NIS-2 Zertifizierung: Warum es sie nicht gibt
Es gibt keine NIS-2 Zertifizierung – trotz anderslautender Angebote. Erfahre, welche Nachweise das BSIG wirklich verlangt und wie ISO 27001 oder BSI IT-Grundschutz helfen.
Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Das novellierte BSI-Gesetz (BSIG) verpflichtet rund 29.500 Unternehmen zu umfassenden Cybersicherheitsmaßnahmen. In diesem Kontext werben zahlreiche Anbieter mit einer „NIS-2 Zertifizierung". Diese Bezeichnung ist irreführend: Eine offizielle NIS-2 Zertifizierung existiert nicht. Dieser Artikel klärt, welche Nachweispflichten das Gesetz tatsächlich vorsieht und welche Standards als Basis dienen. Ob Ihr Unternehmen überhaupt betroffen ist, können Sie mit unserer NIS-2-Betroffenheitsanalyse prüfen.
Rechtsgrundlage: Das BSIG seit dem 6. Dezember 2025
Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" wurde am 5. Dezember 2025 im Bundesgesetzblatt (BGBl. 2025 I Nr. 301) verkündet. Es trat am 6. Dezember 2025 in Kraft – ohne Übergangsfristen.
Die Umsetzung erfolgte primär durch eine Neufassung des BSI-Gesetzes. Betroffene Unternehmen müssen die Anforderungen unmittelbar erfüllen.
Es gibt keine NIS-2 Zertifizierung
Diese Aussage ist unmissverständlich: Weder das BSI noch eine andere Behörde bietet ein offizielles „NIS-2 Zertifikat" an. Eine akkreditierte NIS-2 Zertifizierung, die die Compliance bescheinigt, existiert schlicht nicht.
Was Anbieter tatsächlich verkaufen
Der Markt für NIS-2-Dienstleistungen boomt. Einige Anbieter nutzen die Situation und vermarkten ihre Leistungen unter dem Begriff „NIS-2 Zertifizierung". Dahinter verbergen sich typischerweise:
- Private Konformitätsbescheinigungen: Diese haben keinen offiziellen Status und werden vom BSI nicht als Nachweis anerkannt.
- Schulungszertifikate: Teilnahmebestätigungen für NIS-2-Schulungen – keine Compliance-Nachweise für das Unternehmen.
- Quick-Audits: Versprechen, in wenigen Tagen „NIS-2-konform" zu werden. Diese Angebote sind mit großer Vorsicht zu betrachten.
Was das BSI sagt
Das BSI stellt in seinen FAQ klar: Schulungen und Zertifizierungen können sinnvoll sein, sind jedoch „aktuell nicht zwingend erforderlich". Nachweise können durch verschiedene Mittel erbracht werden:
- Zertifizierungen nach ISO/IEC 27001 oder BSI IT-Grundschutz
- Auditberichte oder interne Kontrollverfahren
- Dokumentation der umgesetzten Maßnahmen
- Nachweise über Schulungen und Awareness-Maßnahmen
Die tatsächlichen Nachweispflichten nach dem BSIG
Das novellierte BSIG unterscheidet bei den Nachweispflichten zwischen verschiedenen Einrichtungstypen.
Betreiber kritischer Anlagen: § 39 BSIG
Für Betreiber kritischer Anlagen gelten die strengsten Anforderungen. Nach § 39 Absatz 1 BSIG müssen sie dem BSI regelmäßig nachweisen, dass sie die Anforderungen nach § 30 BSIG (Risikomanagementmaßnahmen) in Verbindung mit § 31 BSIG (besondere Anforderungen für kritische Anlagen) umsetzen. Eine detaillierte Erläuterung aller zehn NIS-2-Mindestmaßnahmen nach § 30 BSIG finden Sie in unserem Fachartikel.
Der Nachweiszyklus beträgt drei Jahre – eine Verlängerung gegenüber dem bisherigen Zweijahresrhythmus. Das BSI informiert registrierte Betreiber über ihre individuellen Nachweisfristen.
Besonders wichtige Einrichtungen: § 61 BSIG
Für besonders wichtige Einrichtungen, die keine Betreiber kritischer Anlagen sind, besteht keine automatische Nachweispflicht. Das BSI kann jedoch nach § 61 BSIG Audits, Prüfungen, Zertifizierungen und die Vorlage der Nachweise anordnen.
Bei der Auswahl nachweispflichtiger Einrichtungen berücksichtigt das BSI Kriterien wie das Ausmaß der Risikoexposition (§ 61 Absatz 4 BSIG). Anlasslose Vor-Ort-Kontrollen sind möglich.
Wichtige Einrichtungen: § 62 BSIG
Für wichtige Einrichtungen gilt ein niedrigeres Kontrollniveau. Das BSI kann nach § 62 BSIG die Einhaltung prüfen, wenn Tatsachen die Annahme rechtfertigen, dass das Unternehmen seinen Verpflichtungen nicht nachkommt. Eine anlasslose Prüfung ist nicht vorgesehen.
Dokumentationspflicht für alle: § 30 Absatz 1 Satz 3 BSIG
Alle betroffenen Einrichtungen müssen die Umsetzung ihrer Risikomanagementmaßnahmen nachvollziehbar dokumentieren. Eine mangelhafte Dokumentation kann mit einem Bußgeld geahndet werden. Mit unserer interaktiven NIS-2-Checkliste können Sie den Umsetzungsstand aller Maßnahmen systematisch erfassen und dokumentieren.
ISO 27001 als Basis für den NIS-2-Nachweis
Die ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme. Eine Zertifizierung kann als Grundlage für den NIS-2-Nachweis dienen – ersetzt jedoch nicht die vollständige Compliance. Unsere ISO-27001-Beratung unterstützt Sie beim Aufbau eines zertifizierungsfähigen ISMS.
Überschneidungen mit NIS-2
Beide Rahmenwerke überschneiden sich in wesentlichen Bereichen:
- Risikomanagement: ISO 27001 fordert einen systematischen Prozess, der weitgehend den Anforderungen des § 30 BSIG entspricht.
- Incident Management: Die ISO-Prozesse (Anhang A.5.24–A.5.28) bilden einen guten Rahmen für die NIS-2-Meldepflichten.
- Dokumentation: Die umfassende ISMS-Dokumentation kann als Nachweis dienen.
Grenzen der ISO 27001
Eine ISO 27001-Zertifizierung ist nicht automatisch NIS-2 Compliance:
- Geltungsbereich: Der Scope einer Zertifizierung umfasst häufig nur Teile der Organisation. NIS-2 erstreckt sich auf die gesamte relevante Infrastruktur.
- Meldepflichten: Das dreistufige NIS-2-Melderegime (24h/72h/30 Tage) geht über die ISO 27001 hinaus. Unser Cybervorfall-Meldefristen-Rechner hilft Ihnen, die Fristen einzuhalten.
- Lieferkettensicherheit: NIS-2 verlangt die Bewertung der Cybersicherheit von Lieferanten und vertragliche Anforderungen.
- Geschäftsleitungspflichten: Die persönliche Verantwortung nach § 38 BSIG ist spezifischer als die ISO-Governance-Anforderungen. Details hierzu erfahren Sie im Artikel zur NIS-2-Schulungspflicht für Geschäftsführer.
BSI IT-Grundschutz als Alternative
Der BSI IT-Grundschutz bietet ebenfalls eine anerkannte Basis für den NIS-2-Nachweis. Für Einrichtungen der Bundesverwaltung ist er sogar verpflichtend.
Vorteile:
- Höherer Detaillierungsgrad durch Bausteine und Maßnahmenkataloge
- Auf deutsche Rechtslage zugeschnitten
- Hohe Anerkennung beim BSI als Aufsichtsbehörde
- Kompatibel mit ISO 27001 („ISO 27001 auf der Basis von IT-Grundschutz")
Branchenspezifische Sicherheitsstandards (B3S) bleiben nach § 30 Absatz 8 und 9 BSIG weiterhin möglich. Ihre Eignung wird vom BSI festgestellt.
Zusammenhang mit anderen Regulierungen
NIS-2 steht nicht isoliert. Unternehmen sollten Synergien nutzen:
- Cyber Resilience Act (CRA): Regelt die Cybersicherheit von Produkten mit digitalen Elementen. → Cyber Resilience Act und NIS-2: Synergien und Unterschiede
- DSGVO: Überschneidungen bei technischen Maßnahmen und Meldepflichten. → DSGVO und NIS-2: Wo sich Datenschutz und Cybersicherheit überschneiden
- Zero Trust: Moderne Sicherheitsarchitekturen unterstützen die NIS-2-Compliance. → Zero-Trust-Architektur für NIS-2 und DORA
Sanktionen bei Verstößen
| Einrichtungstyp | Maximale Geldbuße | Umsatzbasierte Obergrenze |
|---|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. Euro | 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. Euro | 1,4 % des weltweiten Jahresumsatzes |
Die Geschäftsleitung haftet nach § 38 BSIG persönlich für die Umsetzung der Risikomanagementmaßnahmen. Ein Verzicht auf diese Haftung ist nicht zulässig.
Fazit
Es gibt keine offizielle NIS-2 Zertifizierung. Anbieter, die eine solche vermarkten, verkaufen private Bescheinigungen ohne offiziellen Status.
Die tatsächlichen Nachweispflichten variieren nach Einrichtungstyp:
- Betreiber kritischer Anlagen: Dreijähriger Nachweiszyklus nach § 39 BSIG
- Besonders wichtige Einrichtungen: Nachweise auf Anordnung nach § 61 BSIG
- Wichtige Einrichtungen: Prüfung bei begründetem Verdacht nach § 62 BSIG
- Alle Einrichtungen: Dokumentationspflicht nach § 30 BSIG
Als Basis für den Nachweis eignen sich ISO 27001, BSI IT-Grundschutz oder externe Gutachten. Keine dieser Optionen ersetzt die vollständige Umsetzung aller gesetzlichen Anforderungen.
Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 ohne Übergangsfristen. Wenn Sie Unterstützung bei der Umsetzung benötigen, informieren Sie sich über unsere NIS-2-Beratungsleistungen oder vereinbaren Sie direkt eine kostenlose Erstberatung.