AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

Deckt meine ISO-27001-Zertifizierung die Sorgfaltspflicht unter NIS2 ab?

Verabschiedet 2026-06-16 · ≈ 2 Min. Lesezeit · Dirk Baaijen

ISO 27001 deckt einen großen Teil der NIS2-Risikomanagementmaßnahmen ab, ist aber keine automatische Compliance. Meldepflicht, Verantwortung der Leitung, Lieferkettenrisiko und Registrierung müssen Sie gesondert abdecken.

Kurze Antwort: Eine ISO-27001-Zertifizierung gibt Ihnen eine starke Grundlage für die Sorgfaltspflicht unter NIS2, deckt sie aber nicht automatisch vollständig ab. NIS2 stellt einige Anforderungen, die außerhalb des üblichen Anwendungsbereichs eines ISMS-Zertifikats liegen, etwa die gesetzliche Meldepflicht und die ausdrückliche Verantwortung der Leitung. Diese Lücken müssen Sie gesondert abdecken.

Was ist die Überschneidung?

ISO/IEC 27001 ist die internationale Norm für ein Informationssicherheitsmanagementsystem (ISMS): ein systematischer Ansatz, um Risiken für Informationen zu identifizieren, zu beherrschen und kontinuierlich zu verbessern. NIS2 (Richtlinie (EU) 2022/2555, Art. 21) verlangt eine Reihe von Risikomanagementmaßnahmen, die in wesentlichen Teilen an das anknüpft, was ein 27001-ISMS bereits leistet.

Gut abgedeckt durch ISO 27001 sind unter anderem:

  • Risikomanagement: eine systematische Risikoanalyse und die zugehörigen Beherrschungsmaßnahmen bilden den Kern der Norm.
  • Zugriffsrichtlinie: Identitäts- und Zugriffsmanagement sind Standardbestandteil des ISMS.
  • Verschlüsselung: Richtlinien für Kryptografie und Datenschutz.
  • Geschäftskontinuität: Kontinuitäts- und Wiederherstellungsmaßnahmen bei Vorfällen.

Haben Sie eine aktuelle 27001-Zertifizierung, dann steht das schwerste Fundament also bereits.

Welche Lücken bleiben?

NIS2 fügt Pflichten hinzu, die ein 27001-Zertifikat nicht automatisch nachweist. Berücksichtigen Sie mindestens:

  • Gesetzliche Meldepflicht: Bei einem erheblichen Vorfall gilt eine Frühwarnung innerhalb von 24 Stunden und eine ausführlichere Meldung innerhalb von 72 Stunden an die zuständige Behörde. Das ist eine gesetzliche Frist, nicht nur ein internes Verfahren.
  • Verantwortung der Leitung und Schulung: Die Leitung muss die Maßnahmen genehmigen, sie überwachen und selbst Schulungen absolvieren. NIS2 legt die Verantwortung ausdrücklich bei der Leitung.
  • Lieferkettenrisiko bei Anbietern: Sie müssen die Sicherheit in Ihrer Lieferkette und bei Dienstleistern beherrschen, weiter gefasst als ein 27001-Anwendungsbereich oft abdeckt.
  • Registrierung: Einrichtungen, die unter NIS2 fallen, müssen sich bei der zuständigen Behörde registrieren.

Was bedeutet das für Transport und Logistik?

Viele logistische Parteien fallen unter NIS2. Nutzen Sie Ihr 27001-ISMS als Grundlage und führen Sie eine gezielte Gap-Analyse durch: Legen Sie die 27001-Maßnahmen neben Art. 21 sowie die Melde-, Leitungs- und Registrierungspflichten und füllen Sie die Unterschiede auf. So vermeiden Sie die Annahme, dass ein Zertifikat Sie von der NIS2-Sorgfaltspflicht befreit.

Lesen Sie auch die Übersicht Transport & Logistik. Machen Sie den Scan.

Quellen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlinie (EU) 2022/2555 (NIS2), Art. 21: Risikomanagementmaßnahmen.

Share on LinkedIn

Lesen Sie auch

U

Das niederländische Cybersicherheitsgesetz: So wird NIS2 in den Niederlanden Recht

Das Cybersicherheitsgesetz setzt NIS2 in niederländisches Recht um: Sorgfaltspflicht, Meldepflicht und Geschäftsleiterhaftung. Das Gesetz befindet sich noch im Verfahren und tritt voraussichtlich später in Kraft als die EU-Frist.

U

NIS2: Welche Maßnahmen muss ich mindestens treffen?

NIS2 verlangt angemessene Risikomanagementmaßnahmen — von Risikoanalyse, Back-ups und Sicherheit der Lieferkette bis zu Zugriffsverwaltung, Schulung und Verschlüsselung — sowie Leitungsverantwortung. Eine praktische Checkliste für Transport und Logistik.

A

DORA oder NIS2: welche gilt für meine (Logistik-)Organisation?

Eine Logistikorganisation fällt in der Regel unter NIS2 (Transport ist ein wesentlicher Sektor), nicht unter DORA. DORA gilt für Finanzunternehmen. Sind Sie beides, geht DORA als lex specialis vor.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Monthly Transport & Logistics alerts

Once a month: the EU developments that affect transport and logistics, briefly interpreted — with sources. No spam, unsubscribe anytime.

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.