SaaSFort „Brauchen wir IT-Grundschutz oder NIS2?” ist 2026 die am häufigsten falsch gestellte Frage. Sie sind keine Alternativen. NIS2 ist Gesetz — Sie haben keine Wahl. IT-Grundschutz ist ein Umsetzungsrahmen — Sie können ihn nutzen, müssen aber nicht. Dieser Leitfaden klärt, was für Ihr Unternehmen konkret gilt.
Schnellstart:
- Kostenloser Sicherheitsscan — Ihre externe Posture und NIS2-Lücken in 60 Sekunden.
- SaaS Security Playbook 2026 — der vollständige NIS2-, ISO-27001- und Grundschutz-Rahmen als kostenloses PDF.
- Preise — prüffähiger NIS2-Report ab 9 €/Monat, 14 Tage Growth kostenlos.
Der Kernunterschied in einem Satz
NIS2 ist eine gesetzliche Pflicht mit Bußgeldern bis 10 Mio. €. IT-Grundschutz ist eine BSI-Methodik, mit der Sie diese Pflicht erfüllen können — eine von mehreren Optionen, neben ISO 27001.
| Dimension | BSI IT-Grundschutz | NIS2 (NIS2UmsuCG) |
|---|---|---|
| Rechtsnatur | Freiwilliger Rahmen / Zertifizierung | Gesetzliche Pflicht |
| Erzwingbar | Nein (außer vertraglich gefordert) | Ja — Bußgelder, Managementverbot |
| Wer ist betroffen | Wer ihn wählt oder dessen Kunde ihn fordert | 50+ MA oder 10 Mio. € in 18 Sektoren |
| Frist | Keine | Registrierung 6.3.2026 (abgelaufen), Vollumsetzung Okt. 2026 |
| Audit | Optionale Zertifizierung über auditor | BSI-Aufsicht + Nachweispflicht |
| Aufwand klassisch | 6.567 Teilanforderungen (sehr hoch) | 10 Maßnahmen, prinzipienbasiert |
| Aufwand 2026 | Grundschutz++: 985 Anforderungen | Artikel 21 — pragmatisch skalierbar |
Welcher Standard gilt für Sie? Entscheidungsbaum
Frage 1 — Sind Sie NIS2-pflichtig? 50+ Mitarbeiter oder 10 Mio. € Umsatz in einem der 18 Sektoren? → NIS2 ist Pflicht. Punkt. IT-Grundschutz wird damit zu einer Methodenwahl, nicht zu einer zusätzlichen Pflicht.
Frage 2 — Fordert ein Kunde oder Auftraggeber Grundschutz? Öffentliche Auftraggeber und viele KRITIS-Betreiber verlangen IT-Grundschutz-Bausteine vertraglich. → Dann brauchen Sie Grundschutz zusätzlich zu NIS2 — als Vertragspflicht, nicht als Gesetz.
Frage 3 — Keines von beiden? Sie sind unterhalb der Schwelle und niemand fordert Grundschutz? → Rechtlich frei. Aber: Beliefern Sie ein NIS2-Unternehmen, kaskadiert dessen Lieferkettenpflicht auf Sie über den Vertrag.
Wann Grundschutz die richtige Wahl zur NIS2-Erfüllung ist
IT-Grundschutz lohnt sich als NIS2-Umsetzungsweg, wenn:
- Ihre Kunden oder Auftraggeber ihn ohnehin sprechen (öffentlicher Sektor, KRITIS)
- Sie eine zertifizierbare, prüffeste Struktur brauchen
- Sie die modernisierte Grundschutz++-Variante nutzen — 85 % weniger Aufwand als klassisch
Wann ISO 27001 der pragmatischere NIS2-Weg ist:
- Sie verkaufen international (ISO ist global anerkannt)
- Sie haben bereits ein ISMS — 70-80 % mappen auf Artikel 21
In beiden Fällen bleibt eine Lücke: der externe, fortlaufende technische Nachweis (NIS2 Artikel 21 e/f/h). Weder Grundschutz-Dokumentation noch ISO-Zertifikat belegen, was ein Auditor von außen heute sieht.
Aufwand und Kosten realistisch vergleichen
Die Rahmenwahl entscheidet über Monate Arbeit und fünfstellige Beträge. Konkrete Größenordnungen für ein KMU mit 50-250 Mitarbeitern:
| Weg | Zeit bis prüffähig | Typische Kosten | Wiederkehrender Aufwand |
|---|---|---|---|
| Klassischer IT-Grundschutz + Berater | 6-12 Monate | 30.000-80.000 € | Re-Zertifizierung alle 3 Jahre |
| Grundschutz++ (modernisiert) | 2-4 Monate | deutlich reduziert | jährliche Pflege |
| ISO 27001 (bestehendes ISMS) | 1-3 Monate | 10.000-25.000 € Audit | jährliches Surveillance-Audit |
| NIS2 Artikel 21 pragmatisch + automatisiertes Scanning | 2-4 Wochen technische Basis | 9-29 €/Monat | 2-3 Std./Monat |
Wichtig: Die letzte Zeile ersetzt nicht Governance-Dokumentation — sie deckt die technischen Maßnahmen e, f und h ab, die in jedem der oberen Wege ohnehin fehlen. Die Kombination „schlanker Rahmen + automatisierter externer Nachweis” ist für die meisten KMU der schnellste prüffähige Pfad.
Was alle drei gemeinsam brauchen: externen Nachweis
Egal welchen Rahmen Sie wählen — Artikel 21 Buchstaben e, f und h verlangen einen technischen Wirksamkeitsnachweis. Der SaaSFort-Scan mappt jeden Befund gleichzeitig auf NIS2 Artikel 21 und ISO 27001 Annex A — ein Scan, ein prüffähiger Report für jeden der drei Rahmen. Weder ein Grundschutz-Zertifikat noch ein ISO-Testat zeigt, was ein Angreifer heute von außen sieht — diese Lücke schließt nur ein fortlaufender externer Scan.
Häufige Fragen
Ist IT-Grundschutz gesetzlich verpflichtend?
Nein. IT-Grundschutz ist ein freiwilliger BSI-Rahmen. Verpflichtend wird er nur über Vertrag (z. B. öffentliche Ausschreibungen) oder als selbst gewählter NIS2-Umsetzungsweg.
Erfüllt eine Grundschutz-Zertifizierung automatisch NIS2?
Weitgehend, nicht vollständig. Grundschutz deckt ~85 % von Artikel 21 ab. NIS2-spezifische Punkte — 24h-Meldepflicht, nicht delegierbare Leitungsverantwortung, BSI-Registrierung — müssen separat belegt werden.
Wir sind unter der NIS2-Schwelle. Brauchen wir trotzdem etwas?
Wenn Sie NIS2-regulierte Kunden beliefern: ja, über die Lieferkette. Ein kostenloser Scan zeigt in 60 Sekunden, wo Sie stehen.
Grundschutz oder ISO 27001 für NIS2?
Grundschutz, wenn deutsche/öffentliche Kunden ihn fordern. ISO 27001, wenn Sie international verkaufen. Beide erfüllen den Großteil von Artikel 21 — der externe technische Nachweis fehlt bei beiden und wird separat erbracht.
Was zuerst angehen?
Den externen Scan (Tag 1, kostenlos), dann die Registrierung nachholen, dann den Rahmen wählen. Der vollständige Ablaufplan steht im SaaS Security Playbook 2026.
NIS2 ist Pflicht, der Rahmen ist Ihre Wahl — der externe Nachweis bleibt in jedem Fall. Kostenloser Scan, 60 Prüfungen, A-F-Note, gemappt auf NIS2 Artikel 21 und ISO 27001. Weiterführend: 10-Schritte-NIS2-Checkliste für deutsche KMU.
Ready to put this into practice?
Two ways to start — pick what fits. Free Scan if you want to see your security grade in 60s with no commitment. Free 14-day Growth trial if you're ready to monitor multiple domains, export NIS2 reports, and download Deal Reports — no credit card required.
No credit card · Cancel anytime · GDPR-ready · EU-hosted