Mit dem im März 2026 veröffentlichten Leitfaden zur Methodik des IT-Grundschutzes++ legt das BSI mehr als eine bloße Fortschreibung des bisherigen Grundschutzansatzes vor. Der Leitfaden markiert einen spürbaren Wandel: weg von einer primär dokumentenzentrierten Herangehensweise, hin zu einer stärker strukturierten, daten- und prozessorientierten Sicherheitsmethodik. Das BSI gibt betroffenen Unternehmen ein neues Hilfsmittel an die Hand, den Handlungsdruck der NIS-2 Umsetzung zu meistern. Unter anderem müssen die Unternehmen ein wirksames Risikomanagement etablieren.

Von statischer Dokumentation zu automatisierter 
ISMS-Steuerung

Fünf aufeinander aufbauende Schritte von Regulierung bis Management-ReportingAbbildung 1: Von statischer Dokumentation zu automatisierter ISMS-Steuerung

Abbildung 1: Von statischer Dokumentation zu automatisierter ISMS-Steuerung

NIS-2 fordert den aktuellen Stand der Technik zu nutzen. Dieser Anforderung kommt das BSI mit dem überarbeiteten IT-Grundschutz nach: Der Leitfaden verweist ausdrücklich auf die Stand-der-Technik-Bibliothek des BSI auf GitHub. Dort werden Sicherheitsvorgaben als maschinenlesbare OSCAL-Dokumente beziehungsweise JSON-Strukturen bereitgestellt. Damit lassen sich in der Praxis Anforderungen konsistenter pflegen, einfacher in Anwendungen überführen und mit Umsetzungsständen, Nachweisen oder Prüfungen verbinden. Gerade für von NIS2-betroffene Unternehmen eröffnet dies die Chance, den Dokumentationsaufwand zu reduzieren und die Nachweisbarkeit deutlich praxisorientierter sowie revisionssicherer zu gestalten.

Hinzu kommt eine modernere Dokumenten- und Architekturlogik. Der Leitfaden beschreibt eine Basisversion, die durch ergänzende Layer - etwa Technik-, Beispiel- oder perspektivisch Audit-Layer - erweitert werden kann. Parallel unterscheidet die GitHub-Bibliothek zwischen Anwenderkatalogen und Quellkatalogen. Das spricht für eine deutlich agilere Weiterentwicklung als im klassischen, monolithischen Dokumentenverständnis. Unternehmen können so eher mit einem schlanken Kern starten und die Methodik gezielt ausbauen - ein echter Vorteil für Organisationen, die unter Zeitdruck pragmatisch vorgehen müssen.

Ebenfalls wichtig ist die erkennbare Weiterentwicklung des Stufenverständnisses. Auf den BSI-Seiten zu Grundschutz++ wird beschrieben, dass die bisherige Logik durch „flexible Leistungszahlen in Verbindung mit dynamischen Schwellwerten“ weiterentwickelt werden soll. Begleitende BSI-Unterlagen sprechen zudem von „Stufe 0-5“ sowie von einem „Aufwand von Quick-Win bis Nice-to-have“. Der nun veröffentlichte Methodik-Leitfaden selbst arbeitet in seiner aktuellen Fassung methodisch weiterhin mit den Sicherheitsniveaus „normal (Stand der Technik)“ und „erhöht“ sowie mit den Schutzbedarfen „normal“ und „hoch“. Für Unternehmen ist damit vor allem die Richtung relevant: Grundschutz++ soll stärker skalierbar und anschlussfähig werden, ohne die methodische Nachvollziehbarkeit zu verlieren.

Besonders praktisch ist zudem die konsequente Prozessorientierung. Der Leitfaden startet nicht bei einzelnen Zielobjekten, sondern bei Geschäftsprozessen und den darin verarbeiteten Informationen. Erst darauf aufbauend werden relevante Assets identifiziert, Zielobjektkategorien zugeordnet und individuelle Anforderungspakete erstellt. Das passt deutlich besser zu heutigen Steuerungs- und Governance-Logiken, in denen nicht Einzelmaßnahmen, sondern kritische Geschäftsleistungen, Zuständigkeiten und Wirksamkeit im Vordergrund stehen.

Schließlich erleichtert Grundschutz++ die Integration mit internationalen Standards. Für Unternehmen, die nationale Anforderungen mit ISO 27001, internen Kontrollsystemen oder konzernweiten Governance-Vorgaben verbinden wollen, ist das ein wesentlicher Vorteil. Nationale und internationale Anforderungen lassen sich damit künftig besser im Sinne einer guten Informationssicherheit kombinieren bzw. harmonisieren.

Wir unterstützen Unternehmen dabei, NIS-2 strukturiert und effizient umzusetzen, von der Betroffenheitsanalyse über Gap-Assessments bis hin zur Implementierung eines nachhaltigen Informationssicherheitsmanagementsystems. Unser Leistungsportfolio umfasst unter anderem:

  • Durchführung von NIS-2-Readiness-Assessments
  • Entwicklung von Zielbildern für Informationssicherheit
  • Unterstützung bei Aufbau bzw. Weiterentwicklung eines ISMS (Reifegradmodell)
  • Integration regulatorischer Anforderungen in bestehende Governance-Strukturen
  • Vorbereitung auf Audits und Prüfungen

Weiterführende Informationen zu Herausforderungen und Lösungsansätzen im Kontext von NIS-2 finden Sie auf der Themenseite von BDO: NIS-2 – Herausforderungen & Lösungen

Unser Fazit:

Die Umsetzung von NIS-2 und die Einordnung des neuen IT-Grundschutz++ stellen viele Organisationen vor komplexe fachliche und organisatorische Herausforderungen. Insbesondere die Verbindung regulatorischer Anforderungen mit operativer Umsetzung erfordert interdisziplinäre Expertise. Grundschutz++ ist ein Signal für die nächste Reifestufe von Informationssicherheit: strukturierter, prozessnäher, automatisierbarer sowie besser integrierbar in die regulatorische Gesamtsteuerung.

Dieser Artikel wurde verfasst von