Was ist das BSI?
Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, errichtet nach §1 BSIG. Unter NIS 2 die zuständige Behörde, die Meldestelle und der Träger des nationalen CSIRT.
Worum es geht
Wer in Deutschland zum ersten Mal über NIS 2 nachdenkt, landet zwangsläufig beim BSI. Das Bundesamt für Sicherheit in der Informationstechnik sitzt in Bonn, gibt es seit 1991, und es ist nach §1 BSIG die Cybersicherheitsbehörde des Bundes. Im Alltag heißt das: Was Sie an NIS 2 melden, registrieren oder belegen müssen, läuft am Ende über das BSI.
Was viele beim ersten Lesen verwirrt: Das BSI hat unter NIS 2 nicht eine Rolle, sondern vier. Es ist gleichzeitig die zuständige Behörde nach Art. 8 NIS 2, die Stelle, an die Sie erhebliche Sicherheitsvorfälle nach §32 BSIG melden, die Stelle, bei der Sie sich nach §33 BSIG registrieren, und der Träger des nationalen CSIRT (CERT-Bund) im Sinne von Art. 10 NIS 2. Vier Schnittstellen, eine Behörde.
In der Praxis treffen Sie das BSI an drei Punkten: bei der Registrierung, bei einer Meldung, und im Aufsichtsfall. Was das BSI nicht macht: Rechtsberatung im Einzelfall, ISO 27001 Zertifizierung, Umsetzungsberatung. Den Umsetzungsteil tragen Sie selbst, intern oder mit externer Hilfe.
§1 BSIG (Errichtung)
Der Bund unterhält als Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat das Bundesamt für Sicherheit in der Informationstechnik.
Selbständige Bundesoberbehörde bedeutet: das BSI ist organisatorisch eigenständig, untersteht aber der Fach- und Dienstaufsicht des BMI. Es handelt nicht als Ministerium und nicht als Gericht.
§3 BSIG (Aufgaben)
Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes, Sammlung und Auswertung von Informationen über Sicherheitsrisiken, Beratung und Warnung, Festlegung von Mindeststandards.
Der Aufgabenkatalog in §3 BSIG ist breit. Für NIS 2 relevant sind besonders die Aufgaben Beratung und Warnung, Festlegung von Mindeststandards und Unterstützung der zuständigen Behörden bei der Untersuchung von Sicherheitsvorfällen.
Art. 8 NIS 2 (zuständige Behörden) + §32, §33 BSIG
Die Mitgliedstaaten benennen eine oder mehrere zuständige Behörden, die für Cybersicherheit zuständig sind. Sie sorgen dafür, dass diese zuständigen Behörden die Anwendung dieser Richtlinie auf nationaler Ebene überwachen.
Deutschland hat das BSI als zuständige Behörde im Sinne von Art. 8 NIS 2 benannt. Über §32 BSIG laufen die Meldungen, über §33 BSIG die Registrierungen.
Registrierungsstelle
Über das BSI Portal registrieren Sie sich nach §33 BSIG. Drei Monate ab dem Moment, in dem Sie zum ersten Mal unter NIS 2 fallen. Pflichtangaben: Stammdaten, Sektor, Kontaktperson, Tätigkeitsumfang, Größenklasse.
Gemeinsame Meldestelle
Erhebliche Sicherheitsvorfälle melden Sie nach §32 BSIG über die gemeinsame Meldestelle des BSI. Frühwarnung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschluss innerhalb eines Monats. Beide Uhren laufen ab Kenntniserlangung.
Nationales CSIRT (CERT-Bund)
Das CERT-Bund ist Deutschlands nationales CSIRT im Sinne von Art. 10 NIS 2. Es nimmt Vorfallsmeldungen entgegen, koordiniert die Antwort und tauscht im EU-CSIRTs-Netzwerk Informationen mit den anderen Mitgliedstaaten aus.
Aufsicht
Die Aufsicht über NIS 2 Einrichtungen ist im BSIG geregelt. Das BSI darf Auskünfte verlangen, Audits anordnen und Anordnungen treffen. Bußgelder verhängt es nach §65 BSIG.
Informations- und Warnstelle
Lageberichte, Sicherheitswarnungen, technische Mindeststandards: Das BSI veröffentlicht laufend. Über die Allianz für Cybersicherheit und UP KRITIS kommen praktische Hilfestellungen dazu.
Keine Rechtsberatung im Einzelfall
Allgemeine Hinweise und Mindeststandards: ja. Die rechtliche Würdigung Ihres konkreten Sachverhalts: nein. Dafür brauchen Sie eine Rechtsanwältin oder einen Rechtsanwalt.
Keine Zertifizierungsstelle für ISO 27001
ISO 27001 Zertifikate vergibt das BSI nicht. Was das BSI vergibt, sind eigene Zertifizierungen, etwa nach IT-Grundschutz oder Common Criteria. Die laufen unabhängig von ISO.
Kein Berater für die Umsetzung
Das BSI prüft und überwacht, es setzt nicht für Sie um. Die operative Umsetzung von NIS 2 passiert in Ihrer Einrichtung, mit Ihren Leuten oder mit externer Beratung.
In Gesprächen mit Geschäftsführungen, die NIS 2 zum ersten Mal anpacken, kommen meistens zwei Fragen: Was muss ich melden, und was muss ich registrieren. Die Antworten stehen in §32 und §33 BSIG. Beides läuft über das BSI Portal, beides braucht ein ELSTER Organisationszertifikat als Zugang.
Der zentrale Einstiegspunkt zur Information bleibt bsi.bund.de. Das eigentliche Meldeportal hat eine eigene Adresse und ist von dort verlinkt. Wer das zum ersten Mal sucht, verwechselt die beiden gerne.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), insbesondere §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 8, 10, 23, 27, www.eur-lex.europa.eu
- Website des BSI: www.bsi.bund.de
- NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BSI Veröffentlichungen). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.