BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard.
Inhalt und Zielsetzung
Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems. Er beschreibt eine entlang des PDCA-Zyklus strukturierte Methodik, die strategische Verankerung, Anforderungsanalyse, Umsetzung, Überwachung und kontinuierliche Verbesserung zu einem konsistenten Sicherheitsprozess verbindet. Grundschutz++ setzt dabei auf modulare Praktiken und eine prozessorientierte Struktur statt starrer Bausteine sowie auf ein OSCAL/JSON-basiertes, maschinenlesbares Regelwerk, das teilweise automatisierte Compliance-Prüfungen ermöglicht – bei gleichzeitiger Reduktion der Anforderungen um rund 80 Prozent gegenüber dem bisherigen Kompendium.
Eingeschränkte Anwendbarkeit – Pilotprojekte im Fokus
Der Leitfaden ist explizit nur für Pilotprojekte gedacht und nicht für die Migration von Informationsverbünden, die derzeit ein ISMS nach Grundschutz Edition 2023 betreiben. Der aktuelle Stand von Grundschutz++ ist bisher nur sehr eingeschränkt praktisch anwendbar, da wesentliche Definitionen und Teile der Methodik noch fehlen – darunter Vorgaben zu Kennzahlen, Blaupausen, Schutzbedarfsbewertung und Modellierung.
Übergangsphase bis 2029
Die Edition 2023 des IT-Grundschutzes bleibt gültig und zertifizierungsrelevant; eine Übergangsphase bis 2029 ist geplant, in der beide Standards parallel gelten. Mit dem Leitfaden kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist.
Für Informationssicherheitsbeauftragte und ISB empfiehlt sich eine frühzeitige Auseinandersetzung mit dem Dokument – insbesondere für NIS2-betroffene Organisationen, die ein ISMS nach dem vom BSI definierten Stand der Technik neu aufbauen wollen.
(Foto: nmann77 – stock.adobe.com)
Das könnte Sie auch interessieren
-
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren -
Folge 92: KI-Omnibus Update Mai 2026
Die KI-Verordnung soll mit Wirkung ab August 2026 geändert werden. Entsprechend laufen die Verhandlungen zwischen dem EU-Parlament, den EU-Mitgliedstaaten und der EU-Kommission auf Hochtouren. Eigentlich sollten sie bereits am 28. April 2026 abgeschlossen sein. Doch eine Einigung konnte nicht erzielt werden. Kai Zenner, Büroleiter des Europaabgeordneten Axel Voss (EVP), berichtet aus dem Maschinenraum der Verhandlungen
Mehr erfahren
