Müssen bestehende IT-Grundschutz-Implementierungen auf Grundschutz++ umgestellt werden?

Eine sofortige Umstellung ist nicht erforderlich. Das klassische IT-Grundschutz-Kompendium wird weitergeführt und aktualisiert. Für Organisationen, die eine (Re-)Zertifizierung anstreben oder ihr ISMS grundlegend modernisieren wollen, lohnt sich ein frühzeitiger Einstieg in Grundschutz++. Besonders relevant ist die OSCAL-Umstellung für Behörden und KRITIS-Betreiber, die zunehmend auf automatisierte Nachweisführung setzen.

Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

BSI Grundschutz++: Die Modernisierung des IT-Grundschutzes.

Q: Was ist BSI Grundschutz++ und wie unterscheidet es sich vom klassischen IT-Grundschutz?

BSI Grundschutz++ ist die Weiterentwicklung des bewährten BSI IT-Grundschutz-Rahmenwerks. Der wesentliche Unterschied liegt in der Modernisierung der Methodik: Die neue Version integriert OSCAL (Open Security Controls Assessment Language) für maschinenlesbare Sicherheitsdokumentation, bietet eine überarbeitete modulare Struktur mit klarer Trennung von Anforderungen und Umsetzungshinweisen und verzahnt sich enger mit ISO 27001:2022. Die bisherigen Absicherungsstufen (Basis, Standard, Kern) werden durch neue Zertifizierungsstufen abgelöst.

Q: Wie verhält sich Grundschutz++ zu ISO 27001:2022?

Grundschutz++ wurde mit einem deutlich verbesserten Mapping zu ISO 27001:2022 (Annex A, neue Kontrollstruktur mit 93 Maßnahmen) entwickelt. Organisationen mit bestehender ISO-27001-Zertifizierung können die Grundschutz++-Anforderungen als strukturierte Umsetzungshilfe nutzen, ohne parallele Dokumentationssilos aufzubauen. Das BSI stellt offizielle Mappingtabellen bereit, die den Bezug zwischen Grundschutz++-Bausteinen und ISO-27001-Anforderungen transparent machen.

Q: Gilt Grundschutz++ auch für NIS2-pflichtige Unternehmen?

Grundschutz++ ist kein eigener NIS2-Umsetzungsrahmen, kann aber als Methodik für die NIS2-konforme Implementierung von Sicherheitsmaßnahmen eingesetzt werden. Das BSI empfiehlt IT-Grundschutz explizit als Umsetzungshilfe für die NIS2-Anforderungen an das IKT-Risikomanagement. Die Grundschutz++-Bausteine decken die technischen und organisatorischen Maßnahmen ab, die NIS2 Art. 21 verlangt.

Das BSI entwickelt das bewährte IT-Grundschutz-Rahmenwerk grundlegend weiter. OSCAL-Integration für maschinenlesbare Dokumentation, eine überarbeitete modulare Struktur und neue Zertifizierungsstufen ab 2027.

2027

Start der neuen Grundschutz++-Zertifizierungsstufen durch das BSI

OSCAL

Open Security Controls Assessment Language: maschinenlesbare Sicherheitsdokumentation nach NIST-Standard

ISO 27001

:2022-Mapping verbessert; 93 Maßnahmen im Annex A direkt auf Grundschutz++-Bausteine bezogen

Hintergrund

Warum das BSI IT-Grundschutz modernisiert.

Der BSI IT-Grundschutz ist seit Jahrzehnten das zentrale deutsche Rahmenwerk für Informationssicherheit. Behörden, KRITIS-Betreiber und viele Unternehmen nutzen IT-Grundschutz als Methodik für Risikoanalyse, Maßnahmenumsetzung und Zertifizierung. Mit der zunehmenden Komplexität moderner IT-Infrastrukturen und der Einführung von ISO 27001:2022 wurde eine grundlegende Modernisierung notwendig.

BSI Grundschutz++ modernisiert das Rahmenwerk in drei zentralen Punkten: Integration von OSCAL für automatisierbare Compliance-Dokumentation, eine überarbeitete Bausteinstruktur mit klarer Trennung von Anforderungen und Umsetzungshinweisen sowie ein neues Zertifizierungsregime mit gestaffelten Stufen. Das klassische IT-Grundschutz-Kompendium wird dabei nicht abgelöst, sondern weiterentwickelt.

Aktueller Stand

Das BSI veröffentlicht die Grundschutz++-Methodik schrittweise. Pilotbausteine und OSCAL-Beispieldokumentationen sind bereits verfügbar. Mit dem Start des offiziellen Zertifizierungsbetriebs ist ab 2027 zu rechnen. Bestehende IT-Grundschutz-Zertifikate bleiben bis zu ihrem Ablaufdatum gültig.

Auf dieser Seite

Was Grundschutz++ vom klassischen IT-Grundschutz unterscheidet
OSCAL: maschinenlesbare Sicherheitsdokumentation
Neue Zertifizierungsstufen ab 2027
Mapping zu ISO 27001:2022
Relevanz für NIS2 und KRITIS-DachG
Was Organisationen jetzt vorbereiten sollten

Neuerungen im Überblick

Was Grundschutz++ konkret ändert.

OSCAL-Integration

Bausteine und Maßnahmen als maschinenlesbare OSCAL-Kataloge
Automatisierte Compliance-Prüfungen möglich
Einheitliches Format für Behörden, Auditoren und Tools
NIST OSCAL als Grundlage: internationale Interoperabilität

Überarbeitete Bausteinstruktur

Klare Trennung: Anforderungen vs. Umsetzungshinweise
Modularere Anwendbarkeit für Cloud-, OT- und Hybrid-Umgebungen
Aktualisierte Schichtenstruktur (ISMS, Systeme, Anwendungen, Infrastruktur)
Bessere Abdeckung moderner Architekturmuster (Container, Zero Trust)

Neue Zertifizierungsstufen

Gestaffelte Stufen ersetzen die bisherige Basis/Standard/Kern-Logik
Erleichterte Einstiegsstufe für kleinere Organisationen
Erweiterte Stufe für KRITIS-Betreiber und kritische Behörden
Zertifizierungsbetrieb startet ab 2027

ISO 27001:2022-Alignment

Direktes Mapping aller Bausteine auf die 93 Annex-A-Maßnahmen
Kontext- und Interessengruppen-Analyse nach Kap. 4 ISO 27001 integriert
Gemeinsame Zertifizierung Grundschutz++/ISO 27001 möglich
BSI-Mappingtabellen als offizielle Referenz verfügbar

Regulatorische Einordnung

Grundschutz++ und NIS2, KRITIS-DachG, DORA.

Das BSI empfiehlt IT-Grundschutz als Umsetzungshilfe für die NIS2-Anforderungen an das IKT-Risikomanagement. Grundschutz++ deckt die technischen und organisatorischen Maßnahmen ab, die NIS2 Art. 21 für wichtige und kritische Einrichtungen verlangt. Für KRITIS-Betreiber nach KRITIS-DachG ist IT-Grundschutz weiterhin als Referenzrahmenwerk anerkannt.

Für DORA-pflichtige Finanzunternehmen ist Grundschutz++ kein eigener Compliance-Rahmen, kann aber als ergänzende Methodik für das IKT-Risikomanagement-Framework genutzt werden. Die OSCAL-Unterstützung erleichtert die Erstellung des DORA-Informationsregisters und die Dokumentation von Drittpartei-Risiken.

Hintergrund

Das BSI nutzt Grundschutz++ auch als Grundlage für behördeninterne Mindestanforderungen (B3S-Profile, Schutzprofile). Bundesbehörden müssen IT-Grundschutz nach BSIG § 8 umsetzen. Die Grundschutz++-Transition betrifft daher direkt alle Bundeseinrichtungen und mittelbar ihre Dienstleister.

Vorbereitung

Was Organisationen jetzt tun sollten.

Für Organisationen mit laufenden IT-Grundschutz-Implementierungen besteht kein unmittelbarer Handlungsdruck. Das klassische Kompendium bleibt gültig und wird weiter gepflegt. Der richtige Zeitpunkt für die Grundschutz++-Transition ist die nächste geplante Re-Zertifizierung oder eine anstehende größere ISMS-Überarbeitung.

Für Neuimplementierungen oder Behörden mit Umstellungsplanung bis 2027 lohnt ein frühzeitiger Einstieg in die OSCAL-Dokumentation. BSI stellt Pilotbausteine und Schulungsunterlagen bereit. Die Tool-Landschaft (VERINICE, isms.online, eigene BSI-Tools) wird sukzessive um OSCAL-Unterstützung erweitert.

Bestehende IT-Grundschutz-Dokumentation auf OSCAL-Kompatibilität prüfen
ISO-27001:2022-Gap-Analyse mit Grundschutz++-Mapping kombinieren
Zertifizierungsplan: Re-Zertifizierungszeitpunkt und Übergangsszenario festlegen
Bundesbehörden: BSI-Migrationsbegleitung frühzeitig anfragen

FAQ

Häufige Fragen zu BSI Grundschutz++.

Verwandte Themen

Was ist BSI Grundschutz++ und wie unterscheidet es sich vom klassischen IT-Grundschutz?+

BSI Grundschutz++ ist die Weiterentwicklung des BSI IT-Grundschutz-Rahmenwerks. Der wesentliche Unterschied liegt in der Integration von OSCAL für maschinenlesbare Sicherheitsdokumentation, einer überarbeiteten modularen Bausteinstruktur und neuen Zertifizierungsstufen. Das klassische IT-Grundschutz-Kompendium wird dabei nicht abgelöst, sondern schrittweise in die neue Methodik überführt.

Was ist OSCAL und warum ist es für Grundschutz++ relevant?+

OSCAL (Open Security Controls Assessment Language) ist ein von NIST entwickelter Standard für maschinenlesbare Sicherheitsdokumentationen. Mit OSCAL können Sicherheitsanforderungen, Umsetzungsnachweise und Prüfergebnisse werkzeugverarbeitbar vorliegen. Die Integration in Grundschutz++ ermöglicht automatisierte Compliance-Prüfungen und vereinfacht den Austausch mit Auditoren und Behörden.

Wann startet die neue Grundschutz++-Zertifizierung?+

Das BSI plant die Einführung der neuen Grundschutz++-Zertifizierungsstufen ab 2027. Bestehende IT-Grundschutz-Zertifikate behalten ihre Gültigkeit bis zum ausgewiesenen Ablaufdatum. Für anstehende Re-Zertifizierungen empfiehlt sich eine frühzeitige Auseinandersetzung mit der neuen Methodik.

Wie verhält sich Grundschutz++ zu ISO 27001:2022?+

Grundschutz++ wurde mit einem verbesserten Mapping zu ISO 27001:2022 entwickelt. Die 93 Annex-A-Maßnahmen werden direkt auf Grundschutz++-Bausteine bezogen. Organisationen mit ISO-27001-Zertifizierung können Grundschutz++ als strukturierte Umsetzungshilfe nutzen. Das BSI stellt offizielle Mappingtabellen bereit.

Müssen bestehende IT-Grundschutz-Implementierungen umgestellt werden?+

Eine sofortige Umstellung ist nicht erforderlich. Das klassische IT-Grundschutz-Kompendium wird weitergeführt. Für Organisationen, die eine Re-Zertifizierung anstreben oder ihr ISMS modernisieren wollen, lohnt sich ein frühzeitiger Einstieg. Besonders relevant ist die OSCAL-Umstellung für Behörden und KRITIS-Betreiber.

Gilt Grundschutz++ auch für NIS2-pflichtige Unternehmen?+

Grundschutz++ ist kein eigenständiger NIS2-Rahmen, kann aber als Methodik für die NIS2-konforme Umsetzung eingesetzt werden. Das BSI empfiehlt IT-Grundschutz explizit als Umsetzungshilfe für NIS2 Art. 21. Die Grundschutz++-Bausteine decken die technischen und organisatorischen Maßnahmen ab, die NIS2 verlangt.

Leistung ISMS aufbauen & betreiben Zur Leistung Leistung ISO 27001 Zertifizierung Zur Leistung Ratgeber BSI IT-Grundschutz Zum Ratgeber

ISMS-Modernisierung und ISO 27001:2022 gemeinsam angehen.

Grundschutz++-Transition und ISO-Re-Zertifizierung lassen sich effizient kombinieren.

Zum ISMS-Aufbau