Standard-Mappings

In Cybersecurity-Projekten taucht früher oder später die Frage auf: „Wir machen schon ISO 27001 — müssen wir jetzt zusätzlich NIS2 und NIST CSF abarbeiten?” Die ehrliche Antwort lautet meist: nein, aber das Mapping zwischen den Standards muss sauber sein.

Diese Seite gibt einen kompakten Überblick über die wichtigsten Frameworks und zeigt, wie sie sich überlappen, wo sie sich ergänzen und wo der Unterschied liegt.

ISO/IEC 27001

Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Beschreibt nicht primär Maßnahmen, sondern den Management-Rahmen: Wie wird Informationssicherheit geplant, eingeführt, betrieben und kontinuierlich verbessert?

• Maintainer: ISO und IEC.
• Aktuelle Version: ISO/IEC 27001:2022.
• Aufbau: 7 Kernkapitel (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung) plus Anhang A mit 93 Controls in 4 Themengruppen.
• Zertifizierbar: ja, durch akkreditierte Stellen.
• Stärke: Risiko-orientiert, branchen- und größenneutral, weltweit anerkannt.
• Quelle: ISO/IEC 27001 auf iso.org ansehen ↗

ISO/IEC 27002

Der Maßnahmenkatalog zu ISO 27001 — gleicher Annex-A-Katalog, aber mit ausführlichen Umsetzungs-Hinweisen pro Control.

• Maintainer: ISO und IEC.
• Aktuelle Version: ISO/IEC 27002:2022.
• Beziehung zu 27001: ISO 27001 verlangt die Auswahl geeigneter Controls; ISO 27002 erklärt sie. Wer 27001 implementiert, arbeitet faktisch mit 27002.
• Quelle: ISO/IEC 27002 auf iso.org ansehen ↗

NIST Cybersecurity Framework (CSF) 2.0

Das NIST CSF ist ein Bezugsrahmen für Cyber-Risikomanagement, ursprünglich aus der US-Regulierung kritischer Infrastrukturen entstanden, mittlerweile international verbreitet. Mit Version 2.0 (2024) wurde die Struktur um die Funktion Govern erweitert.

• Maintainer: National Institute of Standards and Technology (NIST), USA.
• Aktuelle Version: 2.0 (Februar 2024).
• Aufbau: Sechs Kernfunktionen — Govern, Identify, Protect, Detect, Respond, Recover — mit insgesamt 23 Kategorien und 106 Subkategorien.
• Zertifizierbar: nein. Reines Selbst- oder Drittparteien-Assessment.
• Stärke: Sehr präzise Sprache, klare Kommunikation auf Vorstandsebene, exzellente Mappings zu anderen Standards.
• Quelle: NIST Cybersecurity Framework auf nist.gov ansehen ↗

NIST SP 800-53

Tief technisch-detaillierter Maßnahmenkatalog für US-Bundesbehörden und deren Lieferanten. Mit über 1.000 Controls in 20 Familien deutlich detaillierter als ISO 27002.

• Maintainer: NIST.
• Aktuelle Version: Rev. 5 (mit laufenden Updates).
• Verwendung in DACH: Selten als primärer Standard, aber wertvolle Referenz für die Konkretisierung einzelner Controls.
• Quelle: NIST SP 800-53 Controls auf csrc.nist.gov ansehen ↗

CIS Controls

Die Center for Internet Security Controls sind ein priorisierter Maßnahmenkatalog: 18 Controls in drei Implementation-Groups (IG1, IG2, IG3) — von „minimaler Cyber-Hygiene” bis „enterprise-grade”.

• Maintainer: Center for Internet Security (CIS), Non-Profit.
• Aktuelle Version: v8.1.
• Aufbau: 18 Top-Level-Controls, 153 Safeguards (Maßnahmen).
• Stärke: Pragmatisch priorisiert — was zuerst, was später, mit klaren Prerequisites. Ideal für KMU.
• Verwendung in der Praxis: Gute „Schnell-Roadmap” wenn 27001 zu groß und NIST CSF zu abstrakt erscheint.
• Quelle: CIS Controls auf cisecurity.org ansehen ↗

BSI IT-Grundschutz

Der deutsche Standard für Informationssicherheit, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik. Sehr umfangreich, mit sektor- und technologie-spezifischen „Bausteinen”.

• Maintainer: BSI Deutschland.
• Aufbau: BSI-Standards 200-1 bis 200-3 (Methodik) plus IT-Grundschutz-Kompendium mit hunderten Bausteinen.
• Zertifizierbar: ja, ISO 27001 auf Basis von IT-Grundschutz.
• Stärke: Sehr konkrete, praxisnahe Anleitung; perfekte Wahl für Behörden und KRITIS-Betreiber in Deutschland.
• Schwäche: Schiere Größe und Detailtiefe; für Mittelstand oft Overkill.
• Quelle: BSI IT-Grundschutz auf bsi.bund.de ansehen ↗

NIS2 — Mindestmaßnahmen Art. 21

Im engeren Sinn kein „Standard” sondern Rechtsakt — gehört aber in die Mapping-Übersicht, weil die zehn Mindestmaßnahmen aus Art. 21 in der Praxis als Framework verwendet werden.

• Maintainer: Europäische Union.
• Aufbau: Zehn thematische Bereiche von Risikoanalyse über Lieferketten-Sicherheit bis Cyberhygiene.
• Beziehung zu Standards: NIS2 schreibt keinen einzelnen Standard vor. Alle Mindestmaßnahmen lassen sich über ISO 27001, NIST CSF oder BSI IT-Grundschutz nachweisen — vorausgesetzt, das Mapping ist sauber dokumentiert.
• Quelle: Eintrag auf der Wissens-Seite Gesetze & Regulierung.

Mappings zwischen den Standards

Die wichtigsten Cross-Referenzen in der Praxis:

Standard	Best Mapping zu…	Bemerkung
ISO 27001:2022	NIST CSF 2.0	Offizielles Mapping vom NIST verfügbar; Annex-A-Controls lassen sich gut auf CSF-Subkategorien legen.
ISO 27001:2022	NIS2 Art. 21	Sehr hohe Überdeckung; ENISA und nationale Behörden veröffentlichen Mapping-Tabellen.
NIST CSF 2.0	CIS Controls v8	CIS pflegt explizite Mappings; CSF wird zur strategischen Sicht, CIS zur operativen Umsetzung.
BSI IT-Grundschutz	ISO 27001	„ISO 27001 auf Basis von IT-Grundschutz” — formal eine Doppel-Zertifizierung.
DORA	NIST CSF, ISO 27001	DORA-Anforderungen lassen sich an beiden Frameworks aufhängen, mit Ergänzung um die finanzsektor-spezifischen Pflichten (TLPT, Drittanbieter-Verträge).

Wofür Mappings tatsächlich gebraucht werden

1. Doppelte Arbeit vermeiden. Wer ISO 27001 betreibt, soll NIS2 nicht von Null aufsetzen — ein sauberes Mapping spart 60–80 % der Arbeit.
2. Audit-Robustheit. In Audits wird gefragt: „Wie weisen Sie Art. 21 NIS2 nach?” Die Antwort „Wir machen ISO 27001” allein reicht nicht — die Übersetzung muss dokumentiert sein.
3. Lückenanalyse. Mappings zeigen, wo das eine Framework Anforderungen hat, die das andere nicht abdeckt — dort entstehen die echten zusätzlichen Maßnahmen.

Praxistipp

Ein nutzbares Mapping ist eine Tabelle, kein Dokument: pro Anforderung des Ziel-Frameworks (z. B. NIS2 Art. 21 (a)) eine Spalte mit dem entsprechenden Control-ID des Quell-Frameworks (z. B. ISO 27001 A.5.7) und ein Hinweis, ob die Abdeckung vollständig, teilweise oder nicht gegeben ist. Drei Spalten reichen.

Wer diese Tabelle einmal hat und pflegt, hat in jedem Audit die richtige Antwort innerhalb von Minuten.