Von NIS-2 zu ISO 27001 & TISAX: Synergien im Sicherheits- und Datenschutzmanagement nutzen

Die Frage liegt auf der Hand: Was kann eine ISO/IEC 27001:2022-Zertifizierung zur Umsetzung von NIS-2 beitragen?

Kurz gesagt: sehr viel. Denn ISO 27001 schafft genau den Rahmen, den NIS-2 verlangt – ein strukturiertes Informationssicherheitsmanagementsystem (ISMS).

Typische Elemente, die sich nahezu eins zu eins auf NIS-2 übertragen lassen:

• Geltungsbereich und Kontext
  ISO/IEC 27001:2022 verlangt, dass Sie den Anwendungsbereich Ihres ISMS definieren und interne wie externe Rahmenbedingungen betrachten. Diese Überlegungen sind auch für die NIS-2-Betroffenheitsprüfung relevant: Welche Standorte, Prozesse, Systeme und Dienstleister gehören in den Blick?
• Risikomanagement
  ISO/IEC 27001:2022fordert eine systematische Risikoanalyse und -behandlung. NIS-2 verlangt ein NIS-2-konformes Risikomanagementsystem – sprich: eine belastbare, nachvollziehbare Methode, um Risiken für Netz- und Informationssysteme zu identifizieren, zu bewerten und zu behandeln.
• Maßnahmenkataloge und Controls
  Das Anhang-A-Kontrollset von ISO/IEC 27001:2022 bzw. die darauf aufbauenden Maßnahmen in Ihrer Organisation decken viele NIS-2-Anforderungen bereits ab: Zugangskontrollen, Kryptografie, Betriebssicherheit, Logging, Incident-Management, Backup, physische Sicherheit und mehr.
• Dokumentation und Nachweisführung
  NIS-2 legt großen Wert auf Nachweisbarkeit: Strukturen, Prozesse und Entscheidungen sollen erkennbar sein. Ein gelebtes ISMS bringt genau diese Artefakte mit – Richtlinien, Verfahrensanweisungen, Protokolle, Risikoberichte, Managementbewertungen.
• Kontinuierliche Verbesserung
  ISO/IEC 27001:2022 ist kein statisches Zertifikat, sondern ein Verbesserungsprozess. NIS-2 erfordert ebenfalls, dass Risiken und Maßnahmen regelmäßig überprüft und angepasst werden – insbesondere bei neuen Bedrohungen und Technologiesprüngen.

Wenn Sie bereits nach ISO/IEC 27001:2022 zertifiziert sind, besteht die Aufgabe daher häufig darin, das vorhandene System mit NIS-2 abzugleichen: Wo decken die bestehenden Controls die Anforderungen schon ab? Wo sind Ergänzungen nötig – beispielsweise bei Meldepflichten, Governance oder Lieferkettensicherheit?

TISAX richtet sich zwar vor allem an Unternehmen in der Automobilbranche, die Mechanik dahinter ist aber für NIS-2 äußerst interessant:

• Es basiert auf einem vordefinierten Katalog (VDA ISA),
• fokussiert stark auf Vertraulichkeit und Verfügbarkeit kritischer Informationen,
• und zielt explizit auf die Sicherheit in Lieferketten.

Gerade dieser letzte Punkt schließt direkt an NIS-2 an: Die Richtlinie betont, wie wichtig es ist, Abhängigkeiten zu kennen und Dienstleister nicht nur vertraglich, sondern auch organisatorisch und technisch im Blick zu behalten.

Wenn Ihr Unternehmen bereits ein TISAX-Label besitzt oder sich an VDA-ISA orientiert, können Sie darauf aufbauen:

• Die vorhandene Klassifizierung von Informationswerten und Schutzbedarfseinstufungen unterstützt die NIS-2-Risikobetrachtung.
• Die Anforderungen an physische und logische Zugriffsregelungen decken einen erheblichen Teil des NIS-2-Maßnahmenkatalogs ab.
• Das Denken in Lieferantensicherheitsstufen erleichtert die Umsetzung von NIS-2-Vorgaben zur Lieferkettensicherheit.

Auch hier gilt: TISAX ist kein vollständiger Ersatz für eine NIS-2-Bewertung, aber ein sehr solides Fundament – und ein starkes Signal an Auftraggebende, dass Sicherheit in der Organisation bereits ernst genommen wird.

Wie lässt sich ein NIS-2-konformes Risikomanagementsystem aufbauen, wenn bereits ISO 27001 oder TISAX im Einsatz sind? Statt alles neu zu modellieren, lohnt sich ein vierstufiger Ansatz:

Schritt 1: Geltungsbereich und Betroffenheit klären

• Welche Einheiten, Standorte und Systeme fallen in den NIS-2-Geltungsbereich?
• Wie überlappt dieser mit dem Scope Ihres ISO 27001-ISMS oder Ihres TISAX-Labels?
• Müssen Scope-Grenzen angepasst oder erweitert werden?

Ziel ist, dass Sie am Ende nicht zwei Welten pflegen, sondern einen konsistenten Rahmen, in dem NIS-2-Anforderungen abgebildet werden.

Schritt 2: Risikomethodik auf NIS-2 abstimmen

• Prüfen Sie, ob Ihre bestehende Risikomethodik die Anforderungen von NIS-2 abdeckt – insbesondere in Bezug auf Netz- und Informationssysteme, kritische Prozesse und Abhängigkeiten.
• Ergänzen Sie bei Bedarf Kriterien, die NIS-2 besonders betont, zum Beispiel:
  • Auswirkungen auf Versorgungssicherheit und Dienstkontinuität,
  • Abhängigkeiten von Dienstleistern und Cloud-Anbietern,
  • spezifische Bedrohungen wie Ransomware oder gezielte Angriffe.

Wichtig ist, dass das Risikomanagementsystem nicht parallel existiert, sondern Ihr bestehendes ISMS sinnvoll erweitert.

Schritt 3: Maßnahmenplan mit NIS-2 abgleichen

• Erstellen Sie ein Mapping zwischen NIS-2-Anforderungen und Ihren bestehenden Maßnahmen nach ISO 27001 oder TISAX.
• Identifizieren Sie Lücken – etwa bei Meldeprozessen, Reporting an die Geschäftsleitung, Schulungen der Leitungsorgane oder formalen Vorgaben für Lieferkettensicherheit.
• Arbeiten Sie diese Lücken in den Maßnahmenplan ein – mit Priorisierung nach Risiko und Umsetzbarkeit.

Auf diese Weise wird aus dem vorhandenen Maßnahmenkatalog ein NIS-2-fähiges Set an Kontrollen.

Schritt 4: Governance und Reporting verankern

• NIS-2 rückt die Verantwortung der Geschäftsleitung stark in den Fokus. Prüfen Sie, wie Sie die Ergebnisse des Risikomanagements in geeigneter Form dorthin berichten - etwa über regelmäßige Reports, Kennzahlen und Managementreviews.
• Schulen Sie ihr Management. Mindestens 4 Std. regelmäßige Schulungen dienen dem Erkennen und Bewerten von Risiken. Gut zu wissen: Schulungen sind laut §38 für das Management verpflichtend.
• Legen Sie fest, wie Entscheidungen zu Risikobehandlung, Budgets und Prioritäten dokumentiert werden.

So wird NIS-2 nicht nur technisch, sondern auch organisatorisch in die Steuerung eingebunden.

Wer die Anforderungen von NIS-2, ISO 27001 und TISAX nebeneinanderlegt, erkennt schnell wiederkehrende Themenfelder. Gerade hier liegen starke Synergien:

• Organisation & Verantwortlichkeiten
  Alle drei Rahmenwerke verlangen klare Rollen, Zuständigkeiten und eine Einbindung der Leitungsebene. Statt mehrere Gremien zu pflegen, bietet sich ein gemeinsamer Steuerkreis für Informationssicherheit, NIS-2-Umsetzung und Datenschutz an.
• Risikomanagement
  Ob ISO 27001, TISAX oder NIS-2 – ohne systematisches Risikomanagement geht es nicht. Eine einheitliche Methodik verhindert widersprüchliche Bewertungen und Doppelarbeit.
• Technische und organisatorische Maßnahmen
  Zugangskontrollen, Netzwerksegmentierung, Backup, Logging, Schwachstellenmanagement, Notfallplanung: Diese Maßnahmen tauchen in allen Regelwerken auf. Sie sollten zentral geplant, umgesetzt und dokumentiert werden – statt für jedes Regelwerk eigene Listen zu führen.
• Lieferketten & Dienstleister
  TISAX und NIS-2 betonen gleichermaßen die Bedeutung sicherer Lieferketten. Nutzen Sie ein gemeinsames Verfahren für die Bewertung, Auswahl und Überwachung kritischer Dienstleister – mit abgestimmten Anforderungen aus Informationssicherheit, NIS-2 und Datenschutz.
• Incident-Management & Meldungen
  Es macht wenig Sinn, getrennte Prozesse für Sicherheitsvorfälle nach NIS-2 und Datenpannen nach DSGVO zu etablieren. Ein integrierter Incident-Prozess, der je nach Fall die richtigen Meldewege (Datenschutzaufsicht, NIS-2-Behörde, Kundschaft) berücksichtigt, ist deutlich effizienter.

Wer diese Schnittstellen aktiv gestaltet, vermeidet, dass NIS-2 als zusätzliche Schicht empfunden wird. Stattdessen wird es zu einem weiteren Blickwinkel auf ein integriertes Managementsystem.

Neben NIS-2, ISO 27001 und TISAX spielt in nahezu allen Organisationen die DSGVO eine zentrale Rolle. Auch hier lohnt sich ein genauer Blick auf die Synergien:

• Verzeichnis von Verarbeitungstätigkeiten & Asset-Inventar
  Im Datenschutz erfassen Sie, welche Daten wo verarbeitet werden. In der Informationssicherheit führen Sie Asset-Listen und Systemübersichten. Zusammen ergeben sie ein sehr gutes Bild der kritischen Informationswerte – eine ideale Basis für NIS-2-Risikobetrachtungen.
• Technische und organisatorische Maßnahmen (TOMs)
  Was im Datenschutz als TOMs bezeichnet wird, sind in ISO 27001 und NIS-2 zentrale Sicherheitsmaßnahmen. Statt getrennte Kataloge zu pflegen, bietet sich ein gemeinsames Set an, das je nach Perspektive (DSGVO, NIS-2, ISO 27001, TISAX) unterschiedliche Schwerpunkte adressiert.
• Risikobewertungen und Folgenabschätzungen
  Datenschutz-Folgenabschätzungen (DSFA) beschäftigen sich mit Risiken für betroffene Personen. NIS-2-Risikobewertungen schauen auf Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Diensten. In der Praxis lassen sich viele Schritte bündeln: Bedrohungsanalysen, Betrachtung von Eintrittswahrscheinlichkeiten, Bewertung von Folgen.
• Meldungen & Kommunikation im Vorfall
  Eine Datenpanne kann zugleich ein NIS-2-relevanter Sicherheitsvorfall sein – und umgekehrt. Ein abgestimmter Prozess, der Datenschutz, Informationssicherheit und Management einbindet, verhindert widersprüchliche Meldungen und Kommunikationspannen.

Wenn Sie Datenschutz- und Cybersicherheitsmanagement zusammendenken, entsteht ein deutlich robusteres und zugleich effizienteres System – und NIS-2 fügt sich eher ein, als dass es zusätzlichen Aufwand schafft.

Für die Geschäftsleitung bedeutet der Blick auf NIS-2, ISO 27001 und TISAX vor allem eins: Sie kann sich nicht darauf verlassen, dass „die IT das schon irgendwie macht“.

Wichtige Fragen auf Leitungsebene sind beispielsweise:

• Haben wir ein integriertes Sicherheits- und Datenschutzmanagement – oder lauter Insellösungen?
• Liegen verständliche, vergleichbare Risikoberichte vor, auf deren Basis Entscheidungen getroffen werden können?
• Sind Verantwortlichkeiten für NIS-2, Informationssicherheit und Datenschutz klar geregelt?
• Gibt es regelmäßige Schulungen und Awareness-Maßnahmen auch für die Leitungsebene selbst?

Für Fachbereiche, IT, Informationssicherheit und Datenschutz stellt sich die Aufgabe anders:

• Prozesse so zu gestalten, dass sie gleichzeitig NIS-2, ISO 27001, TISAX und DSGVO bedienen,
• Vorlagen und Dokumentation zu vereinheitlichen,
• und intern verständlich zu vermitteln, warum das alles nicht „nur Bürokratie“, sondern ein Baustein der eigenen digitalen Souveränität ist.

NIS-2 ist kein isoliertes Cybersicherheitsprojekt, sondern ein weiterer Baustein in einem Geflecht aus Anforderungen, die sich inhaltlich stark überschneiden: ISO 27001, TISAX, DSGVO, branchenspezifische Vorgaben.

Wenn Sie vorhandene Strukturen nutzen und NIS-2 bewusst mit ISO 27001, TISAX und Datenschutz verzahnen, entsteht ein integriertes Managementsystem, das drei Dinge leistet:

1. Es erfüllt die regulatorischen Anforderungen – ohne für jede Norm ein eigenes Paralleluniversum zu eröffnen.
2. Es schafft Transparenz über Risiken und Abhängigkeiten – in Prozessen, Systemen und Lieferketten.
3. Es stärkt Vertrauen – bei Kundschaft, Partnern, Aufsicht und nicht zuletzt intern bei der eigenen Belegschaft.

Damit wird NIS-2 nicht zum reinen Pflichtprogramm, sondern zum Impuls, Sicherheits- und Datenschutzmanagement auf ein Niveau zu heben, das zur tatsächlichen Bedeutung digitaler Systeme für Ihre Organisation passt.