BSIGrundschutzISMS

BSI Grundschutz++ 2026/2030: was sich für KMU ändert (OSCAL, JSON, ISMS-Tools)

Q: Was ist Grundschutz++?

Grundschutz++ ist die digitale Reform des BSI IT-Grundschutz-Kompendiums. Seit Januar 2026 in Kraft, läuft parallel zur klassischen Edition 2023 bis ca. 2029/2030. Kernunterschied: Inhalte sind in OSCAL-konformem JSON-Format maschinenlesbar — Tools können Anforderungen automatisiert lesen, Maßnahmen tracken und Compliance-Berichte generieren.

Q: Was ist OSCAL?

OSCAL steht für Open Security Controls Assessment Language. Es ist ein NIST-getragenes XML/JSON-Standardformat für Sicherheits-Controls und Compliance-Daten. Tools, die OSCAL sprechen, können Standards wie NIST 800-53, ISO 27001 und jetzt auch BSI Grundschutz++ in einem einheitlichen Format austauschen — die Voraussetzung für interoperable ISMS-Tools.

Q: Wann muss ich von Grundschutz auf Grundschutz++ migrieren?

Es gibt keine harte Migrationsfrist 2026. Beide Standards laufen parallel bis ca. 2029/2030 — danach soll Grundschutz++ alleinverbindlich werden. KMU mit aktivem ISMS sollten 2027 mit der Vorbereitung beginnen, 2028 die Migration starten, um 2029 fertig zu sein. Wer 2026 ein neues ISMS aufbaut, kann direkt in Grundschutz++ einsteigen.

Q: Wird die Migration automatisch durch das ISMS-Tool gemacht?

Nein. Eine vollständig automatische Migration ist nicht möglich, weil sich die Struktur grundlegend ändert (Bausteine → Praktiken). Tools wie verinice, opus i und Hugo bieten Migrations-Wizards, die einen Großteil maschinell mappen, aber rund 30–40 % bleibt manuelle Anpassung. Frühzeitige Vorbereitung ist Pflicht.

Q: Brauche ich für Grundschutz++ neue Tools?

Tools, die OSCAL nicht unterstützen, sind langfristig raus. Klassische BSI-Tools (verinice, opus i, HiScout) haben Roadmaps für 2027–2029. DACH-SaaS wie Hugo plant native Grundschutz++-Konformität in der Roadmap. US-Compliance-Tools (Drata, Vanta) interessieren sich kaum für BSI — wer Grundschutz++ braucht, sollte auf DACH-Tools setzen.

Grundschutz++ = BSI-Reform seit Januar 2026. Wer betroffen ist, was OSCAL bedeutet, wie ISMS-Tools migrieren — Vorbereitungs-Guide für KMU. Fuer den Hamburger Mittelstand 2026.

Nils Oehmichen

Externer DSB · TÜV-zertifiziert

08. Mai 2026

Inhalt in Kürze

Grundschutz++ ist seit 1. Januar 2026 in Kraft — der BSI-Reformstand für IT-Grundschutz nach 30 Jahren Standard-Edition.
OSCAL/JSON-basiert: Anforderungen sind maschinenlesbar, ISMS-Tools können sie automatisiert tracken.
Parallelphase bis ca. 2029/2030 — alte Edition 2023 bleibt verbindlich, Grundschutz++ ist optional. Danach soll Grundschutz++ alleinverbindlich werden.
Migrations-Aufwand für bestehende Anwender: rechnen Sie mit 30–40 % manuellem Anpassungsanteil — vollautomatische Migration ist nicht möglich.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 8 Minuten

Wer 2026 BSI-IT-Grundschutz im Einsatz hat oder neu einführen will, hat seit Januar einen zweiten Standard auf dem Tisch: Grundschutz++. Es ist nicht nur ein Versions-Update, sondern eine fundamentale strukturelle Reform. Dieser Artikel erklärt, was sich ändert, wie der Migrations-Pfad realistisch aussieht und was KMU jetzt schon vorbereiten sollten.

Fuer den Hamburger Mittelstand:

NIS2 trifft Hamburger KMU besonders im Hafen-Logistik-Cluster, in der Energie-Versorgung und im Gesundheits-Sektor. Wer 2026 ein ISMS plant, baut auf einer Architektur, die ab 2028 verbindlich wird. Mehr zu NIS2-Betroffenheit im Hamburger Mittelstand im NIS2-Leitfaden.

Warum Grundschutz++ kommt

Das klassische BSI-IT-Grundschutz-Kompendium ist ein PDF mit 100+ Bausteinen, Maßnahmenkatalogen und Querverweisen. Es funktioniert — aber:

Nicht maschinenlesbar: Tools mussten bisher die PDF-Inhalte selbst parsen oder selbst nachpflegen. Inkonsistenzen waren systemimmanent.
Updates dauern: Eine Edition pro Jahr mit kompletter Neuauflage. Korrekturen waren träge.
Kompliziert für KMU: Die ältere Struktur galt als bürokratisch und schwer einsteigbar.
Keine Interoperabilität: Nicht abgleichbar mit ISO 27001, NIST CSF, NIS2 — jedes Mapping war manuell.

Die Antwort: OSCAL als Datenformat, JSON als Output, „Praktiken” statt „Bausteine”, agilere Update-Zyklen, KMU-Schnellstart-Pfad. Das ist Grundschutz++.

Jan 2026

Grundschutz++ in Kraft

2029/30

Ende Parallelphase (Schätzung BSI)

~30–40 %

Manueller Migrations-Anteil

OSCAL

Neues Datenformat (JSON)

OSCAL-Modellierung erklärt

OSCAL — Open Security Controls Assessment Language — ist ein vom NIST entwickeltes XML/JSON-Standardformat für Sicherheits-Controls. Die Idee: Compliance-Anforderungen aus verschiedenen Standards (NIST SP 800-53, FedRAMP, ISO 27001, jetzt auch BSI Grundschutz++) in einem einheitlichen, maschinenlesbaren Format austauschen.

Ein OSCAL-Dokument für ein BSI-Praktikum sieht (vereinfacht) so aus:

{
  "control": {
    "id": "ORP.1.A1",
    "title": "Sicherheitsleitlinie der Institution",
    "props": [
      {"name": "category", "value": "ORP — Organisation und Personal"},
      {"name": "requirement-level", "value": "Basis"}
    ],
    "parts": [
      {"name": "statement", "prose": "Die Leitung muss eine Sicherheitsleitlinie verabschieden ..."}
    ]
  }
}

Tools, die OSCAL nativ verstehen (Hugo, verinice ab 2027-Beta, US-Tools wie Tugboat Logic), können diese JSON-Dokumente direkt verarbeiten — Maßnahmen verfolgen, Status pro Control automatisch berechnen, Compliance-Berichte ohne manuelles Mapping erzeugen.

Migrations-Pfad für bestehende Tools

Stand der wichtigsten DACH-ISMS-Tools im Mai 2026:

Tool	Aktueller Stand	Grundschutz++-Roadmap
verinice	klassische Edition 2023, OSCAL-Beta angekündigt	2027 erste Beta, 2028 Production
opus i (kronsoft)	Edition 2023 nativ, OSCAL geplant	2028
HiScout	Edition 2023 + erste Grundschutz++-Module	2027 vollständig
DocSetMinder	Edition 2023	2028 in Planung
Hugo ISMS	Edition 2023 mit OSCAL-Bridge	2027 native Grundschutz++-Conformance
Drata / Vanta (US)	ISO 27001 + SOC 2 — kein BSI	keine Grundschutz++-Pläne

Wer ein BSI-zentriertes Tool nutzt, sollte den Roadmap-Stand zur Grundschutz++-Migration im Hersteller-Gespräch klären — bevor neue Verträge unterschrieben werden.

Was KMU jetzt schon vorbereiten sollten

Für KMU mit aktivem ISMS (50–250 MA) ist 2026 die Zeit für die Vorbereitung — nicht für die Migration. Vier konkrete Schritte:

Standortbestimmung: Sind Sie aktuell auf BSI Edition 2023, ISO 27001 oder einem hybriden Modell? Bei reinem ISO-Setup ist Grundschutz++ optional, bei BSI-Pflicht (KRITIS, Behörden-Auftrag) ist es Pflicht.
Tool-Audit: Klären Sie mit Ihrem ISMS-Tool-Hersteller den Grundschutz++-Roadmap-Stand. Tools ohne klare Roadmap sind ein Risiko.
Hybrid-Strategie: Beginnen Sie 2027 mit Grundschutz++ für **neue** Bausteine (z. B. KI-Anwendungen, Cloud-Migration), während die alten BSI-Bausteine bestehen bleiben. So lernen Sie das neue Modell ohne Big-Bang-Risiko.
Schulung: Mindestens eine Person im Sicherheitsteam sollte 2027 eine Grundschutz++-Fortbildung machen. BSI bietet ab 2027 Webinare, kommerzielle Anbieter ziehen nach.

Achtung Tool-Lock-in:

Wer 2026 ein neues ISMS-Tool kauft, sollte explizit nach OSCAL-Unterstützung fragen. Tools ohne OSCAL-Roadmap werden zwischen 2027 und 2029 zum Migrations-Engpass. Hugo, HiScout und ein paar US-Anbieter sind hier vorn — siehe KMU-ISMS-Software-Vergleich 2026.

Hugo-Roadmap zur Grundschutz++-Konformität

Hugo plant die Native-Grundschutz++-Konformität in drei Schritten:

2026 Q3: OSCAL-Import/Export für Edition 2023 Bausteine — Brücken-Funktion zu Grundschutz++.
2027 Q1: Erste Grundschutz++-Praktiken nativ in der Audit-Engine — Bereiche ORP, OPS, CON.
2027 Q3: Vollständige Grundschutz++-Conformance — alle Kapitel, OSCAL-Output, Diff-View zwischen alter und neuer Modellierung.

Das macht Hugo Stand Mai 2026 zu einer der ersten DACH-DSGVO-Plattformen mit klarem Grundschutz++-Pfad.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter BSI-Pflicht fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil sind. Wer einem KRITIS-Konzern zuliefert, bekommt die Sicherheits-Anforderungen 1:1 weitergereicht — und muss auch über Grundschutz++ sprechen können.

Nils OehmichenDatenschutzberater bei frag.hugo

Vergleich Edition 2023 vs Grundschutz++

Aspekt	Edition 2023	Grundschutz++
Format	PDF + DOCX	JSON (OSCAL) + HTML
Strukturelement	Baustein (z. B. ORP.1)	Praktik (z. B. ORP.1.A1)
Maschinenlesbarkeit	nein	ja
Update-Zyklus	1× pro Jahr	rolling (kontinuierlich)
KMU-Schnellstart	nein	ja, Mini-Praktikenset für KMU
NIST/ISO-Mapping	manuell	OSCAL-nativ
Tool-Verbreitung 2026	100 %	<30 %

Quelle: BSI Stand-der-Technik-Bibliothek auf GitHub · ISMS-Ratgeber Wiki Grundschutz++ · HiSolutions Research zu Grundschutz++ · comconsult Kompendium-Preview.

Verhältnis zu NIS2 und VS-NfD

Grundschutz++ ist die strukturelle Basis für mehrere parallele Anforderungen:

NIS2-Umsetzungsgesetz: Operative Maßnahmen aus Grundschutz++-Praktiken werden direkt für NIS2-Konformität genutzt. Mehr in NIS2-Schnellcheck.
VS-NfD CON.11.1: Geheimschutz-Anforderungen werden in Grundschutz++ als spezifische Praktik übernommen. Siehe VS-NfD-Audit-Artikel.
B3S-Branchenanforderungen: Krankenhaus, Wasser, Energie — alle B3S-Standards werden 2027–2029 auf Grundschutz++-Praktiken umgemappt.

Wer also 2027 in einer dieser Welten lebt, wird automatisch in Grundschutz++ landen.

Das Wichtigste: Grundschutz++ ist 2026 noch optional, aber spätestens 2027/2028 unausweichlich für jedes Unternehmen mit BSI-Bezug. Die Migration ist kein Tool-Klick, sondern ein 6–12-monatiges Projekt mit 30–40 % manuellem Aufwand. Wer 2026 ein neues ISMS aufbaut, sollte direkt in Grundschutz++ einsteigen — alles andere baut Migrations-Schulden auf.

Weiterführende Hilfen

BSI Grundschutz++ GitHub-Repo: BSI-Bund/Stand-der-Technik-Bibliothek — die offizielle Quelle für JSON-Praktiken.
ISMS-Ratgeber Wiki: Grundschutz++ Migration — strukturierte Anleitung.
HiSolutions Research: Grundschutz++ Mehr Resilienz — strategische Bewertung.
comconsult-Beitrag zur GitHub-Veröffentlichung.

Fazit / Ihr nächster Schritt

Grundschutz++ ist die größte BSI-Reform seit dem Standard-Setup. Wer ein ISMS hat, sollte 2026 die Tool-Roadmap klären, 2027 hybrid testen und 2028 migrieren. Wer neu aufbaut, startet direkt in Grundschutz++ — alles andere ist verschwendete Lebenszeit.

Hugo ISMS mit Grundschutz++-Roadmap

Im Hugo-DSB-Pro+ (449 €/Mo) ist das ISMS-Modul mit Edition-2023-Bausteinen, OSCAL-Bridge und Grundschutz++-Roadmap enthalten. Wir migrieren mit Ihnen — kein Big-Bang, sondern hybrider Pfad. 15-Minuten-Erstgespräch zur Roadmap-Diskussion.

Erstgespräch buchen →

Häufige Fragen (FAQ)

Was ist Grundschutz++?

Grundschutz++ ist die digitale Reform des BSI IT-Grundschutz-Kompendiums. Seit Januar 2026 in Kraft, läuft parallel zur klassischen Edition 2023 bis ca. 2029/2030. Kernunterschied: Inhalte sind in OSCAL-konformem JSON-Format maschinenlesbar — Tools können Anforderungen automatisiert lesen, Maßnahmen tracken und Compliance-Berichte generieren.

Was ist OSCAL?

OSCAL steht für Open Security Controls Assessment Language. Es ist ein NIST-getragenes XML/JSON-Standardformat für Sicherheits-Controls und Compliance-Daten. Tools, die OSCAL sprechen, können Standards wie NIST 800-53, ISO 27001 und jetzt auch BSI Grundschutz++ in einem einheitlichen Format austauschen — die Voraussetzung für interoperable ISMS-Tools.

Wann muss ich von Grundschutz auf Grundschutz++ migrieren?

Es gibt keine harte Migrationsfrist 2026. Beide Standards laufen parallel bis ca. 2029/2030 — danach soll Grundschutz++ alleinverbindlich werden. KMU mit aktivem ISMS sollten 2027 mit der Vorbereitung beginnen, 2028 die Migration starten, um 2029 fertig zu sein. Wer 2026 ein neues ISMS aufbaut, kann direkt in Grundschutz++ einsteigen.

Wird die Migration automatisch durch das ISMS-Tool gemacht?

Nein. Eine vollständig automatische Migration ist nicht möglich, weil sich die Struktur grundlegend ändert (Bausteine → Praktiken). Tools wie verinice, opus i und Hugo bieten Migrations-Wizards, die einen Großteil maschinell mappen, aber rund 30–40 % bleibt manuelle Anpassung. Frühzeitige Vorbereitung ist Pflicht.

Brauche ich für Grundschutz++ neue Tools?

Tools, die OSCAL nicht unterstützen, sind langfristig raus. Klassische BSI-Tools (verinice, opus i, HiScout) haben Roadmaps für 2027–2029. DACH-SaaS wie Hugo plant native Grundschutz++-Konformität in der Roadmap. US-Compliance-Tools (Drata, Vanta) interessieren sich kaum für BSI — wer Grundschutz++ braucht, sollte auf DACH-Tools setzen.

Konkurrenz-Recherche-Stand: Reform-Stand verifiziert am 8. Mai 2026 über BSI Stand-der-Technik-Bibliothek auf GitHub, ISMS-Ratgeber-Wiki Grundschutz++, HiSolutions Research-Artikel März 2026 und comconsult-Analyse. Die Tool-Roadmap-Daten basieren auf öffentlich kommunizierten Hersteller-Plänen Stand Mai 2026.

Auch interessant

DSGVO

Cloudflare Turnstile vs Google reCAPTCHA 2026: das datenschutzfreundliche Captcha

reCAPTCHA trackt Nutzer. Turnstile ist DSGVO-freundlich, kostenlos, browserseitig. Direktvergleich 2026 mit Schritt-für-Schritt-Migration. Fuer den Hamburger Mittelstand 2026.

DSAR

DSAR-Portal in 30 Sekunden einrichten — ohne IT, ohne CNAME

3 Embed-Varianten: Direct-Link, Iframe, JS-Widget. Code-Snippets zum Copy-Paste. Ohne IT, ohne DNS-Setup. Mit Best-Practice-Beispielen 2026. Fuer den Hamburger Mittelstand 2026.