N
IS2 und ISO 27001 begegnen sich in vielen Unternehmen gerade auf eine Weise, die erst einmal „logisch“ wirkt – und dann erstaunlich schnell anstrengend wird: Man hat ein etabliertes ISMS, dazu ein Set an Kontrollen, Richtlinien und Nachweisen. Dann kommt NIS2, und plötzlich entstehen neue Listen, neue Workstreams, neue Maßnahmenpläne, neue Reportings. Alles mit gutem Grund. Und trotzdem bleibt bei vielen Teams am Ende ein Gefühl: Wir machen vieles doppelt, und trotzdem sind wir nicht sicher, ob es wirklich besser geworden ist.
Genau hier lohnt sich ein Perspektivwechsel. Denn NIS2 ist kein Ersatz für ISO 27001, aber es zwingt dazu, den Blick zu erweitern: weg von „Sicherheitsmanagement als System“ hin zu „Sicherheits- und Resilienzfähigkeit als Betriebsrealität“. ISO 27001 liefert Ihnen die Struktur, um Informationssicherheit systematisch zu managen. NIS2 setzt stärker auf die Frage, ob diese Struktur in der Praxis spürbar wirkt – besonders dort, wo es unangenehm wird: bei Incidents, bei Lieferkettenabhängigkeiten, bei Managementverantwortung, bei operativer Steuerung. Das ist keine Kritik an ISO 27001. Es ist eine Erinnerung daran, dass ein Managementsystem erst dann seine Stärke zeigt, wenn es den Betrieb stabilisiert, nicht nur Dokumente erzeugt.
Dieser Beitrag zeigt Ihnen, wie Sie Doppelarbeit vermeiden, ohne NIS2 „kleinzurechnen“. Es geht darum, Kontrollen so zu bündeln, dass Sie mit einem gemeinsamen Kontrollsatz zwei Ziele gleichzeitig bedienen: erstens die ISO-27001-Logik (systematisch, auditierbar, kontinuierlich) und zweitens die NIS2-Logik (wirkungsvoll, entscheidungsfähig, resilient). Das ist in der Praxis machbar – wenn man nicht bei Dokumenten startet, sondern bei Steuerung und Evidenz.
Warum Doppelarbeit überhaupt entsteht
Doppelarbeit ist selten ein Zeichen von Inkompetenz. Sie entsteht meist, weil ISO 27001 und NIS2 in unterschiedlichen „Organisationssprachen“ umgesetzt werden. ISO 27001 wird oft als ISMS-Prozess geführt: Scope, Risikoanalyse, Statement of Applicability, Controls, interne Audits, Management Review, KVP. NIS2 wird häufig als Compliance- oder Regulatorik-Programm gestartet: Anforderungen interpretieren, Maßnahmen definieren, Verantwortlichkeiten klären, Berichtswege aufsetzen. Beides sind sinnvolle Vorgehensweisen – aber wenn Sie sie getrennt laufen lassen, entstehen zwei Steuerungswelten. Und zwei Steuerungswelten produzieren zwangsläufig zwei Artefaktwelten.
Ein zweiter Grund ist psychologisch: NIS2 erzeugt Druck, weil die Konsequenzen als „härter“ wahrgenommen werden. In solchen Situationen baut man gern zusätzliche Nachweise auf, um sich abzusichern. Das Resultat ist ein Nachweissystem, das mit der Zeit eher schwerfällig wird, statt robust. Genau das wollen Sie vermeiden.
Der zentrale Hebel ist deshalb nicht „mehr Harmonisierung auf Papier“, sondern eine klare Entscheidung: Welche Kontrollen sind unser gemeinsamer Standard – und wo liegen die wenigen echten Ergänzungen? Wenn Sie diese Frage sauber beantworten, werden viele Diskussionen plötzlich einfacher.
Der praktikable Ansatz: Ein gemeinsamer Kontrollsatz statt zwei Bibliotheken
Wenn Sie ISO 27001 bereits nutzen, haben Sie einen großen Vorteil: Sie besitzen eine Struktur, die sich hervorragend als Träger für NIS2 eignet. Der Trick ist, NIS2 nicht als zweite Kontrollbibliothek daneben zu legen, sondern als Akzentsetzung innerhalb Ihres bestehenden Systems. Dafür braucht es einen gemeinsamen Kontrollsatz, der bewusst so formuliert ist, dass er für beide Welten funktioniert: für das ISMS und für NIS2.
In der Praxis bedeutet das: Sie definieren ein Set an „Kernkontrollen“, die Ihr Unternehmen ohnehin braucht, um stabil zu sein. Diese Kernkontrollen werden dann so beschrieben, dass sie sowohl die ISO-Logik (kontinuierliche Wirksamkeit, klare Zuständigkeiten, Nachweisfähigkeit) als auch die NIS2-Logik (schnelle Reaktionsfähigkeit, robuste Lieferkette, Managementsteuerung) abdecken.
Das klingt theoretisch, ist aber erstaunlich greifbar, wenn man den Startpunkt richtig wählt. Startpunkt sind nicht Policies und nicht das SoA. Startpunkt ist der Betrieb: Welche wiederkehrenden Ereignisse müssen wir beherrschen, und welche Nachweise entstehen dabei? Genau dort treffen sich ISO 27001 und NIS2 am stärksten.
Vier Ereignisklassen sind dabei besonders wichtig, weil sie in Audits und im Ernstfall immer wieder im Fokus stehen:
- Incidents (Erkennen, Einstufen, Reagieren, Kommunizieren, Lernen)
- Changes (Änderungen kontrolliert umsetzen, Risiken prüfen, Rückfalloptionen sichern)
- Lieferkette (kritische Dienstleister steuern, Abhängigkeiten beherrschen, Eskalation sicherstellen)
- Managementsteuerung (Risiken und Maßnahmen so berichten, dass Entscheidungen folgen)
Wenn Sie für diese vier Bereiche robuste Kontrollen haben, wirkt Ihr System „echt“. Und genau das ist der Punkt, an dem NIS2 und ISO 27001 nicht konkurrieren, sondern sich gegenseitig verstärken.
Wo NIS2 typischerweise mehr Schärfe verlangt
Um sauber zu bündeln, müssen Sie wissen, wo NIS2 in der Praxis tatsächlich „zusätzlich“ ist. Nicht auf dem Papier, sondern in der Wirkung. Häufig sind es weniger komplett neue Themen, sondern drei Verschiebungen:
Erstens: Managementverantwortung wird konkreter. ISO 27001 kennt Management Commitment, Rollen und Reviews. NIS2 wird oft als direkter erlebt, weil Verantwortung und Aufsicht stärker in den Vordergrund rücken. Praktisch heißt das: Management-Entscheidungen müssen sichtbarer werden. Nicht nur „Kenntnisnahme“, sondern priorisierte Maßnahmen, bewusste Risikoakzeptanz, klare Ressourcenentscheidungen. Die Kontrolle dazu ist keine neue Technik – es ist eine bessere Steuerungsspur.
Zweitens: Lieferkette wird vom Rand in die Mitte gezogen. ISO 27001 adressiert Lieferanten bereits, aber in vielen ISMS-Realitäten bleibt Third-Party Risk eher formal: Bewertung, Vertrag, vielleicht ein Review. NIS2 zwingt dazu, Lieferkettenrisiken als operative Resilienzfrage zu behandeln. Praktisch heißt das: wiederkehrender Steuerungstakt, definierte Eskalation, klare Abhängigkeiten, plausibler Notbetrieb. Das ist oft der größte „Upgrade“-Punkt.
Drittens: Incident-Fähigkeit wird stärker als End-to-end-Kette verstanden. Viele ISMS sind gut in Prävention, Awareness, Richtlinien. NIS2 fragt im Kern: Wie schnell erkennen Sie etwas, wie entscheiden Sie, wie kommunizieren Sie, wie lernen Sie? Wenn Incident-Prozesse zu technisch sind oder die Nachweiskette bricht, entsteht eine Lücke – selbst bei gutem ISMS.
Wenn Sie diese drei Punkte verstanden haben, wird Bündelung einfacher: Sie müssen nicht zwei Systeme bauen. Sie müssen Ihr bestehendes System dort schärfen, wo die Betriebsfähigkeit sichtbar wird.
Wie „intelligentes Bündeln“ konkret aussieht
Das Wort „bündeln“ klingt schnell nach Tabellen und Mapping-Workshops. Es geht aber um etwas Praktischeres: Sie wollen erreichen, dass eine Kontrolle nicht zweimal betrieben wird, sondern einmal – und dabei zwei Anforderungswelten erfüllt. Das gelingt, wenn Sie Kontrollen konsequent so formulieren, dass sie Trigger, Verantwortlichkeit, Artefakt enthalten. Sobald diese drei Elemente klar sind, entsteht die Evidenz „nebenbei“, und Sie können ISO- und NIS2-Anforderungen an dieselbe Spur hängen.
Ein Beispiel aus dem Alltag macht das greifbar. Nehmen wir Incident Management. Viele Organisationen haben eine Prozessbeschreibung, ein Tool, ein Ticket-Template. Trotzdem scheitert die Prüfbarkeit oft an der Gesamtsicht: Was war die Auswirkung? Wer hat wann entschieden? Welche Kommunikation wurde freigegeben? Welche Maßnahmen wurden abgeleitet und verfolgt? Wenn Sie hier eine Standardkontrolle definieren, die nicht nur „Incident-Prozess existiert“ sagt, sondern die End-to-end-Kette absichert, dann bedienen Sie ISO 27001 (systematische Wirksamkeit, Nachweise, Verbesserung) und NIS2 (Reaktionsfähigkeit, Steuerung, Kommunikation) gleichzeitig.
In der Praxis hat sich für solche Kontrollen ein sehr schlanker Mechanismus bewährt: ein standardisiertes „Incident-Paket“ für relevante Vorfälle. Das Paket ist keine Zusatzdokumentation, sondern eine Struktur, die die vorhandenen Artefakte zusammenführt. Es enthält eine kurze Zeitlinie, die Einstufung, die Auswirkung, die Kommunikationsspur, die Ticketreferenzen und die Maßnahmenliste. Wenn dieses Paket sauber entsteht und an einem festen Ort abgelegt wird, wird die Kontrolle automatisch prüfbar. Und Sie müssen nicht mehr zwei verschiedene Reports schreiben, um zwei verschiedene Erwartungen zu bedienen.
Dasselbe Prinzip gilt für Lieferantensteuerung. Viele Unternehmen machen Lieferantenbewertungen – und fühlen sich trotzdem unsicher, ob das im Ernstfall trägt. Der Unterschied liegt im Takt: Bewertung ist punktuell, Steuerung ist wiederkehrend. Wenn Sie für kritische Dienstleister einen quartalsweisen Review mit klaren Outputs etablieren (Leistung, Änderungen, Security-Ereignisse, offene Maßnahmen, Entscheidung), dann haben Sie eine Kontrolle, die sowohl ISO- als auch NIS2-Logik erfüllt. Und Sie reduzieren Doppelarbeit, weil Sie nicht extra „NIS2-Reviews“ neben „ISMS-Reviews“ fahren müssen. Sie fahren einen Review – aber richtig.
Ein drittes Feld, das oft unterschätzt wird, sind Änderungen. Change Management ist in vielen Organisationen vorhanden. Was oft fehlt, ist die konsequente Kopplung an Kritikalität. Für kritische Services braucht Change Management ein paar zusätzliche Sicherungen: ein kurzer Risiko-Check, klare Freigaben, ein realistischer Rollback, und eine saubere Ablage der Freigabespur. Das ist keine neue Welt, sondern eine gezielte Schärfung. Und auch hier gilt: Wenn die Freigabe- und Nachweisspur sauber ist, können Sie ISO und NIS2 über dieselben Artefakte bedienen.
Ein kurzer Leitfaden, der Doppelarbeit spürbar reduziert
Damit das nicht in Konzepten hängen bleibt, hilft ein einfacher Ablauf, der sich in vielen Umsetzungen bewährt hat. Er ist bewusst pragmatisch gehalten und lässt sich auch in bestehenden Strukturen nutzen, ohne alles umzubauen.
Schritt 1: Gemeinsame Sprache festlegen. Definieren Sie wenige Begriffe, die alle nutzen: kritischer Service, relevanter Incident, wesentliche Änderung, kritischer Dienstleister. Wenn diese Begriffe je Bereich anders verwendet werden, ist Doppelarbeit vorprogrammiert, weil jede Einheit ihre eigene Liste baut.
Schritt 2: Kernkontrollen identifizieren. Nehmen Sie nicht die gesamte Kontrollbibliothek. Nehmen Sie die Kontrollen, die die Betriebsfähigkeit tragen. Typischerweise sind das Kontrollen rund um Incident, Change, Lieferkette, Zugriff/Identität, Backup/Recovery, Monitoring, Schwachstellenmanagement und Management-Review. Ziel ist nicht „vollständig“, sondern „wirksam“.
Schritt 3: Kontrollen auf Trigger–Owner–Artefakt trimmen. Jede Kernkontrolle muss beantworten: Wann passiert das, wer verantwortet es, welcher Nachweis entsteht. Wenn Sie das nicht klar beantworten können, ist die Kontrolle entweder zu abstrakt oder sie ist in der Praxis nicht stabil.
Schritt 4: Evidenzorte vereinheitlichen. Legen Sie für jede Nachweisklasse einen finalen Ort fest. Nicht alles muss in ein System, aber es muss klar sein, wo die „gültige“ Spur liegt. Das reduziert Auditstress drastisch und verhindert, dass NIS2- und ISO-Nachweise in parallelen Ordnern landen.
Schritt 5: NIS2-Ergänzungen bewusst klein halten. Ergänzen Sie nur dort, wo wirklich eine Lücke ist – meistens bei Lieferkette, Managemententscheidungen und End-to-end Incident/Kommunikation. Wenn Sie anfangen, „noch ein NIS2-Set“ zu bauen, verlieren Sie den Bündelungseffekt sofort.
Wenn Sie diese fünf Schritte durchziehen, entsteht ein gemeinsamer Kontrollsatz, der nicht nur auf dem Papier harmonisiert ist, sondern im Betrieb funktioniert.
Ein Praxisbild: So sieht „bündeln“ im Audit aus
Stellen Sie sich eine typische Prüfungssituation vor. Der Prüfer will wissen, wie Sie mit einem relevanten Incident umgehen. In einer „Doppelwelt“ passiert Folgendes: Das ISMS zeigt eine Prozessbeschreibung und vielleicht ein Auditprotokoll. Das NIS2-Programm zeigt einen separaten Maßnahmenplan und einen Bericht, der „für NIS2“ geschrieben wurde. Der Prüfer fragt trotzdem weiter, weil die End-to-end-Spur fehlt. Dann beginnt die Suche nach Tickets, E-Mails, Chatverläufen, Freigaben. Alle haben gearbeitet – aber die Darstellung ist zersplittert.
In einer gebündelten Welt zeigen Sie stattdessen ein Incident-Paket. Es ist in einer festen Struktur abgelegt, es ist nachvollziehbar, und es enthält die relevanten Entscheidungspunkte und Maßnahmen. Dazu zeigen Sie, dass die Ergebnisse in den Management-Review eingeflossen sind (z. B. als priorisierte Maßnahme). Mit diesen zwei Artefakten bedienen Sie die Erwartung beider Welten. Und Sie sparen Zeit, weil Sie nicht erklären müssen, dass „das irgendwo auch noch steht“.
Dasselbe gilt für Lieferkette: Statt einer Bewertung und eines separaten NIS2-Reports zeigen Sie den quartalsweisen Provider-Review samt Maßnahmenverfolgung und Eskalationslogik. Der Prüfer erkennt sofort: Das ist kein Papierkonstrukt, das ist gelebte Steuerung. Und genau dieser Eindruck entscheidet im Audit oft mehr als die Menge an Dokumenten.
Die typische Falle: Bündelung wird als Mapping-Projekt missverstanden
Ein häufiger Fehler ist, Bündelung als reines Mapping zu behandeln: Man macht eine große Tabelle „NIS2-Anforderung → ISO-Control“ und glaubt, damit sei das Problem gelöst. Solche Tabellen sind nicht wertlos, aber sie lösen selten die echte Herausforderung: die Betriebsfähigkeit. Wenn Ihre Kontrollen im Alltag nicht sauber greifen oder die Evidenzspur nicht stabil ist, hilft Ihnen die beste Mapping-Tabelle im Audit wenig.
Wenn Sie also Zeit investieren, investieren Sie sie zuerst in die Qualität der Kernkontrollen und ihrer Nachweise. Das Mapping ist dann eher ein Nebenprodukt, das Sie für Struktur und Kommunikation nutzen können – aber nicht das Herzstück.
Schlussgedanke
NIS2 und ISO 27001 passen gut zusammen, wenn Sie sie nicht als zwei Programme behandeln, sondern als zwei Perspektiven auf dasselbe Ziel: stabile, verantwortete, überprüfbare Sicherheit und Resilienz im Betrieb. ISO 27001 gibt Ihnen das System. NIS2 zwingt dazu, die Wirkung dieses Systems an den Stellen zu zeigen, wo es wirklich zählt. Wenn Sie Kontrollen intelligent bündeln, reduzieren Sie nicht nur Doppelarbeit. Sie erhöhen die Qualität, weil Sie eine gemeinsame Spur schaffen – eine Spur, die Führung, Betrieb und Prüfung gleichzeitig bedient.
Im nächsten Beitrag können wir daran anknüpfen und noch konkreter werden: Wie man Kontrollbündel so formuliert, dass sie in der Praxis verstanden werden und nicht im Fachjargon versanden – inklusive einer pragmatischen Vorlage für „Trigger–Owner–Artefakt“, die sich in bestehenden ISMS-Strukturen gut integrieren lässt.