Login

Kontakt aufnehmen

GRASP German GRC
Kostenlos testen
Grundschutz++

BSI Reform 2026

IT-Grundschutz++ verstehen und vorbereiten

Mit IT-Grundschutz++ modernisiert das BSI den deutschen Standard für Informationssicherheit grundlegend. Das BSI legt das neue Regelwerk so an, dass Anforderungen maschinenlesbar und automatisierbar sind. Dadurch sollen Anwender künftig stärker durch digitale Werkzeuge bei der Umsetzung unterstützt werden. Die drastische Reduktion auf das Wesentliche und die engere Verzahnung mit ISO 27001 schaffen die Basis für eine Informationssicherheit, die sich automatisiert prüfen und kontinuierlich messen lässt.

Jetzt BSI Reform erfüllen Kontakt aufnehmen
Inhalt & Ziele

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt seinen IT-Grundschutz seit Mitte der 1990er Jahre kontinuierlich weiter. IT-Grundschutz++ könnte sich zum größten Umbruch seit Einführung der BSI-Standards entwickeln. Ziel ist es, den Standard an die heutigen Bedrohungslagen, an moderne Technologien wie Cloud, Künstliche Intelligenz und IoT sowie an die regulatorischen Anforderungen aus NIS2 anzupassen.

  • Schlankere Prozesse durch deutlich weniger und klar formulierte Anforderungen.
  • Maschinenlesbares Format auf Basis des internationalen Standards OSCAL für automatisierbare Compliance-Prüfungen und stärkere Tool-Unterstützung.
  • Wegfall der bisherigen Absicherungsstufen Basis, Standard und erhöhter Schutzbedarf. Diese werden durch flexible Leistungskennzahlen in Verbindung mit dynamischen Schwellwerten ersetzt.
  • Niederschwelliger Einstieg über den Weg in die Basis-Absicherung (WiBA), ergänzend nutzbar zur Umsetzung grundlegender Sicherheitsanforderungen oder als Einstieg in ein systematisches ISMS.
  • Engere Harmonisierung mit ISO/IEC 27001:2022, um Doppelzertifizierungen zu erleichtern.
  • Erweiterung um spezifische Module für aktuelle Bedrohungsszenarien wie Cloud-Sicherheit, KI und IoT.
Wer ist betroffen?

Die Bundesregierung hat IT-Grundschutz++ in ihrer Digitalstrategie als verbindliches Werkzeug für die Bundesverwaltung festgelegt. Ziel ist, dass die Verwaltung bis 2030 technologisch souverän, sicher und vollständig digitalisiert arbeitet. IT-Grundschutz++ ist dabei das methodische Werkzeug. Für Unternehmen in der Privatwirtschaft bleibt der Standard formal freiwillig. Eine faktische Verbindlichkeit kann sich jedoch durch Vorgaben in Ausschreibungen oder andere Kundenanforderungen ergeben. Indirekt wirken zusätzlich NIS2 und das KRITIS-Dachgesetz, weil IT-Grundschutz als anerkannter Nachweis für Maßnahmen nach dem Stand der Technik dient.

  • Bundesverwaltung mit Verbindlichkeit aus dem BSI-Gesetz, dem Umsetzungsplan Bund und der Digitalstrategie der Bundesregierung.
  • Landes- und Kommunalverwaltungen, die ihre Sicherheitsmethodik an den Bundesstandards ausrichten.
  • Betreiber Kritischer Infrastrukturen (KRITIS) sowie wesentliche und wichtige Einrichtungen nach NIS2.
  • Unternehmen, die nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert sind oder eine Zertifizierung anstreben.
  • Mittelständische Unternehmen, die einen niederschwelligen Einstieg in ein systematisches ISMS suchen, etwa über den Weg in die Basis-Absicherung (WiBA).
  • Dienstleister und Lieferanten, die gegenüber regulierten Auftraggebern entsprechende Nachweise erbringen müssen.
Zeitplan und Übergangsphase

Der offizielle Starttermin von IT-Grundschutz++ war der 1. Januar 2026. Das BSI sieht eine mehrjährige Übergangszeit vor, in der das bisherige IT-Grundschutz-Kompendium und das neue Regelwerk parallel genutzt werden können. Eine konkrete Endjahreszahl hat das BSI bislang nicht festgelegt. In Veröffentlichungen aus der Fachcommunity werden 2029 oder 2030 genannt. 2030 wird häufig im Kontext der EU-Initiative Digitale Dekade als Zielmarke für die digitale Souveränität der Bundesverwaltung diskutiert. Eine Zertifizierung nach IT-Grundschutz++ wird voraussichtlich ab 2027 möglich sein.

Über 14.000 Anwender vertrauen bereits auf unsere Software


Worum es bei IT-Grundschutz++ geht

Reduktion: Der Anforderungskatalog schrumpft von rund 6.567 Teilanforderungen auf etwa 985 klar abgegrenzte Einzelanforderungen, eine Straffung um rund 85 Prozent.

Digitalisierung: Anforderungen liegen erstmals als maschinenlesbares OSCAL/JSON-Regelwerk vor und ersetzen das textbasierte Kompendium. Damit wächst auch die Bedeutung toolgestützter Umsetzung.

Zeitplan: Offizieller Start war der 1. Januar 2026. Das BSI sieht eine mehrjährige Übergangszeit vor, in der beide Standards parallel anwendbar bleiben.


Wichtig für die Planung

Das BSI hat angekündigt, das bisherige IT-Grundschutz-Kompendium während der Übergangszeit weiterhin zu pflegen.

Eine Aktualisierung ist geplant, allerdings nicht mehr im bisherigen Tempo. Wer heute eine Zertifizierung nach IT-Grundschutz besitzt, sollte frühzeitig planen, wie und wann der Wechsel auf IT-Grundschutz++ erfolgt, da eine vollautomatische Migration nicht möglich sein wird.

Mission: Informationssicherheit messbar machen, Aufwand reduzieren, Resilienz steigern.

Was ändert sich konkret?

IT-Grundschutz++ unterscheidet sich in mehreren Dimensionen grundlegend von seinem Vorgänger. Die folgenden sechs Änderungsbereiche sind für Entscheider in IT und Geschäftsführung besonders relevant.

Wegfall der klassischen Absicherungsstufen

Die bisherigen drei Vorgehensweisen Basis, Standard und Kern entfallen. An ihre Stelle treten flexible Leistungskennzahlen mit dynamischen Schwellwerten und ein neues Stufenmodell von 0 bis 5, das den Umsetzungsaufwand der einzelnen Anforderungen abbildet. Stufe 0 enthält ISO-kompatible Muss-Anforderungen, Stufe 5 optionale Anforderungen für erhöhten Schutzbedarf.

Leistungskennzahlen und Messbarkeit

Jede Anforderung erhält Punktwerte für Vertraulichkeit, Integrität und Verfügbarkeit. Damit lässt sich der Reifegrad eines ISMS objektiv messen, Fortschritte werden dokumentierbar und Investitionen können gezielt dort eingesetzt werden, wo der Sicherheitsgewinn am größten ist.

Harmonisierung mit ISO 27001

Die Anforderungen werden enger an ISO/IEC 27001:2022 ausgerichtet. Doppelzertifizierungen werden einfacher, der Dokumentationsaufwand sinkt und internationale Anschlussfähigkeit wächst. Wer bereits ISO-zertifiziert ist, kann viele bestehende Nachweise weiterverwenden.

Blaupausen als Schablonen

Blaupausen sind die Weiterentwicklung der bisherigen IT-Grundschutz-Profile. Sie liefern vorgefertigte Sicherheitskonzepte für typische Anwendungsfälle, Branchen oder Technologien wie 5G oder die E-Akte und reduzieren so den Implementierungsaufwand erheblich.

Maschinenlesbares Regelwerk (OSCAL/JSON)

Statt Anforderungen in PDF und Word liegt das Kompendium in einem strukturierten JSON-Format auf Basis des NIST-Standards OSCAL vor. Damit können ISMS-Werkzeuge Anforderungen direkt einlesen, Soll-Ist-Abgleiche automatisiert durchführen und den Umsetzungsgrad in Echtzeit dokumentieren.

Praktiken statt Bausteine

Die bisherigen 111 Bausteine in zehn Schichten weichen rund 19 prozessorientierten Praktiken wie Governance, Personal, IT-Betrieb oder Detektion. Praktiken sind modular, wiederverwendbar und nicht mehr starr an einzelne Zielobjekte gebunden.

IT-Grundschutz und IT-Grundschutz++ im direkten Vergleich

Die folgende Übersicht stellt die wichtigsten Unterschiede zwischen dem bisherigen IT-Grundschutz-Kompendium und dem neuen IT-Grundschutz++ gegenüber.

Merkmal
IT-Grundschutz (Edition 2023)
IT-Grundschutz++

Anzahl Anforderungen

rund 6.567 Teilanforderungen

rund 985 klar abgegrenzte Einzelanforderungen

Format

PDF und Word (Prosa)

OSCAL / JSON (maschinenlesbar)

Strukturierung

111 Bausteine in 10 Schichten

rund 19 Praktiken

Schutzbedarf und Sicherheitsniveau

drei Schutzbedarfsstufen (normal, hoch, sehr hoch)

zwei Sicherheitsniveaus (normal, erhöht)

Stufenmodell für die Umsetzung

drei Vorgehensweisen (Basis, Standard, Kern)

Leistungskennzahlen mit dynamischen Schwellwerten

Aktualisierung

jährlich, statisch

fortlaufend über GitHub

Prüfbarkeit

manuell, stichprobenartig

teil- bis vollautomatisierbar

Mehr Tool-Unterstützung als bisher

Das BSI legt IT-Grundschutz++ bewusst so an, dass Anforderungen maschinenlesbar und automatisierbar sind. Dadurch sollen Anwender künftig stärker durch digitale Werkzeuge bei der Umsetzung unterstützt werden. Bereits für den klassischen IT-Grundschutz hat das BSI den Einsatz von Software-Tools ab einer gewissen Institutionsgröße als anzuraten bezeichnet. Mit dem neuen Format wird Tool-Unterstützung in vielen Szenarien praktisch unverzichtbar, weil sich nur so der volle Nutzen aus OSCAL, Leistungskennzahlen und kontinuierlicher Aktualisierung des Anforderungskatalogs heben lässt.


Was bleibt erhalten?

Trotz des klaren Bruchs in Format und Struktur bleibt die grundlegende Methodik des IT-Grundschutzes erhalten. Organisationen, die bereits mit IT-Grundschutz arbeiten, finden weiterhin vertraute Arbeitsschritte vor.

  • Die BSI-Standards 200-1 bis 200-4 bilden zunächst weiterhin die methodische Basis.
  • Geltungsbereich, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check und Risikoanalyse bleiben als Vorgehen erhalten.
  • Die Modalverben MUSS, SOLLTE und KANN behalten ihre Verbindlichkeit.
  • Der Einsatz etablierter ISMS-Werkzeuge bleibt möglich, die Hersteller integrieren IT-Grundschutz++ schrittweise.
  • Das Kompendium bleibt zusätzlich als Excel- und Textversion verfügbar, jedoch als Ableitung aus den OSCAL-Quellen.
  • Das bisherige IT-Grundschutz-Kompendium wird vom BSI während der Übergangszeit weiterhin gepflegt und punktuell aktualisiert.


Wie sich Organisationen jetzt vorbereiten können

Auch wenn viele methodische Details noch in der Ausarbeitung sind, können Unternehmen und Behörden bereits konkrete Schritte einleiten, um den Wechsel auf IT-Grundschutz++ ohne Zeitdruck zu vollziehen.

  • Laufend über den Stand der Reform informieren, etwa über das BSI, die Stand-der-Technik-Bibliothek auf GitHub und Fachveranstaltungen wie die IT-Grundschutztage.
  • Bestehende Informationsverbünde konsolidieren und Komplexität reduzieren, um die spätere Migration zu vereinfachen.
  • In aktuellen Grundschutz-Checks jede Teilanforderung einzeln dokumentieren, da diese im neuen Regelwerk eigenständige Anforderungen werden.
  • Für KMU oder Organisationen ohne ISMS den Weg in die Basis-Absicherung (WiBA) prüfen, um grundlegende Sicherheitsanforderungen schnell umzusetzen.
  • Mit Tool-Anbietern in Kontakt treten und die Roadmap der eigenen ISMS-Software für IT-Grundschutz++ prüfen.
  • Personelle Ressourcen und gegebenenfalls externe Unterstützung für die Umstellung ab Mitte 2026 frühzeitig einplanen.
  • Eine interne Kommunikation aufsetzen, die Mitarbeitende und Verantwortliche auf erhöhte Aufwände durch Schulungen und Dokumentationsanpassungen vorbereitet.

Herausforderungen, die Entscheider kennen sollten

Die Modernisierung ist fachlich und technologisch nachvollziehbar, ist aktuell jedoch mit Unsicherheiten verbunden. Wer frühzeitig plant, kann Risiken aktiv steuern.

Offene Punkte und Risiken in der aktuellen Phase


Methodische Lücken:
Insbesondere zu Leistungskennzahlen, Stufenmodell und Modellierung sind viele Details noch nicht abschließend geklärt.

Migration:
Es gibt keinen automatisierten Migrationspfad vom IT-Grundschutz-Kompendium zu IT-Grundschutz++. Eine manuelle Neuabbildung ist zu erwarten.

Tool-Abhängigkeit:
Eine vollumfängliche Nutzung von IT-Grundschutz++ ist faktisch nur mit OSCAL-fähigen ISMS-Werkzeugen möglich. Lifecycle, Lizenzmodell und Update-Fähigkeit der eingesetzten Tools sollten geprüft werden.

Parallelbetrieb:
Während der Übergangszeit müssen Organisationen mit zwei parallelen Standards umgehen, da das alte Kompendium weiterhin gepflegt wird, neue Funktionen aber nur in IT-Grundschutz++ einfließen.

Kompetenzanforderungen:
Die Verschiebung in Richtung Compliance as Code erhöht die technischen Anforderungen an Sicherheitsverantwortliche, Berater und Auditoren.

Made und Hosted in Germany 2024 Allianz fuer Cyber Sicherheit smig german 2026 Lizenzierter GS ISO Zertifizierung Logo 2025

Häufig gestellte Fragen

Was ist IT-Grundschutz++ einfach erklärt?

IT-Grundschutz++ ist die grundlegende Modernisierung des bewährten IT-Grundschutzes durch das BSI. Statt eines textbasierten Kompendiums mit über 6.000 Teilanforderungen arbeitet das neue Regelwerk mit rund 985 klar formulierten, maschinenlesbaren Anforderungen. Es ist stärker an ISO 27001 angelehnt und macht Informationssicherheit objektiv messbar.

Muss mein Unternehmen sofort wechseln?

Nein, ein sofortiger Wechsel ist nicht erforderlich. Sinnvoll ist es jedoch, frühzeitig mit der Vorbereitung zu beginnen, da eine automatisierte Migration nicht vorgesehen ist. Das alte Kompendium bleibt während der Übergangszeit weiterhin anwendbar und wird vom BSI gepflegt.

Was ist OSCAL und warum ist es relevant?

OSCAL steht für Open Security Controls Assessment Language und ist ein vom amerikanischen NIST entwickeltes Datenmodell für Sicherheits- und Compliance-Anforderungen. Das BSI hat sich beim IT-Grundschutz++ für JSON als Datenformat innerhalb von OSCAL entschieden. Damit lassen sich Anforderungen automatisiert in ISMS-Werkzeugen verarbeiten und mit IT-Systemen verknüpfen. OSCAL steht für Open Security Controls Assessment Language und ist ein vom amerikanischen NIST entwickeltes Datenmodell für Sicherheits- und Compliance-Anforderungen. Das BSI hat sich beim IT-Grundschutz++ für JSON als Datenformat innerhalb von OSCAL entschieden. Damit lassen sich Anforderungen automatisiert in ISMS-Werkzeugen verarbeiten und mit IT-Systemen verknüpfen.

Welche Verbindung besteht zu NIS2?

IT-Grundschutz++ ist explizit darauf ausgelegt, die Anforderungen aus NIS2 effizient zu unterstützen. Pflichten zu Risikomanagement, Meldewesen, Lieferketten und Geschäftskontinuität lassen sich auf der Basis von Praktiken und Leistungskennzahlen strukturiert nachweisen.

Was bedeutet die Verbindlichkeit für die Bundesverwaltung?

Die Bundesregierung hat IT-Grundschutz++ in ihrer Digitalstrategie als verbindliches Werkzeug für die Bundesverwaltung festgelegt. Hintergrund ist das Ziel, dass die Verwaltung bis 2030 technologisch souverän, sicher und vollständig digitalisiert arbeitet. IT-Grundschutz++ ist hierfür die methodische Grundlage.

Wo finde ich offizielle Informationen?

Aktuelle Informationen veröffentlicht das BSI auf seinen Themenseiten zum IT-Grundschutz, in der Stand-der-Technik-Bibliothek auf GitHub sowie auf den IT-Grundschutztagen und vergleichbaren Fachveranstaltungen.

Wann tritt IT-Grundschutz++ in Kraft und wie lange gilt die Übergangsphase?

Der offizielle Starttermin war der 1. Januar 2026. Eine Zertifizierung nach IT-Grundschutz++ wird voraussichtlich ab 2027 möglich sein. Das BSI nennt für die Übergangszeit keine festes Enddatum, sondern spricht von einer mehrjährigen Phase. In der Fachcommunity werden Zeithorizonte zwischen 2029 und 2030 diskutiert.

Wo kommt der Begriff klar abgegrenzte Einzelanforderung her?

Im neuen Regelwerk werden Anforderungen so klein wie möglich gefasst. Jede Anforderung adressiert genau einen einzelnen Sachverhalt und ist damit eindeutig prüfbar. Bisher waren in einer Anforderung oft mehrere Forderungen mit unterschiedlichen Modalverben kombiniert. Diese Atomisierung ist die Voraussetzung dafür, dass Anforderungen automatisiert geprüft werden können.

Welche Vorteile bringt das maschinenlesbare Format konkret?

Soll- und Ist-Zustände lassen sich automatisiert abgleichen, Reifegrade in Echtzeit auf Dashboards darstellen und Aktualisierungen des Regelwerks ohne langes Warten auf eine neue Edition übernehmen. Der Dokumentationsaufwand sinkt, die Nachvollziehbarkeit gegenüber Aufsichtsbehörden steigt. Damit gewinnt auch der Einsatz spezialisierter ISMS-Software an Bedeutung.

Wie unterscheidet sich IT-Grundschutz++ von ISO 27001?

IT-Grundschutz++ orientiert sich enger an ISO/IEC 27001:2022 als der bisherige IT-Grundschutz. Der Standard ist konkreter und praxisnaher, geht in einigen Bereichen weiter, ist aber gleichzeitig schlanker als das früher umfangreiche Kompendium. Eine Doppelzertifizierung wird einfacher als bisher.

Wer arbeitet an IT-Grundschutz++?

Das BSI führt das Projekt federführend mit dem Referat Stand der Technik und der bisherigen Grundschutz-Community durch. Erstmals wurden Inhalte transparent über GitHub veröffentlicht und konnten von Fachexperten kommentiert werden, etwa in der Kommentierungsphase im August 2025.

GRASP ist ein Produkt der DextraData GRC Technologies GmbH

Siegel Software Made and Hosted in Germany
Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

GRASP Dokumentation

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GRC Technologies GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen