SaaSFort Ein 30-Personen-SaaS-Unternehmen, das den klassischen IT-Grundschutz umsetzen wollte, stand vor 6.567 Teilanforderungen verteilt auf über 100 Bausteine. Selbst mit Berater dauerte das 6–12 Monate und kostete €30.000–€80.000. Für die meisten KMU war das unrealistisch — und genau deshalb haben sie Grundschutz ignoriert.
Das BSI hat das Problem erkannt. Seit dem 1. Januar 2026 gilt Grundschutz++: eine grundlegende Reform, die 6.567 Teilanforderungen auf 985 konsolidierte Anforderungen in 19 Practices reduziert — eine Reduktion um 85%. Das Format ist maschinenlesbar (JSON/OSCAL), die Struktur prozessorientiert statt starr, und eine Übergangsfrist bis 2029 gibt Unternehmen Zeit zur Migration.
Für SaaS-Unternehmen im NIS2-Scope ist das ein Wendepunkt.
Was sich geändert hat: Klassisch vs. Grundschutz++
| Merkmal | Klassischer Grundschutz | Grundschutz++ |
|---|---|---|
| Anforderungen | 6.567 Teilanforderungen | 985 konsolidierte Anforderungen |
| Struktur | 100+ starre Bausteine | 19 prozessorientierte Practices |
| Format | PDF-Kompendium | JSON/OSCAL maschinenlesbar |
| Dokumentation | Manuell, papierbasiert | Automatisierbar via API |
| KMU-Eignung | Gering — zu komplex für unter 100 MA | Hoch — 5-Stufen-System nach Unternehmensgröße |
| ISO 27001-Alignment | Separat, eigenes Zertifizierungsschema | Enger integriert, gemeinsame Kontrollstruktur |
| Verfügbar seit | 2006 (letzte Revision 2023) | 1. Januar 2026 |
| Übergangszeit | — | Bis 2029 (beide Standards parallel gültig) |
Die wichtigste Änderung für SaaS-KMU: Grundschutz++ ist nicht mehr ein Alles-oder-nichts-Framework. Das 5-Stufen-System erlaubt Unternehmen, mit einem Basisniveau zu starten und schrittweise aufzubauen — ohne von Anfang an alle 985 Anforderungen umzusetzen.
Die 19 Practices im Überblick
Grundschutz++ ersetzt die bisherigen Bausteine durch 19 prozessorientierte Practices. Jede Practice definiert Prozess- und Umsetzungsziele, die auf verschiedene Elemente anwendbar sind — von Sicherheitsprozessen bis zu IT-Systemen, Netzwerken und Komponenten.
Für SaaS-Unternehmen sind diese Practices besonders relevant:
- Informationssicherheitsmanagement — ISMS-Aufbau, Rollen, Verantwortlichkeiten
- Risikomanagement — Risikobasierte Bewertung statt Checklisten-Compliance
- Kryptographie & Schlüsselmanagement — TLS-Konfiguration, Zertifikatsverwaltung
- Netzwerk- & Kommunikationssicherheit — Segmentierung, Firewall-Regeln, VPN
- Incident Management — Erkennung, Reaktion, Meldepflichten (NIS2 Art. 23)
- Business Continuity — Backup, Disaster Recovery, Wiederanlauf
- Lieferkettenmanagement — Genau das, was NIS2 Art. 21(2)(d) verlangt
Die vollständige Liste ist auf dem BSI GitHub Repository als maschinenlesbare JSON-Dateien verfügbar.
OSCAL: Warum das Format entscheidend ist
OSCAL (Open Security Controls Assessment Language) ist ein NIST-Standard für maschinenlesbare Sicherheitsdokumentation. Grundschutz++ ist das erste große europäische Compliance-Framework, das vollständig OSCAL-kompatibel ist.
Was bedeutet das konkret?
Automatisierte Compliance-Prüfung. Statt manuell Excel-Sheets auszufüllen, können Tools Ihre Sicherheitskonfiguration gegen die OSCAL-definierten Anforderungen prüfen — automatisch, wiederholbar, nachweisbar. Das BSI stellt alle Inhalte als JSON und als tabellarische XLSX-Dateien bereit.
Tool-Integration. GRC-Plattformen wie fuentis, HiScout und verinice unterstützen bereits Grundschutz++. Die maschinenlesbare Struktur ermöglicht auch kleineren Tools die Integration — ohne dass jeder Anbieter den PDF-Katalog manuell parsen muss.
Audit-Effizienz. Auditoren können Nachweise programmatisch prüfen statt Ordner voller Screenshots durchzuarbeiten. Für SaaS-Unternehmen, die Security Evidence Packages aufbauen, reduziert das den Aufwand bei jeder Prüfung.
Grundschutz++ und NIS2: Wie beides zusammenhängt
Das NIS2-Umsetzungsgesetz (BSIG 2024) verpflichtet das BSI ausdrücklich, den IT-Grundschutz bis zum 1. Januar 2026 zu modernisieren. Grundschutz++ ist das direkte Ergebnis dieser gesetzlichen Anforderung.
Die Verbindung ist kein Zufall — sie ist Absicht:
- §30 BSIG (Risikomanagement) verlangt Maßnahmen nach Art. 21(2) der NIS2-Richtlinie. Grundschutz++ mappt direkt auf diese 10 Maßnahmen.
- BSI-Standards 200-1 bis 200-4 bleiben die Referenz für ISMS-Aufbau — Grundschutz++ liefert die konkreten Anforderungen dazu.
- Unternehmen, die Grundschutz++ umsetzen, decken laut OpenKRITIS-Mapping rund 85% der NIS2 Art. 21-Anforderungen ab.
Für SaaS-Anbieter im NIS2-Scope: Grundschutz++ ist der effizienteste Weg, NIS2-Konformität nachzuweisen — besonders wenn Ihre Kunden deutsche Behörden oder KRITIS-Betreiber sind, die BSI-Grundschutz als Referenz verwenden.
5-Schritte-Plan: Grundschutz++ für SaaS-Unternehmen
Schritt 1: Scope definieren (Woche 1)
Identifizieren Sie, welche Systeme, Prozesse und Daten in den Grundschutz++-Scope fallen. Für ein SaaS-Unternehmen typisch: Produktionsinfrastruktur, CI/CD-Pipeline, Kundendaten-Verarbeitung, Support-Systeme.
Schritt 2: Stufe wählen (Woche 1)
Das 5-Stufen-System erlaubt einen abgestuften Einstieg. KMU mit 20–100 Mitarbeitern starten realistisch auf Stufe 2 oder 3. Stufe 5 entspricht dem Niveau des klassischen Grundschutz — für die meisten SaaS-KMU überdimensioniert.
Schritt 3: Externe Sicherheitslage prüfen (Woche 2)
Bevor Sie interne Prozesse dokumentieren: Prüfen Sie, was von außen sichtbar ist. Ein kostenloser SaaSFort-Scan deckt die externen Anforderungen aus den Practices Netzwerksicherheit, Kryptographie und Schwachstellenmanagement ab — 60 Checks in unter 60 Sekunden. Den vollständigen Report können Sie als NIS2-Compliance-PDF exportieren.
Schritt 4: Practices priorisieren (Woche 2–4)
Nicht alle 19 Practices sind gleich dringend. Priorisieren Sie:
- Incident Management — NIS2 Art. 23 Meldepflicht gilt ab Tag 1
- Risikomanagement — Grundlage für alles weitere
- Zugriffskontrolle — häufigster Audit-Befund
- Kryptographie — extern prüfbar, sofort sichtbar
Schritt 5: Nachweise aufbauen (laufend)
Grundschutz++ in OSCAL-Format bedeutet: Ihre Nachweise sollten ebenfalls strukturiert und maschinenlesbar sein. Nutzen Sie die CI/CD-Integration von SaaSFort, um bei jedem Deployment automatisch einen Sicherheitsscan durchzuführen — das erzeugt kontinuierliche Nachweise statt Punkt-in-Zeit-Snapshots.
Grundschutz++ vs. ISO 27001: Was brauchen SaaS-KMU?
| Kriterium | Grundschutz++ | ISO 27001:2022 |
|---|---|---|
| Ansatz | Vorschreibend (konkrete Maßnahmen) | Risikobasiert (eigene Kontrollen definieren) |
| Zielgruppe | Deutsche Organisationen, KRITIS, NIS2-Betroffene | International, branchenübergreifend |
| Kosten (Zertifizierung) | €8.000–€25.000 (BSI-Audit) | €25.000–€80.000 (ISO 27001 Details) |
| Zeitaufwand (KMU) | 3–6 Monate (mit Grundschutz++) | 4–8 Monate |
| NIS2-Abdeckung | ~85% direkt | ~70% (Mapping erforderlich) |
| Internationale Anerkennung | DACH-fokussiert | Weltweit |
| Automation | Hoch (OSCAL/JSON) | Mittel (GRC-Tools) |
Empfehlung für SaaS-KMU: Wenn Ihre Kunden primär im DACH-Raum sitzen und NIS2-Konformität verlangen, starten Sie mit Grundschutz++. Für internationale Enterprise-Kunden brauchen Sie ISO 27001. Beide Frameworks haben ~60% Kontrollüberschneidung — wer eines hat, spart 35–50% beim zweiten.
FAQ
Was passiert mit dem klassischen IT-Grundschutz-Kompendium?
Es bleibt bis 2029 parallel gültig. Bestehende BSI-Zertifizierungen auf Basis des klassischen Kompendiums behalten ihre Gültigkeit. Ab 2029 wird nur noch Grundschutz++ für neue Zertifizierungen akzeptiert. Die Übergangsfrist gibt Unternehmen drei Jahre für die Migration.
Müssen alle 985 Anforderungen umgesetzt werden?
Nein. Das 5-Stufen-System erlaubt eine abgestufte Umsetzung je nach Unternehmensgröße und Risikoprofil. KMU können auf Stufe 2 oder 3 starten und abdecken damit die kritischsten Anforderungen. Höhere Stufen sind für KRITIS-Betreiber und große Organisationen vorgesehen.
Wo finde ich die Grundschutz++-Anforderungen?
Auf dem BSI GitHub Repository als maschinenlesbare JSON-Dateien und XLSX-Tabellen. Das BSI hat die Inhalte seit September 2025 als Preview veröffentlicht. Die offizielle Version gilt seit 1. Januar 2026.
Deckt SaaSFort Grundschutz++-Anforderungen ab?
SaaSFort prüft die externen Anforderungen aus den Practices Netzwerksicherheit, Kryptographie und Schwachstellenmanagement mit 60 automatisierten Checks. Der NIS2-Compliance-PDF-Export mappt diese Ergebnisse direkt auf NIS2 Art. 21(2)-Maßnahmen — dieselben Maßnahmen, auf die auch Grundschutz++ referenziert. Interne Practices (Risikomanagement, Incident Management, Zugriffskontrolle) erfordern organisatorische Maßnahmen jenseits eines externen Scans.
Wie verhält sich Grundschutz++ zu NIS2?
Grundschutz++ wurde im Rahmen des NIS2-Umsetzungsgesetzes (BSIG 2024) entwickelt. §30 BSIG verlangt Risikomanagement-Maßnahmen nach Art. 21(2) NIS2 — Grundschutz++ liefert die konkreten technischen und organisatorischen Anforderungen dafür. Laut Mapping-Analysen deckt Grundschutz++ rund 85% der NIS2-Anforderungen direkt ab. Die vollständige NIS2-Checkliste zeigt, welche Lücken bleiben.
Brauche ich einen Berater für die Umsetzung?
Für KMU auf Stufe 2–3: oft nicht. Die maschinenlesbare Struktur und die verfügbaren GRC-Tools (fuentis, HiScout, verinice) ermöglichen eine geführte Selbstimplementierung. Für Stufe 4–5 oder wenn Sie eine BSI-Zertifizierung anstreben, ist ein erfahrener Berater empfehlenswert — rechnen Sie mit €10.000–€25.000 für die Begleitung bis zur Zertifizierungsreife.
Prüfen Sie Ihre externe Sicherheitslage als ersten Schritt zur Grundschutz++-Konformität. Kostenloser Scan starten — 60 Checks in 60 Sekunden. Für den vollständigen Compliance-Leitfaden: SaaS Security Playbook 2026 herunterladen.
Dalla lettura all'azione
Scansionate il vostro dominio gratuitamente. Primi risultati in meno di 10 secondi — senza registrazione.