Mit der Veröffentlichung des Leitfadens zur Methodik Grundschutz++ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang April 2026 einen zentralen Baustein seiner Neuausrichtung des IT‑Grundschutzes vorgelegt. Ziel ist die Anpassung des „Stands der Technik“ an die sich wandelnde Informationssicherheitslandschaft. Der Leitfaden beschreibt systematisch, wie der zukünftige Sicherheitsstandard „Grundschutz++“ methodisch angewendet werden soll. Er richtet sich insbesondere an Organisationen, die ein Informationssicherheitsmanagementsystem (ISMS) aus regulatorischen Gründen oder auch aufgrund gestiegener Bedrohungslagen am aktuellen Stand der Technik ausrichten müssen bzw. wollen.
Was ist der IT‑Grundschutz?
Der IT‑Grundschutz des BSI ist ein etablierter Standard zum Aufbau und Betrieb eines ISMS. Er stellt Organisationen einen strukturierten Ansatz zur Verfügung, um Informationssicherheit systematisch umzusetzen und nachzuweisen. Kernidee ist es, für typische Geschäftsprozesse, IT‑Systeme und Infrastrukturen vordefinierte Anforderungen bereitzustellen, die bei normalem Schutzbedarf ohne aufwendige individuelle Risikoanalyse angewendet werden können.
Der bisherige IT‑Grundschutz (Edition 2023) bleibt weiterhin gültig und zertifizierungsrelevant. Der Grundschutz++ ist nicht als sofortiger Ersatz gedacht, sondern als grundlegende Weiterentwicklung mit veränderter Struktur und Zielrichtung.
Neuausrichtung durch den Grundschutz++?
Während der IT-Grundschutz stark auf feste Bausteinkataloge und umfangreiche Dokumentation ausgerichtet war, verfolgt Grundschutz++ einen konsequent prozessorientierten Ansatz. Methodik, Sicherheitsanforderungen und deren konkrete Ausprägung werden klar voneinander getrennt, wodurch Inhalte flexibler aktualisiert und situationsabhängig angewendet werden können sollen. Sicherheitsanforderungen liegen nicht mehr primär als Textdokumente vor, sondern in einem standardisierten, maschinenlesbaren Format, das Automatisierung und Tool‑Unterstützung ermöglicht. Gleichzeitig rückt die Rolle von Governance, Steuerung und kontinuierlicher Verbesserung stärker in den Fokus: Informationssicherheit wird weniger als einmaliges Projekt, sondern als dauerhaft zu betreibender Managementprozess verstanden, der sich skalieren und schrittweise weiterentwickeln lässt.
Was steck hinter der „Methodik Grundschutz++“?
Die Methodik Grundschutz++beschreibt den organisatorischen und prozessualen Rahmen, innerhalb dessen die künftigen Grundschutz‑Anforderungen angewendet werden sollen. Anders als der IT-Grundschutz, der stark dokumentenzentriert war, folgt die neue Methodik einem durchgängig prozessorientierten Ansatz entlang des PDCA‑Zyklus (Plan – Do – Check – Act).
Zentrale Merkmale sind dabei die strategische Verankerung der Informationssicherheit in der Organisation,eine strukturierte Anforderungsanalyse, die systematische Umsetzung der Anforderungen, die Überwachung der Wirksamkeit sowie die kontinuierliche Verbesserung des ISMS.
Die Methodik sieht eine Anforderungsanalyse auf Basis von Schutzbedarf und Sicherheitsniveau vor. Die Methodik arbeitet dabei weiterhin mit den Schutzbedarfen „normal“ und „hoch“ sowie den Sicherheitsniveaus „normal (Stand der Technik)“ und „erhöht“.
Der Leitfaden versteht sich dabei ausdrücklich als Ordnungsrahmen und nicht als vollständige Umsetzungsanleitung für alle Detailfragen. Mehrere Aspekte – etwa Kennzahlen, Blaupausen, Auditierungsmodelle und Migrationspfade – sind noch nicht final ausgearbeitet und sollen in den kommenden Jahren ergänzt werden. Seine Veröffentlichung ist ausdrücklich nicht für eine sofortige Migration bestehender ISMS nach Grundschutz Edition 2023 vorgesehen, sondern zunächst für Pilotanwendungen.
Aktualisierung im Kontext mit der NIS2-Umsetzung
Die NIS2‑Richtlinie verpflichtet „wichtige“ und „besonders wichtige“ Einrichtungen zur Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie eines wirksamen Risikomanagements. Das BSIG erlaubt dem BSI in diesem Zusammenhang einen (nationalen) Stand der Technik zu definieren. Unteranderem überträgt § 3 Abs. 1 Nr. 27 BSIG dem BSI die Aufgabe einen Stand der Technik von sicherheitstechnischen Anforderungen an IT-Produkte, unter Berücksichtigung bestehender Normen und Standards sowie unter Einbeziehung der betroffenen Wirtschaftsverbände, zu beschreiben und zu veröffentlichen.
Damit wird Grundschutz++ perspektivisch zu einem zentralen Referenzrahmen im Informationssicherheitsrecht.
Fazit
Der Leitfaden zur Methodik Grundschutz++ markiert keinen abrupten Umbruch, sondern den Beginn einer Übergangsphase. Er liefert einen modernen, prozessorientierten Rahmen für Informationssicherheit, der konsequent auf Automatisierung, Skalierbarkeit und regulatorische Anschlussfähigkeit ausgelegt ist.
Für Organisationen mit NIS2‑Pflichten lohnt sich eine frühzeitige Auseinandersetzung mit dem Dokument. Der Leitfaden zeigt deutlich, in welche Richtung sich der vom BSI definierte Stand der Technik entwickelt und welche Anforderungen künftig an ein rechtssicheres ISMS gestellt werden.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
