Das BSI hat Grundschutz++ am 1. Januar 2026 eingeführt und den Methodikleitfaden am 1. April 2026 veröffentlicht. Diese Seite erklärt, was sich konkret ändert, wo die Umstellung heute steht und was die Modernisierung für Organisationen mit bestehender IT-Grundschutz-Basis ebenso wie für Neueinsteiger über NIS2 bedeutet.
02 / Die Kurzfassung
Grundschutz++ ist die Modernisierung des IT-Grundschutzes durch das BSI. Der Ausgangspunkt ist dieselbe Methodik, mit der Compliance-Teams seit zwei Jahrzehnten arbeiten: den Informationsverbund erfassen, den Schutzbedarf feststellen, geeignete Maßnahmen wählen, den Betrieb dokumentieren und die eigenen Angaben mit Nachweisen belegen. Verändert haben sich die Form, in der der Standard publiziert wird, und die Struktur des Katalogs, auf dem er ruht.
Das alte Kompendium war ein PDF, einmal jährlich gepflegt und von Hand quervernetzt. Grundschutz++ ist ein strukturierter, maschinenlesbarer Katalog im OSCAL-Format, offen über die BSI-GitHub-Organisation publiziert und kontinuierlich versioniert. Die regulatorische Absicht hat sich nicht geändert. Das Artefakt, das diese Absicht trägt, sehr wohl.
Kurz gesagt: Die regulatorische Absicht, die Methodik, die Rollen und Verantwortlichkeiten bleiben unverändert. Neu ist, dass der Katalog nicht mehr als PDF, sondern als strukturierte Daten vorliegt und dass diese Struktur bereits integrierte Querverweise zu ISO 27001 und NIS2 mitbringt.
03 / Die konkreten Änderungen
Grundschutz++ ist keine neue ISMS-Philosophie. Das BSI hat das Plan-Do-Check-Act-Gerüst, die Pflicht zur Schutzbedarfsfeststellung und die zentrale Rolle des IT-Sicherheitsbeauftragten beibehalten. Innerhalb dieses Rahmens verändert sich der Katalog selbst auf konkrete Weise.
Das Kompendium 2023 ordnet seine Anforderungen in 111 Bausteine auf zehn Schichten. Grundschutz++ verdichtet den Katalog zu 19 prozessorientierten Praktiken entlang des PDCA-Zyklus. Was bisher in einem Baustein lag, liegt künftig in einer Praktik; die Auswahllogik verschiebt sich von der Frage, welche Bausteine auf ein Zielobjekt anzuwenden sind, hin zur Frage, welche Praktiken in welcher Tiefe greifen.
Das Kompendium 2023 enthält rund 6.567 einzelne Anforderungen, verteilt auf seine Bausteine. Die Praktiken von Grundschutz++ kommen auf etwa 985. Die Reduktion ist kein Absenken des Niveaus: Redundante Formulierungen sind zusammengeführt, Vererbung entlang der Zielobjekt-Hierarchie ist jetzt explizit, organisationsweite Anforderungen wiederholen sich nicht mehr je Zielobjekt. Das Ergebnis sind weniger Punkte zum Abhaken, eine bessere Abstimmung zwischen ihnen und deutlich weniger doppelte Dokumentation.
Die bisherige dreistufige Skala, normal, hoch, sehr hoch, wird in Grundschutz++ auf zwei Stufen reduziert: normal für den allgemeinen Stand der Technik, erhöht für gesteigerten Schutzbedarf. Was früher bei sehr hoch gelandet wäre, geht nun direkt in die Risikoanalyse. Die Grauzone zwischen hoch und sehr hoch, die in der Praxis kaum trennscharf war, entfällt.
Grundschutz++ wird als OSCAL veröffentlicht, dem offenen Schema für Compliance-Dokumente, das vom NIST gepflegt wird. Das BSI stellt sowohl JSON- als auch XML-Serialisierungen über das öffentliche GitHub-Repository BSI-Bund/Stand-der-Technik-Bibliothek bereit. Aktualisierungen des Katalogs kommen als Commits, nicht als jährliche PDF-Releases. ISMS-Tools, die OSCAL sprechen, können den Katalog direkt einlesen und Soll-Ist-Vergleiche gegen Live-Systemdaten durchführen.
Die bisherigen IT-Grundschutz-Profile, vorkonfigurierte Sicherheitskonzept-Vorlagen für Archetypen wie E-Akte, 5G oder kommunale Versorger, werden in Grundschutz++ zu Blaupausen. Strukturell ähnlich, prozedural verschieden: Blaupausen sind maschinenlesbare Konfigurationen, die ein Tool automatisch auf ein Zielobjekt anwendet, keine Dokumentvorlagen, die Beratungen händisch anpassen.
Grundschutz++ bringt OSCAL-Querverweise auf die Controls von ISO 27001:2022 Annex A sowie auf NIS2-Anforderungen bereits mit. Organisationen mit kombiniertem BSI/ISO-Geltungsbereich pflegen das Mapping nicht länger in einer separaten Tabelle. Für multinationale Geltungsbereiche wird Grundschutz++ als Leitkatalog tragfähig. Diese Rolle konnte bisher faktisch nur ISO ausfüllen.
04 / Die Umstellung
Grundschutz++ ist in Kraft, doch das Kompendium 2023 bleibt während der Übergangsphase für Audits und Zertifizierungen gültig. Wo Sie auf der Zeitachse stehen, sollte das Tempo Ihrer Umstellung bestimmen, nicht umgekehrt.
Bis Ende 2028 kann eine Organisation ihr ISMS wahlweise auf Basis des Kompendiums 2023 oder nach Grundschutz++ betreiben und entsprechend auditieren lassen. Das BSI spricht bewusst von einer mehrjährigen Übergangsphase und nicht von einem Stichtagswechsel: Inventare, Sicherheitskonzepte, Nachweisbestände und Auditworkflows brauchen Zeit für die Umstellung. Bestehende Zertifizierungen behalten ihre Gültigkeit bis zum Ende ihrer Laufzeit nach dem Standard, unter dem sie ausgestellt wurden. Re-Zertifizierungen in der späteren Übergangsphase werden zunehmend nach Grundschutz++ erfolgen.
Hinweis · Einige Umsetzungshilfen, darunter branchenspezifische Blaupausen, Profil-Mappings und Beschaffungsvorlagen, werden schrittweise über das BSI-GitHub-Repository veröffentlicht. Diese Seite wird aktualisiert, sobald sie verfügbar sind.
05 / Ihre Ausgangslage
Sie verfügen bereits über eine Strukturanalyse, eine Schutzbedarfsfeststellung, modellierte Bausteine und einen dokumentierten Grundschutz-Check. Die Umstellung ist keine Neufassung. Sie ist eine Neubindung: Dieselben Zielobjekte werden gegen die 19 Praktiken abgebildet, dieselben Nachweise hängen an denselben Anforderungen, dieselben Freigaben bleiben bestehen. Was sich ändert, ist, wo der Katalog liegt und wie das Mapping ausgedrückt wird.
Die entscheidende Frage ist das Werkzeug. ISMS-Tools, die auf dem PDF-plus-Tabellen-Paradigma des Kompendiums 2023 aufbauen, müssen OSCAL-Import, ein Praktiken-Modell und maschinenlesbare Nachweisverknüpfungen nachrüsten. Je länger Ihr bestehendes Tool dafür braucht, desto mehr Handarbeit kostet die Umstellung Ihr Team. Je früher Sie Tools bewerten, die heute schon OSCAL-nativ sind, desto kleiner die Nacharbeit später.
Wie OrbisGraph dafür gebaut istWenn Ihre Organisation durch NIS2 oder das KRITIS-Dachgesetz in den Geltungsbereich geraten ist, sieht die Rechnung anders aus. Sie haben heute noch kein Sicherheitskonzept. Mit dem Kompendium 2023 zu beginnen, hieße, ein Artefakt nach altem Muster zu erstellen und es vor Ende 2028 zu migrieren. Mit Grundschutz++ zu beginnen, heißt, das Artefakt direkt auf dem Katalog zu erstellen, der auch nach Ende der Übergangsphase gilt.
Beide Wege sind legitim; Auditoren akzeptieren während der Übergangsphase beide. Die praktische Frage ist, ob Ihr Werkzeug, Ihr Auditor und Ihre Zeitachse Grundschutz++ ab Tag eins tragen. Wenn ja, erspart der direkte Einstieg in Grundschutz++ ein zweites Projekt binnen drei Jahren. Wenn nein, bleibt das Kompendium 2023 ein vertretbarer Weg, mit eingeplantem Migrationsbudget für 2027 bis 2028.
Was jetzt zu tun ist06 / Praktische nächste Schritte
Hinweise, die für sich stehen, unabhängig vom Anbieter. Die Substanz dieses Abschnitts ändert sich nicht, ob Sie am Ende OrbisGraph oder ein anderes ISMS-Tool einsetzen. Es ist die Grundlage, von der jede Organisation im Geltungsbereich profitiert.
Der am 1. April 2026 veröffentlichte Methodikleitfaden ist der beste Einstiegspunkt. Das GitHub-Repository der Stand-der-Technik-Bibliothek ist die maßgebliche Quelle für Kataloge und Aktualisierungen. Alles andere, auch diese Seite, ist Einordnung.
Unabhängig vom Werkzeug zeigt das Mapping Ihrer bestehenden Bausteine und Maßnahmen auf die 19 Praktiken, welche Teile Ihres ISMS bereits praktikenorientiert sind und welche neu strukturiert werden müssen. Viele Organisationen stellen fest, dass ihre dokumentierte Realität dem neuen Modell näher stand als dem alten.
Jedes Vorhaben, das zwischen heute und Ende 2028 in den Geltungsbereich fällt, steht vor einer Übergangsfrage. Den Startkatalog einmal je Vorhabenstyp festzulegen, ist günstiger, als ihn fallweise zu entscheiden und im Audit Inkonsistenzen festzustellen.
Stellen Sie Ihrem ISMS-Tool-Anbieter drei Fragen schriftlich: Liest das Produkt die OSCAL-Kataloge des BSI nativ ein? Behandelt es Praktiken als eigenständige Objekte? Unterstützt es die vom BSI gepflegten Querverweise auf ISO 27001 und NIS2? Steht eine Antwort auf der Roadmap, fragen Sie nach einem Datum.
Auditoren, die die Übergangsphase begleiten, haben eine klare Sicht darauf, welche Zertifizierungen sie noch nach dem Kompendium 2023 ausstellen und wann sie einen Wechsel ihrer Mandanten erwarten. Für die Auditplanung zählt deren Kalender mehr als Ihrer.
Das BSI hat das Ende der Parallelgültigkeit bewusst auf Ende 2028 / Anfang 2029 gelegt. Organisationen, die auf diesen Horizont planen, tragen weniger Risiko als solche, die den Wechsel in ein einziges Jahr pressen wollen.
07 / Wie OrbisGraph hineinpasst
OrbisGraph ist die Compliance-Plattform von Pinnipedia. Unter der Haube ist die Katalog-Schicht als Wissensgraph umgesetzt: Praktiken, Anforderungen, Zielobjekte, Maßnahmen, Nachweise, Freigabezustände und Querverweise zwischen Frameworks liegen als getypte Knoten und Kanten vor. OrbisGraph hält das Kompendium nicht als PDF-Kopie vor, um es für Abfragen zu parsen. OSCAL-Dokumente bilden sich direkt in den zugrunde liegenden Graphen ab, weil OSCAL unter dem JSON selbst ein graphartiges Schema ist.
Das hat während der Grundschutz++-Umstellung zwei Konsequenzen. Erstens: Der Wechsel von Bausteinen zu Praktiken ist eine Neubindung von Knoten, keine Neufassung des Werkzeugs. Dieselben Projektdaten, dieselben Nachweise, dieselben Freigabezustände überleben den Wechsel und binden sich an den neuen Katalog. Zweitens: Katalogaktualisierungen aus dem BSI-GitHub-Repository kommen als inkrementelle Graphänderungen, nicht als neue Produktversionen. Updates, die in einem dokumentbasierten Werkzeug einen Quartalsrelease erfordern würden, landen hier in Tagen.
Über die Umstellung hinaus werden die in Grundschutz++ eingebauten Querverweise (auf ISO 27001:2022 und NIS2) zu begehbaren Kanten innerhalb desselben Graphen. Organisationen mit kombiniertem Geltungsbereich können die Nachweisabdeckung über Frameworks hinweg an einer Stelle abfragen, statt drei Tabellen zu pflegen.
OrbisGraph bleibt ein Werkzeug, kein Auditor und keine Zertifizierungsstelle. Zertifikate werden von akkreditierten Auditoren ausgestellt, nicht von der Plattform. Pinnipedia steht in keinem Vertragsverhältnis mit dem BSI und beansprucht keine BSI-Freigabe. Was wir beanspruchen können, weil die Architektur es trägt, ist: Der Wechsel auf Grundschutz++ ist innerhalb von OrbisGraph eine Serialisierungsaufgabe, kein Neuaufbau.
08 / FAQ
IT-Grundschutz in der Edition 2023 ist ein PDF-Kompendium aus 111 Bausteinen und rund 6.567 Anforderungen. Grundschutz++ ist dieselbe Methodik, neu aufgebaut um 19 prozessorientierte Praktiken, rund 985 Anforderungen, zwei statt drei Schutzbedarfsstufen und einen OSCAL/JSON-Katalog auf GitHub. Die methodische Absicht bleibt; Form und Detailtiefe des Katalogs werden modernisiert.
Nein. Während der Übergangsphase bis Ende 2028 / Anfang 2029 bleibt ein Sicherheitskonzept auf Basis des Kompendiums 2023 auditfähig. Wenn Sie migrieren, ist die Aufgabe ein Neumapping von Bausteinen auf Praktiken, keine Neufassung auf leerem Blatt. Zielobjekte, Nachweise und Freigaben werden übernommen; geändert wird nur die Katalogreferenz, an die sie hängen.
Es ist seit dem 1. Januar 2026 in Kraft und gilt parallel zum Kompendium 2023. Das BSI kommuniziert das Ende der Parallelgültigkeit mit Ende 2028 / Anfang 2029. Danach ist Grundschutz++ der geltende Katalog; Zertifizierungen nach Kompendium 2023 behalten ihre Gültigkeit bis zum Verlängerungstermin und werden dann nach Grundschutz++ neu ausgestellt.
OSCAL (Open Security Controls Assessment Language) ist ein vom NIST gepflegter offener Standard, der Sicherheitskataloge, Profile, Systemsicherheitspläne und Bewertungsergebnisse als maschinenlesbare Dokumente in JSON oder XML abbildet. Das BSI hat ihn übernommen, weil er Grundschutz++ ein Format gibt, das ISMS-Tools direkt einlesen können, automatisierte Soll-Ist-Vergleiche gegen reale Systemdaten ermöglicht und interoperable Querverweise auf andere Frameworks (ISO 27001, NIS2) trägt.
Bestehende Zertifizierungen nach Kompendium 2023 bleiben bis zum Ende ihrer Laufzeit gültig. Audits während der Übergangsphase können nach beiden Standards durchgeführt werden. Re-Zertifizierungen und Neu-Zertifizierungen im späteren Verlauf der Übergangsphase werden zunehmend nach Grundschutz++ durchgeführt. Akkreditierte Auditoren sind die maßgebliche Quelle dafür, was sie zertifizieren und was nicht; sprechen Sie mit Ihrem früh.
Der Stand ist unterschiedlich. Die wirklich sinnvolle Frage ist nicht, ob ein Werkzeug Grundschutz++ erwähnt, sondern ob es OSCAL-Kataloge nativ einliest, Praktiken als eigenständige Objekte abbildet und die vom BSI gepflegten Querverweise auf ISO 27001 und NIS2 beherrscht. Das sind die drei konkreten Fragen, die Sie jedem Anbieter schriftlich stellen sollten.
Sie werden innerhalb von Grundschutz++ als Blaupausen neu aufgebaut. Strukturell den alten Profilen ähnlich, prozedural anders: Blaupausen sind maschinenlesbare Konfigurationen, die Werkzeuge auf Zielobjekte anwenden, statt Dokumentvorlagen, die Teams von Hand anpassen. Erste Blaupausen decken bereits vom BSI veröffentlichte Sektoren ab, darunter E-Akte, 5G-Infrastruktur und kommunale Versorgung; weitere kommen schrittweise in der Stand-der-Technik-Bibliothek hinzu.
Maßgeblich sind die Veröffentlichungen des BSI selbst. Die zwei primären Anlaufstellen sind die Grundschutz++-Seiten auf bsi.bund.de und das öffentliche GitHub-Repository BSI-Bund/Stand-der-Technik-Bibliothek. Der am 1. April 2026 veröffentlichte Methodikleitfaden ist das beste Orientierungsdokument für Teams, die bei null beginnen.
Dreißig Minuten. Wir führen das Produkt an Ihrem Übergangsszenario vor, zeigen, wie die Katalogschicht OSCAL einliest, und beantworten die Fragen, die Ihr Team zuerst stellen wird.