ISMS (Informationssicherheits-Managementsystem)

Systematischer Rahmen für Informationssicherheit — ISO 27001 oder BSI Grundschutz

· Kategorie: NIS2 · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Rahmen aus Richtlinien, Prozessen und Maßnahmen zum Schutz von Informationen. Bekannteste Standards: ISO/IEC 27001 (international zertifizierbar) und BSI IT-Grundschutz (deutscher Standard). Pflicht-Element für NIS2-Compliance nach § 30 Abs. 2 Nr. 1 BSIG.

Was ist ISMS (Informationssicherheits-Managementsystem)?

Zentrale ISMS-Komponenten:

Praxisbeispiel

ISO 27001-Aufbau für 200-MA-Unternehmen typisch:

  1. Q1: ISMS-Leitlinie + Risikoanalyse-Methodik
  2. Q2: Risiko-Register + Maßnahmen-Definition
  3. Q3: Implementierung der 93 ISO 27001-Controls (sofern anwendbar)
  4. Q4: Internes Audit + externe Vorbereitung
  5. Folgejahr: externes Audit + Zertifizierung

Aufwand: 0,5-1 FTE für Aufbau + 0,3-0,5 FTE für laufenden Betrieb.

Häufig gestellte Fragen

ISO 27001 oder BSI Grundschutz?
ISO 27001: international anerkannt, KMU-skaliert, Markterwartung. BSI Grundschutz: detaillierter, KRITIS-konform, kostengünstiger ohne Zertifizierung. Hybridmodell möglich.
Reicht ISO 27001 für NIS2?
Größtenteils. ISO 27001 deckt 70-80 % der § 30 BSIG-Anforderungen ab. Lücken: NIS2-Meldepflichten 24/72/30 (§ 32), Lieferketten-Sorgfalt (§ 30 Abs. 2 Nr. 5), § 38-GF-Pflichten.
Was kostet ISO-27001-Zertifizierung?
Initialer Aufbau: 30.000-150.000 EUR (KMU). Externes Audit: 8.000-25.000 EUR alle 3 Jahre. Laufende Pflege: 0,3-0,5 FTE. Compliance-Kit NIS2-Kit reduziert Aufbaukosten um 50-70 %.

Siehe auch