§ 30 BSIG: Die zehn Maßnahmen für Cybersicherheit
Kurzantwort: § 30 BSIG ist die deutsche Umsetzung von Artikel 21 NIS 2. Besonders wichtige und wichtige Einrichtungen müssen zehn Risikomanagementmaßnahmen umsetzen, von Risikoanalyse über Lieferkettensicherheit bis Multi-Faktor-Authentifizierung. Die Umsetzung muss verhältnismäßig sein, also an Größe, Risikolage und Stand der Technik ausgerichtet.
Was § 30 BSIG verlangt
§ 30 BSIG steht im Mittelpunkt der deutschen NIS 2 Umsetzung. Die Vorschrift verpflichtet besonders wichtige Einrichtungen und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen, um Risiken für die Sicherheit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu beherrschen.
Die Vorschrift setzt Artikel 21 Abs. 2 der NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) in deutsches Recht um. Der Inhalt ist EU-rechtlich vorgegeben und in allen Mitgliedstaaten identisch. Der Wortlaut wurde an die deutsche Gesetzessystematik angepasst, die zehn Maßnahmen in § 30 Abs. 2 Nr. 1 bis 10 BSIG entsprechen Artikel 21 Abs. 2 Buchst. a bis j NIS 2 eins zu eins.
Die Pflichten gelten seit Inkrafttreten des NIS2UmsuCG. Eine Schonfrist für die Umsetzung sieht das Gesetz nicht vor. Wer betroffen ist, schuldet die Maßnahmen ab dem Tag, an dem er in den Anwendungsbereich fällt.
Nr. 1: Risikoanalyse und Sicherheit für Informationssysteme
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme. Entspricht Artikel 21 Abs. 2 Buchst. a NIS 2. Konkretisiert durch CIR (EU) 2024/2690 § 2 für die digitalen Sektoren des Anhangs.
Nr. 2: Bewältigung von Sicherheitsvorfällen
Erkennung, Reaktion, Eindämmung, Wiederherstellung und Auswertung von Sicherheitsvorfällen. Entspricht Artikel 21 Abs. 2 Buchst. b NIS 2. Greift mit der Meldepflicht nach § 32 BSIG ineinander.
Nr. 3: Aufrechterhaltung des Betriebs
Backupmanagement, Wiederherstellung nach einem Notfall und Krisenmanagement. Entspricht Artikel 21 Abs. 2 Buchst. c NIS 2. Auch ein Cloudausfall beim Anbieter ist hier abgedeckt.
Nr. 4: Sicherheit der Lieferkette
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern. Entspricht Artikel 21 Abs. 2 Buchst. d NIS 2. Diese Pflicht fließt vertraglich auf jeden Zulieferer in der Kette herunter.
Nr. 5: Sicherheit bei Erwerb, Entwicklung und Wartung
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen. Entspricht Artikel 21 Abs. 2 Buchst. e NIS 2. Überschneidet sich mit den Pflichten aus dem Cyber Resilience Act für Produkte mit digitalen Elementen.
Nr. 6: Wirksamkeitsbewertung
Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen. Entspricht Artikel 21 Abs. 2 Buchst. f NIS 2. Das ist der Rückkopplungsmechanismus: nicht nur Maßnahmen einführen, sondern auch prüfen, ob sie wirken.
Nr. 7: Cyberhygiene und Schulungen
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit. Entspricht Artikel 21 Abs. 2 Buchst. g NIS 2. Trifft alle Mitarbeitenden, IT-Rollen erhalten zusätzlich rollenspezifische Schulung. Die Schulung der Leitungsorgane ist gesondert in § 38 Abs. 3 BSIG geregelt.
Nr. 8: Kryptografie und Verschlüsselung
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung. Entspricht Artikel 21 Abs. 2 Buchst. h NIS 2. Das Wort gegebenenfalls erlaubt risikobasierte Differenzierung, schließt aber den pauschalen Verzicht aus.
Nr. 9: Personalsicherheit, Zugriffskontrolle, Anlagenmanagement
Personalsicherheit, Konzepte für die Zugriffskontrolle und Management von Anlagen. Entspricht Artikel 21 Abs. 2 Buchst. i NIS 2. Deckt klassische Themen wie Onboarding und Offboarding, Berechtigungsvergabe nach Need to know und ein Asset-Inventar ab.
Nr. 10: Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. Entspricht Artikel 21 Abs. 2 Buchst. j NIS 2.
§ 30 Abs. 1 Satz 2 BSIG sagt, dass die Maßnahmen unter Berücksichtigung des Stands der Technik, einschlägiger europäischer und internationaler Normen sowie der Kosten der Umsetzung gewählt werden müssen. Größe, Risikoexposition und Wahrscheinlichkeit von Vorfällen werden berücksichtigt.
Verhältnismäßigkeit ist kein Freibrief, eine Maßnahme wegzulassen. Das BSI hat in der Handreichung zu § 38 Abs. 3 BSIG ausdrücklich klargestellt, dass ein pauschaler Risikotransfer auf Cyberversicherungen oder Dienstleister ausgeschlossen ist. Verhältnismäßig bedeutet: nicht jede Maßnahme in maximaler Tiefe, sondern an die konkrete Lage angepasst und schriftlich begründet.
Artikel 21 Abs. 2 NIS 2 ist die EU-rechtliche Grundlage. Die zehn Buchstaben a bis j sind verbindlich, der Wortlaut wurde bewusst offen gehalten, damit die Mitgliedstaaten an nationale Aufsichtsstrukturen anschließen können. § 30 BSIG übernimmt die zehn Maßnahmen in der Nummerierung Nr. 1 bis 10 ohne inhaltliche Abweichung.
Für DNS-Anbieter, TLD-Registries, Cloudanbieter, Rechenzentren, Inhaltsbereitstellungsnetze, Managed Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplätzen, Online-Suchmaschinen, Plattformen für soziale Netzwerke und Vertrauensdiensteanbieter konkretisiert die Durchführungsverordnung (EU) 2024/2690 die zehn Maßnahmen in ihrem Anhang. Die Verordnung gilt unmittelbar, also ohne nationale Umsetzung. Für diese Sektoren steht neben § 30 BSIG immer auch die CIR im Schrank.
§ 30 BSIG gilt für besonders wichtige Einrichtungen nach § 28 Abs. 6 BSIG und wichtige Einrichtungen nach § 28 Abs. 7 BSIG. Die Sektoren stehen in Anhang 1 und Anhang 2 der NIS 2 Richtlinie. Die Größenschwelle liegt bei mindestens 50 Beschäftigten oder 10 Mio. EUR Jahresumsatz, mit einigen Sonderregelungen für KRITIS und für Sektoren unabhängig von der Größe.
Wer im Zweifel ist, beginnt mit der Betroffenheitsprüfung nach Artikel 2 NIS 2. Auch Zulieferer eines regulierten Unternehmens kommen mit § 30 in Kontakt: über Nr. 4 (Lieferkette) reichen die Pflichten vertraglich an direkte Anbieter weiter.
Verstöße gegen die Maßnahmenpflicht aus § 30 BSIG sind in § 65 BSIG bußgeldbewehrt. Für besonders wichtige Einrichtungen liegt der Rahmen bei bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Vorjahresumsatzes, je nachdem was höher ist. Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Mio. EUR oder 1,4 Prozent.
Zusätzlich greift § 38 BSIG: Mitglieder des Leitungsorgans haften persönlich für die Verletzung der Pflicht, die Umsetzung der Maßnahmen aus § 30 zu billigen und ihre Umsetzung zu überwachen. Die Haftung tritt unabhängig davon ein, ob ein konkreter Schaden eingetreten ist.
Häufige Fragen zu § 30 BSIG
Ist § 30 BSIG dasselbe wie Artikel 21 NIS 2?
Inhaltlich ja. § 30 BSIG ist die deutsche Umsetzung von Artikel 21 NIS 2. Die zehn Maßnahmen in § 30 Abs. 2 Nr. 1 bis 10 BSIG entsprechen Artikel 21 Abs. 2 Buchst. a bis j NIS 2 eins zu eins. Wer EU-weit arbeitet, sollte Artikel 21 NIS 2 als Primärquelle zitieren und § 30 BSIG als deutsche Transposition nennen.
Muss ich alle zehn Maßnahmen umsetzen?
Ja. Die zehn Maßnahmen sind nicht optional, die Auswahl entsteht innerhalb jeder Maßnahme durch Verhältnismäßigkeit. Eine Maßnahme komplett wegzulassen ist nicht zulässig. Die Tiefe der Umsetzung darf an Größe, Risikoexposition und Stand der Technik angepasst werden, das Wegfallen-Lassen einer ganzen Nummer nicht.
Was bedeutet Verhältnismäßigkeit konkret?
Verhältnismäßigkeit nach § 30 Abs. 1 Satz 2 BSIG bedeutet: Maßnahmen werden an Größe, Risikoexposition, Wahrscheinlichkeit und Schwere von Vorfällen sowie Kosten der Umsetzung ausgerichtet. Die Entscheidung muss schriftlich begründet sein. Eine pauschale Verlagerung des Risikos auf eine Cyberversicherung oder einen Dienstleister erkennt das BSI nicht als verhältnismäßige Umsetzung an.
Wie weise ich die Umsetzung gegenüber dem BSI nach?
Durch Dokumentation. Für jede der zehn Maßnahmen wird die gewählte Umsetzung, die Begründung der Tiefe und die Wirksamkeitsbewertung schriftlich festgehalten. Im Audit gegenüber dem BSI nach § 61 oder § 62 BSIG geht es um diese Nachweise, nicht um die mündliche Erläuterung. Eine strukturierte Selbsteinschätzung über alle zehn Maßnahmen ist der schnellste Einstieg.
Was ist der Unterschied zwischen § 30 BSIG und IT-Grundschutz?
§ 30 BSIG ist die Pflicht. IT-Grundschutz ist eine konkrete Methodik, mit der die Pflicht erfüllt werden kann. § 44 Abs. 2 BSIG benennt IT-Grundschutz als ausreichende Umsetzung. Andere Standards wie ISO 27001 sind ebenfalls möglich, der Nachweis bleibt aber an die zehn Maßnahmen aus § 30 BSIG gebunden, nicht an die Struktur des gewählten Standards.