Sind wir öffentliche Verwaltung nach NIS 2?
Öffentliche Verwaltung steht in Anhang I Sektor 10 und Artikel 2(2)(f) NIS 2. Die Zentralregierung ist unabhängig von der Größe drin. Die regionale Ebene ist drin, wenn Ihr Mitgliedstaat die risikobasierte Bewertung durchgeführt hat. Die Ausnahmen in Artikel 2(5) bis (7) sind eng und funktional, nicht institutionell.
Die Kurzfassung
Öffentliche Verwaltung steht in Anhang I Sektor 10 NIS 2. Die Größenschwelle, die kleine Privatunternehmen heraushält, gilt hier nicht. Artikel 2(2)(f) sagt: Einrichtungen der öffentlichen Verwaltung der Zentralregierung sind unabhängig von der Größe erfasst, regionale Einrichtungen sind erfasst, wenn der Mitgliedstaat sie nach einer risikobasierten Bewertung benannt hat.
Die Richtlinie nimmt dann konkrete Tätigkeiten aus, keine Institutionen. Artikel 2(5) hält Tätigkeiten in nationaler Sicherheit, Verteidigung, öffentlicher Sicherheit, Strafverfolgung und justiziellen Tätigkeiten draußen. Artikel 2(7) nimmt Parlamente und Zentralbanken aus. Eine Polizeibehörde, die ihre interne Personal- und Finanz-IT betreibt, ist für diese IT erfasst. Die gleiche Behörde ist für ihre operativen Strafverfolgungssysteme ausgenommen. Die Funktion entscheidet, nicht das Schild an der Tür.
In Deutschland setzt §28 BSIG die Regel für die Bundesverwaltung um. §29 BSIG gibt den Ländern die Rechtsgrundlage, Landes- und Kommunalverwaltung in den Anwendungsbereich zu ziehen. Solange ein Land §29 BSIG nicht nutzt, sind Kommunen in diesem Land formal draußen, auch wenn jede NIS 2 Konferenz sie als drin behandelt. Lesen Sie das Landes-Cybersicherheitsgesetz, bevor Sie sich selbst einordnen.
Artikel 2(2)(f) NIS 2 Richtlinie (2022/2555)
Diese Richtlinie gilt für Einrichtungen einer in Anhang I oder II genannten Art unabhängig von ihrer Größe, sofern die Einrichtung eine Einrichtung der öffentlichen Verwaltung i) der Zentralregierung im Sinne der Definition eines Mitgliedstaats nach nationalem Recht oder ii) auf regionaler Ebene im Sinne der Definition eines Mitgliedstaats nach nationalem Recht ist, die nach einer risikobasierten Bewertung Dienste erbringt, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.
Wortlaut aus ABl. L 333/110. Zwei Hälften. Die Zentralregierung ist automatisch erfasst. Die regionale Ebene ist nur erfasst, nachdem der Mitgliedstaat die risikobasierte Bewertung durchgeführt und die Einrichtungen benannt hat. Die Größenschwelle aus Artikel 2(1) gilt für beide nicht.
Artikel 2(5) NIS 2 Richtlinie (Ausnahmen)
Diese Richtlinie gilt nicht für Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausüben.
Die Ausnahme ist funktional. Sie folgt der Tätigkeit, nicht der Institution. Eine Bundespolizeibehörde ist für ihre Strafverfolgungssysteme ausgenommen und für ihre Verwaltungs-IT erfasst. Artikel 2(7) nimmt zusätzlich Parlamente und Zentralbanken aus. Artikel 2(6) erlaubt Mitgliedstaaten, Einrichtungen auszunehmen, die ausschließlich Tätigkeiten nach Artikel 2(5) ausüben.
§28 und §29 BSIG (Deutschland)
§28 BSIG setzt die Regel für die Zentralregierung um und bindet Einrichtungen der Bundesverwaltung. §29 BSIG ermächtigt die Länder, Einrichtungen der Landes- und Kommunalverwaltung durch eigene Landes-Cybersicherheitsgesetze in den Anwendungsbereich zu ziehen, im Anschluss an die in Artikel 2(2)(f)(ii) NIS 2 geforderte risikobasierte Bewertung.
Zwei deutsche Anker, nicht einer. Die Bundesverwaltung ist durch Bundesrecht erfasst. Landesverwaltung und Kommunalverwaltung warten auf Landesgesetze. Einige Länder haben Entwürfe für Landes-Cybersicherheitsgesetze veröffentlicht, andere nicht. Der Rechtsstatus einer Kommune hängt davon ab, in welchem Land sie sitzt.
Zentralregierung
Einrichtungen der öffentlichen Verwaltung der Zentralregierung im Sinne des nationalen Rechts sind unabhängig von der Größe erfasst. Bundesministerien, Bundesbehörden, Bundesoberbehörden. Keine Größenschwelle. In Deutschland ist das die Bundesverwaltung nach §28 BSIG. Was als zentral gilt, definiert nationales Recht, die Listen unterscheiden sich zwischen Mitgliedstaaten, die strukturelle Regel ist gleich.
Regionale Ebene
Einrichtungen auf regionaler Ebene sind nur erfasst, wenn der Mitgliedstaat sie nach einer risikobasierten Bewertung benannt hat. Die Richtlinie erfasst sie nicht automatisch. In Deutschland nutzen die Länder §29 BSIG und ihre Landes-Cybersicherheitsgesetze, um diese Bewertung durchzuführen und Landesverwaltung sowie Kommunalverwaltung zu binden. Solange das jeweilige Land nicht gehandelt hat, sind regionale Einrichtungen formal außerhalb der Richtlinie.
Funktionale Ausnahmen
Artikel 2(5) nimmt Tätigkeiten in nationaler Sicherheit, öffentlicher Sicherheit, Verteidigung und Strafverfolgung aus. Artikel 2(7) nimmt Parlamente und Zentralbanken aus. Die Ausnahme hängt an der Tätigkeit, nicht an der Institution. Die allgemeine Verwaltungs-IT eines Ministeriums bleibt erfasst. Das Fallbearbeitungssystem einer Polizei ist ausgenommen. Dokumentieren Sie systemweise, welche Seite gilt.
Die Größe spielt keine Rolle
Die Größenschwelle aus Artikel 2(1) (50 Beschäftigte, 10 Millionen Euro) gilt für die öffentliche Verwaltung nicht. Artikel 2(2)(f) ist eine Regel mit Geltung unabhängig von der Größe. Eine Bundesbehörde mit 12 Beschäftigten ist drin. Eine Bundesoberbehörde mit 4 Beschäftigten ist drin. Die einzigen Filter sind: Ist das Zentralregierung, ist das eine regionale Einrichtung, die der Mitgliedstaat benannt hat, und ist die Tätigkeit durch Artikel 2(5) oder (7) ausgenommen.
Ausnahmen folgen der Funktion, nicht der Institution
Erwägungsgrund 8 macht das deutlich. Die Ausnahmen in Artikel 2(5) sind kein pauschaler Freibrief für Polizei, Verteidigung und Nachrichtendienste. Sie decken die Tätigkeiten in diesen Bereichen ab. Dieselbe Behörde kann für ihre operativen Systeme ausgenommen und für ihre Verwaltungs-IT, Personalsysteme, Finanzsysteme und Lieferantensysteme erfasst sein. Erst Tätigkeiten kartieren, dann Systeme dagegen mappen.
BSI / §28 BSIG
Das BSI ist zuständige Behörde für die Bundesverwaltung nach §28 BSIG. Bundesministerien und Bundesbehörden sind durch Bundesrecht erfasst, ohne Größenschwelle, ohne Opt-in. Das BSI veröffentlicht spezifische Verwaltungsvorschriften und IT-Grundschutz-Profile für Bundesbehörden (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
§29 BSIG ermächtigt jedes Land, durch eigenes Gesetz zu regeln, welche Landes- und Kommunalverwaltungseinrichtungen erfasst sind. Das Land führt die nach Artikel 2(2)(f)(ii) verlangte risikobasierte Bewertung durch. Solange das Gesetz fehlt, bindet das BSIG des Bundes die regionalen Einrichtungen nicht. Prüfen Sie, ob Ihr Land bereits einen Entwurf veröffentlicht hat, bevor Sie eine Kommune einordnen.
ENISA NIS 2 Transpositionsübersicht
ENISA veröffentlicht eine NIS 2 Transpositionsseite, die nationale Gesetze, zuständige Behörden pro Mitgliedstaat und die nationalen Scoping-Entscheidungen zur öffentlichen Verwaltung auflistet. Das ist die sauberste Einzelquelle für grenzüberschreitende Behörden oder Shared-Services-Organisationen, die wissen müssen, bei welcher Behörde sie in welchem Land melden.
Nationale Umsetzungsgesetze
Artikel 2(2)(f) bindet die öffentliche Verwaltung EU-weit. NL über das Cyberbeveiligingswet, FR über Ordonnance n° 2024-1093, AT über das NISG. Die Regel zur Geltung unabhängig von der Größe ist überall gleich. Jeder Mitgliedstaat entscheidet, was als zentral gilt und welche regionalen Einrichtungen die risikobasierte Bewertung bestehen.
Wir sind eine Kommune, also sind wir automatisch in NIS 2.
Nicht allein durch Bundesrecht. §28 BSIG bindet die Bundesverwaltung. Landes- und Kommunalverwaltung kommen über §29 BSIG und das jeweilige Landes-Cybersicherheitsgesetz in den Anwendungsbereich, nachdem das Land die nach Artikel 2(2)(f)(ii) geforderte risikobasierte Bewertung durchgeführt hat. Den Status Ihres Landes prüfen, bevor Sie annehmen.
Wir machen Strafverfolgung, also sind wir aus NIS 2 raus.
Die Ausnahme aus Artikel 2(5) ist funktional. Sie deckt die Strafverfolgungstätigkeiten ab, nicht die ganze Behörde. Eine Polizeibehörde ist für ihre Fallbearbeitungs- und Überwachungssysteme ausgenommen und für ihre Personal-, Finanz-, Beschaffungs- und allgemeine Verwaltungs-IT erfasst. Gleiche Behörde, zwei Anwendungsbereiche. Die Linie systemweise dokumentieren.
Unser Stadtwerk ist kommunal, also fällt es als öffentliche Verwaltung in Sektor 10.
Eigentum verschiebt ein Stadtwerk nicht in Sektor 10. Ein kommunal getragenes Versorgungsunternehmen ist in NIS 2 über Anhang I Sektoren 1 (Energie), 6 (Trinkwasser), 7 (Abwasser) oder 8 (digitale Infrastruktur), mit der regulären Größenprüfung aus Artikel 2(1). Sektor 10 erfasst Einrichtungen der öffentlichen Verwaltung im Sinne des nationalen Rechts, nicht staatlich getragene wirtschaftliche Betreiber.
Typischer Fall: Bundesbehörde mit 90 Beschäftigten. Artikel 2(2)(f)(i) greift (Bundesverwaltung), Größenprüfung läuft nicht. Die Behörde betreibt allgemeine Verwaltungs-IT und eine Spezialplattform, die die Koordinierung der Bundespolizei unterstützt. Artikel 2(5) nimmt die Strafverfolgungsplattform aus. Die Verwaltungs-IT bleibt erfasst. Ergebnis: Eine Anwendbarkeitsprüfung, die auflistet, welche Systeme unter §30 BSIG fallen und welche hinter der Ausnahme liegen, mit Unterschrift des Leitungsorgans.
Typischer Fall auf Landesebene: Eine Kommune mit 220 Beschäftigten in einem Land, das sein Landes-Cybersicherheitsgesetz noch nicht beschlossen hat. Heute formal außerhalb von NIS 2. Praktiker bauen trotzdem die Grundlage auf (Risikoregister, Lieferantenliste, Vorfallsprozess), weil der Gesetzentwurf in der Anhörung ist und die Pflichten 2026 oder 2027 kommen. Das Übergangsjahr ist Vorbereitung, kein Urlaub.
Die Anwendbarkeitsprüfung läuft die drei Elemente in der richtigen Reihenfolge: Sind Sie Zentralregierung, sind Sie eine regionale Einrichtung, die Ihr Mitgliedstaat benannt hat, und welche Ihrer Tätigkeiten fallen unter eine Ausnahme nach Artikel 2(5) oder (7). Sie beantworten die Fragen einmal und erhalten eine schriftliche Anwendbarkeitsprüfung, die den Rechtsanker nennt (§28 BSIG, §29 BSIG plus Ihr Landesgesetz, oder außerhalb des Anwendungsbereichs) und die ausgenommenen Systeme.
Das Ergebnis ist kein Ja/Nein. Es ist eine Begründung: welche Vorschrift greift, was der Mitgliedstaat über regionale Einrichtungen entschieden hat und welche Systeme auf welcher Seite der funktionalen Ausnahme liegen. Vom Leitungsorgan unterzeichnet, mit Prüfspur archiviert, versionsgebunden an den EU- und BSIG-Wortlaut, den wir zitieren.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2(2)(f), Artikel 2(5) bis (7), Erwägungsgründe 7 und 8, Anhang I Sektor 10 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI-Gesetz (BSIG), §28 (Bundesverwaltung) und §29 (Länder) in der Fassung des NIS2-Umsetzungsgesetzes
- ENISA NIS 2 Transpositionsübersicht — enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (je Land, Entwürfe und verabschiedete Gesetze)