Regional für Stuttgart, Winnenden & Rems-Murr-Kreis · Beratung für Unternehmen, Verwaltungen und Organisationen
BSI · Informationssicherheit · Modernisierung

IT-Grundschutz und Grundschutz++: Was sich ändert und was Organisationen jetzt tun sollten

Der etablierte IT-Grundschutz bleibt eine umfassende Grundlage für Informationssicherheitsmanagement. Grundschutz++ ergänzt ihn um einen zukunftsgerichteten, vollständig prozessorientierten und digital nutzbaren Ordnungsrahmen.

Stand: Juli 2026

Einordnung auf einen Blick

Der klassische IT-Grundschutz arbeitet mit BSI-Standards, Modellierung und Bausteinen des IT-Grundschutz-Kompendiums. Grundschutz++ verfolgt laut BSI einen vollständig prozessorientierten Ansatz. Anforderungen werden als standardisierte, maschinenlesbare Regeln beschrieben. Dadurch sollen Sicherheitsanforderungen leichter digital verarbeitet, aktualisiert und in Werkzeuge integriert werden können.

Wichtig: Grundschutz++ sollte nicht als einfacher Austausch einzelner Bausteine verstanden werden. Es verändert vor allem die Struktur und die digitale Nutzbarkeit des Regelwerks. Organisationen sollten daher bestehende ISMS-Strukturen nicht verwerfen, sondern Datenqualität, Prozesse und Verantwortlichkeiten auf den Übergang vorbereiten.

Was bleibt beim IT-Grundschutz bestehen?

  • Informationssicherheit bleibt eine Management- und Organisationsaufgabe.
  • Schutzbedarf, Risiken, Verantwortlichkeiten und umgesetzte Maßnahmen müssen nachvollziehbar sein.
  • Ein ISMS benötigt klare Ziele, Rollen, Kontrollen und kontinuierliche Verbesserung.
  • Der BSI-Standard 200-2 und das IT-Grundschutz-Kompendium bilden weiterhin eine zentrale Arbeitsgrundlage.

Was ist bei Grundschutz++ neu?

ProzessorientierungSicherheitsanforderungen werden stärker an Prozessen, Tätigkeiten und konkreten Handlungen ausgerichtet.
Maschinenlesbare RegelnEin digitales Regelwerk in standardisierten Formaten soll Automatisierung und Werkzeugintegration erleichtern.
Schnellere AktualisierungEinzelne Regeln können zielgerichteter gepflegt und aktualisiert werden, ohne lange Dokumente vollständig neu herauszugeben.
Nachvollziehbare UmsetzungAnforderungen sollen klarer mit Verantwortungen, Nachweisen und Umsetzungsschritten verbunden werden.
Neue TechnologienDie Modernisierung soll mit Entwicklungen wie KI und weiteren dynamischen Technologiefeldern besser Schritt halten.
Digitale ISMS-ArbeitDie Struktur unterstützt perspektivisch stärker automatisierte Prüfungen, Auswertungen und Fortschreibungen.

IT-Grundschutz und Grundschutz++ im Vergleich

AspektIT-GrundschutzGrundschutz++
StrukturStandards, Methodik und thematische BausteineVollständig prozessorientierter Ordnungsrahmen
DarstellungDokumente, Bausteine und AnforderungenStandardisierte, digital verarbeitbare Regeln
PflegeEditionen und aktualisierte VeröffentlichungenGezieltere Aktualisierung einzelner Regeln möglich
WerkzeugeSoftwareunterstützung anhand des bestehenden KompendiumsStärkere Maschinenlesbarkeit und Integrationsfähigkeit
Organisatorischer FokusGanzheitliches ISMS mit Modellierung und AbsicherungsvariantenProzesse, Handlungen, Nachweise und digitale Weiterverarbeitung

Was müssen Organisationen jetzt tun?

  1. Bestehendes ISMS stabilisieren: Rollen, Scope, Schutzbedarf, Risiken und Maßnahmen müssen weiterhin belastbar gepflegt werden.
  2. Prozesslandkarte aktualisieren: Geschäfts-, Verwaltungs-, IT-, Sicherheits- und Notfallprozesse sollten nachvollziehbar dokumentiert sein.
  3. Informationsobjekte und Abhängigkeiten klären: Welche Informationen, Systeme, Dienstleister und Prozesse sind für die Leistungserbringung kritisch?
  4. Anforderungen strukturiert erfassen: Anforderungen nicht nur in PDFs oder Freitexten verwalten, sondern eindeutig, versionierbar und verantwortlichen Rollen zugeordnet.
  5. Nachweise verbessern: Zu jeder wesentlichen Anforderung sollte erkennbar sein, wie sie umgesetzt, geprüft und verbessert wird.
  6. Werkzeuglandschaft prüfen: ISMS- und GRC-Werkzeuge sollten offene Datenstrukturen, Importe, Exporte und nachvollziehbare Versionsstände unterstützen.
  7. Übergang planen: Zuständigkeiten, Schulungsbedarf und technische Anpassungen frühzeitig in eine Roadmap aufnehmen.
Empfehlung für KMU und Verwaltungen: Nicht auf eine vollständige Umstellung warten. Wer heute Prozesse, Verantwortlichkeiten, Nachweise und Datenstrukturen sauber aufbaut, reduziert den späteren Migrationsaufwand erheblich.

Was bedeutet das für Mitarbeitende?

Für Mitarbeitende sollte Grundschutz++ nicht zu mehr unverständlicher Dokumentation führen. Der Mehrwert entsteht, wenn Anforderungen näher an realen Tätigkeiten beschrieben werden: Wer muss was tun, wann, womit und wie wird die Umsetzung nachgewiesen? Führungskräfte müssen Verantwortlichkeiten sichtbar machen, Informationssicherheitsbeauftragte benötigen verlässliche Daten, und Fachbereiche sollten früh in Prozess- und Regeldefinitionen eingebunden werden.

Quellen und weiterführende Informationen

Der Beitrag ist eine fachliche Einordnung und keine Rechts- oder Zertifizierungsberatung. Übergangsregeln und Detailanforderungen sollten anhand der jeweils aktuellen BSI-Veröffentlichungen geprüft werden.