NIS-2-Umsetzung : NIS-2 trifft Grundschutz++

NIS-2: Hintergrund und Ziele

Die ursprüngliche EU-Richtlinie über „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ (NIS-1) trat 2016 in Kraft. Ihr Ziel war es, die Cybersicherheit innerhalb der EU-Mitgliedstaaten zu harmonisieren und kritische Infrastrukturen besser zu schützen. Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) hat den Anwendungsbereich erheblich erweitert und die Anforderungen verschärft:

• Stärkung der Cybersicherheit in Europa: Die EU strebt ein hohes, einheitliches Cybersicherheitsniveau in allen Mitgliedstaaten an.
• Erweiterung der betroffenen Sektoren und Einrichtungen: Neben Betreibern kritischer Anlagen werden nun auch zahlreiche andere Branchen und mittlere Unternehmen erfasst.
• Verpflichtende Risikomanagement-Maßnahmen und Meldepflichten: Unternehmen müssen Risiken systematisch managen und erhebliche Sicherheitsvorfälle zeitnah melden.
• Schärfung der Verantwortlichkeit auf Managementebene: Unternehmensleitungen werden explizit in die Pflicht genommen, Cybersicherheitsmaßnahmen umzusetzen und zu überwachen.
• Sanktionen und Durchsetzung: Verstöße gegen die Anforderungen können mit erheblichen Bußgeldern geahndet werden

In Deutschland werden die NIS-2-Vorgaben im Rahmen eines Artikelgesetzes umgesetzt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (vormals NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Übergangsfristen zur Umsetzung von Maßnahmen sieht das Gesetz nicht vor – die neuen Anforderungen gelten somit für betroffene Einrichtungen unmittelbar. Für Betreiber kritischer Anlagen nach vorherigen BSIG enthält § 39 Abs. 3 BSIG eine Übergangsregelung für die Nachweispflicht: Anstehende Prüfungen können innerhalb von zwölf Monaten nach Inkrafttreten noch nach der „alten“ Rechtslage durchgeführt werden.

Betroffene Einrichtungen

Das BSIG unterscheidet zwischen Betreibern kritischer Anlagen, „besonders wichtigen Einrichtungen“ (Essential Entities), „wichtigen Einrichtungen“ (Important Entities) sowie den Einrichtungen der Bundesverwaltung. Die Einordnung erfolgt dabei nicht über allgemeine Branchenbezeichnungen, sondern über im Gesetz aufgeführte Einrichtungsarten und – in vielen Fällen – über Schwellenwerte zur Unternehmensgröße (siehe auch [1,2]).

Betreiber kritischer Anlagen

Im KRITIS-Kontext verwendet das BSIG die Begriffe der „kritischen Dienstleistung“ und „kritischen Anlage“. Eine kritische Dienstleistung ist eine Dienstleistung zur Versorgung der Allgemeinheit in den im Gesetz genannten Sektoren (Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung), deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Als kritische Anlage gilt eine Anlage, die für die Erbringung einer solchen kritischen Dienstleistung erheblich ist.

Welche Anlagen im Sinne des BSIG als kritische Anlagen einzustufen sind, wird – wie bisher – durch die BSI-Kritisverordnung (BSI-KritisV) näher bestimmt.

Für die Praxis bedeutet das: Die KRITIS-Einordnung erfolgt nicht allein über Branchenzugehörigkeit oder Unternehmensgröße, sondern über die konkrete Rolle bei der Erbringung kritischer Dienstleistungen sowie die Zuordnung nach den jeweils geltenden Kriterien und Schwellen der BSI-KritisV.

Im Zusammenspiel mit den Kategorien nach § 28 BSIG ist zudem zu beachten, dass Betreiber kritischer Anlagen als besonders wichtige Einrichtungen gelten. Damit greifen für Betreiber kritischer Anlagen neben den KRITIS-spezifischen Anforderungen (u. a. gemäß § 31 BSIG sowie der Nachweispflicht gemäß § 39 BSIG) auch die allgemeinen Anforderungen an besonders wichtige Einrichtungen.

Besonders wichtige und wichtige Einrichtungen

Als besonders wichtige Einrichtungen gelten gemäß § 28 BSIG:

• Betreiber kritischer Anlagen (KRITIS),
• qualifizierte Vertrauensdiensteanbieter, Top-LevelDomain-Name-Registries oder DNS-Diensteanbieter,
• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter* beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. € aufweisen,
• sonstige Einrichtungen, die einer Einrichtungsart nach Anlage 1 des Gesetzes zuzuordnen sind und die entsprechenden Größenschwellen erfüllen.

Als wichtige Einrichtungen gelten hingegen:

• Vertrauensdiensteanbieter,
• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze unterhalb der Schwelle, die sie als „besonders wichtig“ einordnet,
• sonstige Einrichtungen, die einer Einrichtungsart nach Anlage  1 oder Anlage  2 zuzuordnen sind und die Größenschwellen erfüllen.

Für die Zuordnung der sonstigen Einrichtungen ist entscheidend, ob man sie einer im BSIG aufgeführten Einrichtungsart zuordnen kann. Diese Einrichtungsarten sind in den Anlagen des BSIG nach Sektor, Branche und Einrichtungsart gegliedert: Anlage  1 enthält Sektoren, die für besonders wichtige und wichtige Einrichtungen relevant sind, Anlage 2 ergänzt Einrichtungsarten, die ausschließlich bei wichtigen Einrichtungen berücksichtigt werden (vgl. Tab. 1).

Ist die Zuordnung zu einer Einrichtungsart erfolgt, knüpft § 28 BSIG bei den sonstigen Einrichtungen zusätzlich an Größenschwellen an. Maßgeblich ist dabei entweder die Anzahl der Beschäftigten oder der Jahresumsatz und die Jahresbilanzsumme. Die Schwellenwerte lauten im Überblick:

• besonders wichtige Einrichtungen: mindestens 250 Beschäftige oder über   50 Mio. € Umsatz und 43 Mio. € Bilanzsumme
• wichtige Einrichtungen: mindestens 50 Beschäftigte oder über 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme

Einrichtungen der Bundesverwaltung

Ergänzend definiert § 29 BSIG die Einrichtungen der Bundesverwaltung als eigene Gruppe. Dazu zählen unter anderem Bundesbehörden sowie öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung. Darüber hinaus können weitere Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts auf Bundesebene einbezogen werden, soweit dies durch das BSI im Einvernehmen mit dem jeweils zuständigen Ressort angeordnet wird. Ausgenommen sind die Institutionen der sozialen Sicherung sowie die Deutsche Bundesbank.

Für Einrichtungen der Bundesverwaltung gelten im BSIG teilweise eigene Regelungen und Ausnahmen. Solche Einrichtungen sind grundsätzlich nicht über § 28 einzuordnen – eine Ausnahme besteht nur, wenn sie zugleich Betreiber kritischer Anlagen sind: In diesem Fall gelten sie auch als besonders wichtige Einrichtungen.

Anforderungen laut BSI-Gesetz

Für besonders wichtige und wichtige Einrichtungen ist § 30 BSIG die maßgebliche Regelung zu Risikomanagement-Maßnahmen: Er verpflichtet zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen (TOM), um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der für die Diensterbringung genutzten IT zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Maßnahmen sind zu dokumentieren und bei der Verhältnismäßigkeit sind unter anderem Risikoexposition, Größe der Einrichtung, Kosten sowie Eintrittswahrscheinlichkeit und Schwere möglicher Vorfälle zu berücksichtigen. Zudem sollen die Maßnahmen dem Stand der Technik entsprechen, relevante Normen und Standards berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen.

Der Mindestkatalog für Risikomanagement-Maßnahmen umfasst laut BSIG:

• Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der IT
• Bewältigung von Sicherheitsvorfällen
• Betriebsaufrechterhaltung inklusive Backup-Management und Wiederherstellung sowie Krisenmanagement
• Lieferkettensicherheit
• Sicherheit über den Lebenszyklus von IT-Systemen, -Komponenten und -Prozessen, inklusive Management und Offenlegung von Schwachstellen
• Wirksamkeitsbewertung der Maßnahmen
• Schulung und Sensibilisierung
• Konzepte und Prozesse für kryptografische Verfahren
• Personalsicherheit, Zugriffskontrolle und Administration von IKT-Systemen, -Produkten und -Prozessen
• starke Authentifizierung und sichere Kommunikation

In der Umsetzung bedeutet § 30 keine einmalige Einführung von Maßnahmen, sondern erfordert, dauerhafte Sicherheitsprozesse zu etablieren und zu betreiben. Entscheidend sind dabei auch klare Rollen, Verantwortlichkeiten und eine nachvollziehbare Dokumentation.

Fundstellen ausgewählter Pflichten und Anforderungen nach BSIG

Risikomanagement-Maßnahmen für besonders wichtige und wichtige Einrichtungen (§ 30 BSIG)

Betreiber kritischer Anlagen (KRITIS) müssen für den Geltungsbereich der kritischen Dienstleistung ein erhöhtes Schutzniveau ansetzen, zusätzlich ist der Einsatz von Systemen zur Angriffserkennung vorgesehen (§ 31 BSIG).

Meldepflichten für erhebliche Sicherheitsvorfälle (inkl. mehrstufiges Meldeverfahren, § 32 BSIG)

Registrierungspflichten (§ 33 BSIG)

Unterrichtungspflichten gegenüber Dienstempfängern, wenn ein erheblicher Sicherheitsvorfall die Leistungserbringung beeinträchtigen kann (§ 35 BSIG)

Pflichten der Geschäftsleitung: Umsetzung und Überwachung der Maßnahmen sowie regelmäßige Schulungen für die Geschäftsleitung (§ 38 BSIG)

regelmäßige Nachweispflicht gegenüber dem BSI für § 39 KRITIS-Betreiber (§ 39 BSIG)

KRITIS-Betreibern gegenüber kann das BSI die Nutzung von kritischen Komponenten untersagen oder anordnen (§ 41 BSIG).

Spezifische Anforderungen für Einrichtungen der Bundesverwaltung

Für Einrichtungen der Bundesverwaltung konkretisiert § 44 BSIG die Mindestanforderungen: Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen ergeben sich nach Abs. 1 aus den BSI-Standards, dem IT-Grundschutz-Kompendium sowie den Mindeststandards des Bundes in den jeweils geltenden Fassungen. Damit wird der Bezug auf BSI-Standards und dem IT-Grundschutz für die Einrichtungen der Bundesverwaltung nicht nur empfohlen, sondern gesetzlich als Umsetzungsrahmen festgelegt.

Zugleich stellt § 44 Abs. 2 BSIG klar, dass durch die Umsetzung dieser Mindestanforderungen die Vorgaben aus § 30 grundsätzlich erfüllt sind, soweit keine weitergehenden technischen oder methodischen Anforderungen durch EU-Durchführungsrechtsakte festgelegt werden.

Breite Themenabdeckung – flexible Umsetzungstiefe

Die in der Gesetzgebung geforderten Risikomanagement-Maßnahmen gemäß § 30 BSIG sehen keine Standardlösung oder „One-Size-fits-all“-Absicherung vor. Vielmehr decken sie eine breite Themenpalette ab, ohne für jedes Thema eine tiefgehende, einheitliche Umsetzungsvorgabe vorzugeben. Entscheidend ist eine verhältnismäßige Ausgestaltung, die sich an Größe, Risikoexposition und Bedeutung der erbrachten Dienste orientiert. Gerade für Einrichtungen am Anfang der Umsetzung bedeutet dies, dass pragmatische erste Schritte ein sinnvoller Startpunkt sind, um die Anforderungen nach und nach vollständig erfüllen zu können.

Umsetzung mit Grundschutz++

Mit Inkrafttreten der deutschen NIS-2-Umsetzung stellt sich für betroffene Einrichtungen naturgemäß auch die Frage nach einem geeigneten Umsetzungsrahmen. Das BSI hat mit dem Projekt „Grundschutz++“ (GS++) eine umfassende Modernisierung des IT-Grundschutzes eingeleitet, die genau diese Lücke schließen soll. GS++ baut auf dem bewährten IT-Grundschutz auf, setzt aber konsequent auf Prozessorientierung und maschinenlesbare Formate – und will damit den Weg von der dokumentenbasierten Absicherung hin zu einer stärker automatisierten und kontinuierlich überprüfbaren Sicherheitspraxis ebnen.

Abgeleitete Anforderungskategorien aus BSIG und NIS-2

Zur besseren Orientierung ist im Folgenden eine Liste der aus der EU NIS-2-Richtlinie abgeleiteten Kategorien aufgeführt, deren Behandlung für betroffene Organisationen mindestens erforderlich ist:

Informationssicherheitsmanagement

Risikomanagement

Asset-Management Business-Continuity- und Krisenmanagement

Personalsicherheit, Schulung, Sensibilisierung und organisatorische Sicherheit

Sicherheitsvorfallbehandlung

Technische Sicherheit

Technische und organisatorische Audits

Sicherheit von Lieferanten, Dritten und der Lieferkette

Physische Sicherheit

Bereits im Gesetz selbst ist dieser Zusammenhang angelegt: Für Einrichtungen der Bundesverwaltung ist, wie angesprochen, ausdrücklich geregelt, dass Mindestanforderungen unter anderem aus dem IT-Grundschutz abzuleiten sind. Bei der Modernisierung zum GS++ werden die Vorgaben des BSIG konsequent berücksichtigt, da das BSI gemäß § 44 mit angebotenen Standards auch dafür sorgen muss, dass mindestens die Anforderungen aus § 30 BSIG grundsätzlich erfüllt werden. Daraus ergibt sich zugleich, dass der GS++ auch für wichtige und besonders wichtige Einrichtungen einen strukturierten Ansatz liefert, um die geforderten Maßnahmen des BSIG systematisch und nachvollziehbar umzusetzen.

Aktueller Entwicklungsstand

Zum Redaktionsschluss dieser Ausgabe befindet sich GS++ noch in der aktiven Entwicklung – ein fertiger, verbindlicher Standard liegt noch nicht vor. Offizieller Starttermin war der 1. Januar 2026 – das BSI hat jedoch eine mehrjährige Übergangsphase bis voraussichtlich 2029 angekündigt, in der der bisherige IT-Grundschutz (Edition 2023) parallel genutzt werden kann.

Derzeit gibt es zwei Quellen für einen Ausblick auf das zu erwartende Ergebnis:

• Diskussionspapier zur Methodik-GS++: Dieses nicht-öffentlich verfügbare Dokument beschreibt den geplanten Sicherheitsprozess nach Grundschutz++ in fünf Prozessschritten – von der Erhebung und Planung über die Anforderungsanalyse und Realisierung bis hin zur Überwachung und kontinuierlichen Verbesserung. Es ist als Diskussionsgrundlage erschienen und wird in einer geschlossenen Fachcommunity iterativ kommentiert und weiterentwickelt. Eine finale, verbindliche Version der Methodik wird für Ende 2026 erwartet.
• Grundschutz++-Kompendium (Anwenderkatalog) in der Stand-der-Technik-Bibliothek: Das BSI stellt über sein öffentliches GitHub-Repository auf https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek Entwurfsfassungen des neuen Kompendiums bereit. Es enthält die Sicherheitsanforderungen des GS++ in maschinenlesbarem Format (OSCAL/JSON) und bildet den Kern der künftigen Stand-der-Technik-Bibliothek.

Was hingegen noch fehlt, ist die konkret ausformulierte Methodik selbst, die beschreibt, wie Anwender zu ihren individuell relevanten Anforderungen gelangen und welche Schritte über die reine Anforderungsanalyse hinaus notwendig sind – etwa zur Modellierung, Schutzbedarfsfeststellung oder Risikobetrachtung. Auch Migrationsleitfäden, das Zertifizierungsschema und ergänzende Hilfsmittel sind noch in Arbeit.

Erklärtes Ziel des BSI ist es, mit GS++ den administrativen Aufwand spürbar zu senken und Redundanzen abzubauen, die im bisherigen Kompendium über die Jahre gewachsen sind (vgl. [3]). Gleichzeitig soll die Automatisierung von Sicherheitsprozessen möglich werden – von der Anforderungsanalyse bis zur Überprüfung. Dafür setzt das BSI auf maschinenlesbare Formate und eine kontinuierliche Bereitstellung anstelle fester Editionen.

Ableitungen aus dem Anwenderkatalog

Obwohl Methodik und Werkzeuge noch nicht abschließend vorliegen, liefert der Anwenderkatalog (Kompendium-GS++) bereits konkrete Einblicke in Struktur und Richtung des neuen Standards. Dabei lassen sich vier zentrale Beobachtungen festhalten:

Vollständige Überführung des IT-Grundschutz-Kompendiums 2023

Das BSI hat die Inhalte der letzten veröffentlichten Edition des IT-Grundschutz-Kompendiums (2023) vollständig in den neuen Anwenderkatalog übertragen. Sämtliche bisherigen Bausteine und Anforderungen finden sich – wenn auch in neuer Struktur und neuem Format – im Grundschutz++ wieder. Die bisher zehn Schichten (APP, SYS, NET, INF usw.) werden in sogenannte Praktiken überführt, die Anforderungen nach Tätigkeiten und Zuständigkeiten bündeln. Damit geht keine inhaltliche Substanz verloren; Organisationen, die bereits mit dem IT-Grundschutz arbeiten, finden ihre bekannten Themen wieder – in vielen Fällen sogar erweitert.

Erweiterter Anforderungsumfang

Die Anforderungen im GS++ umfassen in vielen Bereichen mehr als ihre Vorgänger. Das BSI hat die Überführung genutzt, um Anforderungen zu konsolidieren, Redundanzen abzubauen und gleichzeitig inhaltliche Lücken zu schließen. Laut BSI wurden dabei bis zu 80% der bisherigen Anforderungen gestrafft – was jedoch nicht weniger Inhalt bedeutet, sondern eine Verschärfung und Präzisierung.

Prozessorientierung als Leitprinzip

Ein fundamentaler Unterschied zum bisherigen IT-Grundschutz liegt in der konsequenten Prozessorientierung: Die Anforderungen im GS++ sind nicht mehr primär an technische Zielobjekte (Server, Clients, Netzkomponenten) geknüpft, sondern beschreiben lösungsunabhängige Anforderungen an Prozesse.

Diese Prozessorientierung zeigt sich bereits in der Strukturierung des Diskussionspapiers: Die fünf Prozessschritte – Erhebung und Planung, Anforderungsanalyse, Realisierung, Überwachung und kontinuierliche Verbesserung – bilden einen vollständigen Plan-Do-Check-Act- (PDCA)-Zyklus ab und entsprechen jeweils Praktiken aus dem Anwenderkatalog. Anforderungen werden dabei nicht nur technischen Zielobjekten, sondern auch ISMSPraktiken und organisatorischen Praktiken zugeordnet.

Methodik in den Anforderungen integriert

Eine Besonderheit des GS++ besteht darin, dass wesentliche Elemente der Methodik selbst bereits in den Anforderungen des Anwenderkatalogs verankert sind: Wo der bisherige IT-Grundschutz eine strikte Trennung zwischen Methodik (BSI-Standards 200-1 bis 200-4) und Anforderungskatalog (Kompendium) vorsah, verschmelzen diese Ebenen im GS++ teilweise. So finden sich beispielsweise Anforderungen zur Festlegung des Geltungsbereichs, zur Schutzbedarfsfeststellung, zur Risikobetrachtung oder zur Auditdurchführung direkt als Praktiken im Kompendium wieder. Für Anwender bedeutet das: Die Umsetzung der Anforderungen führt sie zugleich durch wesentliche Schritte des Sicherheitsprozesses.

Neue Konzepte und Begriffe

Mit der Neuausrichtung kommen auch neue Begriffe. Die drei wichtigsten lauten im Überblick:

• Praktiken: ersetzen die bisherigen Bausteine und bündeln Anforderungen nach Tätigkeiten. Sie lassen sich in ISMS-Praktiken, organisatorische Praktiken und technische Praktiken unterteilen (vgl. Abb. 1) – jede Anforderung ist genau einer Praktik zugeordnet. Die Zuordnung ermöglicht eine direkte Verknüpfung zwischen Anforderungen und den für die Umsetzung zuständigen Rollen und Prozessen.
• Zielobjektkategorien: sind Teile des Informationsverbunds, denen im Rahmen der Modellierung Anforderungen zugeordnet werden können. Sie geben eine ähnliche Modellierungshilfe wie die „alten Bausteine“ – auch wenn sie deutlich schlanker vom Umfang her sind.
• OSCAL/JSON-Format: Der gesamte Anforderungskatalog wird per „Open Security Controls Assessment Language“ (OSCAL) bereitgestellt, einem vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelten Standard für maschinenlesbare Sicherheitsanforderungen (https://pages.nist. gov/OSCAL/). Dies ermöglicht erstmals die automatisierte Integration in ISMS-Tools und CI/CD-Pipelines.

OSCAL gliedert sich in vier Ebenen, die unterschiedliche Anwendergruppen zusammenführen: Kataloge, Profile, Maßnahmen und Überprüfungen:

• Kataloge enthalten die vollständige Sammlung aller Anforderungen an das ISMS.
• Profile sind ein angepasster Auszug aus dem Katalog, auf eine Organisation oder Institution.
• Maßnahmen beschreiben die konkreten Handlungen, mit denen ein Prozess oder IT-System konform zum jeweiligen Profil betrieben wird.
• Überprüfungen bilden die Ergebnisse aus internen Audits und vergleichbaren Prüfungen ab.

Für Organisationen, die mehrere Sicherheitsstandards parallel umsetzen müssen, bringt das OSCAL-Format einen weiteren Vorteil: Profile und Anforderungen lassen sich mit anderen OSCAL-basierten Katalogen abgleichen, ohne sie manuell zuordnen zu müssen. Wie ausgereift die Werkzeugunterstützung auf Anwenderseite tatsächlich sein wird, muss sich in der Praxis allerdings noch zeigen.

Fazit

Mit der Umsetzung der NIS-2-Vorgaben in die deutsche Regulierung hat sich der Kreis der verpflichteten Einrichtungen deutlich vergrößert. Für „wichtige“ und „besonders wichtige“ Einrichtungen steht dabei vor allem die praktische Umsetzung risikoorientierter Sicherheitsmaßnahmen im Vordergrund, einschließlich einer verhältnismäßigen Ausgestaltung und nachvollziehbarer Dokumentation. Für die Bundesverwaltung wird dieser Umsetzungsanspruch zusätzlich konkretisiert, indem Mindestanforderungen ausdrücklich an BSI-Standards, IT-Grundschutz und Mindeststandards des Bundes geknüpft werden.

Vor diesem Hintergrund ist Grundschutz++ (GS++) mehr als eine reine Modernisierung des IT-Grundschutzes: Der neue Ansatz soll gesetzliche Anforderungen in einen zeitgemäßen, prozessorientierten Umsetzungsrahmen überführen und durch maschinenlesbare Formate (OSCAL) eine stärkere Automatisierung ermöglichen (siehe auch [4]). Überdies ist der Wechsel von einer bausteinzu einer prozessorientierten Struktur der tiefgreifendste Umbruch und wird die praktische Verantwortungs- und Umsetzungslogik spürbar verändern.

GS++ befindet sich noch in der aktiven Entwicklung – ein verbindlicher Standard liegt noch nicht vor. Trotz angekündigter Übergangsphase sollte das aber kein Grund sein, den Einstieg aufzuschieben: Einrichtungen sollten die Umsetzung der BSIG-Anforderungen pragmatisch vorantreiben und parallel die Entwicklung des GS++ beobachten. Wer die Struktur des bereits öffentlich verfügbaren Anwenderkatalogs frühzeitig sichtet, erkennt schneller, wo Handlungsbedarf entsteht – und kann sich geordnet auf Methodik, Migration und spätere Zertifizierungsfragen vorbereiten.

Fatih Yilmaz ist Senior Consultant, Sebastian Reinhardt ist Senior Expert bei HiSolutions.

Literatur

^{[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), [Portalseite für] NIS-2-regulierte Unternehmen, undatiert, www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html}

^{[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Fragen und Antworten zu NIS-2, undatiert, www.bsi.bund.de/dok/nis-2-faq-allgemein}

^{[3] Hendrik Schiele, Kinan Helani, Sebastian Reinhardt, Grundschutz++, Migration und Mapping, 2026# 1, S. 52, www.kes-informationssicherheit.de/print/titelthema-it-grundschutz-2/grundschutz/ (<kes>+)}

^{[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), OSCAL, undatiert, www.bsi.bund.de/dok/oscal}