TLDR
Drei Compliance-Projekte gleichzeitig zu führen kostet dich nicht dreimal so viel, es kostet dich das Vierfache, weil alles doppelt gemacht wird. GDPR, NIS2 und ISO 27001 überschneiden sich zu 60-70%: Risikoregister, Incident Response, Access Control, Lieferantenmanagement, das ist dieselbe Arbeit, nur aus verschiedenen Perspektiven. Wer ISO 27001 als Rückgrat nimmt und die anderen Anforderungen darauf abbildet, spart 40-60% Aufwand gegenüber isolierten Projekten. Der erste Schritt: Höre auf, sie als drei separate Projekte zu behandeln.

Stell dir vor, du renovierst ein Haus. Drei verschiedene Handwerker kommen. Jeder macht eine eigene Bestandsaufnahme. Jeder bestellt sein eigenes Material. Jeder schreibt seinen eigenen Bericht. Am Ende haben alle drei dasselbe Zimmer vermessen, und trotzdem stimmen die Masse nicht überein.

Das ist Compliance-Management in vielen Schweizer KMU und Mid-Market-Unternehmen heute.

GDPR-Projekt läuft. NIS2-Readiness wird vorbereitet. ISO 27001-Zertifizierung soll nächstes Jahr kommen. Drei Projektleiter, drei Dokumentationssets, drei Audit-Vorbereitung-Zyklen. Dreifache Kosten. Dreifache Verwirrung. Und am Ende fragt sich irgendjemand in der Geschäftsführung, warum Compliance so verdammt viel Zeit und Geld kostet.

Die Antwort: Weil du dasselbe dreimal machst.

Wo sich GDPR, NIS2 und ISO 27001 wirklich überschneiden

Bevor wir über den Ausweg reden, müssen wir ehrlich sein über den Kern des Problems. Diese drei Regelwerke klingen nach drei verschiedenen Dingen. Datenschutz. Cybersicherheit für kritische Infrastrukturen. Informationssicherheits-Management. Drei Welten, oder?

Nicht wirklich.

Wenn du anfängst, die eigentlichen Anforderungen auszulisten, nicht die Marketing-Beschreibungen, sondern was du konkret tun musst, siehst du schnell, wo sich die Überlappungen häufen.

Was alle drei gemeinsam haben:

• Risikobeurteilung: Alle drei verlangen eine systematische Risikoanalyse. Nicht drei verschiedene. Eine.

• Asset-Inventar: Weisst du, welche Systeme du betreibst, welche Daten du verarbeitest, welche Lieferanten Zugang haben? Das brauchen alle drei.

• Access Control: Wer hat Zugriff auf was, warum, und wird das regelmässig überprüft? Dieselbe Frage, drei verschiedene Regelwerke.

• Incident Management: Ein Sicherheitsvorfall ist ein Sicherheitsvorfall. Die Meldepflichten unterscheiden sich, aber der Prozess dahinter ist derselbe.

• Dokumentation: Policies, Verfahren, Nachweise. Alle drei wollen das sehen.

• Lieferantenmanagement: Wer sind deine Drittanbieter? Welche Risiken bringen sie mit? Wie prüfst du das?

• Awareness-Training: Deine Mitarbeitenden müssen verstehen, was erlaubt ist und was nicht. Einmal trainieren, nicht dreimal.

Das ist keine marginale Überschneidung. Das ist der grösste Teil der Arbeit.

Was dann noch übrig bleibt, sind die wirklich spezifischen Anforderungen:

Nur GDPR: Betroffenenrechte (Auskunft, Löschung, Portabilität), DPIAs für risikoreiche Verarbeitung, Consent Management, Datenaufbewahrungsfristen.

Nur NIS2: Verpflichtende Haftung der Geschäftsführung, spezifische Meldezeitfenster (24 Stunden Erstmeldung, 72 Stunden Folgemeldung), verstärkte Supply-Chain-Sicherheit.

Nur ISO 27001: Formaler ISMS-Scope und Statement of Applicability, Zertifizierungsaudit durch akkreditierte Stelle, die 93 Annex-A-Controls als Referenz.

Wenn du das nebeneinander legst, wird klar: Der gemeinsame Kern ist riesig. Die Delta-Anforderungen sind vergleichsweise klein. Wer das dreimal von null aufbaut, verschwendet massiv Ressourcen.

Warum trotzdem fast alle isoliert arbeiten

Gute Frage. Meistens liegt es an der Art, wie Compliance-Projekte angestossen werden.

GDPR kam 2018, auf Druck der Datenschutzbeauftragten oder nach einem Audit. ISO 27001 folgte irgendwann, weil ein Grosskundenvertrag eine Zertifizierung verlangte. NIS2 ist jetzt gerade heiss, weil EU-Lieferkettenanforderungen den Druck erhöhen.

Drei unterschiedliche Auslöser, drei unterschiedliche Projektverantwortliche, drei unterschiedliche Berater manchmal. Jeder hat seinen eigenen Ansatz. Jeder baut sein eigenes Silo.

(Und wenn du Pech hast, hat einer davon ein fertiges Tool verkauft, das nicht mit dem Tool des nächsten redet. Klassisch.)

Das Problem ist nicht böse Absicht. Es ist organisches Wachstum ohne übergreifende Architektur.

Das integrierte Compliance Framework: Wie es funktioniert

Die Lösung ist nicht kompliziert. Sie erfordert aber, einen Schritt zurückzutreten und das Gesamtbild zu sehen.

Das Grundprinzip: Nimm ISO 27001 als Rückgrat. Es ist das am besten strukturierte der drei Regelwerke, hat den breitesten Scope und den höchsten Reifegrad in der Praxis. Bilde dann die Anforderungen von GDPR und NIS2 auf dieses Rückgrat ab. Füll die Lücken, die danach noch bestehen.

Was das konkret bedeutet:

1. Ein Risikoregister, nicht drei

Dein Risikoregister ist der Dreh- und Angelpunkt. Es erfasst Risiken, Bewertungen, Massnahmen und Verantwortlichkeiten. ISO 27001 verlangt es. NIS2 auch. GDPR ebenfalls für die Verarbeitung personenbezogener Daten.

Unterschied: Das Format und die Perspektive. ISO 27001 schaut auf Informationssicherheitsrisiken breit. NIS2 fokussiert auf Betriebskontinuität und Resilienz. GDPR schaut auf Risiken für betroffene Personen.

Lösung: Ein einziges Register mit Kategorisierung. Jedes Risiko hat Tags für die betroffenen Regelwerke. Wenn du ein neues Risiko aufnimmst, entscheidest du einmal, welche Anforderungen es berührt, und pflegst es an einem Ort.

Das klingt banal. Es ist es nicht. Wir haben Unternehmen gesehen, die dasselbe Risiko in drei verschiedenen Excel-Tabellen unterschiedlich bewertet hatten.

2. Ein Policy-Set mit regulatorischem Mapping

Policies müssen sein. Information Security Policy. Acceptable Use Policy. Incident Response Policy. Supplier Security Policy.

Anstatt für jedes Regelwerk eine eigene Richtlinienlandschaft aufzubauen, schreibst du eine Policy und dokumentierst, welche Anforderungen sie abdeckt. Eine Tabelle reicht: Policy, Anforderung GDPR, Anforderung NIS2, Anforderung ISO 27001, Status.

Das spart nicht nur Erstellungsaufwand. Es spart noch mehr beim nächsten Audit, weil du sofort zeigen kannst, dass eine Policy mehrere Anforderungen erfüllt.

3. Ein Audit-Kalender

ISO 27001 interne Audits. GDPR-Datenschutzfolgenabschätzungen. NIS2-Reifegradprüfungen. Supplier Assessments. Awareness-Trainings.

Wenn du das nicht koordinierst, bist du das ganze Jahr im Audit-Modus. Und deine internen Teams auch, was sie von ihrer eigentlichen Arbeit abhält.

Ein integrierter Kalender plant alle Prüfungsaktivitäten zusammen. Supplier Assessment einmal jährlich, einmal für alle relevanten Regelwerke. Internes Audit-Programm, das ISO 27001, GDPR und NIS2-Anforderungen in denselben Prüf-Zyklen abdeckt. Kein Thema wird doppelt besucht, ausser es gibt guten Grund dafür.

4. Ein Incident-Prozess: Regelwerkspezifische Meldepflichten

Das ist der Bereich, wo die Teufelchen in den Details stecken. GDPR: 72 Stunden Meldepflicht an die Datenschutzbehörde, wenn personenbezogene Daten betroffen sind. NIS2: 24 Stunden Erstmeldung, 72 Stunden Vollmeldung an die nationale Behörde. ISO 27001: Kein regulatorischer Zeitrahmen, aber strukturierter Prozess verlangt.

Das klingt nach einem Argument für drei verschiedene Prozesse. Es ist keins.

Der Prozess, Erkennen, Klassifizieren, Eindämmen, Untersuchen, Beheben, Nachbereiten, ist immer derselbe. Was sich unterscheidet, ist ein Schritt: die Klassifizierung, welche Meldepflichten ausgelöst werden. Und dieser Schritt kann in einer einzigen Entscheidungsmatrix abgebildet werden.

Wenn ein Vorfall klassifiziert ist, weiss dein Team automatisch: GDPR relevant? Dann 72h-Uhr startet. NIS2 relevant (kritische Infrastruktur betroffen)? 24h-Erstmeldung. Beide? Beide Uhren laufen parallel.

Ein Prozess. Mehrere Konsequenzen je nach Klassifizierung.

5. Ein Training, nicht drei verschiedene

Awareness-Training ist bei allen drei Pflicht. ISO 27001 verlangt sicherheitsbewusstes Verhalten. GDPR verlangt Datenschutz-Grundkenntnisse. NIS2 hat eigene Anforderungen an das Bewusstsein für Cyberrisiken.

Kannst du das in einem Training unterbringen? Ja. Es ist sogar besser, weil die Zusammenhänge klar werden. Datenschutz und Informationssicherheit sind keine getrennten Themen, das eine ergibt sich weitgehend aus dem anderen.

Wie der Aufbau in der Praxis aussieht

Wenn wir das mit Unternehmen angehen, folgen wir einem einfachen Ablauf:

Phase 1: Bestandsaufnahme (2-3 Wochen). Was existiert schon? Policies, Risikoregister, Dokumentation, Prozesse. Was davon ist aktuell, was veraltet, was fehlt komplett? Und: Wo gibt es Überschneidungen zwischen vorhandenen Dokumenten?

Phase 2: Gap-Analyse gegen alle drei Regelwerke gleichzeitig. Nicht sequenziell, gleichzeitig. Das zeigt sofort, wo eine Massnahme mehrere Lücken schliesst.

Phase 3: Konsolidierung. Zusammenführen, was zusammengehört. Policies zusammenfassen. Risikoregister vereinheitlichen. Dopplungen eliminieren.

Phase 4: Delta-Umsetzung. Erst jetzt werden die wirklich spezifischen Anforderungen adressiert, die kein gemeinsames Fundament haben. Betroffenenrechte-Prozesse für GDPR. Board-Accountability-Dokumentation für NIS2. Statement of Applicability für ISO 27001.

Phase 5: Wartungssystem. Ein integriertes Framework bringt nur dann dauerhaft Nutzen, wenn es auch integriert gepflegt wird. Wer zuständig ist, in welchen Zyklen geprüft wird, wie Änderungen eines Regelwerks auf das gesamte Framework abgebildet werden.

Der Aufwand für Phase 5 ist das, was die meisten Unternehmen unterschätzen. Ein Framework zu bauen dauert Monate. Es zu betreiben, das ist die eigentliche Arbeit.

Was das für Schweizer Unternehmen konkret bedeutet

Kurze Kontextualisierung: Viele Schweizer Unternehmen stehen genau jetzt vor dieser Situation.

GDPR gilt für jeden, der Daten von EU-Bürgern verarbeitet, das sind praktisch alle Unternehmen, die Geschäfte in oder mit der EU machen. NIS2 ist EU-Recht, aber der Druck kommt trotzdem: Wer in EU-Lieferketten integriert ist, wird von grossen Lieferanten und Kunden zunehmend auf NIS2-Konformität geprüft. ISO 27001 ist oft Vertragsbedingung oder wird es bald, insbesondere im Finanz-, Gesundheits- und Industriebereich.

Das heisst: Die drei Regelwerke sind keine akademische Übung. Sie sind operative Realität.

Wir haben unseren ausführlichen Leitfaden zur NIS2-Umsetzung für Schweizer Unternehmen schon publiziert, wenn du dort noch Grundlagen brauchst, ist das ein guter Einstieg. Und wenn dich interessiert, wie Compliance auch als Wettbewerbsvorteil positioniert werden kann: dieser Artikel zu NIS2 und FINMA als Resilienzstruktur zeigt den strategischen Blickwinkel.

Was wir in der Praxis sehen: Unternehmen, die isoliert vorgehen, brauchen typischerweise 18-24 Monate und erhebliche externe Beraterkosten, um alle drei Regelwerke abzudecken. Unternehmen, die von Anfang an integriert denken, schaffen das in 12-15 Monaten mit deutlich weniger Beratungsstunden, weil jede Stunde für mehrere Anforderungen gleichzeitig zählt.

40-60% weniger Aufwand ist keine Marketing-Zahl. Das ist, was passiert, wenn du aufhörst, dasselbe dreimal zu dokumentieren.

Wo ISO 27001 als Ausgangspunkt am meisten bringt

Kleiner Hinweis noch, falls du gerade am Anfang stehst: ISO 27001 ist kein Muss als Rückgrat, aber es ist die beste Wahl, wenn du die Wahl hast.

Warum? Weil es das am besten strukturierte der drei Regelwerke ist. Es hat einen klaren Scope-Ansatz, einen definierten Zertifizierungsprozess und, wichtig: die Annex-A-Controls als vorgefertigten Katalog von Sicherheitsmassnahmen. Diese Controls decken schon sehr viel ab, was GDPR und NIS2 ebenfalls verlangen.

Wer ISO 27001 konsequent umsetzt, hat die Basis für GDPR-Konformität und NIS2-Anforderungen zu einem grossen Teil schon erledigt. Das Delta ist dann überschaubar.

Wenn du gerade ein pragmatisches ISMS aufbaust, haben wir das Vorgehen in diesem Artikel ausführlich beschrieben, besonders den Teil, wie man das macht, ohne drei Jahre dafür zu brauchen.

Und wenn du auch noch den EU AI Act im Blick hast (was bei vielen Unternehmen gerade relevant wird): Unser Artikel zu EU AI Act Compliance zeigt, wie du auch diese Anforderungen ins integrierte Framework einbinden kannst. Wer das früh mitdenkt, spart sich den nächsten Parallelstrang.

Der nächste Schritt

Vergiss alles andere. Mach morgen früh genau eines: Schreib auf, welche Compliance-Initiativen bei dir gerade parallel laufen. Namen, Projektverantwortliche, Dokumentationsablageorte.

Wenn du mehr als einen Listenpunkt hast und keine klare Verbindung zwischen ihnen, hast du den Ausgangspunkt für das Problem identifiziert.

Der zweite Schritt wäre eine ehrliche Bestandsaufnahme: Was existiert davon schon in nutzbarer Form, und was wird gerade doppelt erarbeitet? Das dauert typischerweise zwei bis drei Wochen, und zeigt oft sehr schnell, wo die grössten Einsparungen liegen.

Wenn du Unterstützung dabei brauchst, reden wir gerne. Kein Pitch, kein Beratungs-Bingo, nur ein Gespräch darüber, was bei dir gerade läuft und ob ein integrierter Ansatz Sinn ergibt. Unsere Compliance-Beratung zeigt, wie wir das angehen.