§ 30 BSIG / Art. 21

NIS2 Anforderungen

Was betroffene Einrichtungen umsetzen müssen: 10 verpflichtende Cybersicherheitsmaßnahmen, eine strenge Meldekaskade und evidenzbasierte Compliance.

10 verpflichtende Risikomanagement-Maßnahmen (§ 30 BSIG / Art. 21)

Alle besonders wichtigen und wichtigen Einrichtungen müssen diese Maßnahmen umsetzen. Es gibt keine Übergangsfrist - diese Pflichten gelten seit dem 6. Dezember 2025 in Deutschland.

1

Risikoanalyse und Informationssicherheit

Erstellung und Pflege von Leitlinien für die Risikoanalyse und Informationssystemsicherheit. Regelmäßige Risikobewertungen aller kritischen Systeme und Prozesse.

2

Bewältigung von Sicherheitsvorfällen

Verfahren zur Vorbeugung, Erkennung, Identifizierung, Eindämmung, Abschwächung und Reaktion auf Sicherheitsvorfälle.

3

Business Continuity und Krisenmanagement

Backup-Management, Notfallwiederherstellung und Krisenmanagement-Verfahren zur Sicherstellung der Betriebsresilienz.

4

Lieferkettensicherheit

Sicherheitsmaßnahmen für die Beziehungen zu direkten Lieferanten und Dienstleistern. Einschließlich Bewertung der Cybersicherheitspraktiken aller Lieferanten und vertragliche Sicherheitsanforderungen.

5

Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen. Einschließlich Schwachstellenmanagement und Offenlegungsverfahren.

6

Wirksamkeitsbewertung

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen. Regelmäßige Tests und Evaluierung der Sicherheitskontrollen.

7

Cyberhygiene und Schulungen

Grundlegende Cybersicherheitsschulungen für alle Mitarbeiter. Sensibilisierungsprogramme zu Phishing, Social Engineering, Passwortmanagement und sicherem Umgang mit IT.

8

Kryptographie und Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung. Umfasst ruhende Daten, Daten bei der Übertragung und Schlüsselmanagement.

9

Personalsicherheit, Zugriffskontrolle und Asset-Management

Personalsicherheitsrichtlinien, Zugriffskontrollmechanismen und Asset-Management-Verfahren. Einschließlich On-/Offboarding, Least-Privilege-Zugriff und Bestandsverzeichnisse.

10

Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Einsatz von MFA oder kontinuierlicher Authentifizierung. Gesicherte Sprach-, Video- und Textkommunikation. Gesicherte Notfallkommunikationssysteme.

Meldekaskade bei Sicherheitsvorfällen
Alle besonders wichtigen und wichtigen Einrichtungen müssen erhebliche Sicherheitsvorfälle dem BSI in einer dreistufigen Kaskade melden.
24 Stunden

Frühwarnung (Erstmeldung)

Meldung, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben könnte.

72 Stunden

Aktualisierte Meldung

Schweregradbewertung, Auswirkungsanalyse, Kompromittierungsindikatoren und erste Ursachenanalyse, falls verfügbar.

1 Monat

Abschlussmeldung

Detaillierte Beschreibung des Vorfalls, bestätigte Ursache, ergriffene Abhilfemaßnahmen, umgesetzte Präventionsmaßnahmen und Bewertung grenzüberschreitender Auswirkungen.

Was gilt als „erheblicher“ Vorfall?

Ein Sicherheitsvorfall gilt als erheblich, wenn er schwere Betriebsstörungen oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann.

Er gilt auch als erheblich, wenn er andere natürliche oder juristische Personen durch erheblichen materiellen oder immateriellen Schaden beeinträchtigt hat oder beeinträchtigen kann.

Audit- und Nachweispflichten

KRITIS-Betreiber

Müssen die Einhaltung durch Audits, Inspektionen oder Zertifizierungen alle 3 Jahre nachweisen. Müssen Systeme zur Angriffserkennung einsetzen. Erste Nachweisfrist wird vom BSI bei der Registrierung festgelegt (~2028).

Besonders wichtige Einrichtungen (nicht-KRITIS)

Kein regelmäßiger verpflichtender Auditzyklus, aber umfassende Dokumentation erforderlich. Das BSI kann proaktive Stichproben durchführen und jederzeit risikobasiert Nachweise anfordern.

Wichtige Einrichtungen

Müssen die Umsetzung aller erforderlichen Maßnahmen dokumentieren. BSI-Prüfungen erfolgen nur reaktiv - ausgelöst durch Vorfälle oder begründeten Verdacht auf Nichteinhaltung.

Akzeptierte Nachweise
  • Interne oder externe Auditberichte
  • Zertifizierungen (ISO 27001, BSI IT-Grundschutz usw.)
  • Umfassende Dokumentation von Risikobewertungen, umgesetzten Maßnahmen und Wirksamkeitsüberprüfungen

Eine ISO-27001- oder IT-Grundschutz-Zertifizierung unterstützt die NIS2-Compliance, garantiert sie aber nicht - die BSIG-Anforderungen können über den üblichen Zertifizierungsumfang hinausgehen.

Lieferkettensicherheit
NIS2 führt verpflichtende Anforderungen an die Lieferkettensicherheit ein. Einrichtungen müssen:
  • Die Cybersicherheitspraktiken aller direkten Lieferanten und Dienstleister bewerten
  • Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen
  • Die Sicherheitslage der Lieferanten laufend überwachen und überprüfen
  • Schwachstellenoffenlegung mit Lieferanten koordinieren
  • Die Gesamtqualität der Produkte und Praktiken der Lieferanten berücksichtigen, einschließlich deren sicherer Entwicklungsverfahren