richtlinie spricht in Artikel 20 von einer Billigung der Maßnahmen durch die Leitungsorgane. Das deutsche BSIG formuliert enger und verlangt Umsetzung und Überwachung. Wer intern von Billigung spricht, sollte den EU-Bezug kennen und nicht so tun, als stünde das Wort im deutschen Gesetz. Praktisch heißt die Pflicht: dokumentierte Freigaben, eine feste Berichtskadenz und nachweisbare Schulungen der Leitung.
Was vor dem ersten Vorfall erledigt sein muss
Neben den laufenden Pflichten steht die Registrierung. Nach Paragraf 33 muss sich eine betroffene Einrichtung spätestens drei Monate nach erstmaliger Betroffenheit registrieren, über das Unternehmenskonto und das BSI-Portal, das seit dem 6. Januar 2026 verfügbar ist. KRITIS-Betreiber laufen über den Weg des KRITIS-Dachgesetzes. Die Aufsicht kann nach den Paragrafen 61 und 62 Prüfungen anordnen. Auch dort zählt das ISO-Zertifikat nicht als anerkannter Konformitätsnachweis.
Sinnvoll ist deshalb eine eigene Nachweismappe, die unabhängig vom ISO-Audit-Zyklus geführt wird. Sie bündelt die Dokumentation nach Paragraf 30, die Meldeprozesse nach Paragraf 32, die Schulungsnachweise der Leitung nach Paragraf 38 und die Registrierung nach Paragraf 33. Wer diese vier Bausteine sauber trennt, kann im Aufsichtsfall schnell liefern, was sonst in einer ISO-Ordnerstruktur verstreut liegt.
Der pragmatische Weg für bereits zertifizierte Unternehmen führt in fünf Schritten zum Ziel. Betroffenheit nach Paragraf 28 prüfen. Den ISO-Scope gegen den gesetzlich geforderten Betrieb abgleichen. Eine strukturierte Gap-Analyse gegen die zehn Felder aus Paragraf 30 fahren und dabei die BSI-Mapping-Tabelle als Checkliste nutzen. Den Meldeprozess mit klaren Fristen und Portal-Zugang aufsetzen. Und die Geschäftsleitung aktiv einbinden, mit Schulung und dokumentierter Überwachung. Das Zertifikat verschafft dabei einen echten Vorsprung. Die gesetzlichen Pflichten nimmt es niemandem ab.
Häufige Fragen
Reicht unsere ISO-27001-Zertifizierung, um NIS2-konform zu sein?
Nein. Das BSI stellt in seinem Infopaket zur Norm ausdrücklich klar, dass eine Zertifizierung keine NIS2-Konformität bedeutet. Das Zertifikat ist ein gutes Fundament, ersetzt aber nicht die Gap-Analyse gegen Paragraf 30 und die Zusatzpflichten aus den Paragrafen 32, 33 und 38.
Müssen wir Vorfälle melden, wenn wir schon ein ISO-Incident-Management haben?
Ja, separat nach Paragraf 32. Ein Incident-Response-Prozess nach ISO regelt die interne Eskalation, er kennt aber keinen Meldekanal zur Behörde. Erforderlich ist eine Prozessbrücke, die einen erheblichen Vorfall einstuft und die Fristen von 24 Stunden, 72 Stunden und einem Monat auslöst.
Können wir das ISO-Zertifikat dem BSI als Nachweis vorlegen?
Nicht als Konformitätsnachweis. Die Aufsicht prüft die Paragrafen 30, 32 und 38 direkt. Das Zertifikat kann ergänzend dokumentieren, dass ein Managementsystem existiert, es ersetzt aber keine gesetzliche Nachweisführung.
Was muss die Geschäftsführung persönlich tun?
Paragraf 38 verlangt Umsetzung und Überwachung der Maßnahmen sowie regelmäßige Schulung, dazu haftet die Leitung bei schuldhafter Pflichtverletzung. Die Unterschrift unter die Sicherheitsleitlinie allein genügt nicht. Schulungsnachweise und ein dokumentierter Überwachungsprozess gehören separat geführt.
Deckt ISO 27001 die NIS2-Meldepflicht ab?
Nein. Das BSI nennt die Meldepflicht nach Paragraf 32 ausdrücklich als Punkt, den die Norm nicht abbildet. Ein interner IR-Prozess und eine gesetzliche Meldung an die gemeinsame Meldestelle sind zwei verschiedene Dinge.
Lesetipps der Redaktion
- NIS2 nach der Frist: Jetzt beginnt die BSI-Aufsicht
- NIS2 und Coordinated Disclosure: raus aus der Grauzone
- Der Notfallplan, den niemand geprobt hat
Mehr aus dem MBF Media Netzwerk
Bildquelle: KI-generiert (Juni 2026)