Art. 21(2)(i) NIS 2 + CIR §10

NIS-2-Personalsicherheit nach Art. 21(2)(i)

Menschen sind Teil der Sicherheitsgrenze. Art. 21(2)(i) NIS 2 nennt Personalsicherheit, Zugriffskontrolle und Anlagenmanagement in einem Atemzug. CIR (EU) 2024/2690 §10 beschreibt die vier personellen Bausteine. In Deutschland trägt §30(2)(9) BSIG dieselbe Pflicht.

Simon OrzelSimon Orzel·

Kurzfassung

Die meisten Vorfälle beginnen bei einem Menschen. Art. 21(2)(i) setzt Personalsicherheit auf die Liste der zehn Cybersicherheitspflichten. Der Text bündelt drei Dinge: Personalsicherheit, Zugriffskontrolle und Anlagenmanagement. Sie hängen zusammen, weil die Rolle entscheidet, welchen Zugriff jemand braucht und welche Anlagen er anfasst.

CIR (EU) 2024/2690 §10 nimmt die personelle Hälfte und teilt sie in vier Stücke. Stellen Sie sicher, dass Menschen ihre Rolle verstehen (§10.1). Prüfen Sie Zuverlässigkeit dort, wo es sinnvoll ist (§10.2). Regeln Sie Austritte und Rollenwechsel sauber (§10.3). Halten Sie ein Disziplinarverfahren bei Verstößen bereit (§10.4). Keine weiche HR-Arbeit. Operative Sicherheit.

Deutschland setzt Art. 21(2)(i) vollständig über §30(2)(9) BSIG um, der Personalsicherheit, Zugriffskontrolle und Anlagenmanagement gemeinsam nennt. Gleicher Wortlaut. Gleiche Pflicht. Diese Seite läuft die Richtlinie, die EU-Folgeverordnung und die deutsche Umsetzung in dieser Reihenfolge ab.

Die Rechtsquelle
Drei Schichten. Die Richtlinie (bindet jedes EU-Land). Die Durchführungsverordnung (direkt anwendbares EU-Recht für die im Anhang genannten Sektoren). Die nationale Umsetzung (in Deutschland: BSIG).

Art. 21(2)(i) NIS-2-Richtlinie (2022/2555)

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.

Punkt (i) auf der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Drei Pflichten in einem Absatz, weil sie nur zusammen funktionieren.

CIR (EU) 2024/2690, Anhang §10

Sicherheit des Personals (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555).

CIR §10 teilt den personellen Teil in vier Unterabschnitte. §10.1 Sicherheit des Personals, §10.2 Zuverlässigkeitsüberprüfung, §10.3 Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses, §10.4 Disziplinarverfahren. Direkt bindendes EU-Recht für DNS-Anbieter, Cloud- und Rechenzentrumsanbieter, MSPs, Vertrauensdiensteanbieter und die weiteren im Anhang genannten Sektoren.

§30(2)(9) BSIG (Deutschland)

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.

Deutschland übernimmt den EU-Text fast wörtlich. Die Pflicht ist dieselbe. Das BSI verweist auf IT-Grundschutz, insbesondere Baustein ORP.2 'Personal', als praktischen Umsetzungspfad.

Die vier Pflichten aus CIR §10
CIR 2024/2690 §10 hat vier Unterabschnitte. Wir gruppieren sie in drei Blöcke: Rollen und Einstellung, Zuverlässigkeitsüberprüfung, Eintritt-Wechsel-Austritt plus Disziplinarverfahren. Sie brauchen alle vier.
§10.1

Rollen, Awareness und Einstellung

Stellen Sie sicher, dass Mitarbeitende ihre Cybersicherheitsverantwortung kennen. Belegschaft allgemein, Nutzer mit administrativen oder privilegierten Rechten und insbesondere die Leitungsebene. Stellen Sie gezielt für sicherheitsrelevante Rollen ein: Referenzprüfung, Qualifikationsvalidierung, schriftliche Tests, wo angemessen.

§10.2

Zuverlässigkeitsüberprüfung, wo angemessen

Hintergrundprüfungen bei Mitarbeitenden und direkten Dienstleistern, soweit 'durchführbar und anwendbar' und die Rolle es erfordert. Schreiben Sie auf, welche Rollen nur von Personen besetzt werden dürfen, deren Zuverlässigkeit überprüft wurde. Rollenabhängig, nicht universell. Administrative und privilegierte Rollen sind typische Kandidaten.

§10.3 + §10.4

Beendigung, Rollenwechsel und Disziplinarverfahren

Wenn jemand geht oder die Rolle wechselt, müssen Sicherheitspflichten, die das Beschäftigungsverhältnis überdauern, vertraglich fixiert und durchgesetzt sein. Verschwiegenheitsklauseln wirken über das Vertragsende hinaus. Und es muss ein Disziplinarverfahren bei Verstößen gegen die Sicherheitsrichtlinien geben.

Zwei Regeln, die alles andere prägen
Zwei Prinzipien laufen quer durch die vier Unterabschnitte. Wer §10 ohne sie liest, baut in eine Richtung zu viel und in die andere zu wenig.

Zuverlässigkeitsprüfungen sind rollenabhängig, nicht universell

§10.2 sagt 'durchführbar und anwendbar' und nur für Rollen, die es erfordern. Sie prüfen nicht jede Kassiererin. Sie prüfen den Domain-Admin. Die Kriterien, welche Rollen eine Zuverlässigkeitsüberprüfung brauchen, gehören schriftlich fixiert, vor der Einstellung, nicht danach.

Verschwiegenheit überdauert das Beschäftigungsverhältnis

§10.3 will, dass Sicherheitspflichten, die nach dem Austritt weiter gelten müssen, vertraglich fixiert sind. Verschwiegenheit ist der offensichtliche Fall. Keine Weitergabe von Vorfalldetails, Kundendaten, Systemarchitektur. Die Klausel steht im Arbeitsvertrag am ersten Tag, nicht am letzten.

Wie nationale Aufsichten das praktisch ausfüllen
Die EU setzt die Regel. Jedes Land setzt sie um. Die Substanz ist gleich. Die lokale Mechanik unterscheidet sich.
Deutschland

BSI / IT-Grundschutz ORP.2

Der IT-Grundschutz des BSI behandelt Personalsicherheit im Baustein ORP.2 'Personal'. ORP.2 läuft Einstellung, Sensibilisierung, Schulung, Austrittsverfahren und Fremdpersonal durch. In Deutschland kommt das Arbeitsrecht hinzu: AGG-Grenzen für Auswahlkriterien, BetrVG-Mitbestimmung bei Hintergrundprüfungen. Machen Sie die Regelung mit dem Betriebsrat im Raum, nicht gegen ihn.

EU-weit

ENISA Technical Implementation Guidance

Die TIG der ENISA für CIR (EU) 2024/2690 mappt §10 auf die Annex-A-Controls A.6.1 bis A.6.6 von ISO/IEC 27001:2022 (Screening, Vertragsbedingungen, Awareness, Disziplinarverfahren, Beendigung, Verschwiegenheit). Wer ISO 27001 betreibt, hat den Großteil von §10 schon abgedeckt. Die TIG benennt die Nachweise, die Auditoren erwarten.

Andere Mitgliedstaaten

Nationale Umsetzungsgesetze

Jeder Mitgliedstaat hat ein eigenes Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Pflicht aus Art. 21(2)(i) ist dieselbe. Lokal unterscheiden sich die arbeitsrechtlichen Grenzen für Hintergrundprüfungen, die in Form und Stoßrichtung dem deutschen AGG und BetrVG ähneln.

Drei Fallen, die uns ständig begegnen
Drei Annahmen, die in fast jedem Audit-Vorbereitungsgespräch auftauchen. Alle drei lassen Lücken, die ein Auditor findet.

  • Wir machen keine Hintergrundprüfungen. Datenschutz verbietet das.

    Zu pauschal. §10.2 begrenzt Zuverlässigkeitsüberprüfungen auf Rollen, bei denen sie 'durchführbar und anwendbar' sind. Für Admin- oder privilegierte Nutzer ist eine dokumentierte Zuverlässigkeitsprüfung unter der DSGVO meist machbar, wenn die Rechtsgrundlage klar ist, der Umfang definiert und der Betriebsrat eingebunden. Die Aufgabe heißt nicht 'niemanden prüfen'. Sie heißt 'aufschreiben, welche Rollen geprüft werden müssen, und es für diese Rollen tun'.

  • Wenn jemand geht, kassieren wir den Ausweis und deaktivieren den Account. Fertig.

    Gut für physischen und IT-Zugang. Reicht nicht für §10.3. Die Richtlinie verlangt, dass die Pflichten, die das Beschäftigungsverhältnis überdauern, vertraglich fixiert sind. Verschwiegenheit, Geheimhaltung, Rückgabe von Anlagen, fortbestehende Meldepflichten zu Vorfällen, die die Person kennt. Eine Leaver-Checkliste ohne vertraglichen Anker ist nur die halbe Strecke.

  • Wir haben kein Disziplinarverfahren für IT-Sicherheitsverstöße.

    Doch, Sie haben es nur nicht IT-spezifisch aufgeschrieben. §10.4 verlangt ein Disziplinarverfahren bei Verstößen gegen die Sicherheitsrichtlinien. Es muss kein eigener Prozess sein. Hängen Sie es an das allgemeine HR-Disziplinarverfahren: Auslöser benennen ('Verstoß gegen die Informationssicherheitsrichtlinie'), Richtlinie referenzieren, Eskalationsweg dokumentieren.

Wie es Mittelstandsbetriebe tatsächlich machen

Die meisten Mittelständler erledigen die Hälfte von §10, ohne es NIS 2 zu nennen. HR macht Referenzchecks bei Einstellung. Es gibt eine Leaver-Checkliste. Verschwiegenheitsklauseln stehen im Standardarbeitsvertrag. Awareness-Schulungen laufen einmal im Jahr. Damit ist der Großteil von §10.1 und ein Teil von §10.3 abgedeckt.

Die §10-Lücken sind enger, als viele denken. Eins: vertragliche Verschwiegenheitsklauseln, die ausdrücklich IT-bezogene Pflichten erfassen und das Beschäftigungsverhältnis überdauern, nicht nur generische NDA-Sprache. Zwei: eine schriftliche Liste der Rollen, in denen eine Zuverlässigkeitsüberprüfung vor Einstellung Pflicht ist, mit ausformulierten Kriterien. Drei: ein explizites Disziplinarverfahren für IT-Sicherheitsverstöße, und sei es ein Absatz, der aus dem allgemeinen HR-Verfahren querverweist. Die drei schließen, dann ist §10 erledigt.

Wie wir das auf der Plattform abbilden

Die Plattform fasst die §10-Nachweise in den Modulen HR und ACC zusammen. Rollenzuordnungen liegen an einer Stelle mit Person, Rolle, Status der Zuverlässigkeitsüberprüfung und Datum der letzten Awareness-Schulung. Die Leaver-Checkliste ist ein Workflow mit Sign-Off, kein Word-Dokument.

Das Disziplinarlog läuft im Audit-Trail. Wird ein Richtlinienverstoß erfasst, ist das ausgelöste Verfahren dokumentiert, die Schritte sind gegengezeichnet, der Abschluss sichtbar. Keine Tabellen. Kein Zweitsystem. Dieselbe Nachweisbasis, die der Auditor sieht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §10 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG, §30(2)(9) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • BSI IT-Grundschutz, Baustein ORP.2 'Personal' — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance zu CIR (EU) 2024/2690 (Stand Mai 2026)
Personalsicherheit ohne paralleles HR-Werkzeug umsetzen
Rollenzuordnungen, Zuverlässigkeitsstatus, Austrittschecklisten, Disziplinarlog und Sign-Off auf einer Plattform. Kostenlos, Open Source, kein Lock-in.
Plattform kostenlos öffnen