NIS2 vs. ISO 27001: Reicht meine Zertifizierung?
In Kürze: ISO/IEC 27001 ist ein freiwilliger, zertifizierbarer Standard für ein Informationssicherheits-Managementsystem (ISMS). NIS2 ist über das österreichische NISG 2026 eine gesetzliche Pflicht. Eine ISO-27001-Zertifizierung ist eine sehr gute Ausgangslage und unterstützt viele der § 32-Risikomanagementmaßnahmen — sie ersetzt aber nicht die NIS2-spezifischen Pflichten (Registrierung, Meldefristen, Governance, Selbstdeklaration). Nach § 33 Abs. 2 NISG kann ein gültiges Zertifikat bei einer behördlich angeordneten Prüfung als Teil-Nachweis der operativen und organisatorischen Umsetzung herangezogen werden.
Viele zertifizierte Unternehmen fragen zu Recht: „Wir haben ISO 27001 — sind wir damit automatisch NIS2-ready?" Die kurze Antwort: ein großer Vorsprung, aber kein Freifahrtschein. Dieser Vergleich zeigt, wo Ihr ISMS trägt und wo das NISG 2026 zusätzliche, gesetzliche Schritte verlangt.
Zwei verschiedene Dinge
ISO 27001 und NIS2 verfolgen ähnliche Ziele, sind aber unterschiedliche Kategorien: ein freiwilliger Management-Standard auf der einen, eine behördlich beaufsichtigte Rechtspflicht auf der anderen Seite.
| ISO/IEC 27001 | NIS2 / NISG 2026 | |
|---|---|---|
| Charakter | freiwilliger Standard | gesetzliche Pflicht |
| Nachweis | Zertifizierung durch akkreditierte Stelle | behördliche Aufsicht (Cybersicherheitsbehörde) |
| Geltung | wer sich zertifizieren lässt | alle betroffenen Einrichtungen (Anlage 1/2) |
| Fokus | ISMS, Risikobehandlung | Risikomanagement + Registrierung + Meldung + Governance |
| Sanktion | Verlust/Aussetzung des Zertifikats | Verwaltungsstrafen nach § 45 NISG |
Wo ISO 27001 stark unterstützt
Ein gepflegtes ISMS bereitet einen großen Teil der § 32-Risikomanagementmaßnahmen bereits vor. Die folgende Tabelle ordnet die zehn gesetzlichen Mindestmaßnahmen (§ 32 Abs. 4 lit. a–j NISG) einem typischen ISO-27001-ISMS zu.
| § 32 Abs. 4 — Mindestmaßnahme | Durch ISMS nach ISO 27001 i. d. R. vorbereitet? |
|---|---|
| a) Risikoanalyse & Sicherheit der Informationssysteme | weitgehend |
| b) Bewältigung von Cybersicherheitsvorfällen (Incident Handling) | weitgehend |
| c) Aufrechterhaltung des Betriebs (Backup, Wiederherstellung, Krisenmanagement) | weitgehend |
| d) Sicherheit der Lieferkette (inkl. unmittelbare Anbieter) | teilweise — NIS2 fordert sie ausdrücklich |
| e) Erwerb, Entwicklung, Wartung inkl. Schwachstellenmanagement/-offenlegung | weitgehend |
| f) Bewertung der Wirksamkeit der Maßnahmen | teilweise |
| g) Cyberhygiene & Schulungen | teilweise — die Governance-Schulung nach § 31 ist NIS2-spezifisch |
| h) Kryptografie und ggf. Verschlüsselung | weitgehend |
| i) Personalsicherheit, Zugriffskontrolle, Asset-Management | weitgehend |
| j) Multi-Faktor-Authentifizierung & gesicherte Kommunikation | weitgehend |
Wer zertifiziert ist, hat den inhaltlich anspruchsvollen Teil also gut vorbereitet → Maßnahmen-Checkliste § 32.
Wichtig: Die a–j sind gesetzliche Mindestinhalte, keine abschließende Checkliste. Die Cybersicherheitsbehörde kann per Verordnung nähere Anforderungen festlegen (§ 32 Abs. 5 NISG). Ein ISO-Zertifikat bedeutet daher nicht automatisch „danach ist man NIS2-konform".
Zählt mein ISO-Zertifikat als Nachweis?
Hier liegt der wichtigste Berührungspunkt: Nach § 33 Abs. 2 NISG kann die Cybersicherheitsbehörde eine Prüfung durch eine unabhängige Stelle anordnen (erste Aufforderung frühestens zwei Jahre nach Inkrafttreten; bei wesentlichen Einrichtungen ist die operative/organisatorische Umsetzung binnen zwei Monaten nachzuweisen). Gültige Zertifikate — etwa nach ISO/IEC 27001 — können dabei als Teil-Nachweis der operativen und organisatorischen Umsetzung herangezogen werden.
Das ist ein echter Mehrwert Ihrer Zertifizierung. Es bedeutet aber nicht, dass ein Zertifikat die Prüfung oder die übrigen gesetzlichen Pflichten ersetzt: Registrierung, Meldewege, Governance und die Selbstdeklaration nach § 33 Abs. 1 bleiben eigenständige Verpflichtungen.
Wo Lücken bleiben
NIS2 verlangt darüber hinaus Schritte, die ISO 27001 nicht automatisch mitbringt:
- Registrierung bei der Cybersicherheitsbehörde mit den 7 Pflichtangaben des § 29 Abs. 2 — Frist für die Erstregistrierung: bis 31.12.2026 → Anleitung zur Registrierung.
- Gesetzliche Meldefristen nach § 34: 24 h Frühwarnung, 72 h Meldung (für Vertrauensdiensteanbieter 24 h), Abschlussbericht spätestens 1 Monat nach der 72-h-Meldung. Adressat ist das zuständige sektorspezifische CSIRT (ersatzweise das nationale CSIRT), nicht direkt die Behörde.
- Governance-Pflichten des Leitungsorgans: Es muss die § 32-Maßnahmen sicherstellen und beaufsichtigen und an Cybersicherheitsschulungen teilnehmen (§ 31).
- Selbstdeklaration der Maßnahmen nach § 33 Abs. 1 — Frist bis 30.09.2027.
- Verhältnismäßigkeits-Dokumentation im Sinne des § 32 Abs. 3 (Risikoexposition, Größe, Eintrittswahrscheinlichkeit/Schwere).
- Scope-Abgleich: Der ISMS-Geltungsbereich ist nicht zwingend deckungsgleich mit dem NIS2-Geltungsbereich — beides ist abzugleichen, damit keine meldepflichtigen Systeme außerhalb des Scopes liegen.
Fazit: Vorsprung nutzen, Lücken schließen
ISO 27001 ist eine der besten Ausgangslagen, die ein Unternehmen für NIS2 haben kann — der inhaltliche Kern ist weitgehend vorbereitet, und ein gültiges Zertifikat kann nach § 33 Abs. 2 als Teil-Nachweis dienen. Die gesetzlichen Zusatzpflichten müssen aber separat erfüllt und nachgewiesen werden. Entscheidend ist eine lückenlose, prüffeste Dokumentation.
Genau dabei unterstützt Sie die Plattform: Sie führt ISMS-Nachweise und NIS2-Pflichten zusammen — mit prüffesten Nachweisen, unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.
Wo stehen Sie wirklich?
Klären Sie zuerst Ihre voraussichtliche NIS2-Einstufung — danach sehen Sie, welche Pflichten über Ihr ISMS hinausgehen. → Jetzt kostenlos Betroffenheit prüfen
Häufige Fragen (FAQ)
Reicht ISO 27001 für NIS2? Nein, aber es ist eine sehr gute Basis. Ein ISMS nach ISO 27001 bereitet viele der § 32-Mindestmaßnahmen vor. Es ersetzt jedoch nicht die NIS2-spezifischen Pflichten: Registrierung (§ 29), Meldewege (§ 34/§ 35), Governance/Schulung (§ 31) und Selbstdeklaration (§ 33).
Zählt mein ISO-27001-Zertifikat als NIS2-Nachweis? Teilweise. Nach § 33 Abs. 2 NISG kann ein gültiges Zertifikat bei einer behördlich angeordneten Prüfung durch eine unabhängige Stelle als Teil-Nachweis der operativen und organisatorischen Umsetzung herangezogen werden. Es ersetzt aber weder die Prüfung selbst noch die übrigen gesetzlichen Pflichten.
Brauche ich für NIS2 zwingend eine ISO-Zertifizierung? Nein. Das NISG schreibt keine ISO-Zertifizierung vor. Sie ist freiwillig, hilft aber beim strukturierten Nachweis der Maßnahmen.
Deckt mein ISMS-Scope automatisch den NIS2-Geltungsbereich ab? Nicht zwingend. ISMS-Scope und NIS2-Geltungsbereich sind abzugleichen, damit keine relevanten oder meldepflichtigen Systeme außerhalb des Scopes liegen.
Was passiert, wenn ich trotz ISO 27001 die NIS2-Pflichten versäume? Inhaltliche Verstöße (z. B. § 31/§ 32/§ 34) fallen unter den Strafrahmen des § 45 Abs. 2/3 (bis 10 Mio. € bzw. 2 % bei wesentlichen, bis 7 Mio. € bzw. 1,4 % bei wichtigen Einrichtungen — jeweils der höhere Betrag). Eine versäumte Registrierung fällt dagegen unter § 45 Abs. 4 (bis 50.000 €, im Wiederholungsfall bis 100.000 €).
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS/BGBl. I Nr. 94/2025, nis.gv.at, WKO.