Wie Sie sich auf eine BSI-Prüfung nach §64 und §65 BSIG vorbereiten
Artikel 32 NIS 2 gibt jeder Aufsichtsbehörde einen festen Werkzeugkasten. §64 BSIG kopiert ihn in deutsches Recht. Diese Seite geht durch die vierstufige Nachweisleiter, die das BSI nutzt, und zeigt, was eine besonders wichtige, eine wichtige und eine KRITIS-Einrichtung jeweils bereithalten muss.
Die kurze Version
Eine BSI-Prüfung ist kein einzelnes Ereignis. Artikel 32 NIS 2 listet einen festen Satz an Aufsichtsbefugnissen für besonders wichtige Einrichtungen: Vor-Ort-Prüfungen, gezielte Sicherheitsaudits durch eine unabhängige Stelle, Ad-hoc-Audits bei begründetem Anlass, Sicherheitsscans und schriftliche Auskunfts- und Unterlagenanforderungen. Das BSI eskaliert die Leiter Schritt für Schritt.
§64 BSIG setzt diese Befugnisse als Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung und technische Untersuchung um. §61 BSIG regelt die Aufsichtsbefugnisse im weiteren Sinne. §65 BSIG enthält die Bußgeldvorschriften. Die Bußgelder reichen bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes für besonders wichtige Einrichtungen und sieben Millionen oder ein Komma vier Prozent für wichtige Einrichtungen, parallel zu Artikel 34 NIS 2.
Die meisten Prüfungen erreichen die Vor-Ort-Stufe nie. Saubere Dokumentation, ein Leitungsorgan, das dafür einsteht, und ein schriftlicher Behandlungsplan für bekannte Lücken beenden die Prüfung auf Stufe eins oder zwei. Diese Seite geht durch die Leiter, den Rechtstext dahinter und die drei Annahmen, die aus einem Aktenprüfungstermin einen Vor-Ort-Termin machen.
Artikel 32 NIS-2-Richtlinie (2022/2555)
Die Mitgliedstaaten stellen sicher, dass die Aufsichtsmaßnahmen, die besonders wichtigen Einrichtungen für die Zwecke dieser Richtlinie auferlegt werden, wirksam, verhältnismäßig und abschreckend sind, wobei den Umständen jedes Einzelfalls Rechnung zu tragen ist. Bei der Ausübung ihrer Aufsichtsbefugnisse gegenüber besonders wichtigen Einrichtungen haben die zuständigen Behörden die Befugnis, diese Einrichtungen zu Folgendem zu verpflichten: a) Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen, einschließlich Stichprobenkontrollen, die von geschultem Fachpersonal durchgeführt werden; b) regelmäßige und gezielte Sicherheitsaudits, die von einer unabhängigen Stelle oder einer zuständigen Behörde durchgeführt werden; c) Ad-hoc-Audits, insbesondere wenn dies aufgrund eines erheblichen Sicherheitsvorfalls oder eines Verstoßes der besonders wichtigen Einrichtung gegen diese Richtlinie gerechtfertigt ist; d) Sicherheitsscans auf der Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls unter Mitwirkung der betreffenden Einrichtung; e) die Anforderung von Informationen, die für die Bewertung der von der betreffenden Einrichtung getroffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind.
Artikel 32 regelt den präventiven Werkzeugkasten für besonders wichtige Einrichtungen. Artikel 33 spiegelt ihn für wichtige Einrichtungen, aber als nachträgliche Aufsicht: Das BSI darf nur tätig werden, wenn Hinweise auf Verstöße vorliegen. Artikel 34 regelt die Bußgeldobergrenzen, die das BSIG übernimmt.
Durchführungsverordnung (EU) 2024/2690, Anhang
Für die Zwecke von Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 führen die betreffenden Einrichtungen eine Sicherheitsleitlinie für Netz- und Informationssysteme und einen Risikomanagementrahmen ein, setzen sie um und wenden sie an, um die Risiken für die Sicherheit von Netz- und Informationssystemen anzugehen.
Der CIR-Anhang ist das, was ein Prüfer in der Sache prüft. Er sagt, was Risikomanagement, Lieferkettensicherheit, Vorfallsbehandlung, Notfallplanung, Schulung, Kryptografie, Zugriffskontrolle und die übrigen Maßnahmen aus Artikel 21(2) inhaltlich enthalten müssen. Die Richtlinie gibt dem BSI die Befugnis hinzusehen. Der CIR-Anhang setzt den Maßstab.
§64 BSIG (Deutschland)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
§64 BSIG gibt dem BSI drei operative Befugnisse: Unterlagen anfordern, während der Geschäftszeiten in Ihre Räume gehen, eine technische Untersuchung durchführen. §61 BSIG setzt den weiteren Aufsichtsrahmen. §65 BSIG enthält die Bußgelder, mit den Obergrenzen aus Artikel 34. KRITIS-Betreiber tragen zusätzlich die Dreijahres-Nachweispflicht aus §29 BSIG.
Unterlagenanforderung und Walkthrough
Stufe eins ist eine schriftliche Auskunfts- und Unterlagenanforderung nach §64 BSIG. Das BSI fragt nach Ihrem Risikomanagementrahmen, Ihrer Asset-Liste, Ihrer Vorfallsbehandlungsleitlinie, Ihren Schulungsnachweisen, Ihren Maßnahmen zur Lieferkettensicherheit und dem Nachweis der Geschäftsleitungsschulung nach §38 BSIG. Stufe zwei ist ein Walkthrough-Termin: Das BSI lässt sich von den Verantwortlichen erklären, was auf dem Papier steht. Ein Mitglied des Leitungsorgans wird in diesem Termin in der Regel erwartet. Die meisten Prüfungen enden hier.
Vor-Ort-Prüfung
Wenn Unterlagen fehlen oder der Walkthrough Lücken zeigt, die das BSI nicht auflösen kann, darf es nach §64 BSIG Ihre Räume während der Geschäftszeiten betreten und besichtigen. Es lässt sich zeigen, wie sich Konzepte in der Praxis spiegeln: ob Backups wirklich laufen, ob Zugriffskontrolle wirklich greift, ob Vorfallspläne wirklich bekannt sind. Artikel 32(2)(c) erlaubt nach einem erheblichen Vorfall die Ad-hoc-Eskalation ohne Vorlauf. Die Lösung ist nicht, am Termin gut zu performen. Die Lösung ist, dass der Walkthrough schon nichts mehr offenlässt.
Gezieltes Sicherheitsaudit und technische Untersuchung
Artikel 32(2)(b) erlaubt dem BSI, ein regelmäßiges oder gezieltes Sicherheitsaudit durch eine unabhängige Stelle anzuordnen, auf Ihre Kosten. §64 BSIG ergänzt die technische Untersuchung: Scans, Konfigurationsanalysen, Logauswertungen. Artikel 32(2)(d) erlaubt Sicherheitsscans an Ihrem Perimeter nach objektiven und diskriminierungsfreien Kriterien. Diese Stufe ist für wichtige Einrichtungen selten, für besonders wichtige Einrichtungen strukturell vorgesehen und für KRITIS-Betreiber der Regelweg über den Dreijahres-Nachweis nach §29 BSIG.
Datiert und unterzeichnet schlägt umfassend
Ein Prüfer will keine perfekte Leitlinie. Er will eine Leitlinie, die datiert ist, von einer namentlich genannten Person unterzeichnet, in den letzten zwölf Monaten überprüft und auf eine Version rückführbar. Eine sechsseitige Leitlinie mit einer Freigabe der Geschäftsführung von vor zwei Monaten ist mehr wert als eine vierzigseitige Leitlinie, für die niemand einsteht. Bekannte Lücken mit einem schriftlichen Behandlungsplan und einem Zieltermin sind in Ordnung. Unbekannte Lücken und undokumentierte Entscheidungen sind es nicht.
Das Leitungsorgan muss im Raum sein
Artikel 20 NIS 2 verpflichtet das Leitungsorgan, die Risikomanagementmaßnahmen zu billigen und die Umsetzung zu überwachen. §38 BSIG übernimmt das mit persönlicher Haftung. Ein BSI-Walkthrough, in dem die Geschäftsführung das Risikobild nicht erklären kann, ist für sich genommen schon ein Befund. Die Lösung ist kein Skript. Die Lösung ist eine quartalsweise Überprüfung, an der die Geschäftsführung wirklich teilnimmt.
BSI-Standardprüfung + §29 KRITIS-Nachweis
Für besonders wichtige und wichtige Einrichtungen betreibt das BSI die Leiter aus §64 BSIG von der Unterlagenanforderung aufwärts. Für KRITIS-Betreiber (kritische Anlagen nach §28 BSIG) kommt der Dreijahres-Nachweis nach §29 BSIG hinzu: Alle drei Jahre legt der Betreiber Nachweise vor (in der Regel ein externer Auditbericht), dass die Maßnahmen nach §30 BSIG umgesetzt sind. Der §29-Nachweis ist kalendergesteuert und braucht keine BSI-Prüfung als Auslöser.
ENISA + NIS-Kooperationsgruppe
Die ENISA, die EU-Cybersicherheitsagentur, veröffentlicht den Technical Implementation Guidance (TIG), der Artikel 21 NIS 2 auf etablierte Standards wie ISO/IEC 27001:2022 und NIST CSF 2.0 abbildet. Die NIS-Kooperationsgruppe nach Artikel 14 NIS 2 koordiniert die Aufsichtspraxis zwischen den Mitgliedstaaten. Wer in mehreren Ländern tätig ist, prüft inhaltlich gegen denselben Maßstab. Die Mechanik (Formulare, Meldewege, Fristen) unterscheidet sich.
Sektorzuständige Behörden
In einigen Sektoren (Energie, Finanzen, Telekommunikation) liegt die Aufsicht teilweise oder vollständig beim Sektorregulator (BNetzA, BaFin) statt beim BSI. Die Richtlinie lässt das zu, §61 BSIG benennt die Zuständigkeitsabgrenzung. Die Befugnisse aus Artikel 32 selbst ändern sich nicht. Wer an der Tür steht, ändert sich.
Wenn unsere Leitlinien geschrieben sind, sind wir fertig.
Geschriebene Leitlinien sind Stufe eins. Der Walkthrough auf Stufe zwei entscheidet die Prüfung. Der Prüfer lässt sich von der verantwortlichen Rolle erklären, wie die Leitlinie in der Praxis funktioniert. Wenn die Rolle das nicht erklären kann, ist die Leitlinie Papier und die Prüfung geht nach §64 BSIG vor Ort weiter. Die Antwort sind nicht bessere Leitlinien. Die Antwort ist, dass die Verantwortlichen sie wirklich nutzen und das Leitungsorgan sie wirklich überprüft.
Wir bringen die Unterlagen in Ordnung, wenn das Prüfungsschreiben kommt.
Das BSI setzt für die Unterlagenanforderung nach §64 BSIG typischerweise zwei bis vier Wochen Frist. In diesem Fenster ein Risikoregister, eine Asset-Liste und eine Vorfallsbehandlungsleitlinie aus dem Nichts aufzubauen, ist nicht realistisch. Es erzeugt zudem das schlechteste Artefakt für den Prüfer: ein frisches Dokument ohne Versionsstand, ohne vorhergehende Freigaben und ohne nachvollziehbare Nutzung. Dokumente müssen betrieben werden, nicht für das Schreiben produziert.
Wir sind nur für das verantwortlich, was wir selbst betreiben, nicht für unsere Lieferanten.
Artikel 21(2)(d) NIS 2 und §30(2)(4) BSIG legen die Lieferkettensicherheit auf die Einrichtung, nicht auf den Lieferanten. Eine Blackbox-Antwort wie „unser Managed Service Provider macht das“ ist ein Befund. Der Prüfer fragt nach den Vertragsklauseln, der Lieferantenrisikobewertung und dem Nachweis, dass Sie den Lieferanten kontrollieren. KRITIS-Betreiber spüren das schärfer: Der Nachweis nach §29 BSIG deckt Managed Services mit ab. Sie können den Betrieb auslagern, nicht die Verantwortung.
Ein regionaler Energieversorger, mit dem wir arbeiten, fällt als KRITIS-Betreiber nach §28 BSIG in den Anwendungsbereich. Der letzte Nachweis nach §29 BSIG liegt achtzehn Monate zurück, der nächste steht in achtzehn Monaten an. Die Vorbereitung läuft rollierend: Jedes Quartal geht der CISO mit der Geschäftsführung eine Maßnahme aus §30 BSIG durch, erfasst die Nachweise (Leitlinienversion, Freigabe, letzte Überprüfung, offene Behandlungspunkte) und schließt jede Lücke vor dem nächsten Quartal. Wenn der Auditor klopft, wird nichts mehr für den Termin produziert. Alles ist datiert.
Den Nachweis nach §29 BSIG führt ein vom Betreiber beauftragter externer Auditor. Das BSI prüft nicht selbst: Es nimmt den externen Bericht entgegen. Der Bericht stuft Lücken als „erhebliche Mängel“, „sonstige Mängel“ oder keine ein. Erhebliche Mängel lösen Nachverfolgungspflichten aus. Sonstige Mängel werden mit Behandlungsplan und Zieltermin geführt. Der Energieversorger schließt rund achtzig Prozent der Befunde, bevor der Bericht beim BSI landet, indem die Lückenliste die feste Tagesordnung der nächsten beiden Quartale wird.
Jede NIS-2-Anforderung in der Plattform erzeugt standardmäßig drei Dinge: eine Leitlinie mit Version und Freigabe, eine wiederkehrende Überprüfung mit Termin und einen Audit-Trail, der festhält, wer wann was getan hat. Eine Auskunfts- und Unterlagenanforderung nach §64 BSIG wird zum Export, nicht zum Schreibprojekt. Sie übergeben ein gepacktes Nachweispaket (Leitlinien, Freigaben, Asset-Liste, Risikoregister, Vorfallsprotokoll, Schulungsnachweise, Lieferantenliste), statt Dateien zusammenzusuchen.
Für KRITIS-Betreiber läuft der Nachweis nach §29 BSIG auf denselben Daten. Der externe Auditor erhält eine Lesesicht auf dieselben Artefakte, die das Unternehmen ohnehin betreibt. Es gibt kein zweites Tool, keinen parallelen Excel-Stapel und keinen Aktionismus in der Audit-Woche. Der Punkt ist strukturell: Wenn der Tag des Schreibens kommt, bereiten Sie nicht vor. Sie exportieren.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 32, 33, 34 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §29 (KRITIS-Nachweis), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete „NIS 2 Pflichten“ — bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance für CIR (EU) 2024/2690 (Stand: Mai 2026)
- NIS-Kooperationsgruppe, Referenzdokumente zur Aufsichtspraxis — digital-strategy.ec.europa.eu