ISO 27001 vs. IT-Grundschutz und NIS2: Unterschiede und Gemeinsamkeiten
Was ist ISO 27001?
ISO 27001 — vollständig ISO/IEC 27001 — ist eine internationale Norm, die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt. Herausgegeben wird sie gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). In Deutschland findet sich die Norm als DIN EN ISO/IEC 27001.
Das Ziel der Norm ist kein technisches Produkt, sondern ein Management-Framework: Organisationen sollen Risiken für ihre Informationswerte systematisch erkennen, bewerten und durch angemessene Maßnahmen auf ein akzeptables Niveau reduzieren. Dabei geht es nicht ausschließlich um IT-Systeme. ISO 27001 schützt Informationen in jeder Form — digital, auf Papier, im Gespräch.
Die drei Schutzziele, die das ISMS gewährleisten soll, sind Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit stellt sicher, dass Informationen nur autorisierten Personen zugänglich sind. Integrität schützt vor unberechtigter oder unbeabsichtigter Veränderung. Verfügbarkeit garantiert, dass Informationen und Systeme dann nutzbar sind, wenn sie gebraucht werden.
Aufbau der Norm: Kapitel und Annex A
ISO 27001 besteht aus zwei Teilen: den normativen Anforderungen (Kapitel 4 bis 10) und dem Anhang A (Annex A), der einen Katalog von Sicherheitsmaßnahmen enthält.
Die normativen Kapitel beschreiben, was eine Organisation tun muss, um ein ISMS aufzubauen und zu betreiben. Kapitel 4 fordert die Analyse des Kontextes der Organisation. Kapitel 5 regelt Führung und Verpflichtung der Geschäftsleitung. Kapitel 6 behandelt Planung, insbesondere die Risikobeurteilung und Risikobehandlung. Kapitel 7 betrifft Ressourcen, Kompetenz und Dokumentation. Kapitel 8 regelt den operativen Betrieb des ISMS. Kapitel 9 fordert Leistungsbewertung durch Monitoring, interne Audits und Management-Reviews. Kapitel 10 schließt den Kreis mit Anforderungen an die kontinuierliche Verbesserung.
Annex A enthält in der aktuellen Fassung (2022) 93 Controls — konkrete Sicherheitsmaßnahmen, aus denen Organisationen diejenigen auswählen, die für ihre Risikolandschaft relevant sind. Diese Controls sind in vier Kategorien gegliedert: organisatorische Controls (37), personenbezogene Controls (8), physische Controls (14) und technologische Controls (34). Die Auswahl wird in der sogenannten Erklärung zur Anwendbarkeit (Statement of Applicability) dokumentiert.
Für Softwareunternehmen sind vor allem die technologischen Controls relevant — insbesondere jene, die den sicheren Entwicklungsprozess, die Trennung von Umgebungen und das Change Management betreffen.
ISO 27001:2022 vs. 2013 — Was hat sich geändert?
Die aktuelle Fassung der Norm stammt aus dem Jahr 2022 und löst die Version von 2013 ab. Die normativen Kapitel wurden nur geringfügig angepasst — die wesentlichen Änderungen betreffen den Annex A.
Neue Struktur. Die 114 Controls der 2013er-Version wurden auf 93 Controls konsolidiert und von 14 Kategorien auf 4 reduziert. Inhaltlich ist wenig weggefallen — viele Controls wurden zusammengeführt oder klarer formuliert.
11 neue Controls. Die 2022er-Fassung enthält erstmals Maßnahmen, die in der 2013er-Version fehlten: Threat Intelligence (A.5.7), Informationssicherheit für die Nutzung von Cloud-Diensten (A.5.23), Data Masking (A.8.11), Data Leakage Prevention (A.8.12), Monitoring von Aktivitäten (A.8.16), Web Filtering (A.8.23) und Secure Coding (A.8.28). Gerade für Softwareunternehmen ist das Secure-Coding-Control ein wichtiger Fortschritt: Die Norm verlangt nun explizit, dass sichere Programmierpraktiken definiert und angewendet werden.
Übergangsfrist. Organisationen, die nach der 2013er-Version zertifiziert waren, hatten bis Oktober 2025 Zeit für die Transition. Seit dem 31. Oktober 2025 werden Zertifizierungen ausschließlich nach der 2022er-Fassung erteilt.
ISO 27001, IT-Grundschutz und NIS-2
Drei Begriffe, die häufig gemeinsam fallen — und die sich ergänzen, aber nicht ersetzen:
| ISO 27001 | IT-Grundschutz | NIS-2 | |
|---|---|---|---|
| Typ | Internationale Norm | Deutsche Methodik (BSI) | EU-Richtlinie (Gesetz) |
| Herausgeber | ISO/IEC | Bundesamt für Sicherheit in der Informationstechnik | Europäische Union |
| Ziel | ISMS aufbauen und zertifizieren lassen | ISMS aufbauen nach BSI-Methodik | Mindeststandard für Cybersicherheit in der EU durchsetzen |
| Zertifizierung | Durch akkreditierte Stellen (TÜV, DEKRA, DQS) | Durch das BSI selbst | Keine Zertifizierung, aber Nachweispflicht |
| Geltungsbereich | Freiwillig, weltweit | Freiwillig, primär Deutschland | Verpflichtend für betroffene Unternehmen |
IT-Grundschutz ist die deutsche Umsetzungsmethodik des BSI. Organisationen können sich entweder direkt nach ISO 27001 zertifizieren lassen oder den Weg über „ISO 27001 auf Basis von IT-Grundschutz” wählen. Letzteres ist aufwendiger, wird aber insbesondere von Behörden und KRITIS-Betreibern gefordert.
NIS-2 ist seit Dezember 2025 als NIS-2-Umsetzungsgesetz in Deutschland geltendes Recht. Die Richtlinie verpflichtet rund 30.000 Unternehmen in Deutschland zu einem systematischen Risikomanagement für ihre IT-Sicherheit. Eine ISO 27001 Zertifizierung erfüllt einen Großteil der NIS-2-Anforderungen und wird von Aufsichtsbehörden als belastbarer Nachweis anerkannt.
Warum ISO 27001 für Softwareunternehmen relevant ist
Für IT-Dienstleister und Softwareagenturen ist die ISO 27001 Zertifizierung in den letzten Jahren von einer optionalen Differenzierung zu einer faktischen Marktzugangsvoraussetzung geworden. Drei Entwicklungen treiben das:
Vergaberecht. Öffentliche Auftraggeber fordern in Ausschreibungen zunehmend ISO 27001 als Eignungskriterium — insbesondere bei IT-Projekten, die den Umgang mit personenbezogenen Daten oder den Zugriff auf behördliche Infrastruktur umfassen. Ohne Zertifikat bleiben diese Aufträge verschlossen.
Lieferketten-Compliance. Konzerne, die selbst nach ISO 27001 zertifiziert sind, müssen ihre Lieferkette absichern. Ein Softwaredienstleister ohne eigene Zertifizierung wird zum Risiko in der Lieferkette — und damit zum potenziellen Ausschlussgrund bei der Anbieterauswahl.
Vertrauenssignal. In einem Markt, in dem Datenschutzvorfälle und Cyberangriffe regelmäßig Schlagzeilen machen, ist eine extern geprüfte Sicherheitszertifizierung ein handfestes Vertrauenssignal. Das gilt besonders für Individualsoftware, bei der der Dienstleister direkten Zugriff auf sensible Geschäftsdaten und Infrastruktur hat.
Die Zertifizierung betrifft dabei nicht nur Management-Prozesse, sondern den gesamten Entwicklungs- und Wartungszyklus: von der sicheren Anforderungsanalyse über das Patch Management bis zum Incident Management im laufenden Betrieb. Ergänzend dazu gehört ein belastbarer IT-Notfallplan nach IT-Grundschutz, der Wiederanlaufverfahren und Eskalationswege konkret definiert.
Weiterführende Informationen
- ISO 27001 zertifizierte Softwareentwicklung — Unsere Leistungen als zertifizierter IT-Dienstleister
- ISO 27001 in der Softwareentwicklung — Annex A, Secure SDLC und Praxis
- ISO 27001 in Ausschreibungen — Vergaberecht und Eignungskriterien
- ISO 27001 Zertifizierung: Pflicht oder Kür? — Kosten, Ablauf und Vorteile
- ISO 27001-Zertifikat vs. ISO 27001-Standard — Echte Zertifikate erkennen
- IT-Grundschutz — Die BSI-Methodik im Detail
- NIS-2 — EU-Richtlinie und deutsches Umsetzungsgesetz
- Maintenance, Wartung und Support Service
Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.
