Compliance · NIS2 · BSI IT-Grundschutz

Grundschutz++ ist da – und damit der neue „Stand der Technik“

Warum der BSI-Methodikleitfaden die gesetzliche Messlatte für NIS2 verschiebt – und wie Sie sich ohne Zeitdruck aufstellen

Anfang April 2026 hat das BSI die erste Version des Leitfadens zur Methodik des Grundschutz++ (GSpp) veröffentlicht. Was nach bürokratischer Fortschreibung klingt, ist in Wahrheit ein Paradigmenwechsel: weg vom statischen PDF-Baustein, hin zu einem maschinenlesbaren, prozessorientierten Sicherheitsmanagement – und zugleich der vom Gesetzgeber geforderte „Stand der Technik“ für NIS2.

Warum das mehr ist als ein Update

Mit der NIS2-Umsetzungsverordnung ist das BSI verpflichtet, einen verbindlichen Stand der Technik zu definieren. Genau das leistet Grundschutz++. Für „wichtige“ und „besonders wichtige“ Einrichtungen ist das damit kein unverbindlicher Ratgeber mehr, sondern die regulatorische Messlatte. Die wichtigsten Eckpunkte:

Maschinenlesbar (OSCAL/JSON)

Anforderungen werden als OSCAL-Dokumente bereitgestellt – konsistent pflegbar, in ISMS-/GRC-Tools importierbar und teilautomatisiert prüfbar.

Rund 80 % weniger Anforderungen

Redundanzen wurden zusammengelegt, der Fokus liegt auf essenziellen Maßnahmen – deutlich schlanker, ohne das Schutzniveau zu senken.

Prozess statt Papier

Eine entlang des PDCA-Zyklus strukturierte Methodik mit Basisversion und ergänzenden Layern (Technik, Beispiel, perspektivisch Audit).

Native NIS2-/ISO-Mappings

Kreuzreferenzen zu ISO 27001:2022 und NIS2 sind im Format hinterlegt – das erleichtert Nachweis und Lückenanalyse erheblich.

⚠ Wichtig: noch nicht kopflos migrieren

Der Leitfaden ist explizit für Pilotprojekte gedacht – nicht für die Migration laufender Informationsverbünde, die heute ein ISMS nach Grundschutz-Edition 2023/2024 betreiben. Die bisherige Fassung gilt noch bis Ende 2028. Wer jetzt überstürzt migriert, verbrennt Ressourcen. Im Zweifel gilt immer der Katalog, nicht der Leitfaden.

So nutzen Sie die Übergangsphase

Die Zeit bis zur verbindlichen Auditierung ist Ihr Vorsprung – wenn Sie sie strukturiert nutzen:

✓ Status quo prüfen: Entspricht Ihre Architektur (Active Directory, Cloud-Identitäten) bereits einem modernen Tiering-Modell?
✓ Pilotieren statt migrieren: Modellieren Sie einen abgegrenzten Informationsverbund nach GSpp-Methodik – mit den OSCAL-Katalogen.
✓ Tooling digital aufsetzen: Neue Projekte nicht mehr in Excel/Word starten – das ist sonst technische Schuld ab Tag eins.
✓ Härtung vorziehen: Identitätsschutz und Infrastruktur-Härtung (AD-Tiering, Kerberos, Zertifikate) sind die Punkte, an denen GSpp am härtesten misst.

ℹ Einordnung

Grundschutz++ belohnt genau das, was ohnehin gute Praxis ist: ein sauberes Tier-Modell, gehärtete Verzeichnisdienste und nachweisbares Patch- und Zertifikatsmanagement. Wer hier seine Hausaufgaben macht, hat den Großteil der Messlatte schon erreicht.

Fazit

Grundschutz++ macht den Stand der Technik maschinenlesbar – und damit erstmals wirklich automatisierbar nachweisbar. Genau an dieser Stelle setzt das ISW-Tools an: der ISW OSCAL Katalog-Manager für die Arbeit mit den GSpp-Katalogen und die BSI-Referenzprüfung, für die strukturierte Umsetzung der Maßnahmen über die gesamte Übergangsphase.

Mehr zu den ISW-Tools unter isw-adtools.de.