Art. 21 NIS 2 + §30 BSIG + BSI 200-1

Was ist ein ISMS und brauche ich eins für NIS 2?

Ein ISMS ist kein Stück Software. Es ist die Art und Weise, wie Ihre Organisation ihre Sicherheitsmaßnahmen entscheidet, betreibt und verbessert. NIS 2 nennt das Wort nicht, aber Art. 21(2) verlangt genau das, was ein ISMS leistet.

Simon OrzelSimon Orzel·

Warum es falsch verstanden wird

ISMS gehört zu den am meisten missverstandenen Begriffen in NIS 2 Gesprächen. Der häufigste Irrtum: man behandle es als Werkzeug zum Kaufen. Tut man nicht. Ein ISMS ist die Art und Weise, wie eine Organisation Informationssicherheit steuert: wie Richtlinien entschieden werden, wie Risiken bewertet werden, wie Maßnahmen ausgewählt werden, wie Vorfälle behandelt werden, wie das alles überprüft wird.

NIS 2 selbst nutzt 'ISMS' als Begriff nicht. Die Richtlinie spricht von 'Konzepten', 'Maßnahmen', 'Risikomanagement' und 'Governance'. Art. 21(2) listet zehn Anforderungen, die zusammen genau das beschreiben, was ein ISMS leistet. ISO 27001 nennt dieselbe Sache 'Information Security Management System'. IT-Grundschutz nennt es 'Informationssicherheitsmanagementsystem'. Der Inhalt ist identisch.

Die praktische Frage ist nicht, ob Sie ein ISMS haben, sondern wie schwer es wiegt. Ein 60-Personen-Mittelständler mit einseitiger Richtlinie, kleinem Risikoregister und einer jährlichen Überprüfung kann NIS 2 erfüllen. Eine Bank mit 6000 Beschäftigten kann das nicht. Beide betreiben ein ISMS, nur in unterschiedlicher Tiefe.

Wo NIS 2 ein ISMS verlangt, ohne es so zu nennen
Drei Anker. Zwei in der Richtlinie, einer im IT-Grundschutz, der beides operationalisiert.

Art. 21(1) und 21(2) NIS 2

Die Mitgliedstaaten sorgen dafür, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken zu beherrschen. Die Maßnahmen umfassen mindestens: Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme; Bewältigung von Sicherheitsvorfällen; Aufrechterhaltung des Geschäftsbetriebs; Sicherheit der Lieferkette; Sicherheit im Erwerb von Netz- und Informationssystemen; Konzepte und Verfahren zur Bewertung der Wirksamkeit; grundlegende Verfahren der Cyberhygiene und Schulung; Kryptographie; Sicherheit des Personals, Zugriffskontrolle und Anlagenmanagement; Mehr-Faktor-Authentifizierung.

Zusammengelesen beschreiben die zehn Punkte ein Managementsystem. 'Konzepte', 'Verfahren', 'Wirksamkeit bewerten' — das sind ISMS-Verben. NIS 2 verlangt keine ISO 27001 Zertifizierung, aber die Substanz, die ISO 27001 abdeckt.

§30 BSIG (deutsche Umsetzung von Art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Die deutsche Umsetzung schreibt 'geeignete, verhältnismäßige und wirksame'. 'Wirksam' ist das Wort, das ein Managementsystem zwingend macht: Wirksamkeit kann nur zeigen, wer misst und überprüft.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

Die kürzeste juristische ISMS-Definition im Deutschen. Es ist die Summe der Regeln, mit denen Informationssicherheit gesteuert und überwacht wird. Kein Werkzeug, kein Projekt, kein einmaliges Audit. Eine Arbeitsweise.

Vier Elemente, die ein ISMS zu einem ISMS machen
Egal ob Sie es ISMS, ISO 27001, IT-Grundschutz oder 'unser Sicherheitsprogramm' nennen — vier Elemente müssen vorhanden sein.

Definierter Geltungsbereich

Welche Teile der Organisation deckt das ISMS, wo sind die Grenzen, was bleibt ausdrücklich draußen. Ohne Scope läuft jedes Gespräch ins Leere.

Dokumentierte Richtlinie

Eine schriftliche Informationssicherheitsrichtlinie, von der Geschäftsführung unterzeichnet. Eine Seite reicht für kleine Einrichtungen. Sie verpflichtet die Organisation auf konkrete Grundsätze und ordnet Verantwortung zu.

Risikobasierte Entscheidungen

Maßnahmen werden gewählt, weil sie identifizierte Risiken adressieren, nicht weil sie auf einer Checkliste stehen. Das Risikoregister ist die Brücke von Inventar zu Maßnahme.

Wiederkehrende Überprüfung

Mindestens jährlich. Die Geschäftsführung schaut, was funktioniert hat, was nicht, was sich an der Bedrohungslage geändert hat. Ein statisches ISMS ist kein ISMS, sondern eine Momentaufnahme.

Drei Dinge, die ein ISMS nicht ist
Die meisten beschaffungsgetriebenen Missverständnisse kommen aus einem dieser drei.

Kein Softwarewerkzeug

Werkzeuge unterstützen ein ISMS, sie ersetzen es nicht. Sie können ein ausreichendes ISMS in einem Ordner führen; Sie können Governance-Entscheidungen nicht durch ein SaaS-Abo ersetzen.

Kein einmaliges Projekt

Das Einrichten des ISMS ist ein Projekt. Das Betreiben ist laufende Arbeit. Die jährliche Überprüfung ist der Moment, der ein Projektergebnis in ein System verwandelt.

Nicht dasselbe wie ein Audit

Audits prüfen, ob das ISMS funktioniert. Sie sind nicht das ISMS. Ein Audit ohne darunterliegendes Managementsystem hat nichts zu prüfen.

Brauchen Sie ein ISMS für NIS 2?

Wenn Ihre Einrichtung im Anwendungsbereich von NIS 2 liegt, ist die Substanz eines ISMS verlangt, egal wie Sie es nennen. Ohne dokumentierte Richtlinie, risikobasierte Entscheidungen und Überprüfungszyklus können Sie nicht zeigen, dass die Maßnahmen aus Art. 21(2) 'geeignet, verhältnismäßig und wirksam' sind, wie §30 BSIG verlangt.

Was nicht verlangt ist: ISO 27001 Zertifizierung. Viele Prüfer erwarten sie, weil sie der bekannteste Nachweis ist, aber ein selbst aufgebautes ISMS nach IT-Grundschutz oder Sektorstandard ist gleichwertig. Wählen Sie den Standard, den Sie dauerhaft tragen können, nicht den, der auf der Folie am schwersten wirkt.

Minimales ISMS in vier Dokumenten
Vier Dokumente sind die absolute Untergrenze für 60 Personen. Jedes passt auf eine Seite.

1. Geltungsbereichserklärung

Welche Rechtsträger, welche Standorte, welche Dienste sind abgedeckt. Ein Absatz, von der Geschäftsführung unterzeichnet.

2. Informationssicherheitsrichtlinie

Fünf bis sieben Grundsätze. Beispiele: Daten nach Sensibilität klassifizieren, Admin-Zugang auf benannte Personen beschränken, alle Beschäftigten jährlich schulen, Vorfälle innerhalb vereinbarter Fristen melden, Risiken jährlich überprüfen.

3. Risikoregister

Eine Zeile je identifiziertem Risiko. Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Behandlungsentscheidung, Verantwortlich, Überprüfungsdatum. Zehn bis zwanzig Zeilen für eine kleine Einrichtung.

4. Überprüfungsplan

Ein Dokument, das festlegt, dass die Geschäftsführung das ISMS einmal jährlich überprüft, wer teilnimmt, welche Belege vorgelegt werden. Ohne ist das ISMS Dekoration.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 21(1) und 21(2), www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30, www.gesetze-im-internet.de
  • BSI IT-Grundschutz Standard BSI 200-1, §3 (ISMS-Definition), www.bsi.bund.de
  • ISO/IEC 27001:2022 (internationaler ISMS-Standard, unter NIS 2 freiwillig)

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.

Mit den vier Mindestdokumenten starten
Die Plattform liefert editierbare Vorlagen für Geltungsbereich, Richtlinie, Risikoregister und Überprüfungsplan, abgestimmt auf NIS 2.
Zur Plattform anmelden