IT-Grundschutz++ – Überblick über das neue BSI-Framework

Das BSI hat seinen IT-Grundschutz grundlegend reformiert. IT-Grundschutz++ bringt ein maschinenlesbares Regelwerk, ein neues 5-Stufen-Modell und eine Reduktion der Anforderungen um 85 Prozent. Dieser Überblick zeigt, was sich konkret ändert und wie Unternehmen und Behörden den Umstieg vorbereiten können.

Ein weißer Roboter liest ein Regelbuch. Symbolbild für die Modernisierung des BSI IT-Grundschutz zum digitalen Regelwerk IT-Grundschutz++

1. Was ändert sich mit IT-Grundschutz++ gegenüber dem bisherigen IT-Grundschutz-Kompendium?
2. IT-Grundschutz als digitales Regelwerk: OSCAL, JSON und IT-Grundschutz Automatisierung
3. Was ist das 5-Stufen-Modell im IT-Grundschutz++?
4. Übergangsphase, Migration und Community

Was ändert sich mit IT-Grundschutz++ gegenüber dem bisherigen IT-Grundschutz-Kompendium?

IT-Grundschutz++ markiert den größten Umbruch in der deutschen Informationssicherheit seit Einführung der BSI-Standards. Die BSI Grundschutz Modernisierung betrifft Unternehmen und Behörden gleichermaßen – und erfordert strategische Vorbereitung. Dieser Überblick erklärt die zentralen Neuerungen des BSI-Frameworks: vom 5-Stufen-Modell über das OSCAL-Format bis zur Übergangsphase und Migration.

IT-Grundschutz++ ersetzt das bisherige textbasierte Kompendium durch ein prozessorientiertes, maschinenlesbares Framework. Die IT-Grundschutz Reform reduziert die Anforderungen von 6.567 auf 985 – eine Straffung um 85 Prozent. Allein der BSI-Lagebericht 2025 verzeichnet 119 neue Schwachstellen pro Tag, ein Plus von 24 Prozent.

Informationssicherheit ist Chefsache

Die Bedrohungslage verschärft sich damit dynamisch weiter. Ein reformiertes BSI Regelwerk 2026 ist deshalb keine Option, sondern Notwendigkeit. Die Gartner CEO Survey 2025 bestätigt diesen Druck: 85 Prozent der CEOs stufen Cybersicherheit als geschäftskritisch ein. Informationssicherheit ist damit Chefsache – und die BSI-Grundschutz-Reform eine logische Konsequenz. Wie der Umstieg konkret aussieht, zeigt der Abschnitt zur Übergangsphase.

BSI Grundschutz Modernisierung: Von Bausteinen zu Praktiken

Die Modernisierung des BSI-Grundschutzes folgt einem klaren Prinzip: weg von starren Dokumenten, hin zu dynamischen Prozessen. Dieses Umdenken durchzieht alle Ebenen des neuen Frameworks. Der Leitfaden zum IT-Grundschutz beschreibt die bewährte Methodik mit ihren Bausteinen und Schichten. IT-Grundschutz++ geht konzeptionell weit darüber hinaus und ersetzt diese Struktur vollständig. Das neue Grundschutz++ Kompendium setzt konsequent auf IT-Grundschutz Automatisierung und Messbarkeit.

Statt der bisherigen IT-Grundschutz-Bausteine gibt es künftig 19 prozessorientierte Praktiken. Anforderungen sind nicht mehr in Textdokumenten formuliert, sondern als maschinenlesbare Regeln hinterlegt. Das IT-Grundschutz++ OSCAL JSON Format basiert auf dem NIST-Standard und ist international anschlussfähig.

Zentrale Neuerungen von IT-Grundschutz++ auf einen Blick

Das digitale IT-Grundschutz-Regelwerk unterscheidet sich in mehreren Dimensionen grundlegend von seinem Vorgänger:

19 Grundschutz++ Praktiken ersetzen rund 100 Bausteine
Lösungsunabhängige Anforderungen statt produktspezifischer Vorgaben
OSCAL/JSON-Format statt PDF und Word
Leistungskennzahlen für Vertraulichkeit, Integrität und Verfügbarkeit
Kontinuierliche Aktualisierung über ein offenes Community-Modell

Auswirkungen auf bestehende Sicherheitsstandards

Für Organisationen, die sichere Softwareentwicklung im Rahmen des IT-Grundschutzes betreiben, ändert sich die Anforderungsstruktur grundlegend. Das BSI formuliert Anforderungen künftig lösungsunabhängig. Konkrete Umsetzungshinweise werden als separate Metadaten ergänzt. Auch bestehende Informationssicherheitsleitlinien werden an der neuen Methodik der BSI Grundschutz Modernisierung gemessen.

Die IT-Grundschutz-Reform betrifft damit jeden Bereich – von der Softwareentwicklung bis zur Netzwerkplanung. Das Spektrum reicht von technischen Maßnahmen bis zur strategischen Steuerung. Besonders die öffentliche Verwaltung steht vor besonderen Herausforderungen, da viele Kommunen sich noch im Aufbau der Basis-Absicherung befinden.

IT-Grundschutz als digitales Regelwerk: OSCAL, JSON und IT-Grundschutz Automatisierung

BSI-Präsidentin Claudia Plattner bringt die Vision auf den Punkt: Der Grundschutz++ BSI der Zukunft wird schlanker und automatisierbar. IT-Grundschutz++ verwandelt Sicherheitsanforderungen in maschinenlesbare Regeln, die ISMS-Tools direkt interpretieren können. Das digitale Regelwerk von IT-Grundschutz++ macht automatisierte Compliance-Prüfungen erstmals realistisch. Im Kontext des NIS-2-Umsetzungsgesetzes gewinnt die automatisierte Nachweisführung zusätzliche Bedeutung. Statt manueller Checklisten dokumentieren Organisationen den Umsetzungsgrad ihrer Maßnahmen künftig toolgestützt und in Echtzeit.

BSI Grundschutz Modernisierung in der Praxis: JSON statt PDF

Das technische Fundament bildet OSCAL – eine vom NIST entwickelte Datenmodellierungssprache speziell für Sicherheits- und Compliance-Dokumentation. Der Umsetzungsgrad von Anforderungen lässt sich damit toolgestützt dokumentieren und auswerten. Das senkt den manuellen Aufwand und erhöht die Nachvollziehbarkeit gegenüber Aufsichtsbehörden. Die BSI-Grundschutz-Reform stärkt so auch die Cybersecurity-Strategie auf nationaler Ebene.

Die IT-Grundschutz-Automatisierung verändert grundlegend, wie Sicherheitsmaßnahmen nachgewiesen und geprüft werden. Für Organisationen jeder Größe wird der Prüfprozess damit effizienter und transparenter. Auch für die langfristige IT-Compliance bietet das maschinenlesbare Regelwerk eine deutlich effizientere Grundlage als bisher.

Möglichkeiten des IT-Grundschutz++ OSCAL JSON Formats

Das maschinenlesbare Format eröffnet konkrete Vorteile für den ISMS-Betrieb:

Automatischer Abgleich von Soll- und Ist-Zustand
Echtzeit-Dashboards zum Reifegrad der Informationssicherheit
Versionskontrolle über Git-basierte Workflows
Export in JSON, XML oder YAML je nach Toollandschaft

Für Organisationen mit bestehender ISO-27001-Zertifizierung bedeutet IT-Grundschutz++ eine engere Harmonisierung beider Standards. Der Dokumentationsaufwand sinkt, und der Nachweis von Konformität wird durch das digitale BSI-Regelwerk deutlich vereinfacht. Wie Behörden und Verwaltungen den Umstieg auf Grundschutz++ konkret vorbereiten, zeigt ein eigener Praxisleitfaden.

Was ist das 5-Stufen-Modell im IT-Grundschutz++?

Das 5-Stufen-Modell ersetzt die bisherigen drei Absicherungsstufen – Basis, Standard und Kern – durch ein differenziertes System mit fünf Reifegraden. Es ermöglicht einen skalierbaren Einstieg in die Informationssicherheit, von der kleinen Organisation bis zum KRITIS-Betreiber. Jede Stufe definiert einen klar abgegrenzten Sicherheitsumfang mit eigenen Anforderungsprofilen. Die Reduktion der IT-Grundschutz++ Anforderungen zeigt sich hier besonders deutlich: Nicht jede Organisation muss alle Stufen durchlaufen. Entscheidend ist der individuelle Schutzbedarf.

Von der Basis bis zum Hochschutz

Der Einstieg auf Stufe 1 ist bewusst niedrigschwellig, um auch KMU den Zugang zur systematischen Informationssicherheit zu erleichtern. Organisationen können stufenweise vorgehen und ihren Schutzumfang an den individuellen Bedarf anpassen. Höhere Stufen adressieren zunehmend komplexere Anforderungen für größere Strukturen. Der Leitfaden für IT-Grundschutz++ in Unternehmen ordnet die passende Stufe nach Branche und Schutzbedarf ein.

Die fünf Stufen im IT-Grundschutz++ 5-Stufen-Modell:

🔼 Stufe 1: Basisschutz gegen häufige Bedrohungen, ISO-kompatibel
🔼 Stufe 2: Erweiterter Schutz mit leicht umsetzbaren Maßnahmen
🔼 Stufe 3: Praxisnahe Maßnahmen für KMU mit geringem laufendem Aufwand
🔼 Stufe 4: Umfassende Anforderungen für Behörden und Konzerne
🔼 Stufe 5: Optionaler Hochschutz für erhöhten Schutzbedarf

Messbarkeit durch Leistungskennzahlen

IT-Grundschutz++ führt erstmals ein quantitatives Bewertungssystem ein. Jede Anforderung erhält Punktwerte für Vertraulichkeit, Integrität und Verfügbarkeit. Organisationen können ihren Cyber-Reifegrad objektiv messen, Fortschritte dokumentieren und Ressourcen gezielt dort einsetzen, wo der Sicherheitsgewinn am größten ist. IT-Grundschutz++ macht die Auswertung dieser Kennzahlen im digitalen Regelwerk maschinenlesbar und automatisiert möglich. Damit wird Informationssicherheit auch für die Kommunikation mit Geschäftsleitung und Aufsichtsbehörden deutlich greifbarer.

Übergangsphase, Migration und Community

Die IT-Grundschutz++ Einführung 2026 startet am 1. Januar mit einer mehrjährigen Übergangsphase. Bis voraussichtlich 2029 können Organisationen das alte und das neue Framework parallel nutzen. Das BSI wertet in dieser Zeit Erfahrungen aus Pilotprojekten aus und entwickelt Methodik, Auditierungsschema und Umsetzungshilfen für das BSI Regelwerk 2026 weiter. Ein Risiko dabei: Das bisherige Kompendium erhält während der IT-Grundschutz++ Übergangsphase bis 2029 keine inhaltlichen Updates mehr. Organisationen sollten diese Lücke bei ihrer Planung berücksichtigen.

Ist eine automatische Migration von IT-Grundschutz auf Grundschutz++ möglich?

Eine automatische, verlustfreie Migration existiert nicht. Die strukturellen Unterschiede zwischen dem bisherigen Schichtenmodell und den neuen Grundschutz++ Praktiken sind zu grundlegend. Alte Mappings lassen sich meist nur bedingt übertragen, weil keine 1:1-Zuordnung zwischen Bausteinen und Praktiken besteht.

Jede Anforderung muss einzeln neu bewertet und dokumentiert werden – manuell, gegebenenfalls mit KI-Unterstützung. Organisationen mit bestehendem ISMS sollten frühzeitig eine Gap-Analyse starten. Das digitale Regelwerk von IT-Grundschutz++ bietet dafür strukturierte Vergleichsmöglichkeiten im OSCAL-Format.

Die BSI Stand-der-Technik-Bibliothek auf GitHub

Das BSI hat mit der BSI Stand-der-Technik-Bibliothek auf GitHub einen transparenten Veröffentlichungskanal geschaffen. Das Repository ist seit September 2025 öffentlich zugänglich und bildet den zentralen Einstiegspunkt in das neue IT-Grundschutz++ Kompendium. Im August 2025 fand die Kommentierungsphase unter dem Motto „30 Tage, 1 Kompendium, 200 Meinungen” statt. Fachexperten aus der Grundschutz-Community konnten dort Änderungsvorschläge direkt einbringen.

Das agile Community-Modell des Grundschutz++ BSI umfasst:

Transparente Veröffentlichung statt starrer Jahreszyklen
Nachvollziehbare Änderungshistorie über Git
Möglichkeit für branchenspezifische Grundschutz-Forks
Öffentliche Beteiligung an der Weiterentwicklung

Von der Verwaltung zur aktiven Gestaltung

IT-Grundschutz++ ist damit nicht nur ein modernisiertes Regelwerk, sondern der Einstieg in ein agiles Ökosystem für Informationssicherheit. Die IT-Grundschutz++ Einführung 2026 schafft den Rahmen für Unternehmen und Behörden, die Informationssicherheit aktiv gestalten wollen – denn der neue BSI-Grundschutz ist maschinenlesbar, automatisiert und zukunftsfähig.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Wann wird IT-Grundschutz++ eingeführt und wie lange gilt die Übergangsphase?

IT-Grundschutz++ wird am 1. Januar 2026 offiziell eingeführt. Die Übergangsphase dauert voraussichtlich bis 2029. In dieser Zeit können Organisationen das bisherige IT-Grundschutz-Kompendium und das neue Framework parallel nutzen. Das BSI entwickelt in dieser Phase Methodik und Umsetzungshilfen auf Basis von Pilotprojekten weiter.

Welche Vorteile bietet IT-Grundschutz++ für die Automatisierung von ISMS-Prozessen?

IT-Grundschutz++ stellt alle Anforderungen im maschinenlesbaren OSCAL/JSON-Format bereit. ISMS-Tools können diese direkt einlesen, Soll-Ist-Abgleiche automatisiert durchführen und den Umsetzungsgrad in Echtzeit dokumentieren. Das reduziert den manuellen Dokumentationsaufwand erheblich und macht Sicherheitskennzahlen kontinuierlich messbar.

Wie funktioniert das OSCAL-Format im neuen IT-Grundschutz++?

OSCAL steht für Open Security Controls Assessment Language und wurde vom US-amerikanischen NIST entwickelt. Es handelt sich um eine Datenmodellierungssprache, die Sicherheitsanforderungen in einem strukturierten, maschinenlesbaren Format abbildet. Im IT-Grundschutz++ werden alle Anforderungen als OSCAL-konforme JSON-Dateien bereitgestellt. Organisationen können diese Dateien in ISMS-Tools importieren und damit automatisierte Compliance-Prüfungen durchführen. Neben JSON unterstützt OSCAL auch XML und YAML als Datenformate. Das BSI stellt das gesamte Grundschutz++-Kompendium über die Stand-der-Technik-Bibliothek auf GitHub in diesem Format zur Verfügung.

Was ist die BSI Stand-der-Technik-Bibliothek und wie wird sie genutzt?

Die BSI Stand-der-Technik-Bibliothek ist ein öffentlich zugängliches GitHub-Repository, über das das BSI seine Sicherheitsanforderungen in maschinenlesbaren Formaten bereitstellt. Seit September 2025 ist das Repository verfügbar. Im August 2025 konnten Fachexperten in einer Kommentierungsphase Änderungsvorschläge einbringen. Die Bibliothek enthält das vollständige Grundschutz++-Kompendium im OSCAL-Format sowie Anwenderkataloge und Umsetzungshilfen. Organisationen können die Inhalte lokal herunterladen oder über einen OSCAL-Viewer direkt einsehen. Die Stand-der-Technik-Bibliothek bildet damit den zentralen Einstiegspunkt in das neue IT-Grundschutz++.