Art. 27 NIS 2 + §33 BSIG

Selbsteinstufung nach NIS 2: kein Brief vom BSI ist keine Verteidigung

Viele Mittelständler warten auf einen Brief, der nie kommen wird. NIS 2 legt die Prüfung auf Sie, und die Frist läuft, ob Sie prüfen oder nicht.

Simon OrzelSimon Orzel·

Der teuerste Irrtum

Viele Mittelständler werten das Ausbleiben eines BSI-Briefes als Beleg dafür, dass sie nicht unter NIS 2 fallen. Sie irren. Die Richtlinie und §33 BSIG legen die Registrierungspflicht auf die Einrichtung, nicht auf die Behörde.

Der Mechanismus ist klar. Art. 27(1) NIS 2 verpflichtet die Mitgliedstaaten zu einem Register wesentlicher und wichtiger Einrichtungen. §33(1) BSIG setzt das um: Einrichtungen registrieren sich innerhalb von drei Monaten nach Eintritt der Voraussetzungen. Die Frist startet mit dem Erfüllen der Kriterien, nicht mit einer Mitteilung.

In der Praxis heißt das: ein 70-Personen-Abfallentsorger in Anhang II kann ein Jahr und länger unbemerkt in scope sein, mit auflaufenden Bußgeldern nach §65 BSIG und persönlicher Verantwortung nach §38 BSIG, bis jemand endlich den Anhang prüft.

Wo die Pflicht steht
Zwei Vorschriften tragen die Last. Eine in der Richtlinie, eine in der deutschen Umsetzung.

Art. 27(1) NIS 2 (Registerpflicht)

Die Mitgliedstaaten verlangen von wesentlichen und wichtigen Einrichtungen, dass sie den zuständigen Behörden mindestens folgende Informationen übermitteln: Name; Anschrift; aktuelle Kontaktdaten; Sektor und Teilsektor; Liste der Mitgliedstaaten, in denen sie Dienste erbringen.

Die Pflicht läuft von der Einrichtung zur Behörde, nicht umgekehrt. NIS 2 enthält keine Vorschrift, die der Behörde aufgibt, in-scope-Einrichtungen vorab zu identifizieren.

§33(1) BSIG (3-Monats-Frist)

Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.

Drei Monate ab dem Moment, in dem die Einrichtung die Voraussetzungen erfüllt. Keine Wartezeit auf einen Brief vom BSI. Die Frist läuft auf dem Kalender der Einrichtung.

Art. 2 + Anhang I und II NIS 2 (Sektor + Größe)

Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder II genannten Art, die mittlere Unternehmen im Sinne von Artikel 2 des Anhangs zur Empfehlung 2003/361/EG sind oder die Schwellenwerte für mittlere Unternehmen überschreiten.

Zwei Fragen entscheiden in-scope: Sind Sie eine Art aus Anhang I oder II, und sind Sie mindestens mittleres Unternehmen (ab 50 Beschäftigten und entweder >10 Mio. EUR Umsatz oder >10 Mio. EUR Bilanzsumme). Plus die 'unabhängig von der Größe'-Übersteuerungen für Vertrauensdienste, DNS, TLD-Register, öffentliche Verwaltung, Alleinanbieter in einem Mitgliedstaat.

Wie Selbsteinstufung praktisch läuft
Drei Prüfungen. Die erste sektoral, die zweite Größe, die dritte Übersteuerungen.
Schritt 1

Anhang I und II gegen Ihre Tätigkeit prüfen

Anhang I sind wesentliche Einrichtungen (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Raumfahrt). Anhang II sind wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung). Maßgeblich ist die tatsächliche Tätigkeit, nicht die Rechtsform.

Schritt 2

Größe gegen die EU-KMU-Definition prüfen

Mittlere Unternehmen: 50 bis 249 Beschäftigte UND (Umsatz oder Bilanzsumme über 10 Mio. EUR). Große Unternehmen: ab 250 Beschäftigten ODER Umsatz über 50 Mio. EUR ODER Bilanzsumme über 43 Mio. EUR. Empfehlung 2003/361/EG verbatim anwenden, Verflechtungen nach den Regeln der Empfehlung zählen.

Schritt 3

Übersteuerungen 'unabhängig von der Größe' prüfen

Alleinanbieter eines Dienstes in einem Mitgliedstaat, öffentliche Verwaltungen des Zentralstaats, DNS-Diensteanbieter, TLD-Register, qualifizierte Vertrauensdiensteanbieter fallen unabhängig von der Größe in scope. Merken: Wer dort steht, für den greift die Größenschwelle nicht.

Was passiert, wenn die Pflicht spät auffällt
Zwei Kostenstellen öffnen gleichzeitig: Bußgelder und persönliche Verantwortung.

Bußgeld nach §65 BSIG

Bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, der jeweils höhere Betrag, für wesentliche Einrichtungen. Bis zu 7 Mio. EUR oder 1,4 Prozent für wichtige Einrichtungen. Das Bußgeld trifft die Einrichtung. Sanktioniert wird nicht nur die verspätete Registrierung, sondern die zugrunde liegende Nichteinhaltung von Art. 21 und Art. 23, die im stillen Zeitraum aufgelaufen ist.

Persönliche Verantwortung der Geschäftsführung nach §38 BSIG

Art. 20(1) NIS 2, umgesetzt in §38 BSIG, macht die Geschäftsführung verantwortlich für Billigung und Überwachung der Risikomanagementmaßnahmen. Späte Entdeckung ist keine Entlastung. Die Geschäftsführung hätte sicherstellen müssen, dass die Einstufung gemacht wird.

Eskalation der Aufsicht

Art. 32 NIS 2 erlaubt der zuständigen Behörde Auflagen, Auditanordnungen und im äußersten Fall Betriebsuntersagungen. Späteinsteiger ziehen mehr Aufsicht auf sich, weil die Behörde das Nachholen prüfen muss.

Was jetzt zu tun ist
Drei Schritte. Keiner davon hängt an einer Mitteilung vom BSI.

Anwendbarkeitsprüfung heute durchlaufen

Tätigkeit gegen Anhang I oder II abgleichen, Beschäftigte und Umsatz zählen, Übersteuerungen prüfen. Ergebnis dokumentieren, auch wenn es negativ ist. Eine schriftliche 'nicht in scope'-Notiz ist im Streitfall die einzige Verteidigung.

In scope: binnen drei Monaten registrieren

Über das BSI-Portal nach §33 BSIG. Voraussetzung ist ein ELSTER-Organisationszertifikat, das selbst zwei bis drei Wochen braucht. Bei knapper Frist ELSTER zuerst beantragen.

Prüfung jährlich wiederholen

Anhänge können geändert werden (Art. 6 NIS 2 Überprüfung). Beschäftigte und Umsatz bewegen sich. Eine 'nicht in scope'-Position veraltet. Einmal jährlich neu prüfen.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 2, Art. 3, Anhang I, Anhang II, Art. 27, www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §33, §38, §65, www.gesetze-im-internet.de
  • Empfehlung 2003/361/EG der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, www.eur-lex.europa.eu
  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, EU-KMU-Empfehlung). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.

Heute klären, ob Sie in scope sind
Die kostenlose Anwendbarkeitsprüfung läuft die drei Schritte, erzeugt ein schriftliches Ergebnis und nennt die §33 BSIG Frist in Ihrem Fall.