Art. 20 NIS 2 + §38 BSIG

RACI für NIS 2 in einer 60-Personen-Einrichtung

Nach Art. 20 NIS 2 trägt die Geschäftsführung die Verantwortung für die Risikomanagementmaßnahmen kraft Gesetzes. RACI ist der günstigste Weg, allen anderen sichtbar zu machen, was das praktisch heißt.

Simon OrzelSimon Orzel·

Warum RACI bei NIS 2

Die meisten Mittelständler überspringen die RACI-Matrix, weil sie nach Beratershow klingt. Bei NIS 2 ist sie dem Sinn nach nicht optional. Art. 20 NIS 2 legt die Accountability ausdrücklich auf die Geschäftsführung; die Matrix ist nur die günstigste Methode, Accountable, Responsible, Consulted und Informed für das Team sichtbar zu machen.

Eine 60-Personen-Einrichtung kann sich keine fünf getrennten Funktionsträger leisten (CISO, DSB, Compliance, Legal, IT-Leitung). Eine Person trägt typischerweise zwei oder drei Rollen, und die Geschäftsführung trägt die Pflichten mit direkter persönlicher Verantwortung. RACI dokumentiert, wie diese Konsolidierung läuft, ohne die Richtlinie zu verletzen.

Die Matrix zählt vor allem an zwei Punkten: wenn eine neue Führungskraft fragt, wer welche NIS 2 Pflicht trägt, und wenn das BSI Nachweise verlangt und Sie zeigen müssen, wer was freigegeben hat.

Wo die Pflicht steht
Die Richtlinie nennt die Accountable-Seite; die Umsetzung ergänzt die Schulungspflicht.

Art. 20(1) NIS 2 (Verantwortung der Leitungsorgane)

Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von ihnen zur Einhaltung von Artikel 21 ergriffenen Cybersicherheitsrisikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen diesen Artikel zur Verantwortung gezogen werden können.

'Billigen' und 'überwachen' sind Accountable-Tätigkeiten im RACI-Sinn. Die Geschäftsführung trägt A, ob sie R delegiert oder nicht. Delegation ist erlaubt, Verzicht nicht.

§38 BSIG (Schulung der Leitungsorgane)

Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.

Die Schulung ist eine eigene, nicht delegierbare Pflicht der Geschäftsführung. RACI bildet das ab als Responsible UND Accountable in der Geschäftsführungszeile.

Fünf Kernrollen für 60 Beschäftigte
Minimum-Rollensatz. Kleinere Einrichtungen konsolidieren weiter; größere fügen Spezialisten hinzu.

Geschäftsführung

CEO, Geschäftsführer, Vorstand. Accountable für Art. 21 Maßnahmen kraft Gesetzes. Responsible für Art. 20 Schulung, Budgetfreigabe, Risikoakzeptanz über der vereinbarten Schwelle.

IT-Leitung oder CISO

Die meisten 60-Personen-Mittelständler haben keinen CISO; die IT-Leitung übernimmt. Responsible für die technische Umsetzung der Maßnahmen, den Tagesbetrieb, die technische Lieferantenbewertung.

Datenschutzbeauftragte/r (DSB)

Aus DSGVO ohnehin vorhanden. Unter NIS 2 typischerweise verantwortlich für die Mitteilung an Empfänger der Dienste (Art. 23(2) NIS 2) und die Schnittmenge mit DSGVO Art. 33. Häufig Teilzeit oder extern.

Personalwesen

Responsible für ORP.3-Awareness, Joiner/Mover/Leaver-Zugangsprozesse, die Mitarbeiterdaten-Seite des Lieferantenmanagements.

Compliance oder Legal

Häufig ausgelagert. Responsible für Lieferantenklauseln nach Art. 21(2)(d), Mitteilungen an Empfänger nach Art. 23(2), Behördenkorrespondenz mit dem BSI.

RACI-Matrix: 10 NIS 2 Pflichten × 5 Rollen
Jede Zeile lesen: A ist Accountable (Endverantwortung), R ist Responsible (führt aus), C ist Consulted, I ist Informed.
RACI-MatrixGeschäftsführungIT-Leitung oder CISODatenschutzbeauftragte/r (DSB)PersonalwesenCompliance oder Legal
BSI-Registrierung nach §33 BSIGARCIC
Informationssicherheitsrichtlinie nach Art. 21(2)(a)ARCCC
Vorfallbehandlung nach Art. 21(2)(b)ARCIC
Aufrechterhaltung des Geschäftsbetriebs nach Art. 21(2)(c)ARICI
Lieferkettensicherheit nach Art. 21(2)(d)ACCIR
Schulung der Geschäftsführung nach Art. 20(2) + §38 BSIGA und RICCC
Awareness aller Beschäftigten nach Art. 21(2)(g)ACCRI
Vorfallsmeldung nach Art. 23 + §32 BSIGARCIC
Mitteilung an Empfänger der Dienste nach Art. 23(2) NIS 2ACRIC
Registrierungsaktualisierung nach §33(5) BSIG (2-Wochen-Frist)ARICC
Accountable und Responsible: die häufigste Falle

RACI scheitert, wenn Teams A und R gleichsetzen. Nach Art. 20 NIS 2 trägt die Geschäftsführung A kraft Gesetzes. Sie kann A nicht delegieren. Sie kann und muss R delegieren, oft an die IT-Leitung oder DSB, aber die Endverantwortung bleibt bei der Geschäftsführung.

Praktische Folge: wenn ein Audit fragt 'wer hat diese Risikoakzeptanz freigegeben?', kann die Antwort nicht 'die IT-Leitung' sein. Es muss ein Mitglied der Geschäftsführung namentlich mit Datum sein. Die IT-Leitung führt aus; die Geschäftsführung zeichnet.

Was sich ändert, wenn die IT ausgelagert ist

Eine MSP-Konstellation verschiebt A nicht zum MSP. Art. 20 bleibt bei Ihrer Geschäftsführung. Responsibility für die Ausführung kann beim MSP liegen, aber nur innerhalb eines Vertrags, der konkret regelt, was sie nach Art. 21(2)(d) tun.

Die RACI-Matrix bekommt eine sechste Spalte: externer MSP. Diese sitzt R in den technischen Zeilen, Consulted in den Policy-Zeilen. Die Accountable-Spalte verlässt nie Ihre Geschäftsführung.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 20, Art. 21, Art. 23, www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §32, §33, §38, www.gesetze-im-internet.de
  • BSI IT-Grundschutz ORP.3 (Sensibilisierung und Schulung), www.bsi.bund.de
  • Common Notification Templates der NIS-2-Kooperationsgruppe (Annahme 26.05.2026) zu Meldeabläufen

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BSI IT-Grundschutz, Kooperationsgruppe-Templates). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für die konkrete RACI-Ausgestaltung in Ihrer Einrichtung ziehen Sie eine qualifizierte Beratung hinzu. Stand: 2026-06-04.

Eine an Ihre Größe angepasste RACI?
Nach Anmeldung erzeugt die Plattform eine Start-RACI nach Sektor, Beschäftigtenzahl und ausgewählten Pflichten.