NIS2, ISO 27001, NIST CSF 2.0 und IT-Grundschutz: Vier Ebenen, ein Sicherheitsmodell

Wer NIS2 hört, denkt an Pflicht. Wer ISO 27001 hört, an Zertifikat. Und IT-Grundschutz? Klingt nach dicken Aktenordnern.

In den Diskussionen, die wir mit IT-Verantwortlichen, Geschäftsführungen und CISOs führen, taucht immer wieder dieselbe Verunsicherung auf: „Welches Framework ist für uns das richtige?" Hinter der Frage steckt oft die Annahme, dass NIS2, ISO 27001, NIST CSF 2.0 und der BSI IT-Grundschutz zueinander in Konkurrenz stehen – als müsse man sich entscheiden. Das Gegenteil ist der Fall. Wer Cybersecurity ernst nimmt, kombiniert sie. Denn jedes dieser vier Werke beantwortet eine andere Frage und zwar auf einer anderen Ebene. In diesem Beitrag ordnen wir die vier Frameworks in ein praxisnahes Ebenenmodell ein, das in der Beratung hilft, in der Geschäftsführung Klarheit schafft und in der Umsetzung Reibung reduziert.

Ein Ebenenmodell statt eines Vergleichs

Statt die vier Standards nebeneinander zu stellen und Häkchen-Listen zu vergleichen, lohnt es sich, sie übereinanderzu stapeln. Jedes Werk hat eine klare Rolle:

Ebene 1 – NIS2: Die regulatorische Ebene

Frage: Warum und was muss erfüllt werden?

Die NIS2-Richtlinie ist Pflicht von außen. Sie ist kein Methodenkoffer und kein Best-Practice-Katalog, sondern europäisches Recht, umgesetzt in nationales Recht der Mitgliedstaaten. Sie definiert, wer unter den Anwendungsbereich fällt, welche Mindestanforderungen erfüllt werden müssen und welche Konsequenzen drohen, wenn Organisationen versagen.

NIS2 sagt aber nicht, wie man Sicherheit organisiert. Sie sagt, dass man es muss.

Ebene 2 – ISO 27001: Die ISMS- und Managementebene

Frage: Wie wird Sicherheit organisiert?

Hier kommt ISO 27001 ins Spiel. Der internationale Standard liefert das Information Security Management System (ISMS) – also den organisatorischen Überbau, mit dem Informationssicherheit dauerhaft gesteuert wird. Rollen, Verantwortlichkeiten, Prozesse, Risikobetrachtung, Audits, kontinuierliche Verbesserung.

ISO 27001 macht aus „Sicherheit" ein Managementsystem. Genau deshalb ist es so anschlussfähig an NIS2: Wer ein gelebtes ISMS hat, erfüllt einen Großteil der NIS2-Anforderungen automatisch – nicht, weil ein Auditor es verlangt, sondern weil die Mechanik funktioniert.

Ebene 3 – NIST CSF 2.0: Die Steuerungs- und Risikomanagementebene

Frage: Wie werden Cyber-Risiken gesteuert?

Das NIST Cybersecurity Framework 2.0 strukturiert Cybersecurity in sechs Funktionen:

  • Govern – Steuerung und Verantwortung etablieren
  • Identify – Risiken, Assets und Abhängigkeiten verstehen
  • Protect – angemessene Schutzmaßnahmen implementieren
  • Detect – Vorfälle erkennen
  • Respond – auf Vorfälle reagieren
  • Recover – nach Vorfällen wiederherstellen

Mit der Version 2.0 hat NIST die Funktion „Govern" ergänzt – ein klares Signal, dass Cybersecurity ohne Governance keinen Bestand hat. Das CSF eignet sich hervorragend, um den Reifegrad einer Organisation entlang dieser Funktionen zu messen, Lücken sichtbar zu machen und Roadmaps für Investitionen zu priorisieren. Es ist der Steuerungsrahmen, der Risiken in Funktionsfelder übersetzt.

Ebene 4 – IT-Grundschutz: Die Umsetzungs- und Maßnahmenebene

Frage: Womit wird es praktisch umgesetzt?

Wenn die oberen drei Ebenen die Strategie liefern, dann liefert der BSI IT-Grundschutz die Werkzeuge. Mit seinen Bausteinen – von der Personalverwaltung über Active Directory bis hin zu spezifischen Cloud-Diensten – beschreibt er konkrete Maßnahmen, die in der IT- und Geschäftspraxis tatsächlich umgesetzt werden können. IT-Grundschutz ist die Antwort auf das berühmte „Schön, aber wie genau machen wir das jetzt?". Wer einen Baustein abarbeitet, weiß: Welche Anforderungen es gibt, wie sie umgesetzt werden, und welche Nachweise er führen muss.

Wie die Ebenen ineinandergreifen

Stellt man die vier Werke in dieser Reihenfolge übereinander, entsteht ein logischer Fluss von der Regulierung bis zur Steckdose:

  1. NIS2 setzt Anforderungen – die rechtliche Pflicht ist da.
  2. ISO 27001 strukturiert und steuert – ein ISMS sorgt dafür, dass die Pflicht systematisch erfüllt wird.
  3. NIST CSF 2.0 konkretisiert und operationalisiert – Risiken werden entlang klarer Funktionen gesteuert.
  4. IT-Grundschutz setzt um – konkrete Bausteine und Maßnahmen werden in der IT realisiert.

Die Ebenen widersprechen sich nicht; sie ergänzen sich. Und sie verlieren ihren Wert, wenn man sie isoliert betrachtet:

  • NIS2 ohne ISMS wird zu einem Compliance-Theater, das beim ersten echten Vorfall zusammenbricht.
  • ISO 27001 ohne Risikomodell wird zur Dokumentationsübung ohne Steuerungswirkung.
  • NIST CSF ohne konkrete Maßnahmen bleibt eine schöne Heatmap an der Wand.
  • IT-Grundschutz ohne Managementebene wird zum Maßnahmenfriedhof ohne Verbindung zur Geschäftsrealität.

Die Merkhilfe für die nächste Vorstandsdiskussion

Wenn Sie eine kurze Erklärung brauchen – etwa für die Geschäftsleitung, ein Audit-Komitee oder ein interdisziplinäres Projektmeeting – funktioniert dieses Bild zuverlässig:

  • NIS2 = Pflicht von außen
  • ISO 27001 = Managementsystem
  • NIST CSF 2.0 = Steuerungsrahmen
  • IT-Grundschutz = praktische Umsetzung

Vier Sätze. Vier Ebenen. Ein Modell.

Was das für die Praxis bedeutet

Viele Organisationen, mit denen wir arbeiten, kombinieren am Ende alle vier Werke – nicht aus Zertifizierungsstolz, sondern aus Notwendigkeit:

  • NIS2 als regulatorisches Zielbild und Geltungsrahmen.
  • ISO 27001 als ISMS-Rahmen, der Sicherheit zur Managementaufgabe macht.
  • NIST CSF 2.0 als Steuerungs- und Reifegradmodell für Cyber-Risiken.
  • IT-Grundschutz als Maßnahmenkatalog für die operative Umsetzung.

Diese Kombination ist kein Overkill, sondern Arbeitsteilung. Jedes Werk macht das, wofür es entwickelt wurde – und überlässt den anderen das, wofür sie besser geeignet sind.

Wie geht man konkret vor?

Aus unserer Beratungspraxis hat sich ein pragmatisches Vorgehen bewährt:

1. Geltungsbereich klären (NIS2-Sicht). Sind Sie betroffen? Wenn ja, in welcher Kategorie? Welche konkreten Anforderungen ergeben sich aus dem nationalen Umsetzungsgesetz?

2. ISMS aufsetzen oder reifen lassen (ISO 27001). Rollen, Risikomethode, Anwendungsbereich, Steuerkreis. Ohne diesen Überbau bleibt jede Maßnahme Stückwerk.

3. Reifegrad messen (NIST CSF 2.0). Wo stehen Sie in den sechs Funktionen? Wo liegen die größten Lücken zwischen Ist und Ziel?

4. Maßnahmen ableiten (IT-Grundschutz). Welche Bausteine adressieren die Lücken konkret? Was bauen Sie als Erstes, was später?

Wer diesen Weg geht, hat am Ende kein Stapelwerk aus Frameworks – sondern eine Sicherheitsarchitektur, die regulatorisch belastbar, organisatorisch verankert, risikoorientiert gesteuert und operativ umsetzbar ist.

Fazit

Cybersecurity ist heute zu komplex, um mit einem einzigen Framework auszukommen – und zu strategisch, um sich in Detailstandards zu verlieren. Das Ebenenmodell aus NIS2, ISO 27001, NIST CSF 2.0 und IT-Grundschutz ist kein theoretisches Konstrukt. Es ist ein praktisches Werkzeug, um Verantwortlichkeiten zu klären, Investitionen zu priorisieren und am Ende dort anzukommen, wo Sicherheit wirklich zählt: in der täglichen Arbeit Ihrer Organisation. Wer die vier Ebenen versteht, hört auf, Frameworks gegeneinander auszuspielen und beginnt, sie miteinander arbeiten zu lassen.

Sie möchten wissen, wo Ihre Organisation auf diesen vier Ebenen steht?

Sprechen Sie uns an – wir begleiten Sie von der NIS2-Analyse bis zum konkreten IT-Grundschutz-Baustein.

Kontakt aufnehmen