FAQ zur Umsetzung der NIS-2-Richtlinie

Für wen gelten die neuen Anforderungen?

§ 28 BSIG benennt zwei Kategorien von Einrichtungen, für die Anforderungen zu erfüllen sind: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Was sind „besonders wichtige Einrichtungen“?

Damit eine Einrichtung eine besonders wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 BSIG aufgeführt sein. Diese Anlage ist zu umfangreich, um hier wiedergegeben zu werden, aber die genannten Einrichtungsarten gehören zu den Sektoren

• Energie,
• Transport und Verkehr,
• Finanzwesen,
• Gesundheit,
• Wasser,
• Informationstechnik und Telekommunikation,
• Weltraum. 

Zusätzlich muss die Organisation entweder

• mindestens 250 Mitarbeitende beschäftigen oder
• einen Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen.

Betreiber kritischer Anlagen gemäß BSI-KritisV sind unabhängig von diesen Kriterien immer auch besonders wichtige Einrichtungen.

Was sind „wichtige Einrichtungen“?

Damit eine Einrichtung eine wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 oder Anlage 2 BSIG aufgeführt sein. Darüber hinaus wird die „Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft“ (NACE Rev. 2) herangezogen.

Diese Anlagen und Ergänzungen sind zu umfangreich, um hier wiedergegeben zu werden, aber die genannten Einrichtungsarten gehören zu den Sektoren 

• Energie,
• Transport und Verkehr,
• Finanzwesen,
• Gesundheit,
• Wasser,
• Digitale Infrastruktur,
• Telekommunikation,
• Weltraum,
• Abfallbewirtschaftung,
• Produktion,
• Herstellung und Handel mit chemischen Stoffen,
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
• Verarbeitendes Gewerbe/Herstellung von Waren,
• Anbieter Digitaler Dienste,
• Forschung. 

Zusätzlich muss die Organisation entweder

• mindestens 50 Mitarbeitende beschäftigen oder
• einen Jahresumsatz und eine Jahresbilanzsumme von über 10 Mio. Euro aufweisen.

Welche Ausnahmen gibt es?

Für verschiedene Arten von Einrichtungen gibt es besondere Regelungen. Dazu gehören Einrichtungen der Bundesverwaltung, Internet-Registrare und DNS-Provider, Telekommunikationsnetzbetreiber, Energieversorger, Finanzunternehmen, die Gesellschaft für Telematik und weitere. Diese Spezialregelungen werden hier nicht besonders betrachtet.

Wie wird die Zahl der Beschäftigten, der Jahresumsatz oder die Bilanzsumme berechnet?

Die Ausführungen des § 28 Abs. 3 und 4 BSIG sind kompliziert und sollten vertieft juristisch bewertet werden.

Zusammengefasst sind nur die Zahlen relevant, die sich auf die Einrichtungsart beziehen, durch die die Einrichtung besonders wichtig oder wichtig wird. Geschäftstätigkeiten, die laut § 28 Abs. 3 BSIG „[…] auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind […]“, können außen vor gelassen werden.

Verbundene Unternehmen sind nicht einzurechnen, wenn die Organisation in Bezug auf die informationstechnischen Systeme, Komponenten und Prozesse unabhängig ist. 

In komplexen Unternehmensstrukturen, wie Konzernen, Gruppenunternehmen, verbundenen Unternehmen oder Tochtergesellschaften können, auch Fragen der Unternehmenseigenständigkeit eine Rolle spielen.

Wer muss die Anforderungen erfüllen?

Die im BSIG aufgestellten Anforderungen sind grundsätzlich von besonders wichtigen Einrichtungen und wichtigen Einrichtungen gleichermaßen zu erfüllen. Unterschiede ergeben sich in der Verhältnismäßigkeit der Bewertung der zu bestimmenden Sicherheitsmaßnahmen, für Betreiber kritischer Anlagen und durch sonstige spezifische Regelungen.

In welchen Bereichen müssen die Anforderungen umgesetzt werden?

Betreiber kritischer Anlagen müssen – wie auch bisher im § 8a BSIG-alt – Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind. Zudem müssen sie Systeme zur Angriffserkennung einsetzen, um fortwährende Bedrohungen zu identifizieren und entsprechende Gegenmaßnahmen ergreifen zu können.

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die zur Erbringung ihrer Dienste verwendet werden. Eine Einschränkung auf bestimmte Dienste ist dabei nicht ersichtlich, weshalb davon ausgegangen werden kann, dass die Maßnahmen für die gesamte Einrichtung umzusetzen sind. 

Wie werden Sicherheitsmaßnahmen bestimmt?

Die umzusetzenden Sicherheitsmaßnahmen richten sich nach einer Risikoanalyse durch die Einrichtung. Dabei „[…] sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“ (§ 30 Abs. 1 S. 2 BSIG)

Durch die individuelle Bewertung ergeben sich für besonders wichtige Einrichtungen und wichtige Einrichtungen tendenziell unterschiedlich stark ausgeprägte Sicherheitsmaßnahmen.

Welche Eigenschaften müssen Maßnahmen haben?

Laut § 30 Abs. 1 BSIG müssen die aus der Risikoanalyse bestimmten Maßnahmen geeignet, verhältnismäßig und wirksam sein. Die Maßnahmen können technischer oder organisatorischer Art sein.

Gemäß § 30 Abs. 2 BSIG „[…] sollen [sie] den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.“ Die Referenz auf europäische und internationale Normen deutet darauf hin, dass für eine Erfüllung der Anforderungen die Umsetzung anwendbarer ISO-Normen, wie bspw. der ISO/IEC 27001 oder der ISO 22301, geeignet sind.

Welche Schutzziele sind zu gewährleisten?

Laut § 30 Abs. 1 BSIG sind die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten. Authentizität wird nicht gefordert.

Die Auswirkungen von Sicherheitsvorfällen sind möglichst gering zu halten.

Welche Maßnahmen müssen mindestens umgesetzt werden?

§ 30 Abs. 2 Nr. 1–10 BSIG nennt einen Katalog von zehn Themen, die mindestens in Maßnahmen umgesetzt werden müssen. Diese Risikomanagementmaßnahmen sind:

1. „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“

Aus der Risikoanalyse sollte sich ergeben, in welchem Umfang und in welcher Tiefe die Maßnahmen auszugestalten sind. Diese werden sich nach Wichtigkeit der Einrichtung und der „Risikoexposition“ unterscheiden.

Eventuell bestehende Sektor-spezifische Anforderungen haben Vorrang. Diese können u. a. durch weitere Rechtsverordnungen bestimmt werden.

Welche Anforderungen gelten für den Einsatz von Technik?

Nach § 56 Abs. 3 BSIG bestimmt eine Rechtsverordnung IKT-Produkte, IKT-Dienste und IKT-Prozesse, die von besonders wichtigen und wichtigen Einrichtungen nur dann verwendet werden dürfen, wenn für sie eine Cybersicherheitszertifizierung vorliegt.

Diese Rechtsverordnung ist eine Zusammenführung der bisherigen Sektor-spezifischen Regelungen, die allerdings derzeit nur im Bereich der Telekommunikation als BSI TR-03163 besteht.

Die Beschränkung gilt nun allerdings nicht mehr nur für Betreiber kritischer Infrastrukturen, sondern für alle besonders wichtigen und wichtigen Einrichtungen.

Betreibern kritischer Anlagen kann der Einsatz von kritischen Komponenten untersagt werden (§ 41 BSIG). Die Angabe, ob kritische Komponenten eingesetzt werden, müssen die Betreiber bereits bei der Registierung machen (§ 33 Abs. 2 BSIG).

Welche besonderen Anforderungen gelten für Betreiber kritischer Anlagen?

Die Maßnahmen für besonders wichtige Einrichtungen müssen auch von Betreibern kritischer Anlagen umgesetzt werden. Bei der Risikobetrachtung müssen auch aufwändigere Maßnahmen im Hinblick auf die Folgen des Ausfalls oder der Beeinträchtigung der kritischen Anlage und ihrem Verfolgungsgrad als verhältnismäßig bewertet werden.

Sektor-spezifische Regelungen gelten grundsätzlich weiterhin.

Was ist die Zukunft der Branchenspezifischen Sicherheitsstandards (B3S)?

Die B3S bestehen weiter. Neue B3S können vorgeschlagen werden, allerdings nur durch besonders wichtige Einrichtungen und deren Branchenverbände sowie Betreiber kritischer Anlagen (§ 30 Abs. 8 und 9 BSIG). Die Eignung wird weiterhin vom BSI festgestellt.

Welche Meldepflichten bestehen für Sicherheitsvorfälle?

§ 32 BSIG führt Meldepflichten für Sicherheitsvorfälle ein, die für besonders wichtige und wichtige Einrichtungen gelten. Diese sind:

1. „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall“ muss eine Erstmeldung abgegeben werden;
2. „unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall“ muss eine Meldung mit mehr Details und ggf. Aktualisierungen zur Erstmeldung abgegeben werden;
3. auf Ersuchen des BSI muss eine Zwischenmeldung abgegeben werden;
4. falls die Vorfallbehandlung nicht innerhalb eines Monats abgeschlossen ist, muss eine Fortschrittsmeldung abgegeben werden;
5. innerhalb eines Monats nach einem Vorfall oder des Abschlusses einer Vorfallbehandlung muss eine Abschlussmeldung abgegeben werden.

Die Meldungen von Betreibern kritischer Anlagen haben weitergehende Inhalte.

Die Meldungen sollen an eine zentrale Meldestelle erfolgen. Dieses Portal wird vom BSI ab 6. Januar 2026 zur Verfügung gestellt. Bis zur Freischaltung ist ein Onlineformular des BSI zu nutzen.

Was ist ein „erheblicher Sicherheitsvorfall“?

Gemäß § 2 Abs. 1 Nr. 11 BSIG ist ein „„erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann […]“.

Die Begriffe „schwerwiegende Störungen/Verluste“ und „erhebliche Schäden“ sind nicht weiter ausgeführt und deshalb innerhalb einer Einrichtung festzulegen und die Prozesse daran auszurichten.

Allerdings KANN gemäß § 56 Abs. 5 BSIG eine nähere Bestimmung durch eine neue Rechtsverordnung erfolgen. Diese ist dann bei der eigenen Qualifizierung von Sicherheitsvorfällen zu berücksichtigen.

Welche Hilfestellungen bietet das BSI bei Sicherheitsvorfällen?

Bei einem Sicherheitsvorfall kann das BSI Orientierungshilfe oder operative Beratung zu Abhilfemaßnahmen erbringen. Das BSI kann zusätzlich technische Unterstützung leisten. Dies erfolgt auf Ersuchen der betroffenen Einrichtung (§ 36 BSIG).

Welche Registrierungspflichten werden eingeführt?

Besonders wichtige und wichtige Einrichtungen müssen sich nach § 33 BSIG im BSI-Portal registrieren. Für die Registrierung besteht eine Pflicht von drei Monaten nach Etablierung des Status als besonders wichtige oder wichtige Einrichtung. Nach Feststellung einer Änderung ist diese innerhalb einer Frist von zwei Wochen zu registrieren.

Betreiber kritischer Anlagen müssen zusätzlich die Versorgungskennzahlen jährlich überprüfen und Änderungen spätestens nach zwei Wochen übermitteln.

Sollte die eigene Einschätzung des Einrichtungsstatus keine Einschlägigkeit ergeben und damit keine Registrierung erfolgt sein, sollten die „[…] für die Bewertung erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise […]“ (§ 33 Abs. 4 BSIG) dokumentiert werden, um sie ggf. dem BSI auf Verlangen vorzulegen.

Welche Durchgriffsrechte erhält das BSI?

Im Fall eines erheblichen Sicherheitsvorfalls kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste zu unterrichten. Das BSI kann selbst die Öffentlichkeit über den erheblichen Sicherheitsvorfall informieren oder die Einrichtung anweisen, dies zu tun.

Des Weiteren ist BSI befugt, ohne besondere Veranlassung, aber unter Berücksichtigung der Kritikalität der Einrichtung, einzelne „besonders wichtige Einrichtungen“ zu verpflichten, die Erfüllung der Anforderungen durch unabhängige Dritte auditieren, prüfen bzw. zertifizieren zu lassen. Von diesen Einrichtungen kann das BSI die Vorlage von Nachweisen und Maßnahmenpläne anfordern, ggf. auch Maßnahmen zur Sicherheitsvorfall- oder Mängelbehebung anordnen. Informationen zu Verstößen gegen gesetzliche Verpflichtungen können veröffentlicht werden. Falls einer Anordnung nicht nachgekommen wird, kann die zuständige Aufsichtsbehörde die Geschäftsausübung sowie den Geschäftsleitungen ihre Leitungstätigkeit untersagen. 

Gegenüber „wichtigen Einrichtungen“ bestehen die gleichen Durchsetzungsmöglichkeiten; das BSI wird allerdings nur tätig, wenn Tatsachen eine Annahme rechtfertigen, dass Verpflichtungen nicht umgesetzt werden.

Welche neuen Verpflichtungen kommen auf Geschäftsleitungen zu?

Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen die Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen.

Sie müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten in Bezug auf Risikomanagementpraktiken der Sicherheit in der Informationstechnik zu erwerben (siehe § 38 Abs. 3 BSIG). 

Geschäftsleitungen haften gegenüber ihrer Einrichtung für schuldhaft verursachte Schäden nach dem jeweils geltenden Gesellschaftsrecht, insofern die Haftung nicht durch gesellschaftsrechtliche Bestimmungen ausgeschlossen wurde. Nur sofern es in der jeweiligen Gesellschaftsform dazu keine Regelungen gibt, sollen die Bestimmungen des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ greifen (siehe § 38 Abs. 2 BSIG).

Welche Bußgelder werden erhoben?

§ 65 BSIG beinhaltet einen umfangreichen Katalog von Bußgeldvorschriften, der u. a. die fehlende, fehlerhafte, unvollständige oder nicht rechtzeitige Umsetzung von Sicherheitsmaßnahmen und die fehlende, falsche, unvollständige oder verspätete Meldung von Sicherheitsvorfällen ahndet.

Die genannten Höchstsummen betragen 10 Mio. Euro bzw. 2 Prozent des Jahresumsatzes.

Welche Umsetzungsfristen bestehen?

Das BSIG sieht keine Umsetzungsfristen vor. Zurzeit (Stand: 09.12.2025) liegen allerdings noch keine Entwürfe der für die Bestimmung und Erfüllung der Anforderungen notwendigen Rechtsverordnungen vor, die möglicherweise Fristen enthalten werden. 

Betreiber kritischer Anlagen müssen nach § 39 Abs. 1 BSIG „[…] frühstens alle drei Jahre nachdem sie erstmals oder […] erneut als Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre […]“ ihren Nachweispflichten nachkommen. Im BSIG-alt werden diese noch alle zwei Jahre gefordert. Läuft die Nachweisfrist nach § 8a BSIG-alt innerhalb von zwölf Monaten nach Inkrafttreten von BSIG ab, dürfen die Betreiber noch nach den alten Vorschriften ihre Nachweispflicht erfüllen.

Das BSI kann frühestens drei Jahre nach Inkrafttreten des BSIG die Vorlage von Nachweisen für die Erfüllung der Anforderungen aus dem BSIG anordnen. Dies gilt allerdings nicht für die Vorlage von Nachweisen bei vermutetem Verstoß gegen die Registrierungspflicht. Für die Registrierungspflicht gilt eine Frist von drei Monaten nach Geltung des Status als wichtige oder besonders wichtige Einrichtung.