Wer in Deutschland für Informationssicherheit verantwortlich ist – ob als IT-Sicherheitsbeauftragter (ISB), als Geschäftsführer, als Systemadministrator oder als externer Berater – kommt an einem Namen nicht vorbei: dem BSI IT-Grundschutz. Seit über 30 Jahren ist er das zentrale Rahmenwerk für strukturierte Informationssicherheit in deutschen Behörden und Unternehmen. Und seit 2023 befindet er sich in einer der tiefgreifendsten Transformationen seiner Geschichte: der Weiterentwicklung zum IT-Grundschutz++.
Dieser Artikel erklärt, was der IT-Grundschutz ist, wie er sich entwickelt hat, was sich mit dem “++” grundlegend ändert, warum diese Reform notwendig ist – und was das konkret für Organisationen bedeutet, die heute mit dem Standard arbeiten oder ihn einführen wollen.
1. Was ist der BSI IT-Grundschutz? #
Der IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk für Informationssicherheit. Er verfolgt einen ganzheitlichen Ansatz: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet.
„Der IT-Grundschutz liefert hierfür ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug. Er ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen." — BSI, offizielle Webseite
Das Besondere am IT-Grundschutz ist seine Doppelfunktion: Er ist gleichzeitig eine Methodik (wie gehe ich strukturiert vor?) und ein Maßnahmenkatalog (was muss ich konkret umsetzen?). Diese Kombination macht ihn einzigartig im Vergleich zu rein abstrakten Standards wie der ISO 27001, die zwar definiert, was ein Informationssicherheits-Managementsystem (ISMS) leisten muss, aber nicht wie es umzusetzen ist.
Die vier BSI-Standards als Fundament #
Der IT-Grundschutz stützt sich auf vier zentrale Dokumente, die sogenannten BSI-Standards der 200er-Reihe:
| Standard | Titel | Inhalt |
|---|---|---|
| BSI 200-1 | Managementsysteme für Informationssicherheit (ISMS) | Grundlagen und Anforderungen an ein ISMS, kompatibel mit ISO 27001 |
| BSI 200-2 | IT-Grundschutz-Methodik | Die Vorgehensweise: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutzcheck |
| BSI 200-3 | Risikoanalyse auf Basis von IT-Grundschutz | Ergänzende Risikoanalyse für Objekte mit erhöhtem Schutzbedarf |
| BSI 200-4 | Business Continuity Management (BCM) | Notfallmanagement und Aufrechterhaltung des Geschäftsbetriebs (veröffentlicht 2023) |
Diese Standards bilden das methodische Rückgrat. Das IT-Grundschutz-Kompendium liefert dazu die konkreten Bausteine – also die eigentlichen Sicherheitsanforderungen.
2. Die Geschichte: 30 Jahre IT-Grundschutz #
Um zu verstehen, warum der Grundschutz++ so bedeutsam ist, lohnt ein Blick auf die Entwicklungsgeschichte dieses Standards.
Von der Idee zur Institution (1992–2005) #
Der Ursprung liegt im Jahr 1992, als das BSI ein erstes „IT-Sicherheitshandbuch" veröffentlichte. Zwei Jahre später, im Jahr 1994, erschien das erste IT-Grundschutzhandbuch – der eigentliche Startschuss für das, was heute als IT-Grundschutz bekannt ist. Der Grundgedanke war damals wie heute: Praxisnah und flexibel, mit konkreten Handlungsempfehlungen statt abstrakter Theorie.
Im Jahr 2002 wurde die IT-Grundschutz-Zertifizierung eingeführt. Organisationen konnten nun erstmals offiziell nachweisen, dass sie die Anforderungen des Standards erfüllen. Dies war ein Meilenstein, denn er schuf Vertrauen zwischen Behörden, Unternehmen und deren Partnern.
Die erste große Modernisierung (2005–2017) #
Mit den BSI-Standards 100-1, 100-2 und 100-3 erfolgte 2005 die erste große strukturelle Überarbeitung. Die Kataloge wurden systematisiert, die Methodik verfeinert. Doch die Welt der IT änderte sich schneller als die Updatezyklen des Standards.
Im Jahr 2017 folgte die bislang tiefgreifendste Reform: Die alten 100er-Standards wurden durch die neuen 200er-Standards ersetzt. Gleichzeitig wurde das IT-Grundschutz-Kompendium eingeführt, das die bisherigen umfangreichen Kataloge ablöste. Die drei Vorgehensweisen Basis-Absicherung, Standard-Absicherung und Kern-Absicherung wurden eingeführt, um unterschiedlichen Reifegrad-Anforderungen gerecht zu werden.
Das Kompendium und seine 111 Bausteine (2018–2023) #
Ab 2018 erschien das IT-Grundschutz-Kompendium jährlich, zuletzt in der Edition 2023 mit insgesamt 111 Bausteinen in 10 thematischen Schichten.4 Diese Schichten reichen von ISMS (Sicherheitsmanagement) über ORP (Organisation und Personal), CON (Konzepte und Vorgehensweisen), OPS (Betrieb), DER (Detektion und Reaktion), INF (Infrastruktur), NET (Netze und Kommunikation), SYS (IT-Systeme), APP (Anwendungen) bis hin zu IND (Industrielle IT).
Jeder Baustein enthält eine Beschreibung der Gefährdungslage, konkrete Sicherheitsanforderungen (unterteilt in MUSS-, SOLLTE- und KANN-Anforderungen) sowie Umsetzungshinweise. Die Edition 2023 ist die letzte ihrer Art – denn ab 2026 übernimmt der Grundschutz++.
3. Das IT-Grundschutz-Kompendium: Aufbau und Systematik #
Bevor wir uns dem Grundschutz++ widmen, ist es wichtig, das bestehende System zu verstehen – denn der “++” baut darauf auf und verändert es fundamental.
Die zehn Schichten #
Das Kompendium gliedert seine 111 Bausteine in zehn Schichten, die von übergreifenden Managementthemen bis hin zu spezifischen technischen Systemen reichen:
| Schicht | Kürzel | Beispiele |
|---|---|---|
| Besonders wichtige Einrichtung | Anhang I | Großunternehmen |
| Wichtige Einrichtung | Anhang I + II | Mittleres Unternehmen |
| Größenunabhängig | DNS, TLD, Vertrauensdienste | - |
| KRITIS-Betreiber | Kritische Anlagen | Schwellenwert (≥500.000 Versorgte) |
Die drei Vorgehensweisen #
Der BSI-Standard 200-2 definiert drei Wege, wie Organisationen den IT-Grundschutz anwenden können:
Die Basis-Absicherung richtet sich an Einsteiger und kleine Organisationen. Sie ermöglicht einen schnellen Einstieg mit einem Grundniveau an Sicherheit, ohne sofort ein vollständiges ISMS aufbauen zu müssen. Der „Weg in die Basis-Absicherung" (WiBA) ist ein vom BSI entwickeltes Checklisten-System, das diesen Einstieg weiter vereinfacht.
Die Standard-Absicherung ist der Regelfall für Organisationen, die ein vollständiges ISMS aufbauen und eine ISO 27001-Zertifizierung anstreben. Sie umfasst die vollständige Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und den IT-Grundschutzcheck.
Die Kern-Absicherung fokussiert sich auf die besonders kritischen Assets einer Organisation – das sogenannte „Kronjuwelen"-Prinzip. Sie eignet sich, wenn Ressourcen begrenzt sind und zunächst die wichtigsten Systeme geschützt werden sollen.
Die Schutzbedarfskategorien #
Ein zentrales Konzept des IT-Grundschutzes ist die Schutzbedarfsfeststellung. Für jedes informationsverarbeitende System wird ermittelt, welchen Schutzbedarf es bezüglich der drei klassischen Schutzziele hat:
- Vertraulichkeit (Confidentiality): Schutz vor unbefugtem Informationszugriff
- Integrität (Integrity): Schutz vor unbefugter Veränderung von Informationen
- Verfügbarkeit (Availability): Sicherstellung der Nutzbarkeit von Systemen und Daten
Die Schutzbedarfskategorien lauten normal, hoch und sehr hoch. Bei normalem Schutzbedarf reichen die Standard-Grundschutzmaßnahmen aus; bei hohem oder sehr hohem Schutzbedarf ist eine ergänzende Risikoanalyse nach BSI 200-3 erforderlich.
4. IT-Grundschutz vs. ISO 27001: Der entscheidende Unterschied #
Eine häufig gestellte Frage lautet: Warum IT-Grundschutz, wenn es doch die internationale ISO 27001 gibt? Die Antwort liegt im Ansatz.
Die ISO 27001 ist ein risikobasierter Top-Down-Standard. Sie definiert, was ein ISMS leisten muss – also Anforderungen an Prozesse, Verantwortlichkeiten und Dokumentation – lässt aber offen, wie diese Anforderungen konkret umzusetzen sind. Das gibt Flexibilität, erfordert aber erhebliches Fachwissen bei der Umsetzung.
Der BSI IT-Grundschutz ist ein maßnahmenbasierter Bottom-Up-Ansatz. Er sagt nicht nur, was zu tun ist, sondern liefert mit seinen Bausteinen konkrete, praxiserprobte Maßnahmen für typische IT-Systeme und -Prozesse. Das reduziert den Interpretationsspielraum und erleichtert die Umsetzung erheblich – besonders für Organisationen ohne tiefes Sicherheits-Know-how.
| Merkmal | ISO 27001 | BSI IT-Grundschutz |
|---|---|---|
| 1 | Sicherheitsrichtlinien & Risikoanalyse | Dokumentierte ISMS-Richtlinien, regelmäßige Risikoanalysen |
| 2 | Incident Response | Prozesse zur Erkennung, Analyse und Behebung von Sicherheitsvorfällen |
| 3 | Business Continuity Management | Backup-Konzepte, Notfallpläne, Krisenmanagement |
| 4 | Lieferkettensicherheit | Sicherheitsanforderungen an Lieferanten und Dienstleister |
| 5 | Sichere Entwicklung & Beschaffung | Security-by-Design, Schwachstellenmanagement in Produkten |
| 6 | Schwachstellenmanagement | Regelmäßige Scans, Patch-Management, Responsible Disclosure |
| 7 | Kryptographie & Verschlüsselung | Einsatz geeigneter Verschlüsselungsverfahren |
| 8 | Zugangskontrollen & Authentifizierung | MFA, Least-Privilege-Prinzip, privilegierte Zugänge |
| 9 | Schulungen & Awareness | Regelmäßige Mitarbeiterschulungen, Pflichtschulung für Führungskräfte |
| 10 | Sichere Kommunikation | Verschlüsselte Notfallkommunikation, sichere Sprach- und Videokommunikation |
Das Beste aus beiden Welten bietet die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz: Wer den IT-Grundschutz vollständig umsetzt, kann damit gleichzeitig eine ISO 27001-Zertifizierung erlangen, da die BSI-Standards mit den ISO-Anforderungen kompatibel sind. Dies macht den IT-Grundschutz besonders attraktiv für Organisationen, die sowohl nationale Anforderungen erfüllen als auch international anerkannte Zertifikate vorweisen wollen.
5. IT-Grundschutz++: Die Revolution des Standards #
Warum ein “++”? #
Seit 2023 entwickelt das BSI unter dem Projektnamen „Grundschutz++" eine grundlegende Modernisierung des IT-Grundschutzes, die ab dem 1. Januar 2026 eingeführt werden soll – mit einer Übergangsphase bis voraussichtlich 2029, in der beide Standards parallel genutzt werden können.
Der Grund für diese Reform ist klar: Die Bedrohungslage hat sich fundamental verändert. KI-gestützte Cyberangriffe, Cloud-Computing, IoT-Proliferation und die zunehmende Vernetzung kritischer Infrastrukturen stellen Anforderungen, auf die ein jährlich aktualisiertes PDF-Kompendium nicht mehr schnell genug reagieren kann. Gleichzeitig wurde der bisherige Grundschutz oft als zu komplex und zu dokumentationslastig kritisiert, besonders von kleinen und mittleren Unternehmen (KMU).
Die fünf Kernneuerungen des Grundschutz++ #
1. Maschinenlesbares JSON/OSCAL-Regelwerk #
Die vielleicht revolutionärste Änderung: Der Grundschutz++ wird nicht mehr als PDF-Dokument veröffentlicht, sondern als maschinenlesbares JSON-Format auf Basis der Open Security Controls Assessment Language (OSCAL).
OSCAL ist ein vom amerikanischen National Institute of Standards and Technology (NIST) entwickeltes Framework zur standardisierten, maschinenlesbaren Beschreibung von Sicherheitsanforderungen und Compliance-Dokumentation. Das BSI hat sich für das JSON-Datenformat entschieden, weil es weit verbreitet, leicht verarbeitbar und von nahezu allen modernen ISMS-Tools unterstützt wird.
Was bedeutet das in der Praxis? ISMS-Tool-Hersteller können das Regelwerk direkt aus den OSCAL-Quellen laden und ihre Tools automatisch aktualisieren – ohne auf die jährliche Kompendiums-Veröffentlichung warten zu müssen. Compliance-Prüfungen können teilweise automatisiert werden. Und das BSI kann Sicherheitsanforderungen bei neuen Bedrohungen schnell und konsistent aktualisieren, ohne ein gesamtes Kompendium neu drucken zu müssen.
Für Anwender, die nicht mit JSON vertraut sind, wird es weiterhin Excel- und Textversionen geben – diese werden jedoch direkt aus den OSCAL-Quellen generiert, um Inkonsistenzen zu vermeiden.
2. Praktiken statt Bausteine: Eine neue Struktur #
Das bisherige Konzept der Bausteine (111 Stück in 10 Schichten) wird durch Praktiken ersetzt. Praktiken sind allgemeinere, wiederverwendbare sicherheitsrelevante Verfahren oder Maßnahmen, die modular und situationsabhängig einzelnen Zielobjekten zugeordnet werden können.8
Die neue Anforderungsstruktur folgt einer einheitlichen Satzschablone:
{Praktik} [für {Zielobjekt}] {MODALVERB}
Ein konkretes Beispiel verdeutlicht den Unterschied. Die bisherige Anforderung: ISMS.1.A4: Die Institutionsleitung MUSS einen oder eine ISB benennen. Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten. Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.
Wird im Grundschutz++ zu drei eigenständigen Anforderungen: GOV.4.2: Die Governance MUSS einer Person die Rolle ISB zuweisen. GOV.2.3: Die Governance MUSS für das ISMS erforderliche personelle, finanzielle und zeitliche Ressourcen zuweisen. GOV.4.4: Die Governance MUSS dem ISB das direkte und jederzeitige Vorspracherecht bei der Institutionsleitung ermöglichen.
Diese Granularisierung ermöglicht präzisere Compliance-Prüfungen und eine bessere Automatisierbarkeit, erhöht aber zunächst die Gesamtzahl der Anforderungen – auch wenn durch die Vermeidung von Redundanzen die Gesamtanzahl langfristig sinken soll.
3. Sechs Prioritätsstufen statt drei Vorgehensweisen #
Die bisherigen drei Vorgehensweisen (Basis, Standard, erhöhter Schutzbedarf) werden durch ein sechsstufiges Prioritätssystem ersetzt, das sich am Umsetzungsaufwand orientiert:
| Stufe | Bezeichnung | Beschreibung |
|---|---|---|
| 1 | Sicherheitsrichtlinien & Risikoanalyse | Dokumentierte ISMS-Richtlinien, regelmäßige Risikoanalysen |
| 2 | Incident Response | Prozesse zur Erkennung, Analyse und Behebung von Sicherheitsvorfällen |
| 3 | Business Continuity Management | Backup-Konzepte, Notfallpläne, Krisenmanagement |
| 4 | Lieferkettensicherheit | Sicherheitsanforderungen an Lieferanten und Dienstleister |
| 5 | Sichere Entwicklung & Beschaffung | Security-by-Design, Schwachstellenmanagement in Produkten |
| 6 | Schwachstellenmanagement | Regelmäßige Scans, Patch-Management, Responsible Disclosure |
| 7 | Kryptographie & Verschlüsselung | Einsatz geeigneter Verschlüsselungsverfahren |
| 8 | Zugangskontrollen & Authentifizierung | MFA, Least-Privilege-Prinzip, privilegierte Zugänge |
| 9 | Schulungen & Awareness | Regelmäßige Mitarbeiterschulungen, Pflichtschulung für Führungskräfte |
| 10 | Sichere Kommunikation | Verschlüsselte Notfallkommunikation, sichere Sprach- und Videokommunikation |
Diese Einstufung ermöglicht eine schnelle Einschätzung des Umsetzungsaufwands und hilft bei der effizienten Ressourcenplanung – besonders wertvoll für KMU, die nicht über unbegrenzte IT-Sicherheitsbudgets verfügen.
4. Leistungskennzahlen: Sicherheit wird messbar #
Eine der wichtigsten konzeptionellen Neuerungen sind die Leistungskennzahlen (KPIs). Jede Anforderung wird mit Punktwerten für die drei Schutzziele bewertet:8
- Vertraulichkeit (C – Confidentiality)
- Integrität (I – Integrity)
- Verfügbarkeit (A – Availability)
Eine Anforderung könnte beispielsweise die Bewertung C=6, I=2, A=0 erhalten – sie stärkt primär die Vertraulichkeit, in Teilen die Integrität, aber nicht die Verfügbarkeit. Die Summe aller umgesetzten Anforderungen ergibt den Erfüllungsgrad je Schutzziel. Durch definierte Schwellwerte kann eine Organisation objektiv messen, ob sie das angestrebte Sicherheitsniveau erreicht hat.
Dies ermöglicht erstmals eine quantitative Antwort auf die Frage: „Wie sicher sind wir eigentlich?"
5. Blaupausen: Branchenspezifische Musterlösungen #
Das Konzept der bisherigen IT-Grundschutz-Profile wird im Grundschutz++ unter dem Namen Blaupausen weiterentwickelt. Blaupausen sind vorgefertigte Musterlösungen, die als Referenzmodell für branchenspezifische oder organisationsspezifische Sicherheitskonzepte dienen.8
Technisch werden Blaupausen als OSCAL-Profile umgesetzt und sollen langfristig zu vollständigen System Security Plans (SSP) weiterentwickelt werden. Für typische Anwendungsszenarien – etwa die Nutzung der E-Akte in Behörden oder den sicheren Betrieb von 5G-Infrastrukturen – werden fertige Blaupausen bereitgestellt, die nur noch organisationsspezifisch angepasst werden müssen.
6. Was bleibt erhalten? #
Trotz der fundamentalen Änderungen im Format und in der Struktur bleibt das grundsätzliche Vorgehen weitgehend gleich. Die bewährten Arbeitsschritte nach BSI 200-2 bleiben erhalten:
- Festlegung des Geltungsbereichs (Scope-Definition)
- Strukturanalyse (Erfassung aller relevanten IT-Systeme und Prozesse)
- Schutzbedarfsfeststellung (Bewertung nach Vertraulichkeit, Integrität, Verfügbarkeit)
- Modellierung (Zuordnung von Praktiken zu Zielobjekten)
- IT-Grundschutzcheck (GSC) (Soll-Ist-Vergleich der umgesetzten Anforderungen)
- Risikoanalyse (für Objekte mit erhöhtem Schutzbedarf)
Auch die Verbindlichkeit der Modalverben bleibt unverändert: MUSS-Anforderungen sind verpflichtend für eine Zertifizierung, SOLLTE-Anforderungen sind grundsätzlich verpflichtend (können aber mit Begründung oder Ersatzmaßnahmen abgewichen werden), und KANN-Anforderungen sind optional.
Die BSI-Standards 200-1 bis 200-4 sollen zunächst weiter Verwendung finden und parallel zur Einführung des Grundschutz++ weiterentwickelt werden.
7. Die kritische Perspektive: Offene Fragen und Risiken #
Eine ausgewogene Betrachtung erfordert auch einen Blick auf die Kritikpunkte, die von Fachleuten und der Community geäußert werden.
Ambitionierter Zeitplan #
Der offizielle Starttermin 1. Januar 2026 wurde vom BSI kommuniziert, jedoch liegt bisher nur ein erster Entwurf des Kompendiums vor. Viele Details zur Methodik und Modellierung sind noch nicht abschließend geklärt. Die Übergangsphase bis 2029 ist sicherheitstechnisch kritisch, da sich die Bedrohungslage nicht an Entwicklungszyklen orientiert.
Fehlende Migrationsstrategie #
Aktuell existiert weder ein konkreter Plan noch ein Konzept für eine (teil-)automatisierte Migration bestehender Sicherheitskonzepte aus dem bisherigen Grundschutz-Kompendium in das neue Grundschutz++-Modell. Die Unterschiede zwischen Kompendium und Grundschutz++ sind gravierender als beim letzten Wechsel von den Grundschutz-Katalogen zum Kompendium – bei dem bereits alle Ansätze für eine automatisierte Migration weitgehend gescheitert sind.
Wachsende Sicherheitslücke #
Mit der Entscheidung, das bisherige IT-Grundschutz-Kompendium (Edition 2023) nicht mehr weiterzuentwickeln, entsteht eine wachsende Lücke: Neue Angriffsvektoren – insbesondere durch den zunehmenden Einsatz von KI in der Cyberkriminalität – entstehen kontinuierlich, während der bisherige Grundschutz diese nicht mehr abbildet und der Grundschutz++ noch nicht produktiv verfügbar ist.
Geringerer Mehrwert gegenüber ISO 27001? #
Ein strukturelles Risiko besteht darin, dass durch die zunehmende Harmonisierung mit ISO 27001 der spezifische Mehrwert des IT-Grundschutzes – nämlich seine konkreten, praxisnahen Maßnahmen – abnimmt. Wenn die Anforderungen immer abstrakter formuliert werden, stellt sich für viele Organisationen die Frage, warum sie den aufwändigeren Weg über den Grundschutz wählen sollten, wenn sie mit ähnlichem Aufwand direkt eine ISO 27001-Zertifizierung erlangen könnten.
8. Was bedeutet das für Ihre Organisation? Handlungsempfehlungen #
Unabhängig davon, ob Sie bereits mit dem IT-Grundschutz arbeiten oder gerade einsteigen wollen, ergeben sich konkrete Handlungsempfehlungen:
Für Einsteiger #
Wer jetzt mit dem IT-Grundschutz beginnt, sollte die Basis-Absicherung als Einstieg wählen und dabei den WiBA (Weg in die Basis-Absicherung) nutzen. Dieser Checklisten-basierte Ansatz des BSI hat sich in der Praxis bewährt und wird als fester Bestandteil in den Grundschutz++ übernommen. Gleichzeitig sollte man sich bereits mit den Grundkonzepten des Grundschutz++ vertraut machen, um die spätere Migration zu erleichtern.
Für bestehende Grundschutz-Anwender #
Wer bereits mit dem Kompendium arbeitet, sollte folgende Maßnahmen ergreifen: Erstens, die bestehenden Verbünde konsolidieren und die Dokumentation vereinheitlichen. Zweitens, in aktuellen IT-Grundschutzchecks jede Teilanforderung einzeln dokumentieren – da diese im Grundschutz++ eigenständige Anforderungen darstellen, erleichtert dies die spätere Migration erheblich. Drittens, Kontakt zu ISMS-Tool-Herstellern aufnehmen und eine zügige Integration des Grundschutz++ einfordern.
Für alle Organisationen #
Die laufende Information über den Entwicklungsstand ist essenziell. Das BSI veröffentlicht regelmäßig Updates auf seiner Webseite, und Veranstaltungen wie der jährliche IT-Grundschutztag bieten wertvolle Einblicke. Die frühzeitige Planung personeller Ressourcen für die Umstellung ab Mitte 2026 ist ratsam – insbesondere für größere Organisationen, die mit erheblichem Umstellungsaufwand rechnen müssen.
9. Grundschutz++ im Kontext: NIS2 und die regulatorische Landschaft #
Der IT-Grundschutz++ ist nicht im regulatorischen Vakuum zu betrachten. Er steht in direktem Zusammenhang mit der NIS2-Richtlinie (EU 2022/2555), die seit Dezember 2024 in deutsches Recht umgesetzt wurde und für tausende Unternehmen in 18 kritischen Sektoren verbindliche Cybersicherheitspflichten schafft.
Das BSI empfiehlt den IT-Grundschutz explizit als geeignetes Rahmenwerk zur Erfüllung der NIS2-Anforderungen. Wer den IT-Grundschutz (Standard-Absicherung) vollständig umsetzt, erfüllt damit in der Regel auch die technischen und organisatorischen Maßnahmen nach NIS2. Die Kombination aus IT-Grundschutz++ und NIS2-Compliance wird damit zu einem zentralen Thema für alle regulierten Unternehmen in Deutschland.
10. Fazit: Ein Standard im Wandel – und warum das gut ist #
Der IT-Grundschutz++ ist eine notwendige und mutige Reform. Die Digitalisierung des Regelwerks, die Einführung maschinenlesbarer Formate und die Harmonisierung mit internationalen Standards sind die richtigen Schritte für einen Standard, der auch in den nächsten 30 Jahren relevant bleiben soll.
Die Herausforderungen sind real: Der Zeitplan ist ambitioniert, die Migrationspfade sind noch unklar, und die wachsende Sicherheitslücke zwischen dem auslaufenden Kompendium und dem noch nicht vollständig verfügbaren Grundschutz++ ist ein ernstes Problem. Doch die Richtung stimmt.
Für IT-Sicherheitsverantwortliche bedeutet das: Jetzt ist die Zeit, sich vorzubereiten. Wer die Grundlagen des klassischen IT-Grundschutzes beherrscht, wer die BSI-Standards 200-1 bis 200-4 kennt und wer die Konzepte von OSCAL und JSON versteht, wird den Übergang zu Grundschutz++ erfolgreich meistern.
Der IT-Grundschutz war, ist und bleibt das Rückgrat der deutschen Informationssicherheit. Mit dem “++” wird er fit für die digitale Zukunft gemacht.