RACI für NIS 2 in einer 60-Personen-Einrichtung
Nach Art. 20 NIS 2 trägt die Geschäftsführung die Verantwortung für die Risikomanagementmaßnahmen kraft Gesetzes. RACI ist der günstigste Weg, allen anderen sichtbar zu machen, was das praktisch heißt.
Warum RACI bei NIS 2
Die meisten Mittelständler überspringen die RACI-Matrix, weil sie nach Beratershow klingt. Bei NIS 2 ist sie dem Sinn nach nicht optional. Art. 20 NIS 2 legt die Accountability ausdrücklich auf die Geschäftsführung; die Matrix ist nur die günstigste Methode, Accountable, Responsible, Consulted und Informed für das Team sichtbar zu machen.
Eine 60-Personen-Einrichtung kann sich keine fünf getrennten Funktionsträger leisten (CISO, DSB, Compliance, Legal, IT-Leitung). Eine Person trägt typischerweise zwei oder drei Rollen, und die Geschäftsführung trägt die Pflichten mit direkter persönlicher Verantwortung. RACI dokumentiert, wie diese Konsolidierung läuft, ohne die Richtlinie zu verletzen.
Die Matrix zählt vor allem an zwei Punkten: wenn eine neue Führungskraft fragt, wer welche NIS 2 Pflicht trägt, und wenn das BSI Nachweise verlangt und Sie zeigen müssen, wer was freigegeben hat.
Art. 20(1) NIS 2 (Verantwortung der Leitungsorgane)
Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von ihnen zur Einhaltung von Artikel 21 ergriffenen Cybersicherheitsrisikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen diesen Artikel zur Verantwortung gezogen werden können.
'Billigen' und 'überwachen' sind Accountable-Tätigkeiten im RACI-Sinn. Die Geschäftsführung trägt A, ob sie R delegiert oder nicht. Delegation ist erlaubt, Verzicht nicht.
§38 BSIG (Schulung der Leitungsorgane)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
Die Schulung ist eine eigene, nicht delegierbare Pflicht der Geschäftsführung. RACI bildet das ab als Responsible UND Accountable in der Geschäftsführungszeile.
Geschäftsführung
CEO, Geschäftsführer, Vorstand. Accountable für Art. 21 Maßnahmen kraft Gesetzes. Responsible für Art. 20 Schulung, Budgetfreigabe, Risikoakzeptanz über der vereinbarten Schwelle.
IT-Leitung oder CISO
Die meisten 60-Personen-Mittelständler haben keinen CISO; die IT-Leitung übernimmt. Responsible für die technische Umsetzung der Maßnahmen, den Tagesbetrieb, die technische Lieferantenbewertung.
Datenschutzbeauftragte/r (DSB)
Aus DSGVO ohnehin vorhanden. Unter NIS 2 typischerweise verantwortlich für die Mitteilung an Empfänger der Dienste (Art. 23(2) NIS 2) und die Schnittmenge mit DSGVO Art. 33. Häufig Teilzeit oder extern.
Personalwesen
Responsible für ORP.3-Awareness, Joiner/Mover/Leaver-Zugangsprozesse, die Mitarbeiterdaten-Seite des Lieferantenmanagements.
Compliance oder Legal
Häufig ausgelagert. Responsible für Lieferantenklauseln nach Art. 21(2)(d), Mitteilungen an Empfänger nach Art. 23(2), Behördenkorrespondenz mit dem BSI.
| RACI-Matrix | Geschäftsführung | IT-Leitung oder CISO | Datenschutzbeauftragte/r (DSB) | Personalwesen | Compliance oder Legal |
|---|---|---|---|---|---|
| BSI-Registrierung nach §33 BSIG | A | R | C | I | C |
| Informationssicherheitsrichtlinie nach Art. 21(2)(a) | A | R | C | C | C |
| Vorfallbehandlung nach Art. 21(2)(b) | A | R | C | I | C |
| Aufrechterhaltung des Geschäftsbetriebs nach Art. 21(2)(c) | A | R | I | C | I |
| Lieferkettensicherheit nach Art. 21(2)(d) | A | C | C | I | R |
| Schulung der Geschäftsführung nach Art. 20(2) + §38 BSIG | A und R | I | C | C | C |
| Awareness aller Beschäftigten nach Art. 21(2)(g) | A | C | C | R | I |
| Vorfallsmeldung nach Art. 23 + §32 BSIG | A | R | C | I | C |
| Mitteilung an Empfänger der Dienste nach Art. 23(2) NIS 2 | A | C | R | I | C |
| Registrierungsaktualisierung nach §33(5) BSIG (2-Wochen-Frist) | A | R | I | C | C |
RACI scheitert, wenn Teams A und R gleichsetzen. Nach Art. 20 NIS 2 trägt die Geschäftsführung A kraft Gesetzes. Sie kann A nicht delegieren. Sie kann und muss R delegieren, oft an die IT-Leitung oder DSB, aber die Endverantwortung bleibt bei der Geschäftsführung.
Praktische Folge: wenn ein Audit fragt 'wer hat diese Risikoakzeptanz freigegeben?', kann die Antwort nicht 'die IT-Leitung' sein. Es muss ein Mitglied der Geschäftsführung namentlich mit Datum sein. Die IT-Leitung führt aus; die Geschäftsführung zeichnet.
Eine MSP-Konstellation verschiebt A nicht zum MSP. Art. 20 bleibt bei Ihrer Geschäftsführung. Responsibility für die Ausführung kann beim MSP liegen, aber nur innerhalb eines Vertrags, der konkret regelt, was sie nach Art. 21(2)(d) tun.
Die RACI-Matrix bekommt eine sechste Spalte: externer MSP. Diese sitzt R in den technischen Zeilen, Consulted in den Policy-Zeilen. Die Accountable-Spalte verlässt nie Ihre Geschäftsführung.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 20, Art. 21, Art. 23, www.eur-lex.europa.eu
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (Sensibilisierung und Schulung), www.bsi.bund.de
- Common Notification Templates der NIS-2-Kooperationsgruppe (Annahme 26.05.2026) zu Meldeabläufen
Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BSI IT-Grundschutz, Kooperationsgruppe-Templates). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für die konkrete RACI-Ausgestaltung in Ihrer Einrichtung ziehen Sie eine qualifizierte Beratung hinzu. Stand: 2026-06-04.