Cybervize - Cybersecurity Beratung

Cross-Framework-Mapping: Gesamtüberblick über die 14 Framework-Tracks des Korpus

Framework-VergleichCISOISMS ManagerCompliance ManagerRisikomanagerGeschäftsleitung

Kernaussage

Ein Unternehmen braucht nicht vierzehn Sicherheitsprogramme, sondern ein Steuerungsmodell, auf das vierzehn Anforderungswelten abgebildet werden. Die in diesem Korpus behandelten Rahmen unterscheiden sich nicht nur thematisch, sondern in ihrer Natur: Manche sind Managementsysteme, manche Control-Kataloge, manche gesetzliche Pflichten und manche reine Nachweisformen. Wer diese Typen verwechselt, baut Silos: ein ISMS für die ISO-Zertifizierung, ein zweites Projekt für NIS2, ein drittes für DORA, ein viertes für den Kunden-Audit.

Die wirtschaftlich tragfähige Antwort ist ein einziges Rückgrat. Ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz trägt Governance, Risikomanagement, Maßnahmen und Nachweise. Die übrigen Rahmen docken als Pflichten, Kriterienkataloge oder Nachweisformen daran an. Evidenz wird einmal erzeugt und mehrfach genutzt.

Problem in der Praxis

In vielen Organisationen entstehen Rahmen nacheinander, getrieben von einzelnen Anlässen: ein Großkunde verlangt SOC 2, der Regulator bringt NIS2, ein OEM fordert TISAX, das Produktgeschäft trifft auf den CRA. Jede Anforderung bekommt ihr eigenes Projekt, ihr eigenes Tool, ihr eigenes Reporting. Die gleiche Maßnahme wird mehrfach beschrieben, der gleiche Nachweis mehrfach gesucht, die gleiche Leitungsentscheidung mehrfach protokolliert.

Das Ergebnis ist teuer und fragil. Niemand kann sagen, welcher Rahmen welchen abdeckt, wo Pflichten doppelt erfüllt werden und wo eine Lücke bleibt. Besonders kritisch wird es bei Meldepflichten: Ein einziger Vorfall kann parallel NIS2, DSGVO und je nach Lage DORA oder CRA auslösen, mit unterschiedlichen Fristen und Empfängern.

CISO-Einordnung

Zunächst zur Zählung: Der Korpus umfasst 14 Framework-Tracks. Einige Tracks bündeln zwei eng verwandte Quellen, etwa DSGVO mit ISO/IEC 27701, ISO/IEC 42001 mit dem EU AI Act sowie die CER-Richtlinie mit dem KRITIS-Dachgesetz; der ISO-27001-Track umfasst zusätzlich ISO/IEC 27002 und 27004, der NIST-Track CSF 2.0 und SP 800-53. In der Typologie und in der Vergleichstabelle sind diese Normen und Rechtsakte einzeln aufgeführt, weshalb dort mehr Einträge als 14 erscheinen. Die 14 Tracks bezeichnen also die fachlichen Themenstränge, die einzelnen Zeilen ihre Bestandteile.

Der erste Ordnungsschritt ist eine saubere Typologie. Die Rahmen fallen in vier Familien.

Familie (a), Managementsysteme und Governance-Steuerungsrahmen: ISO/IEC 27001 (ISMS) und ISO/IEC 42001 (AIMS, das KI-Managementsystem) sind zertifizierbare Managementsysteme nach der Harmonized Structure. IT-Grundschutz ist demgegenüber die BSI-ISMS-Methodik (BSI-Standards 200-1/2/3/4 + IT-Grundschutz-Kompendium als Prüfkatalog) und keine eigene HLS-Norm; zertifiziert wird ein ISMS über das BSI-Schema „ISO 27001 auf Basis von IT-Grundschutz". NIST CSF 2.0 gehört funktional in dieselbe Steuerungsfamilie, ist aber ein outcome-/governance-orientierter Rahmen mit den sechs Functions Govern, Identify, Protect, Detect, Respond, Recover; er ist kein Managementsystem im ISO-Sinn und nicht zertifizierbar. Diese Familie liefert den Regelkreis: planen, betreiben, prüfen, verbessern.

Familie (b), Control- und Kriterienkataloge: ISO/IEC 27002 (Umsetzungsleitfaden zu den 93 Annex-A-Controls), NIST SP 800-53 (granularer Katalog mit 20 Familien), BSI C5 (Cloud-Kriterien), PCI DSS (Kartenzahlungs-Anforderungen) und VDA ISA / TISAX (Automotive). Sie beschreiben das Was der Maßnahmen, nicht das Wie der Steuerung.

Familie (c), Rechtsakte und Pflichten: NIS2, DORA, CRA, CER / KRITIS-Dachgesetz, DSGVO und EU AI Act. Sie sagen, was eine Organisation oder ein Produkt rechtlich leisten muss, schreiben aber kein bestimmtes Managementsystem vor.

Familie (d), Nachweis-, Attestierungs- und Zertifizierungsformen: das akkreditierte ISO-Zertifikat, das SOC-2-Attestat (SSAE 18, durch eine CPA-Firma), das C5-Attestat (ISAE 3000, durch Wirtschaftsprüfer), das TISAX-Label (gegenseitige Anerkennung über die ENX-Plattform) und der KRITIS-Nachweis nach Paragraf 39 BSIG, oft gestützt auf einen branchenspezifischen Sicherheitsstandard (B3S).

Wichtig ist die Diagonale: Manche Instrumente treten in mehreren Familien auf. ISO/IEC 27001 ist Managementsystem und zugleich Quelle einer Nachweisform (Zertifikat). DSGVO ist Pflicht, ihr typisches Nachweisinstrument ist ISO/IEC 27701. Diese Doppelrollen sind kein Widerspruch, sondern der Hebel für Mehrfachnutzung.

Vergleichstabelle der Rahmen

Rahmen Typ Geltung / Markt zertifizierbar / Nachweisform primärer Treiber Lizenz / Quelle
ISO/IEC 27001 Managementsystem (ISMS) international akkreditiertes Zertifikat Kunde, Markt, Governance lizenziert (ISO)
ISO/IEC 27002 Control-Leitfaden international nicht eigenständig (Basis für Annex A / SoA) Umsetzung der Controls lizenziert (ISO)
IT-Grundschutz (200-x) ISMS-Methodik DE Zertifikat "ISO 27001 auf Basis IT-Grundschutz" (BSI-Schema) DE-Behörden, Stand der Technik BSI, frei mit Quellenangabe; Grundschutz++ CC-BY-SA
NIST CSF 2.0 Outcome-/Governance-Rahmen international / US nicht ISO-zertifizierbar (Self-/Outcome-Assessment) Governance, Outcome-Orientierung NIST, Public Domain
NIST SP 800-53 Control-Katalog US-Bundeskontext nicht zertifizierbar (RMF/Authorization, FedRAMP) Tiefenkatalog, US-Behörden NIST, Public Domain
BSI C5 Cloud-Kriterienkatalog DE (intl. anwendbar) Attestat ISAE 3000, Typ 1/2 (WP) Cloud-Sicherheitsnachweis BSI, frei mit Quellenangabe
PCI DSS Kriterienkatalog (Zahlung) international SAQ / ROC + AOC (kein Zertifikat) Kartenzahlung (vertraglich) lizenziert (PCI SSC)
VDA ISA / TISAX Kriterienkatalog (Automotive) DE/EU Automotive TISAX-Label OEM-/Zulieferer-Anforderung lizenziert (VDA/ENX)
SOC 2 Attestierungsformat (TSC) US / SaaS Attestat SSAE 18, Type I/II (CPA) US-/SaaS-Vertrauensnachweis lizenziert (AICPA)
NIS2 (RL 2022/2555) Rechtsakt / Pflicht (Cyber) EU, national umzusetzen keine Zertifizierung (Aufsicht) gesetzliche Cyberpflicht EU-Recht, frei
DORA (VO 2022/2554) Rechtsakt / Pflicht (Finanz) EU Finanzsektor keine Zertifizierung (Aufsicht BaFin/ESAs) Finanz-Resilienz (lex specialis) EU-Recht, frei
CRA (VO 2024/2847) Rechtsakt / Pflicht (Produkt) EU Konformitätsbewertung + CE (Selbst-/Drittprüfung) Produktsicherheit / Inverkehrbringen EU-Recht, frei
CER / KRITIS-DachG Rechtsakt / Pflicht (physisch) EU / DE Nachweis / Aufsicht (BBK/BSI) physische All-Gefahren-Resilienz EU-Recht + DE-Gesetz, frei
DSGVO (VO 2016/679) Rechtsakt / Pflicht (Datenschutz) EU keine Pflichtzertifizierung; ISO 27701 als Nachweis Datenschutz-Grundrecht EU-Recht, frei
EU AI Act (VO 2024/1689) Rechtsakt / Pflicht (KI) EU Konformitätsbewertung + CE (Hochrisiko) KI-Risiko / Produkt EU-Recht, frei
ISO/IEC 42001 Managementsystem (AIMS) international akkreditiertes Zertifikat KI-Governance lizenziert (ISO)
B3S / Paragraf 39 BSIG Nachweisform (KRITIS) DE Audit/Prüfung/Zertifizierung, Turnus 3 Jahre KRITIS-Nachweispflicht BSI/DE, frei

Die Tabelle führt die Einzelnormen und Rechtsakte der 14 Tracks auf; gebündelte Tracks erscheinen daher in mehreren Zeilen. ISO/IEC 27701 (Privacy, eigenständig zertifizierbar seit Ausgabe 2025) ist als DSGVO-Nachweisinstrument einzuordnen; ISO/IEC 27004 ist der Mess-Leitfaden zum ISMS-Kapitel Leistungsbewertung.

Umsetzungsperspektive

Der eigentliche Mapping-Nutzen liegt darin, dass dieselben Bausteine über alle Rahmen wiederkehren. Wer sie im ISMS einmal sauber aufsetzt, bedient sie vielfach. Die folgende Tabelle zeigt das Querschnitts-Mapping auf Konzeptebene; sie ist bewusst keine Control-zu-Control-Crosswalk.

Querschnittsthema ISMS-Anker (ISO 27001 / IT-Grundschutz / NIST) Wiederkehr in anderen Rahmen
Governance / Leitungsverantwortung ISO 27001 Kl. 5; IT-Grundschutz "Chefsache" (200-1); NIST CSF Govern NIS2 Art. 20; DORA Art. 5; DSGVO Art. 5(2)/24; AI Act (Rollen/Aufsicht); KRITIS-DachG Leitungspflichten
Risikomanagement ISO 27001 Kl. 6 (+ ISO 27005); IT-Grundschutz 200-3; NIST RA / Map+Manage NIS2 Art. 21(1); DORA Kap. II; DSGVO Art. 35 (DSFA); AI Act Risikomanagementsystem; CRA Risikobewertung; C5/PCI/TISAX risikobasiert
Controls / Maßnahmen ISO 27002 / Annex A (93 Controls); NIST SP 800-53; Grundschutz-Kompendium / Grundschutz++ C5-Kriterien; PCI DSS 12 Anforderungen; VDA ISA; AI Act Art. 8 bis 15
Incident & Meldung Annex-A-Incident-Themen; NIST SP 800-61 (CSF-Profil) NIS2 Art. 23; DORA Kap. III; CRA Meldepflichten; DSGVO Art. 33/34; CER/KRITIS-DachG
Lieferkette / Drittparteien Annex-A-Supplier-Controls; NIST SR / SP 800-161 NIS2 Art. 21(4); DORA Kap. V (Register, Oversight); CRA Due Diligence / SBOM; DSGVO Art. 28
BCM / Resilienz ISO 22301 / BSI 200-4; NIST CP / SP 800-34 NIS2 Art. 21(3); DORA (Resilienztests); CER/KRITIS-DachG Resilienzplan
Monitoring / Messung ISO 27001 Kl. 9 (+ ISO 27004); NIST Detect / Measure NIS2 Art. 21(6) Wirksamkeitsbewertung; DORA TLPT; C5/SOC 2 Wirksamkeitsprüfung
Audit / Attestierung ISO 27001 Kl. 9.2 internes Audit + akkreditierte Zertifizierung SOC 2 / C5 (ISAE 3000); TISAX-Label; PCI ROC/SAQ; KRITIS-Nachweis Paragraf 39

Meldefristen im Vergleich

Meldepflichten sind der Bereich mit dem höchsten Praxisnutzen und dem größten Fehlerrisiko, weil ein Vorfall mehrere Pflichten parallel auslösen kann.

Rahmen Trigger Erste Stufe Zwischenstufe Abschluss Empfänger Verbindlichkeit
NIS2 (Art. 23) erheblicher Sicherheitsvorfall Frühwarnung 24 h Vorfallmeldung 72 h Abschlussbericht 1 Monat CSIRT / zuständige Behörde EU-Richtlinie, fix in der Stufung; Schwellen national konkretisiert
DORA schwerwiegender IKT-Vorfall Erstmeldung 24 h nach Kenntnis (bzw. 4 h nach Klassifizierung) Zwischenbericht 72 h Abschluss 1 Monat Finanzaufsicht (DE: BaFin-Melde-Hub) Werte aus Level-2-Recht (RTS/ITS), zu prüfen
CRA (ab 11.09.2026) aktiv ausgenutzte Schwachstelle / schwerer Vorfall Frühwarnung 24 h Meldung 72 h Schwachstelle 14 Tage / Vorfall 1 Monat ENISA + nationales CSIRT EU-Verordnung, fix
DSGVO (Art. 33/34) Verletzung des Schutzes personenbezogener Daten Meldung an Aufsicht binnen 72 h Benachrichtigung Betroffener unverzüglich (hohes Risiko) Dokumentationspflicht Datenschutz-Aufsichtsbehörde EU-Verordnung, fix
CER / KRITIS-DachG erhebliche Störung kritischer Anlage Erstmeldung binnen 24 h (Zwischenstand nach Lage) ausführlicher Bericht 1 Monat gemeinsame Stelle BBK/BSI DE-Gesetz; Detailfristen teils zu prüfen

EU-weit unmittelbar fix sind die Verordnungen DSGVO und CRA (sowie die DORA-Grundpflichten, wobei die konkreten Meldefristen aus Level-2-Recht stammen und zu prüfen sind). NIS2 ist eine Richtlinie: Die dreistufige Logik ist europaweit angelegt, Schwellen und Auslegung folgen der nationalen Umsetzung. CER ist im KRITIS-Dachgesetz national umgesetzt; einzelne Fristen sind am Gesetzestext gegenzuprüfen.

Geltungstermine der Rechtsakte

Für die Planung kommt es auf die Anwendungstermine an. DORA ist seit dem 17.01.2025 anwendbar. Beim CRA gelten die Meldepflichten ab dem 11.09.2026, die Vollanwendung der Hauptpflichten (inklusive Konformitätsbewertung und CE-Kennzeichnung) ab dem 11.12.2027. Das KRITIS-Dachgesetz ist seit dem 17.03.2026 in Kraft (Ausnahme: Paragraf 14 Absatz 3 bis 5 ab dem 01.01.2030). Beim EU AI Act ist der maßgebliche Rechtsstand Art. 113 der Verordnung (EU) 2024/1689: Nach der aktuell geltenden EUR-Lex-Fassung gelten die Hochrisiko-Pflichten für Anhang-III-Systeme mit der grundsätzlichen Anwendung ab dem 02.08.2026 und für Anhang-I-Produkte (Art. 6 Abs. 1) ab dem 02.08.2027; die bereits in Kraft befindlichen Stufen (Verbote und KI-Kompetenz seit 02.02.2025, GPAI-Pflichten seit 02.08.2025) sind davon unberührt. Zum Digital-Omnibus-Paket: Das Europäische Parlament hat die vorgeschlagene Änderung am 16.06.2026 angenommen; Ratsbeschluss und Veröffentlichung im Amtsblatt werden für Juli 2026 erwartet (Stand 29.06.2026, noch zu bestätigen). Solange keine Amtsblatt-Veröffentlichung vorliegt, bleibt Art. 113 VO (EU) 2024/1689 unverändert maßgeblich; die vorgesehene Verschiebung der Hochrisiko-Termine (Anhang III auf 02.12.2027, Anhang-I-/Art.-6(1)-Produkte auf 02.08.2028) ist daher weiterhin nur als vorgeschlagen bzw. zu prüfen zu behandeln, nicht als geltendes Recht. [HUMAN-REVIEW: Ratsbeschluss und OJ-Datum bestätigen, Stand 29.06.2026]

Typische Fehler

  1. Typen verwechseln: einen Rechtsakt wie NIS2 als zertifizierbares Schema behandeln oder ein Attestat (SOC 2, C5) für ein Zertifikat halten.
  2. Pro Anforderung ein eigenes Silo bauen, statt alles auf ein ISMS-Rückgrat zu mappen.
  3. Annehmen, ein ISO-27001-Zertifikat decke automatisch NIS2, DORA, KRITIS oder DSGVO ab. Es liefert das Wie, ersetzt aber keine rechtliche Pflicht und keinen spezifischen Scope.
  4. Meldepflichten isoliert betrachten und übersehen, dass ein Vorfall mehrere Fristen parallel auslöst.
  5. Lizenzierte Inhalte (ISO, PCI, VDA, AICPA) im Wortlaut reproduzieren, statt nur zu referenzieren.

Risiken und Trade-offs

Ein gemeinsames Rückgrat erhöht die Effizienz, schafft aber auch eine Abhängigkeit: Ist das ISMS schwach, schwächt das alle aufsitzenden Nachweise. Standardisierung quer über Rahmen reduziert Aufwand, kann aber branchenspezifische Tiefen verfehlen, etwa den Prototypenschutz bei TISAX, die CDE-Segmentierung bei PCI DSS oder das Threat-Led Penetration Testing bei DORA.

Es gibt zudem ein Vorrangverhältnis: DORA ist für Finanzunternehmen lex specialis gegenüber NIS2. Wer hier doppelt steuert, erzeugt Reibung. Und nicht jede Überschneidung ist eine Äquivalenz: ISO 27001 und PCI DSS überschneiden sich inhaltlich stark, ersetzen einander aber nicht.

Entscheidungspunkte

  • Welches Rückgrat passt: ISO/IEC 27001 (international, marktgetrieben) oder IT-Grundschutz (DE-Behörden, Stand der Technik)?
  • Welche Pflichten gelten zwingend (NIS2, DORA, CRA, DSGVO, CER/KRITIS, AI Act) und in welcher Reihenfolge?
  • Welche Nachweisform fordert der Markt: Zertifikat, Attestat, Label oder behördlicher Nachweis?
  • Welche Evidenz lässt sich mehrfach nutzen, und wo sind echte Zusatztiefen nötig?
  • Wie wird der Incident-Prozess mit Mehrfach-Trigger-Mapping aufgesetzt, damit parallele Meldefristen eingehalten werden?

Praktische Empfehlungen

  1. Etablieren Sie EIN ISMS als Rückgrat und mappen Sie alle anderen Rahmen darauf, statt parallele Programme zu betreiben.
  2. Nutzen Sie eine einfache Entscheidungslogik nach Branche und Pflicht: Finanz führt zu DORA (vor NIS2); Automotive zu TISAX; US-/SaaS-Vertrieb zu SOC 2; Cloud-Anbieter in DE und für die öffentliche Hand zu BSI C5; KRITIS-Betreiber zu NIS2 plus CER/KRITIS-DachG plus B3S/Paragraf 39 BSIG; Hersteller von Produkten mit digitalen Elementen zum CRA; KI-Entwicklung und -Einsatz zum EU AI Act plus ISO/IEC 42001; Kartenzahlung zu PCI DSS; Datenschutz quer über alles zur DSGVO (mit ISO/IEC 27701 als Nachweis).
  3. Bauen Sie die acht Querschnittsthemen einmal sauber und erzeugen Sie Evidenz als Nebenprodukt des Regelbetriebs.
  4. Richten Sie einen einheitlichen Incident-Prozess mit Mehrfach-Trigger-Mapping ein (NIS2, DSGVO, DORA, CRA, CER parallel prüfen).
  5. Behandeln Sie lizenzierte Kataloge (ISO, PCI, VDA, AICPA) konsequent reference-only und ziehen Sie für Tiefe die dedizierten Track-Artikel und die jeweilige Originalquelle heran.

Relevante Normreferenzen

  • ISO/IEC 27001, 27002, 27004, 27701, 42001, 22301: Referenzen für Managementsysteme, Controls, Messung, Privacy, KI und BCM (lizenziert).
  • NIST CSF 2.0, SP 800-53, SP 800-61, SP 800-161, SP 800-34: Referenzen (Public Domain).
  • BSI-Standards 200-1/2/3/4, IT-Grundschutz-Kompendium, BSI C5, B3S, BSIG (Paragrafen 30/31/39): BSI-/DE-Quellen.
  • EU-Recht: NIS2 (RL 2022/2555), DORA (VO 2022/2554), CRA (VO 2024/2847), CER (RL 2022/2557), DSGVO (VO 2016/679), EU AI Act (VO 2024/1689); DE: KRITIS-Dachgesetz.
  • Reference-only nach Markt/Vertrag: PCI DSS, VDA ISA / TISAX, SOC 2 / Trust Services Criteria.

Häufige Fragen

Brauche ich für jeden Rahmen ein eigenes Managementsystem?+

Nein. Ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz dient als Rückgrat; die anderen Rahmen werden als Pflichten, Kataloge oder Nachweisformen darauf gemappt.

Deckt ein ISO-27001-Zertifikat NIS2 oder DORA ab?+

Es liefert das Wie und viele Bausteine, ersetzt aber keine gesetzliche Pflicht und keinen spezifischen regulatorischen Scope. Pflichten bleiben eigenständig nachzuweisen.

Was ist der Unterschied zwischen Zertifikat und Attestat?+

Ein ISO-Zertifikat bescheinigt ein Managementsystem über eine akkreditierte Stelle. SOC 2 und C5 sind Attestate (SSAE 18 bzw. ISAE 3000) durch Wirtschaftsprüfer über die Wirksamkeit von Kontrollen. TISAX vergibt ein Label, KRITIS einen behördlichen Nachweis.

Welcher Rahmen gilt für Finanzunternehmen?+

Primär DORA als lex specialis; es geht für Finanzunternehmen den NIS2-Pflichten vor, wo beide dieselbe Materie regeln.

Warum sind Meldefristen so heikel?+

Ein einziger Vorfall kann NIS2, DSGVO und je nach Lage DORA oder CRA parallel auslösen, mit unterschiedlichen Fristen und Empfängern. Ein einheitlicher Incident-Prozess mit Mehrfach-Trigger-Mapping ist daher Pflicht.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Framework-Vergleich prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: xref-001.

Alle Themen der Wissensbasis