Informationssicherheits-Normen – Architektur & Gesamtüberblick

Zusammenhang zwischen Regulatorik, ISMS-Rahmenwerken und Spezialnormen

Ebene 1 – Regulatorik

DORA und NIS2 setzen EU-weite Mindeststandards. MaRisk und BAIT konkretisieren diese für den deutschen Bankensektor. Für DORA-pflichtige Institute gilt DORA als Lex specialis gegenüber NIS2.

Ebene 2 – Rahmenwerke

ISO 27001:2022 (international, zertifizierbar) und BSI IT-Grundschutz (national, BSI-Zertifizierung) sind zwei gleichwertige Wege zum ISMS-Aufbau. Beide sind gegenseitig kompatibel und anerkannt.

Ebene 3 – Spezialnormen

Die Spezialnormen liefern Tiefe zu einzelnen Themen: ISO 27002 (Controls), ISO 27005 (Risiko), ISO 22301 (BCM), ISO 27035 (Vorfälle), BSI C5 (Cloud). Sie werden von beiden Rahmenwerken genutzt.

Informationssicherheits-Normen Referenzhandbuch

Informationssicherheits-Normen · BSI IT-Grundschutz · DORA / NIS2 / MaRisk / BAIT · Stand 2025/2026

26 ISO-Normen

93 Controls 27002:2022

7 BSI Standards & Werke

4 Regulatorische Regelwerke

1 Vertiefung

ISO-Normen

ISO 27001 / 27002

ISMS-Kerngruppe

27001 (Zertifizierbar), 27002, 27003–27005, Governance

8 Normen →

ISO 27002:2022

Controls – Vollständig

93 Controls in 4 Kategorien: organisatorisch, personell, physisch, technisch

93 Controls →

ISO 27000

Spezialthemen & Sektoren

Incident, Cloud, Lieferanten, Netzwerk, Datenschutz, Forensik, Sektoren

17 Normen →

ISO 22301:2019

Business Continuity (BCM)

Zertifizierbares BCMS · BIA, RTO, RPO · kompatibel mit BSI 200-4 und DORA Art. 11

Zertifizierbar →

Vertiefung

ISO 27035

Vorfallmanagement

Klassifizierung, S1–S4, CSIRT-Rollen, DORA-Meldefristen, Prozessschritte

3-teilig · inkl. DORA-Mapping →

BSI

BSI 200er-Reihe & Kompendium

200-1 bis 200-4, GS-Kompendium (111 Bausteine, Edition 2023), TR-Reihe, C5:2020

7 Standards & Werke →

Regulatorische Bezüge

EU · In Kraft 01/2025

DORA

EU 2022/2554 · IKT-Risiko, Vorfallmanagement, TLPT, Drittparteien

Art. 5–45 + Mapping →

EU · In Kraft 12/2025

NIS2

EU 2022/2555 · ~30.000 Einrichtungen DE · DORA = Lex specialis für Finanzsektor

NIS2UmsuCG · 18 Sektoren →

9. Novelle in Konsultation

DE · BaFin

MaRisk & BAIT

MaRisk RS 06/2024 · BAIT 10/2021 · Vollständiges ISO/BSI-Mapping

⚠ BAIT außer Kraft für DORA-pflichtige Institute ab 17.01.2025

inkl. Querverweistabelle →

Alle Inhalte über Sidebar navigierbar · Suchfunktion oben rechts durchsucht Norm-IDs, Titel und Tags · Kacheln direkt anklickbar

ISO 27000 – Grundlagen & Überblick

Vokabular und Überblick über die gesamte ISO 27000-Familie

2 Normen

ISO/IEC 27000

Grundlage

Überblick & Begriffe (ISMS – Grundlagen und Vokabular)

Einführung in die ISO-27000-Familie mit Beschreibung des Zusammenspiels aller Normen und der zentralen Definitionen. Kein normativer Inhalt – reine Referenz und gemeinsames Vokabular für alle weiteren Normen der Reihe. Für jede Person, die mit einem der anderen Standards arbeitet, ist 27000 der notwendige Ausgangspunkt.

StatusVeröffentlicht, regelmäßig aktualisiert

ZweckNur Referenz – keine Anforderungen, keine Auditierbarkeit

ZielgruppeAlle, die mit der 27000-Familie arbeiten

BegriffeGrundlageVokabular

ISO/IEC 27009

Grundlage

Sektor-spezifische Anwendung von ISO 27001

Definiert wie ISO 27001 und ISO 27002 für sektorspezifische Anwendungen erweitert und angepasst werden können. Legt Regeln fest, nach denen sektorspezifische Normen (z.B. 27011, 27017, 27019) die ISO-27000-Familie ergänzen dürfen. Wichtig für Normenmacher, weniger für direkte Anwender.

StatusVeröffentlicht

ZweckMeta-Norm für Normentwickler

GrundlageSektorErweiterung

ISMS-Kerngruppe (27001–27008)

Die zentralen Normen für Aufbau, Betrieb, Auditierung und Messung des ISMS

6 Normen 1 zertifizierbar

ISO/IEC 27001

Zertifizierbar

ISMS – Anforderungen (Information Security Management Systems)

Der Kernstandard der gesamten 27000-Familie und der einzige, gegen den eine externe Zertifizierung möglich ist. Definiert Anforderungen (sog. „Clauses 4–10") für Aufbau, Umsetzung, Betrieb, Überwachung und kontinuierliche Verbesserung eines ISMS. Annex A enthält die 93 Controls aus ISO 27002, jedoch als Referenzliste – nicht alle müssen umgesetzt werden (Statement of Applicability). Letzte Revision: 2022.

VersionISO/IEC 27001:2022 (ersetzt 2013er Version)

StrukturHigh Level Structure (HLS), kompatibel mit ISO 9001, ISO 22301

Annex A93 Controls in 4 Kategorien (organisatorisch, personell, physisch, technisch)

RegulatorikReferenziert in BAIT, MaRisk AT 7.2, DORA Art. 5–16

ZertifizierungDurch akkreditierte Zertifizierungsstellen (gemäß ISO 27006)

ISMSZertifikatAudit2022Annex A

ISO/IEC 27002

Leitfaden

Controls für Informationssicherheit (Code of Practice)

Leitlinien für alle 93 Controls des Annex A aus ISO 27001. Strukturiert in 4 Kategorien: organisatorisch (37), personell (8), physisch (14) und technisch (34). Jede Control hat Attribute (Typ, Sicherheitseigenschaften, Konzepte, Fähigkeiten, Domänen). Die Version 2022 wurde grundlegend überarbeitet – von 14 Abschnitten mit 114 Controls auf 4 Kategorien mit 93 Controls. Nicht zertifizierbar, aber normatives Fundament für alle ISMS-Implementierungen.

VersionISO/IEC 27002:2022 (grundlegende Überarbeitung)

Controls93 (Vorgänger: 114 in 14 Abschnitten)

Neu in 202211 neue Controls, davon 5.7 Threat Intelligence, 8.8 Schwachstellenmanagement, 8.23 Web-Filtering

Control-AttributeControl-Typ, Informationssicherheitseigenschaften (CIA), Konzepte, Fähigkeiten, Operationsdomänen

ControlsMaßnahmen202293 ControlsAnnex A

ISO/IEC 27003

Leitfaden

ISMS – Implementierungsleitfaden

Praktische Anleitung zur Umsetzung der Anforderungen aus ISO 27001 – erklärt Clause für Clause, was konkret zu tun ist. Geht über reine Anforderungsformulierung hinaus und gibt Hinweise zu Prozessen, Dokumenten und Entscheidungspunkten. Ideal als Begleiter neben ISO 27001 bei der ISMS-Einführung.

ImplementierungPraxisEinführung

ISO/IEC 27004

Leitfaden

ISMS – Überwachung, Messung, Analyse und Bewertung

Leitlinien wie Effektivität des ISMS und seiner Controls gemessen, analysiert und berichtet werden soll. Methoden für die Entwicklung von Messprogrammen, KPIs und Leistungsindikatoren. Adressiert Clause 9.1 aus ISO 27001 (Überwachung und Messung). Wichtig für 2nd-Line-Funktionen, die ISMS-Wirksamkeit nachweisen müssen.

KPIMessungReportingMonitoring

ISO/IEC 27005

Leitfaden

Leitlinien für das Risikomanagement der Informationssicherheit

Umfassende Leitlinien für den IS-Risikomanagementprozess: Risikoidentifikation, -analyse, -bewertung und -behandlung. Eng verzahnt mit ISO 27001 Clause 6 (Planung) und unterstützt die Ableitung der Statement of Applicability. Version 2022 neu strukturiert und stärker auf ISO 31000 (Risikomanagement allgemein) ausgerichtet. Relevanter Referenzrahmen für DORA Art. 5–16 und MaRisk AT 4.3.

VersionISO/IEC 27005:2022

ProzessschritteKontext → Risikoidentifikation → Analyse → Bewertung → Behandlung → Kommunikation → Überwachung

Bezug BSIKomplementär zu BSI 200-3 (Risikoanalyse)

Bezug RegulatorikDORA Art. 5–16, MaRisk AT 4.3, BAIT Kap. 3

RisikomanagementRisk AssessmentRisikobehandlung2022

ISO/IEC 27006

Normativ

Anforderungen an Stellen, die ISMS auditieren und zertifizieren

Anforderungen an Zertifizierungsstellen (Conformity Assessment Bodies), die ISMS nach ISO 27001 zertifizieren. Ergänzt ISO/IEC 17021-1 um IS-spezifische Aspekte. Für Auditoren, Akkreditierungsstellen und Unternehmen, die Zertifizierungsstellen auswählen. Definiert Kompetenzanforderungen, Auditzeiten und Prozesse.

AuditAkkreditierungZertifikat

ISO/IEC 27007

Leitfaden

Leitlinien für ISMS-Auditierungen

Leitlinien für die Auditierung von ISMS – ergänzt ISO 19011 (allgemeine Auditleitlinien) um IS-spezifische Aspekte. Adressiert Planung, Durchführung und Berichterstattung von ISMS-Audits. Relevant für interne Auditoren und 2nd-Line-Funktionen, die ISMS-Reviews durchführen.

AuditPrüfungIntern

ISO/IEC 27008

Leitfaden

Leitlinien für Auditierung von IS-Controls

Technische Bewertung der IS-Controls – ergänzt 27007 um praxisorientierte technische Prüfung. Fokus auf die technische Überprüfung, ob Controls tatsächlich funktionieren. Wichtig für technische Auditoren und Prüfer, die über reine Dokumentenprüfung hinausgehen.

AuditTechnischControls-Prüfung

ISO/IEC 27002:2022 – Controls im Überblick

93 Controls in 4 Kategorien – vollständige Übersicht mit Nummern und Themen

Kategorie 5 – Organisatorische Controls (37 Controls)

Nr.	Titel	Typ
5.1	Richtlinien für Informationssicherheit	Präventiv
5.2	Rollen und Verantwortlichkeiten für IS	Präventiv
5.3	Aufgabentrennung	Präventiv
5.4	Managementverantwortlichkeiten	Präventiv
5.5	Kontakt mit Behörden	Präventiv
5.6	Kontakt mit speziellen Interessengruppen	Präventiv
5.7	Threat Intelligence (NEU 2022)	Detektiv
5.8	IS in Projektmanagement	Präventiv
5.9	Inventar der Informationen und anderen Assets	Präventiv
5.10	Zulässige Verwendung von Informationen	Präventiv
5.11	Rückgabe von Assets	Präventiv
5.12	Klassifizierung von Informationen	Präventiv
5.13	Kennzeichnung von Informationen	Präventiv
5.14	Informationsübertragung	Präventiv
5.15	Zugangskontrolle	Präventiv
5.16	Identitätsmanagement	Präventiv
5.17	Authentifizierungsinformationen	Präventiv
5.18	Zugriffsrechte	Präventiv
5.19	IS in Lieferantenbeziehungen	Präventiv
5.20	IS-Anforderungen in Lieferantenvereinbarungen	Präventiv
5.21	IS in der ICT-Lieferkette (NEU 2022)	Präventiv
5.22	Überwachung, Überprüfung und Änderungsmanagement bei Lieferanten	Detektiv
5.23	IS für Cloud-Dienste (NEU 2022)	Präventiv
5.24	Planung und Vorbereitung IS-Incident-Management	Präventiv
5.25	Bewertung und Entscheidung zu IS-Ereignissen	Detektiv
5.26	Reaktion auf IS-Vorfälle	Korrektiv
5.27	Lernen aus IS-Vorfällen	Korrektiv
5.28	Sammeln von Beweisen	Korrektiv
5.29	IS während einer Störung	Präventiv
5.30	ICT-Bereitschaft für Business Continuity (NEU 2022)	Präventiv
5.31	Gesetzliche, gesetzlich vorgeschriebene, regulatorische und vertragliche Anforderungen	Präventiv
5.32	Rechte am geistigen Eigentum	Präventiv
5.33	Schutz von Aufzeichnungen	Präventiv
5.34	Datenschutz und Schutz von personenbezogenen Daten	Präventiv
5.35	Unabhängige Überprüfung der IS	Detektiv
5.36	Einhaltung von IS-Richtlinien und -Standards	Detektiv
5.37	Dokumentierte Betriebsverfahren	Präventiv

Kategorie 6 – Personelle Controls (8 Controls)

Nr.	Titel	Typ
6.1	Überprüfung	Präventiv
6.2	Beschäftigungsbedingungen	Präventiv
6.3	IS-Bewusstsein, -Schulung und -Training	Präventiv
6.4	Disziplinarverfahren	Korrektiv
6.5	Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses	Präventiv
6.6	Vertraulichkeits- und Geheimhaltungsvereinbarungen	Präventiv
6.7	Fernarbeit	Präventiv
6.8	Meldung von IS-Ereignissen	Detektiv

Kategorie 7 – Physische Controls (14 Controls)

Nr.	Titel	Typ
7.1	Physische Sicherheitsbereiche	Präventiv
7.2	Physischer Einlass	Präventiv
7.3	Sicherung von Büros, Räumen und Einrichtungen	Präventiv
7.4	Physische Sicherheitsüberwachung (NEU 2022)	Detektiv
7.5	Schutz vor physischen und umgebungsbedingten Bedrohungen	Präventiv
7.6	Arbeiten in Sicherheitsbereichen	Präventiv
7.7	Aufgeräumter Schreibtisch und aufgeräumter Bildschirm	Präventiv
7.8	Platzierung und Schutz von Geräten	Präventiv
7.9	Sicherheit von Assets außerhalb der Räumlichkeiten	Präventiv
7.10	Speichermedien	Präventiv
7.11	Unterstützende Versorgungseinrichtungen	Präventiv
7.12	Verkabelungssicherheit	Präventiv
7.13	Gerätewartung	Präventiv
7.14	Sichere Entsorgung oder Wiederverwendung von Geräten	Präventiv

Kategorie 8 – Technische Controls (34 Controls)

Nr.	Titel	Typ
8.1	Endbenutzer-Endgeräte	Präventiv
8.2	Privilegierte Zugriffsrechte	Präventiv
8.3	Einschränkung des Informationszugangs	Präventiv
8.4	Zugang zum Quellcode	Präventiv
8.5	Sichere Authentifizierung	Präventiv
8.6	Kapazitätsmanagement	Präventiv
8.7	Schutz vor Malware	Präventiv
8.8	Management technischer Schwachstellen	Präventiv
8.9	Konfigurationsmanagement (NEU 2022)	Präventiv
8.10	Löschung von Informationen (NEU 2022)	Präventiv
8.11	Datenmaskierung (NEU 2022)	Präventiv
8.12	Verhinderung von Datenlecks (NEU 2022)	Präventiv
8.13	Sicherung von Informationen	Präventiv
8.14	Redundanz von informationsverarbeitenden Einrichtungen	Präventiv
8.15	Protokollierung	Detektiv
8.16	Überwachungsaktivitäten (NEU 2022)	Detektiv
8.17	Uhrensynchronisation	Präventiv
8.18	Verwendung privilegierter Dienstprogramme	Präventiv
8.19	Installation von Software auf Betriebssystemen	Präventiv
8.20	Netzwerksicherheit	Präventiv
8.21	Sicherheit von Netzwerkdiensten	Präventiv
8.22	Trennung von Netzwerken	Präventiv
8.23	Web-Filterung (NEU 2022)	Präventiv
8.24	Verwendung von Kryptografie	Präventiv
8.25	Lebenszyklus der sicheren Entwicklung	Präventiv
8.26	Sicherheitsanforderungen an Anwendungen	Präventiv
8.27	Sichere Systemarchitektur und Engineering-Prinzipien (NEU 2022)	Präventiv
8.28	Sicheres Codieren (NEU 2022)	Präventiv
8.29	Sicherheitstests in Entwicklung und Abnahme	Detektiv
8.30	Ausgelagerte Entwicklung	Präventiv
8.31	Trennung von Entwicklungs-, Test- und Produktionsumgebungen	Präventiv
8.32	Änderungsmanagement	Präventiv
8.33	Testinformationen	Präventiv
8.34	Schutz von Informationssystemen während der Auditprüfung	Präventiv

ISO 27000 – Spezialthemen

Vorfallmanagement, Cloud, Risiko, Lieferanten, Governance, Forensik

11 Normen

ISO/IEC 27014

Leitfaden

Governance der Informationssicherheit

Leitlinien für IS-Governance auf Vorstands- und Managementebene. Definiert 6 Governance-Grundsätze: Etablieren, Ausrichten, Delegieren, Evaluieren, Überwachen und Kommunizieren. Klar abgegrenzt von ISMS-Management – Governance ist die Führungsaufgabe, Management die operative Umsetzung.

GovernanceManagementStrategie

ISO/IEC 27017

Leitfaden

IS-Controls für Cloud-Dienste

Erweitert ISO 27002 um Cloud-spezifische IS-Controls – sowohl für Cloud-Anbieter (CSP) als auch für Cloud-Nutzer (CSC). Enthält 37 spezifische Controls für Cloud-Umgebungen. Grundlage für Cloud-Sicherheitsvereinbarungen und SLAs. Relevant zusammen mit BSI C5.

CloudControlsCSPSLA

ISO/IEC 27018

Leitfaden

Datenschutz in der öffentlichen Cloud (PII-Schutz)

Schutz personenbezogener Daten (Personally Identifiable Information, PII) in der Public Cloud. Ergänzt ISO 27017 um datenschutzrechtliche Aspekte. Orientiert sich an DSGVO-Prinzipien und ist als Implementierungshilfe für Cloud-datenschutzkonforme Verarbeitung geeignet.

CloudDatenschutzDSGVOPII

ISO/IEC 27031

Leitfaden

ICT-Bereitschaft für Business Continuity (IRBC)

Leitlinien für ICT-Readiness als Bestandteil des Business Continuity Management. Verbindet IT-Notfallplanung mit ISO 22301 (BCM). Definiert den IRBC-Zyklus: Verstehen → Schützen → Entwickeln → Testen → Verbessern. Komplementär zu BSI 200-4.

BCMICTNotfallIRBC

ISO/IEC 27032

Leitfaden

Leitlinien für Cybersicherheit

Leitlinien für Cybersicherheit: Abgrenzung zu Informationssicherheit, Netzwerksicherheit und Internet-Sicherheit. Fokus auf öffentlich zugängliche Systeme und Schnittstellen. Behandelt Rollen, Kooperation und technische Controls für den Cyberspace.

CyberInternetKooperation

ISO/IEC 27034

Mehrteilig

Anwendungssicherheit (Application Security)

Sicherheit in Anwendungen über den gesamten Entwicklungslebenszyklus (SDLC). Mehrteilige Reihe: Teil 1 (Überblick), Teil 2 (Normatives Framework), Teil 3 (AppSec-Management-Prozess), Teil 5 (Protokolle und Datenstrukturen). Grundlage für AppSec-Frameworks und Secure-by-Design-Ansätze. Relevant für BAIT Kap. 7.

AppSecSDLCEntwicklungSecure by Design

ISO/IEC 27035

Mehrteilig

IS-Vorfallmanagement

Dreiteilige Norm: Teil 1 (Grundprinzipien), Teil 2 (Planung und Vorbereitung), Teil 3 (Leitlinien für ICT Incident Response). Kernprozess: Plan → Detect & Report → Assess & Decide → Respond → Learn. Direkte Umsetzungshilfe für DORA Art. 17–23 (Vorfallmanagement). CSIRT-Aufbau und Klassifizierungsrahmen enthalten.

Teile27035-1, 27035-2, 27035-3

KernprozessPlan → Detect → Assess → Respond → Learn

DORA-BezugArt. 17–23 (Vorfallklassifizierung, Meldung, Response)

KlassifizierungEreignis → Vorfall → Major Incident – mit Kriterien

IncidentCSIRTResponseSIEMDORA

ISO/IEC 27036

Mehrteilig

IS in Lieferantenbeziehungen

Mehrteilige Norm für IS-Anforderungen in Lieferketten und Lieferantenbeziehungen: Teil 1 (Überblick), Teil 2 (Anforderungen), Teil 3 (Leitlinien für Hardware/Software-Lieferkette), Teil 4 (Cloud-Dienste). Relevant für Outsourcing, IKT-Drittparteienmanagement und DORA Art. 28–44.

LieferantOutsourcingSupply ChainDORA

ISO/IEC 27037

Leitfaden

Leitlinien für digitale Beweise

Leitlinien für Identifikation, Sammlung, Beschaffung und Erhaltung digitaler Beweise (Digital Evidence). Grundlage für digitale Forensik und Vorfalluntersuchungen. Bewahrung der Integrität und Beweiskraft von IT-Spuren.

ForensikBeweiseIncident

ISO/IEC 27040

Leitfaden

Speichersicherheit (Storage Security)

Sicherheitsaspekte für Datenspeicherung: Klassifizierung von Speichertypen, Verschlüsselung, Zugriffskontrolle, Datenintegrität und sichere Entsorgung von Speichermedien. Relevant für Datenschutz und Compliance in Rechenzentrumsumgebungen.

StorageVerschlüsselungEntsorgungRZ

ISO/IEC 27050

Mehrteilig

Elektronische Entdeckung (eDiscovery)

Leitlinien für elektronische Entdeckung von Informationen im rechtlichen Kontext. Relevant bei Litigation, behördlichen Ermittlungen und rechtlichen Auseinandersetzungen. Vier Teile: Überblick, Orientierung, Praxis, Bereitschaft.

LegaleDiscoveryLitigation

ISO 27000 – Sektoren, Governance & Erweiterungen

Sektorspezifische Normen und Erweiterungen der ISO 27000-Familie

6 Normen

ISO/IEC 27011

Sektor

IS-Leitlinien für Telekommunikation (ITU-T X.1051)

Anwendung von IS-Leitlinien für Telekommunikationsorganisationen. Erarbeitet gemeinsam mit ITU-T. Ergänzt ISO 27002 um sektorspezifische Controls für Netzanbieter, Carrier und Telco-Infrastrukturen.

TelcoSektorITU-T

ISO/IEC 27013

Leitfaden

Integration von ISO 27001 und ISO 20000-1 (ITSM)

Leitlinien zur integrierten Implementierung von ISMS (27001) und IT-Service-Management (ISO 20000-1 / ITIL). Zeigt Synergien und gemeinsame Prozesse auf. Sinnvoll für Organisationen, die beide Frameworks parallel einsetzen.

ITSMIntegrationITIL20000-1

ISO/IEC 27019

Sektor

IS-Leitlinien für die Energieversorgung

Anwendung von IS-Leitlinien im Energiesektor (Strom, Gas, Wärme). Berücksichtigt SCADA- und ICS-Systeme. Ergänzt ISO 27002 um sektorspezifische Controls für kritische Infrastrukturen. Relevant im KRITIS-Kontext (BSI-KRITIS-Regulierung).

KRITISEnergieICSSCADA

ISO/IEC 27021

Normativ

Kompetenzanforderungen für ISMS-Fachleute

Definiert Kompetenzanforderungen für IS-Fachleute, die ISMS implementieren und betreiben. Grundlage für IS-Zertifizierungsprogramme (z.B. CISSP, CISM). Hilft Organisationen bei der Personalentwicklung und Stellenprofilgestaltung im IS-Bereich.

PersonalKompetenzZertifizierungCISSP

ISO/IEC 27033

Mehrteilig

Netzwerksicherheit (Network Security)

Sechsteilige Norm zur Sicherung von Netzwerken: Teil 1 (Überblick/Konzepte), Teil 2 (Design und Implementierung), Teil 3 (Referenzszenarien), Teil 4 (Sicherheitsgateways/Firewalls), Teil 5 (VPN), Teil 6 (Drahtlose Netze/WLAN). Vollständige Abdeckung der Netzwerkinfrastruktur-Sicherheit.

NetzwerkFirewallVPNWLAN

ISO/IEC 27701

Leitfaden

Datenschutz-Erweiterung für ISO 27001 (PIMS)

Erweiterung von ISO 27001 um ein Privacy Information Management System (PIMS). Ergänzt ISMS um datenschutzspezifische Anforderungen und Controls. Direkte Brücke zur DSGVO-Compliance. Kann als Erweiterung zu einer bestehenden ISO-27001-Zertifizierung hinzugefügt werden.

DatenschutzDSGVOPIMSPrivacy

BSI 200er-Reihe

Die vier BSI-Standards als strategische Grundlage des IT-Grundschutzes

4 Standards Kompatibel mit ISO 27001

BSI 200-1

Standard

Managementsysteme für Informationssicherheit (ISMS)

Dachstandard der BSI-Methodik. Definiert Anforderungen und Empfehlungen für den Aufbau und Betrieb eines ISMS. Strukturell an ISO 27001 orientiert und mit dieser kompatibel. Bildet die strategische Ebene – unterhalb davon setzt BSI 200-2 die Methodik operativ um. Enthält Grundprinzipien, Managementverantwortung und den PDCA-Zyklus.

ISO-KompatibilitätKompatibel mit ISO/IEC 27001

EbeneStrategisch / ISMS-Rahmenwerk

ZielgruppeCISO, IS-Beauftragte, Management

🔗 Dokument:BSI-Standards Übersicht PDF Download (kostenlos)

ISMSGrundlageISO-kompatibelPDCA

BSI 200-2

Standard

IT-Grundschutz-Methodik

Herzstück der BSI-Methodik. Beschreibt drei Vorgehensweisen zur Umsetzung von IT-Grundschutz: Basis-Absicherung (schnell, geringes Schutzniveau), Standard-Absicherung (vollständig, bewährt) und Kern-Absicherung (fokussiert auf Kronjuwelen). Verweist auf das IT-Grundschutz-Kompendium als Maßnahmengrundlage. Definiert Schutzbedarfsfeststellung, Modellierung und Risikoanalyse.

VorgehensweisenBasis-Absicherung, Standard-Absicherung, Kern-Absicherung

Kern-ProzesseSchutzbedarfsfeststellung → Modellierung → Basis-Sicherheitscheck → Risikoanalyse

ErgänzungRisikoanalyse: BSI 200-3

MaßnahmenIT-Grundschutz-Kompendium (Bausteine)

🔗 Dokument:BSI Webseite PDF Download (kostenlos)

MethodikGrundschutzSchutzbedarfsfeststellungModellierung

BSI 200-3

Standard

Risikoanalyse auf der Basis von IT-Grundschutz

Ergänzt BSI 200-2 um eine strukturierte Risikoanalyse für Systeme, die über Standard-Grundschutz hinausgehen oder hohen Schutzbedarf aufweisen. Definiert Gefährdungsanalyse, Risikobewertung und Risikobehandlung im Grundschutz-Kontext. Kompatibel mit ISO 27005. Relevant für DORA und MaRisk AT 4.3.

AnwendungsfallHoher/sehr hoher Schutzbedarf, nicht abgedeckte Bausteine

ISO-KompatibilitätKompatibel mit ISO/IEC 27005

RegulatorikDORA Art. 5–16, MaRisk AT 4.3, BAIT Kap. 3

🔗 Dokument:PDF Download (kostenlos)

RisikoAnalyseBewertungDORA

BSI 200-4

Standard

Business Continuity Management (BCM)

Leitfaden für BCM nach IT-Grundschutz. Deckt den vollständigen BCM-Lebenszyklus ab: Notfallkonzept, Business Impact Analyse (BIA), Notfallvorsorgekonzept, Wiederanlaufplanung, Notfallhandbuch und Übungen/Tests. Kompatibel mit ISO 22301 (internationaler BCM-Standard). Relevant für MaRisk AT 7.3 und DORA.

BCM-ZyklusInitiierung → BIA → Strategien → Konzepte → Tests → Verbesserung

ISO-KompatibilitätKompatibel mit ISO 22301

RegulatorikMaRisk AT 7.3, DORA Art. 11, BAIT Kap. 9

KernbegriffeBIA, RTO (Wiederanlaufzeit), RPO (Datenverlustzeit), MTD (Max. tolerierbare Ausfallzeit)

🔗 Dokument:BSI Webseite PDF Download (kostenlos)

BCMNotfallBIARTORPOMaRisk

IT-Grundschutz-Kompendium

Operative Umsetzungsgrundlage des IT-Grundschutzes mit über 111 Bausteinen

GS

IT-Grundschutz-Kompendium (jährlich aktualisiert)

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Jährliche Ausgabe

Das IT-Grundschutz-Kompendium ist die operative Umsetzungsgrundlage der BSI-Methodik. Es enthält Bausteine mit konkreten Anforderungen (MUSS, SOLLTE, KANN) für Systeme, Anwendungen, Prozesse und Infrastrukturen. Bausteine sind in Schichten gegliedert. Jeder Baustein enthält: Beschreibung, Gefährdungen (aus dem BSI-Elementar-Gefährdungskatalog), Anforderungen nach Schutzbedarfsstufe und Umsetzungshinweise.

🔗 Dokumente:Kompendium Online (BSI)PDF Edition 2023 (aktuell gültig, kostenlos)

Schicht

Bausteine (Auswahl)

ISMS

Sicherheitsmanagement

ISMS.1 Sicherheitsmanagement

ORP

Organisation und Personal

ORP.1 Organisation

ORP.2 Personal

ORP.3 Sensibilisierung

ORP.4 Identitäts- und Berechtigungsmanagement

CON

Konzepte und Vorgehensweisen

CON.1 Kryptokonzept

CON.2 Datenschutz

CON.6 Löschen und Vernichten

CON.7 Informationssicherheit auf Auslandsreisen

CON.8 Software-Entwicklung

OPS

Betrieb

OPS.1.1.2 IT-Administration

OPS.1.1.3 Patch- und Änderungsmanagement

OPS.1.2.2 Archivierung

OPS.2.2 Cloud-Nutzung

OPS.3.1 Outsourcing

DER

Detektion und Reaktion

DER.1 Detektion sicherheitsrel. Ereignisse

DER.2.1 Incident-Management

DER.2.2 Vorsorge für IT-Forensik

DER.3.1 Audits und Revisionen

DER.4 Notfallmanagement

APP

Anwendungen

APP.1.1 Office-Produkte

APP.2.1 Allg. Verzeichnisdienst

APP.3.1 Webanwendungen

APP.5.2 Microsoft Exchange/Outlook

APP.5.3 E-Mail-Client und -Server

SYS

IT-Systeme

SYS.1.1 Allgemeiner Server

SYS.1.5 Virtualisierung

SYS.2.1 Allgemeiner Client

SYS.3.2.2 Mobile Device Management

SYS.4.1 Drucker, Kopierer, MFG

IND

Industrielle IT

IND.1 Prozessleit- und Automatisierungstechnik

IND.2.1 Allgemeine ICS-Komponente

IND.3.2 Fernwartung industrielles Umfeld

NET

Netze und Kommunikation

NET.1.1 Netzarchitektur und -design

NET.1.2 Netzmanagement

NET.2.2 WLAN-Nutzung

NET.3.1 Router und Switches

NET.3.2 Firewall

INF

Infrastruktur

INF.1 Allgemeines Gebäude

INF.2 Rechenzentrum / Serverraum

INF.5 Raum / Schrank techn. Infrastruktur

BSI Technische Richtlinien & C5

Technische Mindeststandards und Cloud-Sicherheitsprüfung

BSI TR-Reihe

Richtlinien

Technische Richtlinien (BSI TR)

Praxisnahe technische Mindeststandards des BSI. Wichtigste Richtlinien: BSI TR-02102 (Kryptographische Verfahren – welche Algorithmen und Schlüssellängen empfohlen, jährlich aktualisiert), BSI TR-03116 (Kryptographische Vorgaben für eGovernment), BSI TR-03138 (RESISCAN – Ersetzendes Scannen), BSI TR-03183 (Cyber-Resilienz-Anforderungen).

TR-02102Kryptographische Algorithmen: AES-256, RSA ≥3000 Bit, SHA-256 etc. Jährlich aktualisiert.

TR-03116eGovernment-Kryptovorgaben, TLS-Mindestversionen, Zertifikatsanforderungen

TR-03138Ersetzendes Scannen – rechtssicheres Digitalisieren von Papierdokumenten

🔗 Dokumente:BSI TR-02102 (Krypto)BSI TR-03116 (eGov)

KryptoTechnikAlgorithmeneGov

BSI C5:2020

Kriterien

Cloud Computing Compliance Criteria Catalogue (C5)

Kriterienkatalog des BSI für die Sicherheit von Cloud-Diensten. Ermöglicht Auditierung von Cloud-Anbietern (AWS, Azure, GCP, etc.) nach einheitlichen Kriterien. Das Ergebnis ist ein C5-Testat (Typ 1 oder Typ 2) durch einen Wirtschaftsprüfer. Seit 2022 in KRITIS-relevanten Sektoren und regulierten Branchen zunehmend gefordert. 17 Themenbereiche mit über 100 Kriterien.

AusgabeC5:2020 (aktuell gültige Version)

TestattypenTyp 1 (Stichtagsbezogen), Typ 2 (Zeitraumbetrachtung, ca. 6 Monate)

Themenbereiche17 Bereiche u.a. Organisation, Sicherheitspolitik, Personal, Physical Security, Betrieb, Netz, Verschlüsselung, Identität, Notfall, Einkauf

PrüferWirtschaftsprüfer (WP) oder vergleichbar akkreditierte Stellen

ISO-BezugErgänzt ISO 27017 und ISO 27018 für den deutschen Markt

🔗 Dokumente:BSI C5 Webseite C5:2020 PDF (kostenlos)

CloudAuditTestatAWSAzureGCP

ISO/IEC 27035 – Vertiefung: Vorfallmanagement

Klassifizierungsrahmen, Prozessschritte, CSIRT-Aufbau und DORA-Bezug im Detail

27035-1 · 27035-2 · 27035-3 DORA Art. 17–23

①

Dreistufige Klassifizierung: Ereignis → Vorfall → Major Incident

ISO 27035-1, Abschnitt 4 – Grundlegende Konzepte und Definitionen

Stufe	Definition (ISO 27035)	Praxiskriterien / Abgrenzung
IS-Ereignis Information Security Event	Identifiziertes Auftreten eines System-, Dienst- oder Netzwerkzustands, der auf eine mögliche Verletzung der IS-Richtlinie oder das Versagen von Schutzmaßnahmen hindeutet.	Beispiele: Fehlgeschlagener Login-Versuch, ungewöhnlicher Netzwerkverkehr, Portscans, automatischer AV-Alert, unbekannte USB-Verbindung. Abgrenzung: Kein bestätigter Schaden, keine Verletzung – nur Indiz. Wird durch 1st-Level-Triage bewertet.
IS-Vorfall Information Security Incident	Ein oder mehrere unerwünschte oder unerwartete IS-Ereignisse, bei denen eine signifikante Wahrscheinlichkeit besteht, dass Geschäftsbetrieb beeinträchtigt wird und IS gefährdet ist.	Beispiele: Bestätigte Malware-Infektion, kompromittiertes Benutzerkonto, unbefugter Datenzugriff, erfolgreicher Phishing-Angriff, Ransomware-Aktivität. Abgrenzung: Bestätigter Schaden oder realistische Bedrohung für CIA. Eskalation an IS-Team / SOC erforderlich.
Major Incident Schwerwiegender IS-Vorfall	IS-Vorfall mit erheblichen negativen Auswirkungen auf Geschäftstätigkeit, Reputation, Finanzen oder Compliance – einschließlich meldepflichtiger Vorfälle.	Beispiele: Ransomware mit Systemausfall, großflächiger Datenverlust/-diebstahl, Kompromittierung kritischer Systeme, Notfallbetrieb erforderlich. Abgrenzung: Krisenmanagement aktiviert, Vorstand informiert, externe Meldung (BaFin/BSI) geprüft. Bei DORA: Meldung an BaFin innerhalb 4h/24h/72h-Fristen.

②

Klassifizierungskriterien für die Einstufung

ISO 27035-1, Abschnitt 5.4 – Bewertungsparameter für Assess & Decide

Auswirkung auf CIA

Vertraulichkeit: Wurden schutzbedürftige Daten offengelegt? Personenbezogen? Bankintern klassifiziert?

Integrität: Wurden Daten oder Systeme manipuliert? Ist die Korrektheit noch gewährleistet?

Verfügbarkeit: Sind Systeme oder Services ausgefallen? Wie lange? Wie viele Nutzer betroffen?

Betroffene Assets & Reichweite

Kritikalität: Ist ein Kernsystem (z.B. SAP, VPN, Active Directory, E-Mail) betroffen?

Reichweite: Einzelner Arbeitsplatz, Abteilung oder flächendeckend?

Ausbreitung: Ist der Vorfall aktiv/fortlaufend oder bereits eingedämmt?

Regulatorische & rechtliche Dimension

Meldepflicht: Greift DORA, DSGVO Art. 33, BSI-Meldepflicht oder Strafrecht?

Vertragliche Pflichten: SLA-Verletzung, Benachrichtigung von Geschäftspartnern?

Reputationsrisiko: Ist externe Kommunikation oder Pressearbeit erforderlich?

Schweregrad-Matrix (vereinfacht nach ISO 27035 / DORA-Klassifizierung)

Schweregrad	Auswirkung	Reaktionszeit	Eskalation	DORA-Relevanz
S1 – Niedrig	Kein oder minimaler Betriebseinfluss, kein Datenverlust	Next Business Day	Service Desk / 1st Level	Nein
S2 – Mittel	Eingeschränkter Betrieb, begrenzte Nutzergruppe betroffen	4 Stunden	IT-Leitung / opSec	Prüfen
S3 – Hoch	Kritische Systeme betroffen, signifikanter Datenverlust, breite Nutzerbetroffenheit	1 Stunde	CISO / IT-Leitung / Vorstand	Ja – Erstmeldung 4h
S4 – Kritisch	Komplettausfall, Major Breach, Krisenfall – Notfallbetrieb aktiviert	Sofort	Vorstand + Krisenstab + BaFin	Ja – Meldung 4h/24h/72h

③

Der ISO 27035-Kernprozess im Detail

ISO 27035-1, Abschnitt 6 – Fünfphasiger Prozessablauf

Phase	Aktivitäten	Outputs / Dokumente
1. Plan & Prepare Vor dem Vorfall	IS-Vorfallrichtlinie erstellen, CSIRT/SOC aufbauen und trainieren, Klassifizierungsschema definieren, Kommunikationswege festlegen, Runbooks/Playbooks entwickeln, Kontaktlisten pflegen (intern, Strafverfolgung, Regulatoren).	IS-Vorfallmanagement-Richtlinie, CSIRT-Charter, Klassifizierungsmatrix, Eskalationsmatrix, Runbooks, Kontaktverzeichnis, Meldewegmatrix (DORA).
2. Detect & Report Erkennung & Meldung	Ereignisse aus SIEM, AV, EDR, Netzwerk-Monitoring, Help-Desk-Meldungen oder externen Quellen erkennen. Erste Qualifizierung: Ist es ein Ereignis oder Vorfall? Eröffnung Ticket / Incident-Record. Benachrichtigung der zuständigen Stellen.	Incident-Ticket/-Record, Erstmeldung intern, Erstbewertungsbogen, SOC-Alert-Dokumentation.
3. Assess & Decide Bewertung & Entscheidung	Schweregrad anhand Klassifizierungskriterien festlegen (CIA, Reichweite, Regulatorik). Entscheidung: Behandlung intern, Eskalation, Krisenfall. DORA-Meldepflicht prüfen. Forensische Sicherung einleiten wenn nötig.	Klassifizierungsentscheidung (S1–S4), Eskalationsentscheidung, DORA-Meldepflicht-Checkliste, Forensik-Entscheidung.
4. Respond Reaktion & Eindämmung	Eindämmung (Containment): betroffene Systeme isolieren. Beseitigung (Eradication): Schadcode entfernen, Schwachstelle schließen. Wiederherstellung (Recovery): Systeme in sicheren Betrieb zurückführen, Daten wiederherstellen. DORA-Meldung an BaFin einreichen.	Containment-Protokoll, Eradication-Nachweis, Recovery-Protokoll, DORA-Meldungen (Erstmeldung, Zwischenmeldung, Abschlussmeldung), Kommunikation intern/extern.
5. Learn Lessons Learned	Post-Incident-Review durchführen (innerhalb 2–4 Wochen). Root-Cause-Analysis erstellen. Verbesserungsmaßnahmen ableiten und tracken. Runbooks aktualisieren. Ergebnisse an Management berichten. DORA-Abschlussmeldung ggf. ergänzen.	Post-Incident-Report, Root-Cause-Analysis, Maßnahmenplan (CAPA), aktualisierte Runbooks/Playbooks, Management-Bericht, DORA-Abschlussmeldung.

④

DORA-Meldefristen für schwerwiegende IKT-Vorfälle

DORA Art. 19–20 – Dreistufiges Meldeverfahren an BaFin / EBA

Meldung	Frist ab Erkennung	Inhalt	Empfänger
Erstmeldung Initial Notification	4 Stunden nach Klassifizierung als schwerwiegend (spätestens 24h nach erstmaliger Erkennung)	Art des Vorfalls, betroffene Systeme/Dienste, erste Auswirkungsschätzung, eingeleitete Maßnahmen.	BaFin (als zuständige Behörde), ggf. EBA/ESMA/EIOPA
Zwischenmeldung Intermediate Report	72 Stunden nach Erstmeldung (oder wenn wesentliche neue Informationen vorliegen)	Aktualisierte Lagebewertung, Fortschritt bei Eindämmung, Auswirkungsdetails, weiterer Handlungsbedarf.	BaFin
Abschlussmeldung Final Report	1 Monat nach Behebung des Vorfalls	Root-Cause-Analyse, vollständige Auswirkungsdarstellung, umgesetzte und geplante Maßnahmen, Lessons Learned.	BaFin

Hinweis: Die genauen Schwellenwerte für „schwerwiegend" (Major Incident) nach DORA werden durch die RTS (Regulatory Technical Standards) der EBA konkretisiert – u.a. Anzahl betroffener Kunden, Transaktionsvolumen, Ausfallzeit und geografische Reichweite. Bei Banken und Kreditinstituten sollten die klassifizierungsrelevanten Schwellenwerte intern dokumentiert werden.

⑤

CSIRT / Incident Response Team – Rollen nach ISO 27035-2

Organisatorischer Rahmen für das IS-Vorfallmanagement

Rolle	Aufgaben	Beispiel / Kontext
Incident Manager	Gesamtverantwortung für den Vorfallresponse-Prozess, Koordination aller Beteiligten, Kommunikation mit Management.	opSec / CISO-Funktion des Instituts
SOC / 1st Responder	Ersterkennung, initiale Triage, Qualifizierung Ereignis vs. Vorfall, Eskalation nach Schema.	msg Security Advisors SOC (24/7)
Technical Analyst	Technische Analyse, Forensik, Containment und Eradication, Schwachstellenidentifikation.	IT-Administration / internes IT-Team
Communication Lead	Interne und externe Kommunikation, Behördenkommunikation (BaFin), Pressestelle bei Bedarf.	IT-Leitung / Vorstand des Instituts
Legal / Compliance	Prüfung Meldepflichten (DORA, DSGVO), rechtliche Bewertung, Behördenkommunikation rechtlich absichern.	Rechtsabteilung / Compliance des Instituts

Kritischer Punkt für Banken: Die Schnittstelle zwischen internem opSec/CISO und dem externen SOC-Dienstleister für Off-Hours-Szenarien muss klar im Runbook verankert sein – wer wird wann wie eskaliert, wer entscheidet über S3/S4-Einstufung außerhalb der Geschäftszeiten?

DORA – Normenbezüge

Digital Operational Resilience Act (EU 2022/2554) – Mapping zu ISO und BSI

DORA

Digital Operational Resilience Act

EU-Verordnung 2022/2554 – in Kraft seit 17. Januar 2025

In Kraft

DORA gilt für alle Finanzinstitute in der EU sowie für IKT-Drittdienstleister (Critical Third Parties). Ziel ist die digitale operationale Resilienz – die Fähigkeit, IKT-bezogene Störungen und Bedrohungen standzuhalten, zu reagieren und sich zu erholen. Fünf Säulen: IKT-Risikomanagement, Vorfallmanagement, Resilienztesting (TLPT), Drittparteienmanagement und Informationsaustausch.

⚠️ Hinweis BAIT/DORA: Die BAIT wurde zum 17. Januar 2025 für DORA-pflichtige Institute außer Kraft gesetzt. MaRisk gilt weiterhin vollumfänglich parallel zu DORA. Institute mit Übergangsfrist (§ 65a KWG) können BAIT bis 1. Januar 2027 anwenden.

🔗 Offizielle Dokumente:EUR-Lex Volltext (DE)PDF Amtsblatt (DE)BaFin DORA-Seite Bundesbank BAIT/DORA

DORA-Artikel	Inhalt & Normbezug
Art. 5–16 – IKT-Risikomanagement	Vollständiger IKT-Risikorahmen mit IKT-Strategie, Governance, Schutz, Erkennung, Reaktion und Wiederherstellung. Normen: ISO 27001ISO 27005ISO 27014BSI 200-1BSI 200-3
Art. 17–23 – Vorfallmanagement & Meldung	Klassifizierung von IKT-Vorfällen, Major-Incident-Meldung an BaFin/EBA/ESMA, Ursachenanalyse. Normen: ISO 27035ISO 27002 Control 5.24–5.27BSI DER.2.1BSI DER.1
Art. 24–27 – Resilienztesting (TLPT)	Threat-Led Penetration Testing (TLPT) für bedeutende Institute alle 3 Jahre durch akkreditierte Tester. Normen: ISO 27002 Control 8.29ISO 27002 Control 8.8BSI TR (Sicherheitsprüfungen)
Art. 28–44 – IKT-Drittparteienmanagement	Anforderungen an IKT-Dienstleisterverträge, Register aller IKT-Drittparteien, Überwachung kritischer Anbieter durch ESAs. Normen: ISO 27036ISO 27002 Controls 5.19–5.23BSI OPS.2.2BSI OPS.3.1
Art. 45 – Informationsaustausch	Freiwilliger Austausch von Cyber-Bedrohungsinformationen zwischen Finanzinstituten. Normen: ISO 27002 Control 5.7 (Threat Intelligence)

MaRisk – Normenbezüge

Mindestanforderungen an das Risikomanagement (BaFin-Rundschreiben) – Mapping zu ISO und BSI

MaRisk

Mindestanforderungen an das Risikomanagement

BaFin-Rundschreiben – aktuell: 05/2017 mit Anpassungen. Gilt für alle Kreditinstitute.

Gültig

Die MaRisk konkretisieren § 25a KWG und bilden den übergeordneten Rahmen für das Risikomanagement in deutschen Kreditinstituten. AT 7.2 (IT-Ressourcen) und AT 7.3 (IT-Notfallmanagement) sind die zentralen IT-Kapitel. Die BAIT konkretisiert diese Anforderungen. MaRisk ist als prinzipienbasiertes Regelwerk formuliert – ISO/BSI-Normen sind die natürlichen Umsetzungsrahmen.

⚠️ 9. MaRisk-Novelle – Konsultation läuft (Stand: April 2026)
Am 1. April 2026 hat die BaFin den Entwurf zur 9. MaRisk-Novelle (Konsultation 02/2026) veröffentlicht. Stellungnahmen können bis 8. Mai 2026 eingereicht werden. Finale Fassung wird für H2 2026 erwartet.

Kerninhalte der 9. Novelle: Grundlegender Paradigmenwechsel weg von „Checkbox-Compliance" hin zu prinzipienbasierter Steuerung. Drei neue Institutsgrößenklassen: Sehr kleine Institute (<1 Mrd. €), Kleine Institute / SNCIs (1–5 Mrd. €), Übrige LSIs (>5 Mrd. €). Komplexitätsreduktion um ca. ein Drittel. Bedeutende Institute (SIs) werden aus dem MaRisk-Anwendungsbereich herausgenommen. Klare Abgrenzung MaRisk-Auslagerung (AT 9) vs. DORA IKT-Drittparteienrisikomanagement.

🔗 Aktuelle Dokumente:BaFin: 9. Novelle – Konsultation 02/2026 Konsultationsentwurf PDF Vergleichsversion (alt vs. neu)BaFin MaRisk-Seite 8. Novelle (gültig: RS 06/2024)

MaRisk-Abschnitt	Inhalt & Normbezug
AT 7.2 – IT-Ressourcen	IT-Systeme und Prozesse müssen die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Angemessenheit, Genehmigungsverfahren für IT-Projekte. Normen: ISO 27001ISO 27002BSI 200-1BSI 200-2BSI GS-Kompendium
AT 7.3 – IT-Notfallmanagement	Angemessene Notfallkonzepte für IT-Systeme. Regelmäßige Tests der Notfallpläne. Wiederanlaufplanung. Normen: ISO 27031ISO 22301BSI 200-4BSI DER.4
AT 4.3 – Risikosteuerung/-controlling	Verfahren zur Erkennung, Analyse, Bewertung und Überwachung aller wesentlichen Risiken. Normen: ISO 27005ISO 31000BSI 200-3
AT 4.4 – Interne Revision	Unabhängige, regelmäßige Prüfung aller Aktivitäten und Prozesse. Entspricht 2nd-/3rd-Line-Prinzip. Normen: ISO 27002 Control 5.35ISO 27007BSI DER.3.1
BTO (Auslagerungen)	Anforderungen an Auslagerungsverträge, Zustimmung der BaFin bei wesentlichen Auslagerungen, Kontrollrechte. Normen: ISO 27036ISO 27017ISO 27018BSI OPS.3.1
AT 9 – Risikokonzentration	Überwachung von Konzentrationsrisiken, auch bei IKT-Drittanbietern. Normen: ISO 27036DORA Art. 28–44

BAIT – Normenbezüge

Bankaufsichtliche Anforderungen an die IT (BaFin 2021) – Mapping zu ISO und BSI

BAIT

Bankaufsichtliche Anforderungen an die IT

BaFin-Rundschreiben 10/2021 – gilt für alle Institute nach KWG

Gültig

Die BAIT konkretisieren MaRisk AT 7.2/7.3 und geben 12 Kapitel mit spezifischen IT-Anforderungen für Banken vor. Sie gelten für alle Institute unter KWG-Aufsicht. Die BAIT sind das zentrale operationale IT-Regelwerk für deutsche Kreditinstitute und sollten mit ISO 27001/BSI-Grundschutz als Umsetzungsrahmen betrachtet werden.

⚠️ Status ab 17.01.2025: Die BAIT wurde für DORA-pflichtige Institute außer Kraft gesetzt. Für Institute mit Übergangsfrist (§ 65a KWG) gilt BAIT weiterhin bis 1. Januar 2027. MaRisk bleibt parallel zu DORA vollumfänglich gültig.

🔗 Offizielle Dokumente:BaFin BAIT-Seite BAIT Rundschreiben PDF Bundesbank: BAIT/DORA Übergang

BAIT-Kapitel	Inhalt & Normbezug
Kap. 1 – IT-Strategie	IT-Strategie muss mit der Geschäftsstrategie konsistent sein, regelmäßig überprüft und genehmigt werden. Normen: ISO 27014BSI 200-1
Kap. 2 – IT-Governance	Aufgaben, Kompetenzen und Verantwortlichkeiten im IT-Bereich, Steuerung, Berichtswesen. Normen: ISO 27014ISO 27002 Control 5.2BSI ORP.1
Kap. 3 – IKT-Risikomanagement	Verfahren zur Risikoidentifikation, -bewertung und -behandlung im IT-Bereich. Normen: ISO 27001ISO 27005BSI 200-3
Kap. 4 – IS-Management	IS-Leitlinie, Richtlinien, Maßnahmen, Klassifizierung, Awareness. Normen: ISO 27001ISO 27002BSI 200-2BSI ORP.3
Kap. 5 – Identitäts- & Berechtigungsmanagement	Benutzerkonten, Zugriffsrechte, Rezertifizierungsprozesse, privilegierte Konten. Normen: ISO 27002 Controls 5.15–5.18ISO 27002 Control 8.2BSI ORP.4
Kap. 6 – IT-Betrieb	Betrieb von IT-Systemen, Kapazitätsmanagement, Monitoring, Patchmanagement, Konfigurationsmanagement. Normen: ISO 27002 Controls 8.6, 8.8, 8.9BSI OPS.1.1.3BSI SYS.1.1
Kap. 7 – IT-Projekte & Anwendungsentwicklung	Sicherheit in IT-Projekten, Anforderungsmanagement, Testprozesse, sichere Softwareentwicklung. Normen: ISO 27034ISO 27002 Controls 8.25–8.31BSI CON.8
Kap. 8 – IT-Notfallmanagement	BIA, Notfallkonzept, Wiederanlaufplanung, regelmäßige Tests. Normen: ISO 27031ISO 22301BSI 200-4BSI DER.4
Kap. 9 – Management der Beziehungen zu IT-Dienstleistern	Outsourcingverträge, Kontrollrechte, Leistungsmessung, Risikoanalyse für Auslagerungen. Normen: ISO 27036ISO 27002 Controls 5.19–5.22BSI OPS.3.1
Kap. 10 – Technisch-organisatorische IS-Maßnahmen	Netzwerksicherheit, Verschlüsselung, Endpoint-Schutz, SIEM/Monitoring, Schwachstellenmanagement. Normen: ISO 27002 Kategorie 8 (Technisch)ISO 27033BSI NET.1.1BSI NET.3.2
Kap. 11 – IT-Compliance & Revision	Überprüfung der Einhaltung von IS-Anforderungen durch interne und externe Stellen. Normen: ISO 27002 Control 5.35ISO 27007BSI DER.3.1
Kap. 12 – Kritische Infrastrukturen	Zusätzliche Anforderungen für als KRITIS eingestufte Institute (Meldepflichten, Audits). Normen: ISO 27019BSI KRITIS-RegulierungBSI 200-2

Vollständiges Regulatorik-Mapping

DORA, MaRisk und BAIT auf einen Blick – Querverweise zu ISO und BSI

DORA MaRisk BAIT

Themenbezogenes Gesamtmapping

Themenfelder mit gleichzeitigem Verweis auf alle drei Regelwerke und die entsprechenden Normen

Themenfeld	DORA	MaRisk / BAIT	ISO / BSI
IKT-Strategie & Governance	Art. 5, 6	BAIT Kap. 1–2, MaRisk AT 4.1	ISO 27014BSI 200-1
IKT-Risikomanagement	Art. 8–13	MaRisk AT 4.3, BAIT Kap. 3	ISO 27001ISO 27005BSI 200-3
IS-Maßnahmen & Controls	Art. 9, 10	BAIT Kap. 4, 10	ISO 27002BSI GS-Kompendium
Identitäts- & Berechtigungsmanagement	Art. 9	BAIT Kap. 5	ISO 27002 5.15–5.18BSI ORP.4
Vorfallmanagement & Meldung	Art. 17–23	BAIT Kap. 4 (IS-Vorfälle)	ISO 27035BSI DER.2.1
BCM / IT-Notfallmanagement	Art. 11, 12	MaRisk AT 7.3, BAIT Kap. 8	ISO 27031ISO 22301BSI 200-4
Resilienztests / Penetrationstests	Art. 24–27 (TLPT)	BAIT Kap. 10 (Sicherheitsprüfungen)	ISO 27002 Control 8.29BSI TR
IKT-Drittparteienmanagement	Art. 28–44	MaRisk BTO, BAIT Kap. 9	ISO 27036ISO 27002 5.19–5.22BSI OPS.3.1
Cloud-Sicherheit	Art. 28–44 (Cloud-Anbieter)	BAIT Kap. 9 (Auslagerung Cloud)	ISO 27017ISO 27018BSI C5BSI OPS.2.2
Datenschutz (DSGVO)	Erwägungsgrund 64	MaRisk AT 7.2	ISO 27018ISO 27701BSI CON.2
Interne Revision / Audit	Art. 6 (unabh. Überprüfung)	MaRisk AT 4.4, BAIT Kap. 11	ISO 27002 Control 5.35ISO 27007BSI DER.3.1
Informationsaustausch / Threat Intel	Art. 45	–	ISO 27002 Control 5.7ISO 27035

Suchergebnisse

Geben Sie einen Begriff in die Suche ein...

NIS2 – Netz- und Informationssicherheit

Richtlinie (EU) 2022/2555 · In Deutschland in Kraft seit 6. Dezember 2025

In Kraft ~30.000 Einrichtungen DE Lex specialis: DORA für Finanzen

NIS2

Richtlinie (EU) 2022/2555 – NIS2

Netz- und Informationssicherheitsrichtlinie · Deutschland: NIS2UmsuCG in Kraft seit 6. Dezember 2025

In Kraft

NIS2 ersetzt die NIS-Richtlinie von 2016 und verpflichtet Einrichtungen in 18 kritischen und wichtigen Sektoren zu einheitlichen Cybersicherheitsmaßnahmen. In Deutschland wurde NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt – Kernstück ist die Neufassung des BSI-Gesetzes (BSIG). Ca. 30.000 Einrichtungen sind in Deutschland betroffen. Für den Finanzsektor gilt DORA als Lex specialis (Art. 2 Abs. 4 NIS2) – DORA-pflichtige Institute sind vom NIS2-Anwendungsbereich weitgehend ausgenommen, melden aber NIS2-konform über DORA an die BaFin.

Wichtig für ISB: Als Kreditinstitut unterliegt die ISB primär DORA. NIS2 gilt ergänzend für nicht-DORA-pflichtige Bereiche. Eine ISO 27001-Zertifizierung oder BSI IT-Grundschutz-Nachweis kann als Compliance-Nachweis gegenüber BSI dienen.

NIS2-Themenfeld	Inhalt & ISO/BSI-Bezug
Anwendungsbereich & Klassifizierung	18 Sektoren in zwei Klassen: Besonders wichtige Einrichtungen (Energie, Finanzen, Gesundheit, Verkehr, Wasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum) und Wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung). Einstufung nach Sektor + Größe (Mitarbeiter, Umsatz, Bilanzsumme). ISO 27001BSI 200-1
Art. 20 – Governance & Leitungsverantwortung	Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und haften persönlich. Verpflichtende Schulungen für Führungsebene. Cybersicherheit wird zur Vorstandsaufgabe. ISO 27014BSI 200-1
Art. 21 – 10 Risikomaßnahmen	Risikoanaylse, Sicherheitskonzepte, Vorfallmanagement, BCM, Lieferkettensicherheit, Netzwerksicherheit, Zugangskontrolle, Kryptografie, Schwachstellenmanagement, MFA/Kommunikationssicherheit. ISO 27001ISO 27002ISO 27005BSI GS-Kompendium
Art. 23 – Meldepflichten	Dreistufig: Erstmeldung 24h (Frühwarnung), Zwischenmeldung 72h (Vorfallbewertung), Abschlussmeldung 1 Monat. Meldestelle: BSI (national) + ENISA (europäisch). ISO 27035BSI DER.2.1
Art. 21(2d) – BCM & Notfallplanung	Verpflichtende Business Continuity Management Maßnahmen inkl. Backup, Wiederherstellung, Krisenmanagement. ISO 22301ISO 27031BSI 200-4
Art. 21(2f) – Lieferkettensicherheit	Sicherheitsanforderungen an Lieferanten und Dienstleister. Ähnlich DORA Art. 28 – ggf. koordinierte Umsetzung möglich. ISO 27036ISO 27002 Control 5.19–5.22BSI OPS.3.1
Registrierungspflicht (§§ 33 ff. BSIG)	Pflichtregistrierung beim BSI-Portal. Registrierungsfrist endete 6. März 2026. Zugang über ELSTER-Unternehmenszertifikat (MUK-Konto). Nachmeldungen weiterhin möglich.
NIS2 vs. DORA (Abgrenzung)	DORA gilt für Finanzinstitute als Lex specialis und ersetzt NIS2-Pflichten weitgehend. NIS2-Vorfallmeldung über DORA-Kanal (BaFin) wird an BSI weitergeleitet. Kein doppeltes Meldeverfahren erforderlich.

🔗 Offizielle Dokumente: EUR-Lex NIS2-Richtlinie (DE) NIS2-Richtlinie PDF BSI: NIS2-Informationsseite BMI: NIS2UmsuCG-Gesetzgebung

ISO 22301 – Business Continuity Management

Internationale Norm für BCMS – kompatibel mit BSI 200-4, DORA Art. 11 und NIS2 Art. 21

Zertifizierbar ISO 22301:2019 HLS-kompatibel

22301

ISO 22301:2019 – Business Continuity Management Systems (BCMS)

Internationale zertifizierbare Norm für den Aufbau und Betrieb eines BCMS

Zertifizierbar

ISO 22301 ist die international anerkannte Norm für Business Continuity Management. Sie legt Anforderungen für Planung, Einführung, Betrieb, Überwachung und Verbesserung eines Business Continuity Management Systems (BCMS) fest. Die Norm ist nach der High Level Structure (HLS) aufgebaut – damit direkt kompatibel mit ISO 27001 und kann in ein integriertes Managementsystem eingebettet werden. Sie dient als Umsetzungsnachweis für BCM-Anforderungen aus DORA, NIS2 und MaRisk AT 7.3.

ISO 22301-Abschnitt	Inhalt & Bezug zu anderen Normen/Regelwerken
Clause 4 – Kontext der Organisation	Festlegung des BCMS-Anwendungsbereichs, Analyse interner/externer Anforderungen, relevante Interessengruppen bestimmen. ISO 27001 Clause 4BSI 200-4 Kap. 3
Clause 5 – Führung & Leitungsverantwortung	Verpflichtung der Unternehmensleitung zum BCMS, Festlegung von Rollen und Verantwortlichkeiten, BCM-Richtlinie. Entspricht DORA Art. 5 (Governance) und MaRisk AT 7.3. ISO 27014BSI 200-4 Kap. 4
Clause 6 – Planung	Risikobewertung für das BCMS selbst, Festlegung von BCM-Zielen, Maßnahmenplanung. Nicht zu verwechseln mit der operativen BIA (→ Clause 8.2). ISO 27005BSI 200-3
Clause 8.2 – Business Impact Analyse (BIA)	Kernprozess: Identifikation kritischer Aktivitäten und Abhängigkeiten, Bestimmung von RTO (Recovery Time Objective), RPO (Recovery Point Objective) und MTPD (Maximum Tolerable Period of Disruption). Grundlage aller BC-Strategien. BSI 200-4 Kap. 5DORA Art. 11
Clause 8.3 – BC-Strategien & -Lösungen	Ableitung von Continuity-Strategien auf Basis der BIA: Ausweichstandorte, Notfallbetrieb, Lieferantenalternativen, IT-Notfallsysteme (IRBC). ISO 27031BSI 200-4 Kap. 6BSI DER.4
Clause 8.4 – BC-Pläne & -Verfahren	Notfallhandbuch, Wiederanlaufpläne, Kommunikationsverfahren, Rollen im Notfall. Strukturiert nach: Auslöser → Sofortmaßnahmen → Notbetrieb → Wiederanlauf → Normalbetrieb. BSI 200-4 Kap. 7
Clause 8.5 – Übungen & Tests	Regelmäßige Tests: Schreibtischübungen, Simulationen, vollständige Ausfallübungen. Ergebnisse dokumentieren und in Verbesserungsprozess einfließen lassen. BSI 200-4 Kap. 9DORA Art. 26 (TLPT)
Clause 9–10 – Bewertung & Verbesserung	Interne Audits, Management-Review, Korrekturmaßnahmen, kontinuierlicher Verbesserungsprozess (PDCA). Kompatibel mit ISO 27001 Clause 9–10 für integrierte Managementsysteme. ISO 27001 Clause 9–10BSI 200-4 Kap. 10

Regulatorische Relevanz

DORA Art. 11

IKT-Kontinuitätsmanagement und BCM als DORA-Pflicht. ISO 22301-Zertifizierung kann als Nachweis dienen.

MaRisk AT 7.3

IT-Notfallmanagement mit BIA, Notfallkonzept und regelmäßigen Tests. ISO 22301 ist natürlicher Umsetzungsrahmen.

NIS2 Art. 21(2b)

BCM, Backup, Wiederherstellung und Krisenmanagement als Pflichtmaßnahme. ISO 22301-Zertifizierung anerkannt.

🔗 Dokumente: ISO 22301:2019 (kostenpflichtig) BSI 200-4 (kompatibel, kostenlos) NIS2 Art. 21 (BCM-Anforderungen)

Zertifizierungen – Informationssicherheit & IT-Security

Anerkannte Zertifizierungen mit direktem Bezug zu den im Handbuch enthaltenen Normen und Regelwerken

Normbasiert International anerkannt

ℹ️

Diese Übersicht enthält ausschließlich Zertifizierungen mit direktem Bezug zu den im Handbuch behandelten Normen und Regelwerken (ISO 27001, BSI IT-Grundschutz, DORA, MaRisk). Allgemeine Pentesting- oder Herstellerzertifizierungen sind bewusst nicht enthalten.

ISO 27001 – ISMS-Zertifizierungen

PECB / BSI

Implementierung

ISO/IEC 27001 Lead Implementer

Nachweis der Kompetenz zum Aufbau, Implementierung und Management eines ISMS nach ISO 27001. Richtet sich an Verantwortliche, die ein ISMS in einer Organisation einführen. Anbieter: PECB, BSI Group. Voraussetzung: Kenntnisse ISO 27001 + praktische Erfahrung. Prüfung: schriftlich + Fallstudie.

NormbezugISO/IEC 27001:2022 (vollständig)

ZielgruppeCISO, opSec, IT-Sicherheitsbeauftragte, Berater

VoraussetzungMin. 2 Jahre Erfahrung im IS-Bereich empfohlen

AnbieterPECB (international), BSI Group (UK), TÜV, DQS

Gültigkeitsdauer3 Jahre, danach Rezertifizierung oder CPD-Nachweis

🔗 PECB Lead Implementer

ISO 27001ISMSImplementierung

PECB / BSI

Auditierung

ISO/IEC 27001 Lead Auditor

Befähigung zur Planung und Durchführung von ISMS-Audits nach ISO 27001. Unterschied zum Lead Implementer: Fokus auf unabhängige Prüfung und Beurteilung, nicht auf den Aufbau. Grundlage für Zertifizierungsaudits bei Dritten. Wichtig für interne Revisionen und externe Auditoren.

NormbezugISO/IEC 27001:2022 + ISO 19011 (Auditleitfaden)

ZielgruppeInterne Revision, Compliance, externe Auditoren

VoraussetzungMin. 2 Jahre Audit-Erfahrung empfohlen

KombinationOft kombiniert mit Lead Implementer für vollständiges ISMS-Profil

Gültigkeitsdauer3 Jahre, danach Rezertifizierung

🔗 PECB Lead Auditor

ISO 27001AuditRevision

BSI IT-Grundschutz – Personenzertifizierungen

BSI

Grundlagenniveau

IT-Grundschutz-Praktiker (GSHB Praktiker)

Einstiegszertifizierung des BSI für den IT-Grundschutz. Nachweis grundlegender Kenntnisse der BSI-Methodik, des Kompendiums und der Schutzbedarfsfeststellung. Voraussetzung für den Einstieg in BSI-zertifizierte ISMS-Projekte. Anbieter: BSI-akkreditierte Ausbildungsanbieter (z.B. TÜV, Dienstleister).

NormbezugBSI 200-1, 200-2, GS-Kompendium (Edition 2023)

ZielgruppeIT-Administratoren, IS-Beauftragte, Einsteiger

PrüfungsformatMultiple Choice, 60 Minuten, 60% Bestehensquote

GültigkeitsdauerUnbegrenzt (kein Verfallsdatum, aber Praxis empfohlen)

🔗 BSI Personenzertifizierung

BSIIT-GrundschutzEinstieg

BSI

Expertenniveau

IT-Grundschutz-Berater (GSHB Berater)

Aufbaustufe nach dem Praktiker. Nachweis der Kompetenz zur eigenständigen Durchführung von IT-Grundschutz-Projekten: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check und Risikoanalyse. Voraussetzung für die Leitung von BSI-zertifizierten ISMS-Einführungsprojekten.

NormbezugBSI 200-1, 200-2, 200-3, GS-Kompendium vollständig

ZielgruppeIS-Berater, opSec, Projektleiter ISMS-Einführung

VoraussetzungPraktiker-Zertifikat + min. 1 Jahr Berufserfahrung

PrüfungsformatSchriftliche Prüfung + praktische Fallstudie

🔗 BSI Personenzertifizierung

BSIIT-GrundschutzBeratungProjekt

ISACA – Governance & Risiko (Normbezug)

ISACA

Management

CISM – Certified Information Security Manager

International renommierte Managementzertifizierung für IS-Verantwortliche. Deckt vier Domänen ab: IS-Governance, Risikomanagement, IS-Programmentwicklung und Incident Management. Direkter Bezug zu ISO 27014 (Governance) und ISO 27001 Clause 5–6. Besonders relevant für CISOs und opSec-Leitungsfunktionen.

NormbezugISO 27001 Clause 5–6, ISO 27014 (Governance), ISO 27005

VoraussetzungMin. 5 Jahre IS-Berufserfahrung (3 davon im Management)

Prüfungsformat150 Fragen, 4 Stunden, alle 5 Jahre Rezertifizierung

ZielgruppeCISO, IS-Manager, opSec-Leitung, Compliance

MaRisk-BezugGovernance-Anforderungen AT 4.3, AT 7.2

🔗 ISACA CISM

ISACAGovernanceCISOISO 27014

ISACA

Risikomanagement

CRISC – Certified in Risk and Information Systems Control

Spezialisierung auf IT-Risikomanagement und interne Kontrollen. Vier Domänen: Governance, IT-Risikobewertung, Risikoreaktion, IS-Technologie und -Sicherheit. Direkter methodischer Bezug zu ISO 27005 (Risikomanagement) und DORA Art. 6–8 (IKT-Risikomanagement). Anerkannt im Bankensektor für 2nd-Line-Funktionen.

NormbezugISO 27005, DORA Art. 6–8 (IKT-Risiko), MaRisk AT 4.3.2

VoraussetzungMin. 3 Jahre Erfahrung in IS-Risikomanagement

Prüfungsformat150 Fragen, 4 Stunden, alle 3 Jahre Rezertifizierung

ZielgruppeIT-Risikomanager, 2nd-Line-Funktionen, Compliance

🔗 ISACA CRISC

ISACARisikoISO 27005DORA

ISACA

Auditierung

CISA – Certified Information Systems Auditor

Weltweiter Standard für IS-Auditoren. Fünf Domänen: IS-Audit-Prozess, Governance, IS-Akquisition, IS-Betrieb, Schutz von Informationswerten. Bezug zu ISO 27001 Clause 9 (Interne Audits) und ISO 27007 (Auditleitfaden). Besonders relevant für interne Revisionen im regulierten Umfeld (MaRisk BT 2).

NormbezugISO 27001 Clause 9, ISO 27007, MaRisk BT 2 (Interne Revision)

VoraussetzungMin. 5 Jahre Audit-/IS-Erfahrung

Prüfungsformat150 Fragen, 4 Stunden, alle 3 Jahre Rezertifizierung

ZielgruppeInterne Revision, externe Auditoren, Compliance

🔗 ISACA CISA

ISACAAuditRevisionISO 27007

Business Continuity – ISO 22301 Zertifizierungen

PECB

BCM

ISO 22301 Lead Implementer / Lead Auditor

Pendant zum ISO 27001-Zertifikat für Business Continuity Management. Lead Implementer: Aufbau und Betrieb eines BCMS. Lead Auditor: unabhängige Prüfung von BCMS-Implementierungen. Direkter Bezug zu DORA Art. 11 (IKT-Kontinuitätsmanagement) und MaRisk AT 7.3 (IT-Notfallmanagement). Kann mit ISO 27001-Zertifikat für integriertes Managementsystem kombiniert werden.

NormbezugISO 22301:2019 vollständig, BSI 200-4 (kompatibel)

RegulatorikbezugDORA Art. 11, MaRisk AT 7.3, NIS2 Art. 21(2b)

ZielgruppeBCM-Verantwortliche, CISO, IT-Notfallbeauftragte

KombinierbarZusammen mit ISO 27001 Lead Implementer für integriertes ISMS+BCMS

🔗 PECB ISO 22301

ISO 22301BCMDORA Art. 11MaRisk AT 7.3

Schnellübersicht – Welche Zertifizierung passt?

Zertifizierung	Schwerpunkt	Normbezug	Zielrolle
ISO 27001 Lead Implementer	ISMS aufbauen	ISO 27001	CISO, opSec, Berater
ISO 27001 Lead Auditor	ISMS prüfen	ISO 27001ISO 27007	Revision, Auditoren
IT-GS Praktiker	Grundschutz Einstieg	BSI 200-1/2GS-Kompendium	IT-Admin, IS-Beauftragter
IT-GS Berater	Grundschutz Projekte	BSI 200-1/2/3GS-Kompendium	Berater, Projektleitung
CISM	IS-Governance & Management	ISO 27014ISO 27001	CISO, Management
CRISC	IT-Risikomanagement	ISO 27005DORA Art. 6–8	Risikomanager, 2nd Line
CISA	IS-Audit & Revision	ISO 27001 Cl.9ISO 27007	Interne Revision
ISO 22301 Lead Implementer	BCM aufbauen	ISO 22301DORA Art. 11	BCM-Verantwortliche