Cross-Framework-Mapping: Gesamtüberblick über die 14 Framework-Tracks des Korpus
Kernaussage
Ein Unternehmen braucht nicht vierzehn Sicherheitsprogramme, sondern ein Steuerungsmodell, auf das vierzehn Anforderungswelten abgebildet werden. Die in diesem Korpus behandelten Rahmen unterscheiden sich nicht nur thematisch, sondern in ihrer Natur: Manche sind Managementsysteme, manche Control-Kataloge, manche gesetzliche Pflichten und manche reine Nachweisformen. Wer diese Typen verwechselt, baut Silos: ein ISMS für die ISO-Zertifizierung, ein zweites Projekt für NIS2, ein drittes für DORA, ein viertes für den Kunden-Audit.
Die wirtschaftlich tragfähige Antwort ist ein einziges Rückgrat. Ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz trägt Governance, Risikomanagement, Maßnahmen und Nachweise. Die übrigen Rahmen docken als Pflichten, Kriterienkataloge oder Nachweisformen daran an. Evidenz wird einmal erzeugt und mehrfach genutzt.
Problem in der Praxis
In vielen Organisationen entstehen Rahmen nacheinander, getrieben von einzelnen Anlässen: ein Großkunde verlangt SOC 2, der Regulator bringt NIS2, ein OEM fordert TISAX, das Produktgeschäft trifft auf den CRA. Jede Anforderung bekommt ihr eigenes Projekt, ihr eigenes Tool, ihr eigenes Reporting. Die gleiche Maßnahme wird mehrfach beschrieben, der gleiche Nachweis mehrfach gesucht, die gleiche Leitungsentscheidung mehrfach protokolliert.
Das Ergebnis ist teuer und fragil. Niemand kann sagen, welcher Rahmen welchen abdeckt, wo Pflichten doppelt erfüllt werden und wo eine Lücke bleibt. Besonders kritisch wird es bei Meldepflichten: Ein einziger Vorfall kann parallel NIS2, DSGVO und je nach Lage DORA oder CRA auslösen, mit unterschiedlichen Fristen und Empfängern.
CISO-Einordnung
Zunächst zur Zählung: Der Korpus umfasst 14 Framework-Tracks. Einige Tracks bündeln zwei eng verwandte Quellen, etwa DSGVO mit ISO/IEC 27701, ISO/IEC 42001 mit dem EU AI Act sowie die CER-Richtlinie mit dem KRITIS-Dachgesetz; der ISO-27001-Track umfasst zusätzlich ISO/IEC 27002 und 27004, der NIST-Track CSF 2.0 und SP 800-53. In der Typologie und in der Vergleichstabelle sind diese Normen und Rechtsakte einzeln aufgeführt, weshalb dort mehr Einträge als 14 erscheinen. Die 14 Tracks bezeichnen also die fachlichen Themenstränge, die einzelnen Zeilen ihre Bestandteile.
Der erste Ordnungsschritt ist eine saubere Typologie. Die Rahmen fallen in vier Familien.
Familie (a), Managementsysteme und Governance-Steuerungsrahmen: ISO/IEC 27001 (ISMS) und ISO/IEC 42001 (AIMS, das KI-Managementsystem) sind zertifizierbare Managementsysteme nach der Harmonized Structure. IT-Grundschutz ist demgegenüber die BSI-ISMS-Methodik (BSI-Standards 200-1/2/3/4 + IT-Grundschutz-Kompendium als Prüfkatalog) und keine eigene HLS-Norm; zertifiziert wird ein ISMS über das BSI-Schema „ISO 27001 auf Basis von IT-Grundschutz". NIST CSF 2.0 gehört funktional in dieselbe Steuerungsfamilie, ist aber ein outcome-/governance-orientierter Rahmen mit den sechs Functions Govern, Identify, Protect, Detect, Respond, Recover; er ist kein Managementsystem im ISO-Sinn und nicht zertifizierbar. Diese Familie liefert den Regelkreis: planen, betreiben, prüfen, verbessern.
Familie (b), Control- und Kriterienkataloge: ISO/IEC 27002 (Umsetzungsleitfaden zu den 93 Annex-A-Controls), NIST SP 800-53 (granularer Katalog mit 20 Familien), BSI C5 (Cloud-Kriterien), PCI DSS (Kartenzahlungs-Anforderungen) und VDA ISA / TISAX (Automotive). Sie beschreiben das Was der Maßnahmen, nicht das Wie der Steuerung.
Familie (c), Rechtsakte und Pflichten: NIS2, DORA, CRA, CER / KRITIS-Dachgesetz, DSGVO und EU AI Act. Sie sagen, was eine Organisation oder ein Produkt rechtlich leisten muss, schreiben aber kein bestimmtes Managementsystem vor.
Familie (d), Nachweis-, Attestierungs- und Zertifizierungsformen: das akkreditierte ISO-Zertifikat, das SOC-2-Attestat (SSAE 18, durch eine CPA-Firma), das C5-Attestat (ISAE 3000, durch Wirtschaftsprüfer), das TISAX-Label (gegenseitige Anerkennung über die ENX-Plattform) und der KRITIS-Nachweis nach Paragraf 39 BSIG, oft gestützt auf einen branchenspezifischen Sicherheitsstandard (B3S).
Wichtig ist die Diagonale: Manche Instrumente treten in mehreren Familien auf. ISO/IEC 27001 ist Managementsystem und zugleich Quelle einer Nachweisform (Zertifikat). DSGVO ist Pflicht, ihr typisches Nachweisinstrument ist ISO/IEC 27701. Diese Doppelrollen sind kein Widerspruch, sondern der Hebel für Mehrfachnutzung.
Vergleichstabelle der Rahmen
| Rahmen | Typ | Geltung / Markt | zertifizierbar / Nachweisform | primärer Treiber | Lizenz / Quelle |
|---|---|---|---|---|---|
| ISO/IEC 27001 | Managementsystem (ISMS) | international | akkreditiertes Zertifikat | Kunde, Markt, Governance | lizenziert (ISO) |
| ISO/IEC 27002 | Control-Leitfaden | international | nicht eigenständig (Basis für Annex A / SoA) | Umsetzung der Controls | lizenziert (ISO) |
| IT-Grundschutz (200-x) | ISMS-Methodik | DE | Zertifikat "ISO 27001 auf Basis IT-Grundschutz" (BSI-Schema) | DE-Behörden, Stand der Technik | BSI, frei mit Quellenangabe; Grundschutz++ CC-BY-SA |
| NIST CSF 2.0 | Outcome-/Governance-Rahmen | international / US | nicht ISO-zertifizierbar (Self-/Outcome-Assessment) | Governance, Outcome-Orientierung | NIST, Public Domain |
| NIST SP 800-53 | Control-Katalog | US-Bundeskontext | nicht zertifizierbar (RMF/Authorization, FedRAMP) | Tiefenkatalog, US-Behörden | NIST, Public Domain |
| BSI C5 | Cloud-Kriterienkatalog | DE (intl. anwendbar) | Attestat ISAE 3000, Typ 1/2 (WP) | Cloud-Sicherheitsnachweis | BSI, frei mit Quellenangabe |
| PCI DSS | Kriterienkatalog (Zahlung) | international | SAQ / ROC + AOC (kein Zertifikat) | Kartenzahlung (vertraglich) | lizenziert (PCI SSC) |
| VDA ISA / TISAX | Kriterienkatalog (Automotive) | DE/EU Automotive | TISAX-Label | OEM-/Zulieferer-Anforderung | lizenziert (VDA/ENX) |
| SOC 2 | Attestierungsformat (TSC) | US / SaaS | Attestat SSAE 18, Type I/II (CPA) | US-/SaaS-Vertrauensnachweis | lizenziert (AICPA) |
| NIS2 (RL 2022/2555) | Rechtsakt / Pflicht (Cyber) | EU, national umzusetzen | keine Zertifizierung (Aufsicht) | gesetzliche Cyberpflicht | EU-Recht, frei |
| DORA (VO 2022/2554) | Rechtsakt / Pflicht (Finanz) | EU Finanzsektor | keine Zertifizierung (Aufsicht BaFin/ESAs) | Finanz-Resilienz (lex specialis) | EU-Recht, frei |
| CRA (VO 2024/2847) | Rechtsakt / Pflicht (Produkt) | EU | Konformitätsbewertung + CE (Selbst-/Drittprüfung) | Produktsicherheit / Inverkehrbringen | EU-Recht, frei |
| CER / KRITIS-DachG | Rechtsakt / Pflicht (physisch) | EU / DE | Nachweis / Aufsicht (BBK/BSI) | physische All-Gefahren-Resilienz | EU-Recht + DE-Gesetz, frei |
| DSGVO (VO 2016/679) | Rechtsakt / Pflicht (Datenschutz) | EU | keine Pflichtzertifizierung; ISO 27701 als Nachweis | Datenschutz-Grundrecht | EU-Recht, frei |
| EU AI Act (VO 2024/1689) | Rechtsakt / Pflicht (KI) | EU | Konformitätsbewertung + CE (Hochrisiko) | KI-Risiko / Produkt | EU-Recht, frei |
| ISO/IEC 42001 | Managementsystem (AIMS) | international | akkreditiertes Zertifikat | KI-Governance | lizenziert (ISO) |
| B3S / Paragraf 39 BSIG | Nachweisform (KRITIS) | DE | Audit/Prüfung/Zertifizierung, Turnus 3 Jahre | KRITIS-Nachweispflicht | BSI/DE, frei |
Die Tabelle führt die Einzelnormen und Rechtsakte der 14 Tracks auf; gebündelte Tracks erscheinen daher in mehreren Zeilen. ISO/IEC 27701 (Privacy, eigenständig zertifizierbar seit Ausgabe 2025) ist als DSGVO-Nachweisinstrument einzuordnen; ISO/IEC 27004 ist der Mess-Leitfaden zum ISMS-Kapitel Leistungsbewertung.
Umsetzungsperspektive
Der eigentliche Mapping-Nutzen liegt darin, dass dieselben Bausteine über alle Rahmen wiederkehren. Wer sie im ISMS einmal sauber aufsetzt, bedient sie vielfach. Die folgende Tabelle zeigt das Querschnitts-Mapping auf Konzeptebene; sie ist bewusst keine Control-zu-Control-Crosswalk.
| Querschnittsthema | ISMS-Anker (ISO 27001 / IT-Grundschutz / NIST) | Wiederkehr in anderen Rahmen |
|---|---|---|
| Governance / Leitungsverantwortung | ISO 27001 Kl. 5; IT-Grundschutz "Chefsache" (200-1); NIST CSF Govern | NIS2 Art. 20; DORA Art. 5; DSGVO Art. 5(2)/24; AI Act (Rollen/Aufsicht); KRITIS-DachG Leitungspflichten |
| Risikomanagement | ISO 27001 Kl. 6 (+ ISO 27005); IT-Grundschutz 200-3; NIST RA / Map+Manage | NIS2 Art. 21(1); DORA Kap. II; DSGVO Art. 35 (DSFA); AI Act Risikomanagementsystem; CRA Risikobewertung; C5/PCI/TISAX risikobasiert |
| Controls / Maßnahmen | ISO 27002 / Annex A (93 Controls); NIST SP 800-53; Grundschutz-Kompendium / Grundschutz++ | C5-Kriterien; PCI DSS 12 Anforderungen; VDA ISA; AI Act Art. 8 bis 15 |
| Incident & Meldung | Annex-A-Incident-Themen; NIST SP 800-61 (CSF-Profil) | NIS2 Art. 23; DORA Kap. III; CRA Meldepflichten; DSGVO Art. 33/34; CER/KRITIS-DachG |
| Lieferkette / Drittparteien | Annex-A-Supplier-Controls; NIST SR / SP 800-161 | NIS2 Art. 21(4); DORA Kap. V (Register, Oversight); CRA Due Diligence / SBOM; DSGVO Art. 28 |
| BCM / Resilienz | ISO 22301 / BSI 200-4; NIST CP / SP 800-34 | NIS2 Art. 21(3); DORA (Resilienztests); CER/KRITIS-DachG Resilienzplan |
| Monitoring / Messung | ISO 27001 Kl. 9 (+ ISO 27004); NIST Detect / Measure | NIS2 Art. 21(6) Wirksamkeitsbewertung; DORA TLPT; C5/SOC 2 Wirksamkeitsprüfung |
| Audit / Attestierung | ISO 27001 Kl. 9.2 internes Audit + akkreditierte Zertifizierung | SOC 2 / C5 (ISAE 3000); TISAX-Label; PCI ROC/SAQ; KRITIS-Nachweis Paragraf 39 |
Meldefristen im Vergleich
Meldepflichten sind der Bereich mit dem höchsten Praxisnutzen und dem größten Fehlerrisiko, weil ein Vorfall mehrere Pflichten parallel auslösen kann.
| Rahmen | Trigger | Erste Stufe | Zwischenstufe | Abschluss | Empfänger | Verbindlichkeit |
|---|---|---|---|---|---|---|
| NIS2 (Art. 23) | erheblicher Sicherheitsvorfall | Frühwarnung 24 h | Vorfallmeldung 72 h | Abschlussbericht 1 Monat | CSIRT / zuständige Behörde | EU-Richtlinie, fix in der Stufung; Schwellen national konkretisiert |
| DORA | schwerwiegender IKT-Vorfall | Erstmeldung 24 h nach Kenntnis (bzw. 4 h nach Klassifizierung) | Zwischenbericht 72 h | Abschluss 1 Monat | Finanzaufsicht (DE: BaFin-Melde-Hub) | Werte aus Level-2-Recht (RTS/ITS), zu prüfen |
| CRA (ab 11.09.2026) | aktiv ausgenutzte Schwachstelle / schwerer Vorfall | Frühwarnung 24 h | Meldung 72 h | Schwachstelle 14 Tage / Vorfall 1 Monat | ENISA + nationales CSIRT | EU-Verordnung, fix |
| DSGVO (Art. 33/34) | Verletzung des Schutzes personenbezogener Daten | Meldung an Aufsicht binnen 72 h | Benachrichtigung Betroffener unverzüglich (hohes Risiko) | Dokumentationspflicht | Datenschutz-Aufsichtsbehörde | EU-Verordnung, fix |
| CER / KRITIS-DachG | erhebliche Störung kritischer Anlage | Erstmeldung binnen 24 h | (Zwischenstand nach Lage) | ausführlicher Bericht 1 Monat | gemeinsame Stelle BBK/BSI | DE-Gesetz; Detailfristen teils zu prüfen |
EU-weit unmittelbar fix sind die Verordnungen DSGVO und CRA (sowie die DORA-Grundpflichten, wobei die konkreten Meldefristen aus Level-2-Recht stammen und zu prüfen sind). NIS2 ist eine Richtlinie: Die dreistufige Logik ist europaweit angelegt, Schwellen und Auslegung folgen der nationalen Umsetzung. CER ist im KRITIS-Dachgesetz national umgesetzt; einzelne Fristen sind am Gesetzestext gegenzuprüfen.
Geltungstermine der Rechtsakte
Für die Planung kommt es auf die Anwendungstermine an. DORA ist seit dem 17.01.2025 anwendbar. Beim CRA gelten die Meldepflichten ab dem 11.09.2026, die Vollanwendung der Hauptpflichten (inklusive Konformitätsbewertung und CE-Kennzeichnung) ab dem 11.12.2027. Das KRITIS-Dachgesetz ist seit dem 17.03.2026 in Kraft (Ausnahme: Paragraf 14 Absatz 3 bis 5 ab dem 01.01.2030). Beim EU AI Act ist der maßgebliche Rechtsstand Art. 113 der Verordnung (EU) 2024/1689: Nach der aktuell geltenden EUR-Lex-Fassung gelten die Hochrisiko-Pflichten für Anhang-III-Systeme mit der grundsätzlichen Anwendung ab dem 02.08.2026 und für Anhang-I-Produkte (Art. 6 Abs. 1) ab dem 02.08.2027; die bereits in Kraft befindlichen Stufen (Verbote und KI-Kompetenz seit 02.02.2025, GPAI-Pflichten seit 02.08.2025) sind davon unberührt. Zum Digital-Omnibus-Paket: Das Europäische Parlament hat die vorgeschlagene Änderung am 16.06.2026 angenommen; Ratsbeschluss und Veröffentlichung im Amtsblatt werden für Juli 2026 erwartet (Stand 29.06.2026, noch zu bestätigen). Solange keine Amtsblatt-Veröffentlichung vorliegt, bleibt Art. 113 VO (EU) 2024/1689 unverändert maßgeblich; die vorgesehene Verschiebung der Hochrisiko-Termine (Anhang III auf 02.12.2027, Anhang-I-/Art.-6(1)-Produkte auf 02.08.2028) ist daher weiterhin nur als vorgeschlagen bzw. zu prüfen zu behandeln, nicht als geltendes Recht. [HUMAN-REVIEW: Ratsbeschluss und OJ-Datum bestätigen, Stand 29.06.2026]
Typische Fehler
- Typen verwechseln: einen Rechtsakt wie NIS2 als zertifizierbares Schema behandeln oder ein Attestat (SOC 2, C5) für ein Zertifikat halten.
- Pro Anforderung ein eigenes Silo bauen, statt alles auf ein ISMS-Rückgrat zu mappen.
- Annehmen, ein ISO-27001-Zertifikat decke automatisch NIS2, DORA, KRITIS oder DSGVO ab. Es liefert das Wie, ersetzt aber keine rechtliche Pflicht und keinen spezifischen Scope.
- Meldepflichten isoliert betrachten und übersehen, dass ein Vorfall mehrere Fristen parallel auslöst.
- Lizenzierte Inhalte (ISO, PCI, VDA, AICPA) im Wortlaut reproduzieren, statt nur zu referenzieren.
Risiken und Trade-offs
Ein gemeinsames Rückgrat erhöht die Effizienz, schafft aber auch eine Abhängigkeit: Ist das ISMS schwach, schwächt das alle aufsitzenden Nachweise. Standardisierung quer über Rahmen reduziert Aufwand, kann aber branchenspezifische Tiefen verfehlen, etwa den Prototypenschutz bei TISAX, die CDE-Segmentierung bei PCI DSS oder das Threat-Led Penetration Testing bei DORA.
Es gibt zudem ein Vorrangverhältnis: DORA ist für Finanzunternehmen lex specialis gegenüber NIS2. Wer hier doppelt steuert, erzeugt Reibung. Und nicht jede Überschneidung ist eine Äquivalenz: ISO 27001 und PCI DSS überschneiden sich inhaltlich stark, ersetzen einander aber nicht.
Entscheidungspunkte
- Welches Rückgrat passt: ISO/IEC 27001 (international, marktgetrieben) oder IT-Grundschutz (DE-Behörden, Stand der Technik)?
- Welche Pflichten gelten zwingend (NIS2, DORA, CRA, DSGVO, CER/KRITIS, AI Act) und in welcher Reihenfolge?
- Welche Nachweisform fordert der Markt: Zertifikat, Attestat, Label oder behördlicher Nachweis?
- Welche Evidenz lässt sich mehrfach nutzen, und wo sind echte Zusatztiefen nötig?
- Wie wird der Incident-Prozess mit Mehrfach-Trigger-Mapping aufgesetzt, damit parallele Meldefristen eingehalten werden?
Praktische Empfehlungen
- Etablieren Sie EIN ISMS als Rückgrat und mappen Sie alle anderen Rahmen darauf, statt parallele Programme zu betreiben.
- Nutzen Sie eine einfache Entscheidungslogik nach Branche und Pflicht: Finanz führt zu DORA (vor NIS2); Automotive zu TISAX; US-/SaaS-Vertrieb zu SOC 2; Cloud-Anbieter in DE und für die öffentliche Hand zu BSI C5; KRITIS-Betreiber zu NIS2 plus CER/KRITIS-DachG plus B3S/Paragraf 39 BSIG; Hersteller von Produkten mit digitalen Elementen zum CRA; KI-Entwicklung und -Einsatz zum EU AI Act plus ISO/IEC 42001; Kartenzahlung zu PCI DSS; Datenschutz quer über alles zur DSGVO (mit ISO/IEC 27701 als Nachweis).
- Bauen Sie die acht Querschnittsthemen einmal sauber und erzeugen Sie Evidenz als Nebenprodukt des Regelbetriebs.
- Richten Sie einen einheitlichen Incident-Prozess mit Mehrfach-Trigger-Mapping ein (NIS2, DSGVO, DORA, CRA, CER parallel prüfen).
- Behandeln Sie lizenzierte Kataloge (ISO, PCI, VDA, AICPA) konsequent reference-only und ziehen Sie für Tiefe die dedizierten Track-Artikel und die jeweilige Originalquelle heran.
Relevante Normreferenzen
- ISO/IEC 27001, 27002, 27004, 27701, 42001, 22301: Referenzen für Managementsysteme, Controls, Messung, Privacy, KI und BCM (lizenziert).
- NIST CSF 2.0, SP 800-53, SP 800-61, SP 800-161, SP 800-34: Referenzen (Public Domain).
- BSI-Standards 200-1/2/3/4, IT-Grundschutz-Kompendium, BSI C5, B3S, BSIG (Paragrafen 30/31/39): BSI-/DE-Quellen.
- EU-Recht: NIS2 (RL 2022/2555), DORA (VO 2022/2554), CRA (VO 2024/2847), CER (RL 2022/2557), DSGVO (VO 2016/679), EU AI Act (VO 2024/1689); DE: KRITIS-Dachgesetz.
- Reference-only nach Markt/Vertrag: PCI DSS, VDA ISA / TISAX, SOC 2 / Trust Services Criteria.
Häufige Fragen
Brauche ich für jeden Rahmen ein eigenes Managementsystem?+
Nein. Ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz dient als Rückgrat; die anderen Rahmen werden als Pflichten, Kataloge oder Nachweisformen darauf gemappt.
Deckt ein ISO-27001-Zertifikat NIS2 oder DORA ab?+
Es liefert das Wie und viele Bausteine, ersetzt aber keine gesetzliche Pflicht und keinen spezifischen regulatorischen Scope. Pflichten bleiben eigenständig nachzuweisen.
Was ist der Unterschied zwischen Zertifikat und Attestat?+
Ein ISO-Zertifikat bescheinigt ein Managementsystem über eine akkreditierte Stelle. SOC 2 und C5 sind Attestate (SSAE 18 bzw. ISAE 3000) durch Wirtschaftsprüfer über die Wirksamkeit von Kontrollen. TISAX vergibt ein Label, KRITIS einen behördlichen Nachweis.
Welcher Rahmen gilt für Finanzunternehmen?+
Primär DORA als lex specialis; es geht für Finanzunternehmen den NIS2-Pflichten vor, wo beide dieselbe Materie regeln.
Warum sind Meldefristen so heikel?+
Ein einziger Vorfall kann NIS2, DSGVO und je nach Lage DORA oder CRA parallel auslösen, mit unterschiedlichen Fristen und Empfängern. Ein einheitlicher Incident-Prozess mit Mehrfach-Trigger-Mapping ist daher Pflicht.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Framework-Vergleich prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenTeil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: xref-001.
