ISMS nach NIS2 aufbauen: 10-Wochen-Plan für KMU

· Kategorie: NIS2
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • NIS2 fordert ISMS-gleichwertige Strukturen — § 30 Abs. 1 BSIG
  • ISO 27001:2022 als Goldstandard, nicht zwingend
  • 10-Wochen-Aufbau für KMU realistisch
  • 12 Pflicht-Policies + 22 Pflicht-Vorlagen
  • Internes Audit jährlich Pflicht

1. Rechtsbasis: NIS2 vs. ISO 27001

AspektNIS2 (§ 30 BSIG)ISO 27001:2022
Pflichtcharaktergesetzlich (für betroffene Einrichtungen)freiwillig
Maßnahmen10 Bereiche (Abs. 2)93 Controls (Annex A)
Risikobewertungverlangt (Abs. 1)Klausel 6.1.2
Zertifizierungnicht erforderlichmöglich
Bußgeld10 Mio. / 2%nein

Praxis-Empfehlung: ISO 27001-konformes ISMS aufbauen, Zertifizierung optional.

2. ISMS-Scope definieren

Scope-Festlegung:

Empfehlung KMU mit NIS2-Pflicht: gesamtes Unternehmen in Scope.

3. Risikoanalyse + Behandlungsplan

  1. Asset Inventory: alle IT-Assets, Datenklassen, Geschäftsprozesse
  2. Bedrohungsanalyse: typische Bedrohungen pro Asset (Ransomware, Datenleck, Ausfall)
  3. Verwundbarkeits-Bewertung: aktueller Schutzstand
  4. Risiko-Score: Eintrittswahrscheinlichkeit × Schadenshöhe
  5. Behandlungs-Optionen: reduzieren / akzeptieren / übertragen / vermeiden
  6. Statement of Applicability (SoA): welche Controls anwendbar

4. 12 Pflicht-Policies

  1. Information Security Policy (Top-Level)
  2. Acceptable Use Policy
  3. Access Control Policy
  4. Cryptographic Controls Policy
  5. Backup + Recovery Policy
  6. Patch Management Policy
  7. Incident Management Policy
  8. Supplier Management Policy
  9. Mobile Device + BYOD Policy
  10. Clear Desk + Clear Screen Policy
  11. Password Policy
  12. Physical Security Policy

5. Internes Audit + Management-Review

6. 10-Wochen-Roadmap

WocheAktivität
1ISMS-Beauftragten benennen, Scope definieren
2-3Asset-Inventar + Risikoanalyse
4Risikobehandlungsplan + SoA
5-712 Policies erstellen + freigeben
8Awareness-Schulung + Onboarding
9Internes Audit Vorbereitung + Durchführung
10Management-Review + Kommunikation
22 Pflicht-Vorlagen (Policies + Verfahrensanweisungen + Audit-Templates) im NIS2-Kit.

Häufig gestellte Fragen

Brauche ich ISO 27001-Zertifikat?
Nein, NIS2 fordert nur 'gleichwertige Strukturen'. Aber: Zertifikat reduziert Audit-Risiko + ist Marketing-Vorteil. Kosten 15-50k EUR.
Wer leitet das ISMS?
Information Security Officer (ISO/CISO). Geschäftsführung haftet, Information Security Officer agiert weisungsbefugt.
Was ist der Scope?
Klar definierter Bereich: alle Geschäftsprozesse, IT-Systeme und Standorte, die in den ISMS-Schutz fallen. Bei NIS2-Betroffenen: meist gesamtes Unternehmen.
Welche Standards außer ISO 27001?
BSI IT-Grundschutz (DE), CIS Controls (USA, KMU-freundlich), NIST CSF (USA, EU-kompatibel), TISAX (Automotive).
Wie oft auditieren?
Internes Audit jährlich. Bei ISO-Zertifizierung: Surveillance-Audit jährlich, Re-Zertifizierung alle 3 Jahre.
Bußgeldrisiko bei ISMS-Lücken?
§ 60 BSIG: bis 10 Mio. EUR / 2%. Plus § 38 BSIG GF-Haftung bei grober Pflichtverletzung.

Quellen

Stand: 02.05.2026

Verwandte Artikel

NIS2

BCM nach NIS2

8-Wochen-Roadmap.

 NIS2

NIS2 Lieferkette absichern

Lieferanten-Audit.

 NIS2

§ 30 BSIG: 10 Pflichtmaßnahmen

Detaillierte Anleitung.

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.