Grundlagen & Einordnung

Informationssicherheit aufbauen und nachweisen, für NIS2 und ISO 27001.

Wir helfen Unternehmen, Informationssicherheit strukturiert aufzubauen und nachweisbar umzusetzen. NIS2 ist dabei einer von mehreren Auslösern, neben Kundenanforderungen, Lieferkette, Cyberversicherungen und Ausschreibungen.

Das gelingt im Zusammenspiel: Linoxa baut und härtet die Technik, KwerlingIT verantwortet Governance, Auditvorbereitung und Umsetzungsbegleitung. Gemeinsam entsteht ein auditierbares Sicherheitsniveau.

Vorhaben besprechen Die zwei Hälften ansehen

Zwei Hälften, ein Ergebnis

Linoxa

Technik prüffähig: Infrastruktur, Hardening, Logging, Nachweise.

KwerlingIT

Organisation prüffähig: Governance, Risiken, Schulung, Auditvorbereitung.

Gemeinsam

Ein auditierbares Sicherheitsniveau, das Kunden, Lieferkette und Behörden standhält.

Warum jetzt

Warum Informationssicherheit heute nachgewiesen werden muss.

Es genügt zunehmend nicht mehr, sicher zu sein, man muss es auch belegen können. Die Auslöser kommen aus mehreren Richtungen gleichzeitig.

  • NIS2

    Gesetzliche Pflicht für besonders wichtige und wichtige Einrichtungen, mit Registrierung, Meldepflichten und Verantwortung der Leitung.

  • Kundenanforderungen

    Größere Kunden verlangen belegte Informationssicherheit, bevor sie Aufträge vergeben oder verlängern.

  • Lieferkette

    Wer an regulierte Unternehmen liefert, wird über die Lieferkette vertraglich zu Nachweisen verpflichtet.

  • Cyberversicherungen

    Versicherer setzen Mindeststandards voraus und prüfen sie vor Abschluss und im Schadensfall.

  • Ausschreibungen

    Öffentliche und private Ausschreibungen fordern zunehmend ein nachweisbares Sicherheitsniveau.

  • Haftung & Governance

    Die Verantwortung für Informationssicherheit liegt bei der Leitung, zunehmend mit persönlicher Tragweite.

Das Fundament

ISO 27001 ist kein Selbstzweck, sondern der wirtschaftlichste Weg.

ISO/IEC 27001 ist ein weltweit etabliertes Managementsystem für Informationssicherheit. Wer es aufbaut, deckt damit große Teile dessen ab, was NIS2, Kunden und die Lieferkette verlangen, und vermeidet Doppelarbeit, statt jede Anforderung einzeln nachzurüsten.

ISO 27001 ist häufig der wirtschaftlichste Weg, Informationssicherheit langfristig aufzubauen und gleichzeitig große Teile regulatorischer Anforderungen abzudecken.

Systematik

Informationssicherheit systematisch aufbauen.

Ein Informationssicherheits-Managementsystem (ISMS) behandelt die zentralen Themen strukturiert und wiederkehrend, statt sie projektweise und unverbunden anzugehen.

Risikomanagement

Risiken systematisch erfassen, bewerten und behandeln, statt punktuell zu reagieren.

Lieferantenmanagement

Sicherheit in den Beziehungen zu Dienstleistern und Lieferanten steuern und nachhalten.

Incident Management

Sicherheitsvorfälle erkennen, einordnen, bearbeiten und nachvollziehbar dokumentieren.

Business Continuity

Notfall- und Wiederanlaufplanung, damit der Betrieb auch nach Störungen weiterläuft.

Awareness & Schulung

Mitarbeitende und Leitung für Risiken sensibilisieren, regelmäßig und nachweisbar.

Asset Management

Werte, Systeme und Daten kennen, klassifizieren und angemessen schützen.

Dokumentation & Richtlinien

Vorgaben, Verantwortlichkeiten und Nachweise an einem nachvollziehbaren Ort.

Wie diese Themen konkret aufgebaut, betrieben und für ein Audit vorbereitet werden, zeigt Governance & Umsetzung.

NIS2 im Verhältnis

NIS2 als zusätzlicher Rahmen.

Ein gutes ISMS deckt viele NIS2-Anforderungen ab, ersetzt das Gesetz aber nicht. Das BSI stellt ausdrücklich klar: Eine ISO-27001-Zertifizierung bedeutet nicht automatisch, dass ein Unternehmen NIS2-konform ist. Drei Pflichten gehen über ein Managementsystem hinaus.

§ 33 BSIG

Registrierung beim BSI

Betroffene Einrichtungen müssen sich beim BSI registrieren. Ein Managementsystem kennt diese Pflicht nicht.

§ 32 BSIG

Meldepflichten

Erhebliche Sicherheitsvorfälle sind dem BSI dreistufig zu melden, binnen 24 Stunden, 72 Stunden und einem Monat.

§ 38 BSIG

Verantwortung der Leitung

Die Geschäftsleitung muss die Risikomanagementmaßnahmen umsetzen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Sie kann persönlich haften.

Wo NIS2 über ISO 27001 hinausgeht

Dieselbe Anforderung, gegenübergestellt: ISO 27001 und NIS2 / BSIG.

Anforderung
ISO 27001
NIS2 / BSIG
Registrierung beim BSI
nicht enthalten
Pflicht (§ 33 BSIG)
Meldung 24 h / 72 h / 1 Monat
nicht enthalten
Pflicht (§ 32 BSIG)
Persönliche Verantwortung der Leitung
nicht enthalten
Pflicht inkl. Haftung (§ 38 BSIG)
Schulung der Geschäftsleitung
empfohlen
gesetzliche Pflicht (§ 38 BSIG)
Geltungsbereich (Scope)
frei wählbar, einschränkbar
muss die regulierte Tätigkeit umfassen
Reine Risikoakzeptanz
als Behandlung zulässig
laut BSI nicht ausreichend
Konkrete Mindestmaßnahmen (z. B. MFA)
risikobasiert wählbar (Annex A)
gesetzlicher Mindeststandard (§ 30 BSIG)
Staatliche Aufsicht & Sanktionen
keine staatliche Aufsicht
BSI-Aufsicht, Bußgeld nach § 65 BSIG

Bußgeldrahmen nach § 65 BSIG: besonders wichtige Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, wichtige Einrichtungen bis 7 Mio. € oder 1,4 %.

Ob und in welchem Umfang Ihr Unternehmen von NIS2 betroffen ist, hängt von Ihrer individuellen Situation ab und ist eigenverantwortlich, gegebenenfalls mit rechtlicher Beratung, zu prüfen. Eine erste Orientierung gibt die BSI-Betroffenheitsprüfung.

Lieferkette

Auch ohne direkte Pflicht: Ihre Kunden fragen.

Viele Unternehmen werden nicht durch NIS2 selbst, sondern durch ihre Kunden mit Anforderungen an Informationssicherheit konfrontiert. Wer belegen kann, dass er Informationssicherheit ernst nimmt, gewinnt einen Vorteil, wo andere ins Stocken geraten.

Informationssicherheit ist damit nicht nur eine gesetzliche Pflicht, sondern ein Wettbewerbsfaktor.

So kommt die Anforderung ins Haus

  • Lieferantenfragebögen und Sicherheits-Self-Assessments
  • Ausschreibungen mit geforderten Sicherheitsnachweisen
  • vertragliche Nachweis- und Mitwirkungspflichten
  • Anforderungen von Cyberversicherungen
  • Vorgaben größerer Kunden an ihre Zulieferer

Zusammenspiel

Technik von Linoxa, Überbau von KwerlingIT.

Informationssicherheit endet nicht an der Technik und beginnt nicht erst beim Papier. Beide Hälften greifen ineinander.

Linoxa

  • Technische Basis und Infrastruktur
  • Hardening und Netzsegmentierung
  • Logging, Monitoring und SIEM
  • technische Nachweise und Auditierbarkeit

KwerlingIT

  • Governance und Informationssicherheitsmanagement
  • Risiko- und Lieferantenmanagement
  • Richtlinien, Schulungen und Awareness
  • interne Audits und Auditvorbereitung
  • Umsetzungs- und Zertifizierungsbegleitung

Linoxa macht die Technik prüffähig. KwerlingIT macht die Organisation prüffähig. Gemeinsam entsteht ein auditierbares Sicherheitsniveau, das Kunden, Lieferkette und Behörden standhält.

Häufige Fragen

NIS2 und ISO 27001, kurz erklärt.

Antworten auf die häufigsten Fragen rund um NIS2, ISO 27001 und den Einstieg. Sachlich und ohne Rechtsberatung.

Vorhaben besprechen

NIS2 ist die EU-Richtlinie (EU) 2022/2555 für ein hohes gemeinsames Cybersicherheitsniveau. In Deutschland ist sie über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das das BSI-Gesetz (BSIG) novelliert und seit dem 6. Dezember 2025 gilt. Es bringt verbindliche Sicherheitsanforderungen, Melde- und Registrierungspflichten sowie eine verschärfte Aufsicht durch das BSI.

ISO/IEC 27001 ist ein freiwilliger, international etablierter Standard für ein Informationssicherheits-Managementsystem. NIS2 ist geltendes Recht mit eigenständigen Pflichten, die ein Managementsystem nicht kennt: Registrierung beim BSI, Meldungen innerhalb fester Fristen und die persönliche Verantwortung der Geschäftsleitung. Ein ISMS nach ISO 27001 deckt viele NIS2-Anforderungen ab, ersetzt das Gesetz aber nicht.

Nicht zwingend. Das BSI stellt klar, dass eine ISO-27001-Zertifizierung nicht automatisch bedeutet, dass ein Unternehmen NIS2-konform ist. Zugleich ist ISO 27001 häufig der wirtschaftlichste Weg, weil ein gut aufgebautes Managementsystem große Teile der Anforderungen strukturiert mit abdeckt. Ob Sie ein Zertifikat anstreben, hängt von Ihren Zielen und Ihrer Ausgangslage ab.

Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 verkündet (BGBl. 2025 I Nr. 301) und gilt seit dem 6. Dezember 2025, ohne Übergangsfrist. Ob und in welchem Umfang NIS2 für Ihr Unternehmen gilt, ist eigenverantwortlich, gegebenenfalls mit rechtlicher Beratung, zu prüfen.

Mit einer Standortbestimmung: Wo steht Ihre Informationssicherheit organisatorisch und technisch, und welche Treiber sind relevant? KwerlingIT baut das Managementsystem und die Auditvorbereitung auf, Linoxa die technische Basis und die Nachweise. So entsteht ein auditierbares Sicherheitsniveau, ohne Doppelarbeit.

Wichtiger Hinweis

Diese Seite gibt allgemeine Informationen zu Informationssicherheit, NIS2 und ISO 27001 wieder. Stand: Juni 2026. Sie ist keine Rechtsberatung und keine verbindliche Einordnung im Einzelfall. Ob und wie NIS2 für Ihr Unternehmen gilt, ist eigenverantwortlich, gegebenenfalls mit rechtlicher Beratung, zu prüfen. Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist; die allgemeine Erstregistrierungsfrist beim BSI (6. März 2026) ist bereits abgelaufen. Maßgeblich ist allein der jeweils gültige Gesetzestext (BSIG / NIS2UmsuCG).

Der nächste Schritt

Informationssicherheit, die im Audit standhält.

Schildern Sie kurz Ihre Ausgangslage und den Auslöser, ob NIS2, ein Kunde, eine Ausschreibung oder eine Versicherung. Wir ordnen ein, was Technik und was Organisation braucht, und stimmen das Vorgehen mit KwerlingIT ab.

Anfrage per E-Mail senden oder Formular ausfüllen