ISO 27001 und NIS2:
reicht die Zertifizierung für die Konformität?

In den letzten Monaten kommt aus den Verwaltungsräten mittelständischer Unternehmen eine wiederkehrende Frage: „Wir sind nach ISO/IEC 27001:2022 zertifiziert, reicht das für NIS2?“. Die kurze Antwort lautet nein, und sie verdient eine Begründung. Die Zertifizierung liefert eine organisatorische Maschine — das Informationssicherheits-Managementsystem —, die dem, was die Rechtsvorschrift verlangt, sehr nahe kommt, aber mehrere Bereiche bleiben ungedeckt. Einige davon treffen, wie wir sehen werden, unmittelbar leitende natürliche Personen, nicht die Organisation.

Zwei unterschiedliche regulatorische Naturen

ISO/IEC 27001:2022 ist ein freiwilliger internationaler Standard, der ein Managementsystem zertifiziert (ISMS, Information Security Management System). Die Organisation definiert den Anwendungsbereich ihres ISMS, erklärt im Statement of Applicability die anwendbaren Controls des Anhangs A und begründet Ausschlüsse, weist im Audit deren kontinuierliche Steuerung nach und erhält ein von einer akkreditierten Stelle ausgestelltes Zertifikat.

Die Richtlinie (EU) 2022/2555 — in Italien durch das Gesetzesdekret Nr. 138 vom 4. September 2024 umgesetzt — ist hingegen eine zwingende sektorale Norm. Sie gilt nach objektiven Kriterien von Sektor und Größe (die sogenannte size-cap rule, ausgeweitet auf 18 Sektoren, davon 11 mit hoher Kritikalität (Anhang I) und 7 weitere kritische Sektoren (Anhang II)), schreibt technische und organisatorische Mindestpflichten vor und sieht eine öffentliche Aufsicht vor, die von der ACN (Italienische Agentur für Cybersicherheit) ausgeübt wird und deren Sanktionssystem an die DSGVO angeglichen ist. Die Bestimmung des ACN-Generaldirektors Nr. 379907 vom 19. Dezember 2025 legt die Basis-Spezifikationen für die Pflichten nach den Artikeln 23, 24, 25, 29 und 32 des NIS-Dekrets fest, organisiert nach dem Nationalen Rahmenwerk für Cybersicherheit und Datenschutz (FNCDP) Ausgabe 2025.

Übersetzt: ISO 27001 weist nach, dass die Organisation ihre Sicherheit in einem von ihr gewählten Perimeter steuert. NIS2 legt fest, dass ein Unternehmen, wenn es in die vom Dekret abgedeckten Sektoren fällt und die Größenschwellen überschreitet, spezifische Maßnahmen ergreifen, Vorfälle innerhalb bestimmter Fristen melden und gegenüber einer öffentlichen Behörde Rechenschaft ablegen muss.

Wo die Zertifizierung gut abdeckt

Eine gut umgesetzte ISO 27001:2022 deckt einen Großteil der Arbeit ab, die NIS2 verlangt. Das im Juni 2025 veröffentlichte ENISA-Mapping (Technical Implementation Guidance — Mapping table v1.0) zeigt, dass die meisten ISO/IEC-27001:2022-Controls den durch die Durchführungsverordnung (EU) 2024/2690 ausgestalteten NIS2-Anforderungen entsprechen: Die Überschneidung ist breit und betrifft Sicherheitsrichtlinien, Risikomanagement, Vorfallmanagement, Sicherheit der ICT-Lieferkette (Control A.5.21), Betriebskontinuität, Kryptografie, Zugriffskontrolle, Schulung und grundlegende Hygiene. Für eine Organisation, die bereits ein ausgereiftes ISMS betreibt, bedeutet der Aufbau einer NIS2-Posture weitgehend, das Bestehende neu auszurichten, nicht bei null anzufangen.

Es bleibt ein Bereich, in dem die Überschneidung nicht automatisch ist: Er betrifft Elemente, die ihrer Natur nach grundlegend anders sind als ein Managementsystem-Standard. Es sind die sieben Lücken, die wir in den nächsten Abschnitten untersuchen, bevor wir ein häufiges Missverständnis behandeln — jenes zwischen einem NIS2-Pflichtigen und einem Lieferanten eines NIS2-Pflichtigen — und die persönliche Haftung der Unternehmensleitung.

Sieben reale Lücken zwischen ISO 27001 und NIS2

1. Anwendungsbereich

ISO 27001 zertifiziert den von der Organisation erklärten Geltungsbereich. Eine Holding kann sich dafür entscheiden, nur die Muttergesellschaft zu zertifizieren und Tochtergesellschaften auszuschließen; ein produzierendes Unternehmen kann den Perimeter auf den Hauptsitz beschränken und Außenwerke ausschließen. Es ist eine legitime Wahl innerhalb des Standards: Die Zertifizierung gilt für das, was dem Audit unterzogen wurde.

NIS2 gilt im Gegenteil für die juristische Person als Ganzes, in Abhängigkeit von Sektor und Größe. Fällt die Organisation in den Anwendungsbereich des Dekrets, gelten die Pflichten für den gesamten Pflichtigen: Der ISO-Geltungsbereich ist kein Verteidigungsargument vor der ACN. Es ist eine der ersten Unstimmigkeiten, die in der Gap-Analyse auftauchen, und sie erfordert eine erneute Lektüre des bestehenden Statement of Applicability im Lichte des tatsächlichen Anwendungsbereichs des Dekrets.

2. Persönliche Haftung der Verwaltungsorgane

Artikel 23 des Gesetzesdekrets 138/2024 führt einen Paradigmenwechsel gegenüber der Zertifizierungslogik ein: Er weist der Unternehmensleitung — den „Verwaltungs- und Leitungsorganen“ — die persönliche Pflicht zu, die Art und Weise der Umsetzung der Risikomanagementmaßnahmen zu genehmigen, die Erfüllung der Pflichten des Kapitels IV zu überwachen und eine spezifische Schulung im Bereich der Informationssicherheit zu absolvieren. Es ist Schulung, nicht bloße Sensibilisierung: Die Pflicht verlangt den Erwerb von Kompetenzen, die der Funktion eigen sind, nicht ein einstündiges Seminar.

Hinzu kommt Absatz 5 des Artikels 38, der die kumulative Haftung festlegt: „jede natürliche Person, die für einen wesentlichen Pflichtigen verantwortlich ist oder als dessen gesetzlicher Vertreter handelt…, kann für die Nichterfüllung im Falle eines Verstoßes gegen dieses Dekret durch den von ihr vertretenen Pflichtigen haftbar gemacht werden“. Wir werden diese Figur in einem eigenen Abschnitt vertiefen, aber der Punkt sei hier vermerkt: Das italienische NIS2 markiert das Ende der Delegation ohne Aufsicht. ISO 27001 enthält nichts Vergleichbares.

3. Meldung erheblicher Vorfälle

Artikel 25 des Dekrets setzt präzise Fristen: Vorabmeldung an das CSIRT Italia innerhalb von 24 Stunden ab Kenntnis des Vorfalls, vollständige Meldung mit den technischen Details innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Das Schlüsselwort ist Kenntnis: Die Frist läuft ab dem Moment, in dem der Pflichtige objektive Kenntnis des Vorfalls erlangt, nicht ab dem Moment, in dem der Vorfall sich materiell ereignet hat. Zu diesem konkreten Punkt hat die ACN eine Klarstellung beim Clusit-Event vom 29. April 2026 gegeben und daran erinnert, dass die Organisation fünf Momente klar unterscheiden können muss: Eintritt, Erkennung, Kenntnis, Bewertung der Erheblichkeit, Auslösung der Vorabmeldung.

Die Bestimmung 379907/2025 gliedert zudem vier Kategorien erheblicher Vorfälle (IS-1: Verlust der Vertraulichkeit nach außen; IS-2: Verlust der Integrität mit Auswirkung nach außen; IS-3: Verletzung der auf Basis der durch die Maßnahme DE.CM-01 des Nationalen Rahmenwerks definierten Service-Levels erwarteten Niveaus, die der kontinuierlichen Überwachung der Service-Levels gewidmet ist; IS-4: unbefugter Zugriff oder Missbrauch von Privilegien). Die ersten drei gelten für wichtige und wesentliche Pflichtige, IS-4 nur für wesentliche. Die grundlegende Meldepflicht läuft ab Januar 2026 für die Pflichtigen, die im vergangenen April die erste Mitteilung über die Aufnahme in die NIS-Liste erhalten haben, und ab späteren Daten für die 2026 hinzugefügten Pflichtigen (Bestimmung 127434/2026). ISO 27001 schreibt einen Prozess zum Vorfallmanagement vor, aber sie schreibt weder diese Fristen noch diese Taxonomie vor.

4. Technische Mindestmaßnahmen mit Pflichtcharakter

Artikel 24 listet zehn Bereiche zwingender Maßnahmen auf, die von der Risikoanalyse bis zum Vorfallmanagement, von der Betriebskontinuität bis zur Sicherheit der Lieferkette, von der sicheren Entwicklung und dem Schwachstellenmanagement bis zu den Kryptografierichtlinien, von der Zugriffskontrolle bis zur Multi-Faktor-Authentifizierung bis hin zu den Praktiken der grundlegenden Hygiene und der Schulung des Personals reichen. Es sind absolute Pflichten, keine Controls, die wie im Anhang A der ISO 27001 nach dem Geltungsbereich auszuwählen sind.

Die Bestimmung 379907/2025 übersetzt die zehn Bereiche in operative Maßnahmen, die nach dem FNCDP Ausgabe 2025 gegliedert sind — organisiert nach Funktionen, Kategorien, Unterkategorien und Anforderungen — und nach wichtigen Pflichtigen (Anlage 1) und wesentlichen Pflichtigen (Anlage 2) differenziert sind, wobei letztere umfangreicher ist. Die vollständige Übernahme ist innerhalb von 18 Monaten ab Erhalt der Mitteilung über die Aufnahme in die Liste geschuldet — eine Frist, die für die in der ersten Welle benachrichtigten Pflichtigen im Oktober 2026 abläuft. ISO 27001:2022 behandelt einen Großteil dieser Themen, aber mit einem anderen Ansatz: Die Controls des Anhangs A sind „in Abhängigkeit vom SoA relevant“ und die Organisation wählt sie aus; Artikel 24 schreibt sie alle vor.

5. Sicherheit der Lieferkette

ISO 27001:2022 widmet der Lieferkette die Controls A.5.19, A.5.20, A.5.21 und A.5.22 — Steuerung der Lieferantenbeziehungen, Sicherheitsvereinbarungen in den Vertragsklauseln, Sicherheitssteuerung in der ICT-Lieferkette, Überwachung der erbrachten Dienste. Artikel 24 Buchstabe d) des NIS-Dekrets ist präskriptiver: Er schließt ausdrücklich „die Sicherheitsaspekte betreffend die Beziehungen zwischen jedem Pflichtigen und seinen direkten Lieferanten oder Diensteanbietern“ ein. Die Pflicht besteht nicht darin, die Tiefe nach dem SoA zu wählen, sondern die Abdeckung zu gewährleisten.

Die ACN hat beim Clusit-Event vom 29. April 2026 weiter klargestellt, dass die Kategorie des „relevanten Lieferanten“ auch nicht-ICT-, nicht-fungible Lieferanten umfasst — einen Hersteller einer exklusiven Komponente, einen kritischen Logistikdienst —, deren Ausfall die Kontinuität der NIS-Tätigkeiten der Organisation gefährden würde. Es ist eine breitere Auslegung als jene, die typischerweise in der Steuerung der Lieferantenbeziehungen im ISO-Kontext angewandt wird.

6. Registrierung und Aufrechterhaltung der Eintragung bei der ACN

Artikel 7 des Gesetzesdekrets 138/2024 verpflichtet die in den Perimeter fallenden Pflichtigen, sich auf der ACN-Plattform zu registrieren, einen Kontaktpunkt und einen Vertreter zu benennen und die Informationen aktuell zu halten. Die Bestimmung 127437/2026 regelt Fristen, Modalitäten und Verfahren für den Zugang zur Plattform und für die Benennung der NIS-Vertreter. Die Bestimmung 155238/2026 führt außerdem das Modell zur Kategorisierung der Tätigkeiten und Dienste ein: zehn vordefinierte Makrobereiche, vier Relevanzkategorien (minimale, niedrige, mittlere, hohe Auswirkung), ein Ausfüllfenster vom 1. Mai bis zum 30. Juni 2026 für die erste Welle von Pflichtigen.

Es sind Pflichten, die keine Entsprechung in der ISO 27001 haben: Der Standard verlangt, dass die Organisation die Beziehungen zu den zuständigen Behörden steuert, aber er schreibt weder eine öffentliche Erfassung noch einen formellen Kontaktpunkt gegenüber einer staatlichen Agentur noch eine strukturierte Kategorisierung nach einem vorgeschriebenen Modell vor.

7. Öffentliche Aufsicht und Sanktionen

Die ACN übt Durchsetzungs-, Überprüfungs- und Inspektionsbefugnisse aus, die der Gesetzgeber an jene der DSGVO angeglichen hat. Die verwaltungsrechtlichen Geldbußen für die Nichteinhaltung der Pflichten zum Risikomanagement und zur Meldung von Vorfällen (Art. 23, 24, 25) erreichen bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres für wesentliche Pflichtige und bis zu 7 Millionen oder 1,4 % für wichtige Pflichtige, mit proportionalen Mindestbeträgen.

Es ist angebracht, daran zu erinnern, dass die ACN Grundsätzen der Verhältnismäßigkeit folgt: Die Höchstbeträge stellen die gesetzliche Obergrenze dar, nicht die typische Sanktion. Die fallweise Abstufung berücksichtigt Schwere, Dauer, etwaige Vorfälle, verursachten Schaden, Vorsatz oder Fahrlässigkeit, ergriffene Minderungsmaßnahmen, das Maß der Zusammenarbeit mit der Behörde. Die ersten bedeutenden förmlichen Beanstandungen werden zwischen Ende 2026 und Anfang 2027 erwartet, aber die Überwachungstätigkeit läuft seit Monaten. Ein ISO-Audit verhängt keine verwaltungsrechtlichen Sanktionen: Es stellt Nichtkonformitäten fest, die mit der Zertifizierungsstelle vereinbarten Korrekturmaßnahmen abgeschlossen werden.

NIS2-Pflichtiger oder Lieferant eines NIS2-Pflichtigen?

Eine Unterscheidung, die häufig Verwirrung stiftet: Lieferant eines NIS2-Pflichtigen zu sein, macht einen nicht automatisch zum Anbieter wesentlicher Dienste im Sinne des Dekrets. Die formelle Qualifikation als NIS-Pflichtiger hängt vom eigenen Sektor und der eigenen Größe ab, nicht von der Identität der eigenen Kunden.

Es gibt jedoch eine vertragliche Cascade, die man nicht unterschätzen sollte. Artikel 24 Buchstabe d) verpflichtet den NIS-Pflichtigen, die Sicherheit der Beziehungen zu seinen direkten Lieferanten zu steuern, und die ACN unterscheidet — im Modell zur Erfassung der relevanten Lieferanten, das die Plattform vorsieht — zwischen ICT-Lieferung, nicht-fungibler Lieferung und nicht-fungibler ICT-Lieferung. In der Praxis bedeutet dies, dass die NIS2-Kunden bei den Vertragsverlängerungen 2026 und 2027 strengere Sicherheitsanforderungen vertraglich weitergeben werden: Klauseln zu Patch-Fristen, zur Meldung von Schwachstellen, zur Dauer des Supports, zu geforderten Zertifizierungen, zu Stichproben-Audits, zur Vertraulichkeit der Vorfälle. Typische Beispiele, die sich bereits in den Verträgen von 2026 zeigen: Patchen kritischer Schwachstellen innerhalb vordefinierter Fristen, Recht auf regelmäßige Lieferanten-Audits, Pflicht zur Meldung von Vorfällen mit Auswirkung auf den Dienst an den Kunden innerhalb von 24 Stunden, Aufrechterhaltung der zum Zeitpunkt der Vergabe erklärten Sicherheitszertifizierungen.

Für jene, die Lieferant eines NIS-Pflichtigen sind, ohne es selbst zu sein, wird eine ISO-27001:2022-Posture zu einem relevanten kommerziellen Argument und zu einer schneller erweiterbaren operativen Basis für die neuen vertraglichen Anforderungen. Es ist keine NIS-Pflicht, aber es ist eine Marktrealität, die sich rasch verfestigt.

Die persönliche Haftung des Vorstands

Wir kommen zu dem Element, das die meiste Aufmerksamkeit seitens der Unternehmensleitung erfordert: die persönliche Haftung der Verwaltungs- und Leitungsorgane. Artikel 23 des Gesetzesdekrets 138/2024 — eine direkte Umsetzung des Artikels 20 der NIS2-Richtlinie — beschränkt sich nicht darauf, zu verlangen, dass sich die Organisation organisiert: Er verlangt, dass die Leitung selbst die Art und Weise der Umsetzung der Maßnahmen genehmigt, deren Umsetzung überwacht, regelmäßig oder zeitnah über die gemeldeten Vorfälle informiert wird und eine persönliche Schulung absolviert.

Der italienische Gesetzgeber hat den Rahmen mit Artikel 38 Absatz 5 verstärkt, der die kumulative Haftung einführt: Die Organisation bleibt haftbar und die Behörde kann zusätzlich die leitende natürliche Person haftbar machen. Die unmittelbarste Parallele in der italienischen Rechtskultur ist Artikel 17 des Gesetzesdekrets 81/2008 zur Arbeitssicherheit: Manche Pflichten sind nicht delegierbar. Die technische Delegation an den CISO oder an einen externen Anbieter ist zulässig und notwendig, aber sie befreit die Leitung nicht von der Aufsichtspflicht und setzt voraus, dass der Delegierte über tatsächliche Mittel — personelle und materielle Ressourcen — verfügt, um sie zu erfüllen. Für leitende Bedienstete des öffentlichen Dienstes kommen Profile der Leitungs-, Disziplinar- und verwaltungsrechtlich-buchhalterischen Haftung hinzu.

Kurz gesagt: Die Unternehmensleitung, die NIS2 mit der Mentalität „wir haben die IT, wir haben die ISO, wir müssten in Ordnung sein“ angeht, unterschätzt einen Aspekt, der sie persönlich betrifft.

Anpassungs-Roadmap mit drei Horizonten

Für bereits nach ISO 27001:2022 zertifizierte Organisationen gliedert sich der Weg zur Anpassung an NIS2 vernünftigerweise in drei zeitliche Horizonte:

• 1Sofort (innerhalb von 30 Tagen)— Überprüfung der Registrierung auf der ACN-Plattform und Abschluss der Kategorisierung der Tätigkeiten und Dienste bis zum 30. Juni 2026 (das nutzbare Fenster ist seit dem 1. Mai 2026 geöffnet, Bestimmung 155238/2026), eine verbindliche und nicht aufschiebbare Frist; Planung der Cybersicherheitsschulung für die Verwaltungs- und Leitungsorgane gemäß Artikel 23, mit einem realistischen Kalender und Inhalten, die über die Sensibilisierung hinausgehen, im Einklang mit der persönlichen Pflicht der Leitung; Abbildung des tatsächlichen Anwendungsbereichs des Dekrets im Abgleich mit dem bestehenden ISO-Statement of Applicability, um die Bereiche außerhalb des ISO-Geltungsbereichs, aber innerhalb von NIS, sichtbar zu machen.
• 2Kurzfristig (3-6 Monate)— Definition und Test der Verfahren zum Management und zur Meldung von Vorfällen, im Einklang mit den Fristen von 24 Stunden, 72 Stunden und einem Monat und mit den vier IS-Typen der Bestimmung 379907/2025; technische Gap-Analyse zwischen den umgesetzten ISO-27001:2022-Controls und Anlage 1 (wichtige Pflichtige) oder Anlage 2 (wesentliche Pflichtige) derselben Bestimmung; strukturierte Abbildung der relevanten Lieferanten mit Unterscheidung zwischen ICT-, nicht-fungibler und nicht-fungibler ICT-Lieferung sowie Gestaltung der Vertragsklauseln für die Cascade.
• 3Strategisch (9-12 Monate)— vollständige Umsetzung der grundlegenden Sicherheitsmaßnahmen bis Oktober 2026 für die in der ersten Welle benachrichtigten Pflichtigen, mit entsprechenden Fristen für die 2026 hinzugefügten; Integration des FNCDP Ausgabe 2025 in das unternehmensweite Risikomanagement-Framework unter Vermeidung von Doppelungen mit dem bestehenden ISMS; Vorbereitung strukturierter dokumentierter Nachweise im Hinblick auf die Audit- und Inspektionstätigkeiten der ACN, unter Nutzung der dokumentarischen Disziplin, die bereits mit den ISO-Zertifizierungsaudits gereift ist.

Ein komplementäres Ökosystem, keine Alternative

ISO/IEC 27001:2022 und NIS2 stehen nicht in Konkurrenz: Sie sind unterschiedliche Teile desselben Bildes. Die Zertifizierung liefert das Managementsystem, die Prozessdisziplin, die Kultur der kontinuierlichen Verbesserung, die unabhängige Überprüfung durch Dritte. NIS2 fügt den öffentlichen Perimeter hinzu — die für die Allgemeinheit kritischen Sektoren, die strukturierte Kategorisierung nach dem ACN-Modell, die persönliche Haftung der obersten Leitungsorgane, die externe Aufsicht mit Sanktionsbefugnis. Für bereits Zertifizierte besteht der Wettbewerbsvorteil auf diesem Weg und ist erheblich: Die organisatorische Maschine ist bereits aufgebaut, sie muss neu ausgerichtet und vervollständigt werden. Für jene, die es nicht sind, wird NIS2 zur Gelegenheit, sie strukturiert aufzubauen — nach Möglichkeit unter Nutzung der Chance, die Zertifizierung als Effekt der Anpassungsarbeit zu erlangen.

Perspektivisch werden die bei der ENISA in Aufbau befindlichen europäischen Schemata zur Cybersicherheitszertifizierung — EUCC für ICT-Produkte und das in Annahme befindliche EUCS für Cloud-Dienste — zusätzliche Werkzeuge zum Nachweis der Konformität bieten können, die sich in den NIS2-Rahmen integrieren. Aber das Prinzip bleibt: Die Zertifizierung ersetzt nicht die Erfüllung der Rechtsvorschriften. Sie ist eine ausgezeichnete Voraussetzung, selten ein Endpunkt.