Die NIS2 Anfor­de­run­gen im Detail: §30 BSIG #

Das neue BSIG §30 defi­niert Sicher­heits­an­for­de­run­gen in 8 Berei­chen. Drei davon sind direkt Resilienz-fokussiert:

1. Back­up-Manage­ment #

Wort­laut (§30 Abs. 1 Nr. 3): Siche­rung von Sys­te­men und Daten sowie Wie­der­her­stel­lung von Sys­te­men bei Ver­lust der Verfügbarkeit.”

Was das bedeutet:

  • Sie müs­sen regel­mä­ßig Back­ups durch­füh­ren (Fre­quenz nicht vor­ge­ge­ben, aber min­des­tens so oft, dass RPO-Zie­le erfüllt werden)
  • Back­ups müs­sen getes­tet wer­den (nicht nur vor­han­den”)
  • Back­ups müs­sen iso­liert sein (nicht nur Kopien im glei­chen Netzwerk)
  • Wie­der­her­stel­lungs-Fähig­keit muss nach­ge­wie­sen werden

Audit-Fra­ge: Zei­gen Sie mir die Back­up-Poli­cy. Zei­gen Sie mir Test­ergeb­nis­se vom letz­ten Reco­very. Zei­gen Sie mir RTO/RPO Definitionen.”

Best Prac­ti­ce NIS2-konform:

  • Tier 1 (Online) + Tier 2 (Air-Gap)
  • Quar­ter­ly Reco­very Tests
  • Doku­men­tier­te RTO/RPO für kri­ti­sche Systeme

2. Busi­ness Con­ti­nui­ty & Kri­sen­ma­nage­ment #

Wort­laut (§30 Abs. 1 Nr. 4): Geschäfts­kon­ti­nui­täts­ma­nage­ment­sys­tem, das Ver­fah­ren, Maß­nah­men und Ant­wort­maß­nah­men auf Sicher­heits­vor­fäl­le festlegt.”

Was das bedeutet:

  • Sie brau­chen einen schrift­li­chen Busi­ness Con­ti­nui­ty Plan (BCP)
  • Der BCP muss Kri­sen­ma­nage­ment-Pro­zes­se definieren
  • RTO/RPO müs­sen defi­niert sein
  • Not­fall-Pro­zes­se müs­sen doku­men­tiert sein
  • Der Geschäfts­be­trieb darf nicht durch Cyber­an­grif­fe gefähr­det sein

Audit-Fra­ge: Zei­gen Sie mir Ihren BCP. Wer ist Inci­dent Com­man­der? Wie wird der Vor­stand infor­miert? Was ist Ihr Notfall-Kommunikationsplan?”

Best Prac­ti­ce NIS2-konform:

  • Schrift­li­cher BCP mit Exe­cu­ti­ve Summary
  • Busi­ness Impact Ana­ly­sis durchgeführt
  • Rol­len und Eska­la­ti­ons­pfa­de dokumentiert
  • BCP wird jähr­lich review­ed und getestet

3. Inci­dent Hand­ling & Mel­dung #

Wort­laut (§30 Abs. 1 Nr. 7): Ver­fah­ren zur Mel­dung, Behand­lung und Bei­le­gung von Sicherheitsvorfällen.”

Was das bedeutet:

  • Sie müs­sen einen Inci­dent Respon­se Plan haben
  • Sie müs­sen das BSI inner­halb 72 Stun­den mel­den (bei bestimm­ten Vorfällen)
  • Sie müs­sen Betrof­fe­ne infor­mie­ren ( Datenpanne)
  • Sie müs­sen doku­men­tie­ren wie der Vor­fall gehand­habt wurde

Mel­de­pflicht Details:

  • Wer mel­det? Legal + Secu­ri­ty gemeinsam
  • Wie schnell? 72 Stun­den nach Erkennung
  • Was mel­den? Grund­le­gen­de Infos (wel­che Sys­te­me, Art des Vor­falls, gro­be Zeitachse)
  • Wohin? BSI (und ggfalls Datenschutzbehörde)

Buß­gel­der: Non-Com­pli­ance kann bis zu 50 Mio. EUR oder 10% des jähr­li­chen Umsat­zes kosten.

Audit-Fra­ge: Zei­gen Sie mir Ihren Inci­dent Respon­se Plan. Wer sind die IR-Team-Mit­glie­der? Wie wer­den Sie das BSI benach­rich­ti­gen? Doku­men­tie­ren Sie einen frü­he­ren Vorfall.”

Best Prac­ti­ce NIS2-konform:

  • Schrift­li­cher IR-Plan (8 Abschnitte)
  • BSI-Kon­tak­te vor­ab dokumentiert
  • Tem­p­la­te für BSI-Mel­dung vorbereitet
  • His­to­ri­sche Vor­fäl­le dokumentiert

Wei­te­re NIS2-Anfor­de­run­gen (nicht expli­zit Resi­li­enz) #

4. Schwach­stel­len­ma­nage­ment (§30 Abs. 1 Nr. 6) #

Erkennungs‑, Ana­ly­se- und Behe­bungs-Ver­fah­ren von Sicherheitsmängeln.”

5. Lie­fer­ket­ten-Manage­ment (§30 Abs. 1 Nr. 8) #

Bewer­tung der Sicher­heits­ri­si­ken durch abhän­gi­ge Entitäten.”

6. Authen­ti­fi­zie­rung & Zugriffs­kon­trol­le (§30 Abs. 1 Nr. 1 – 2) #

Authen­ti­fi­zie­rung und Auto­ri­sie­rung für Zugriff auf Sys­te­me und Daten.”

7. Ver­schlüs­se­lung (§30 Abs. 1 Nr. 2) #

Siche­rung von Daten durch Verschlüsselung.”

8. Moni­to­ring & SIEM30 Abs. 1 Nr. 5) #

Über­wa­chung von Sicherheitsereignissen.”

Die­se sind wich­tig, aber weni­ger direkt mit Resi­li­enz ver­bun­den als die ers­ten drei.

NIS2-Audit: 8‑Punkt Check­lis­te #

Wenn der BSI einen Audit durch­führt, wer­den die­se Fra­gen gestellt:

#Fra­geDoku­men­ta­ti­on
1Haben Sie doku­men­tier­te RTO/RPO Zie­le für kri­ti­sche Systeme?BCP, BIA
2Füh­ren Sie regel­mä­ßig Back­ups durch und tes­ten Sie diese?Back­up-Poli­cy, Test-Reports
3Sind Ihre Back­ups iso­liert vom Produktions-Netzwerk?Tier 2 (Air-Gap) Set­up dokumentieren
4Haben Sie einen schrift­li­chen Busi­ness Con­ti­nui­ty Plan?BCP-Doku­ment, letz­te Änderung
5Haben Sie einen Inci­dent Respon­se Plan mit defi­nier­ten Rollen?IR-Plan, Team-Mit­glie­der, Eskalationspfade
6Wie mel­den Sie Sicher­heits­vor­fäl­le dem BSI?Mel­de­pro­zess, BSI-Kon­tak­te, Template
7Haben Sie einen Krisenmanagement-Prozess?Gover­nan­ce-Struk­tur, Krisenstab
8Doku­men­tie­ren Sie durch­ge­führ­te Reco­very-Tests und deren Ergebnisse?Test-Reports, RTO-Mes­sung, Erkenntnisse

Pass-Rate: Wenn Sie 8/8 bestehen kön­nen, sind Sie NIS2-kon­form. Wenn Sie < 68 bestehen, wird ein Buß­geld-Ver­fah­ren sehr wahrscheinlich.

Wer ist NIS2-Pflicht? #

NIS2 gilt für:

  • Betrei­ber Kri­ti­scher Infra­struk­tur (KRI­TIS) — immer (Ener­gie, Was­ser, Ver­kehr, Finan­zen, Gesund­heit, Digi­tal, Che­mie, Weltraum)
  • Gro­ße Unter­neh­men — ab 250 Mit­ar­bei­ter ODER > 50 Mio. EUR Umsatz
  • Bestimm­te Digi­ta­le Diens­te­an­bie­ter — z.B. Cloud, Saas, Messaging
  • Kom­mu­nen und Behör­den — AUS­GE­NOM­MEN (natio­na­le Rege­lung separat)

Es gibt also ganz kla­re Gren­zen. Ein KMU mit 30 Mit­ar­bei­tern ist nicht ver­pflich­tet. Ein Dax-Kon­zern schon.

Buß­gel­der & Kon­se­quen­zen #

Admin-Buß­geld (nicht-Com­pli­ance mit Resilienz-Anforderungen):

  • Bis zu 50 Mio. EUR oder 10% des glo­ba­len Umsat­zes (höhe­rer Betrag)
  • Bei­spiel: Ein Kon­zern mit 10 Mrd. EUR Umsatz risik­iert 1 Mrd. EUR Bußgeld

Geschäfts­füh­rer-Haf­tung:

  • Wenn ein Cyber­an­griff erfolgt und es zeigt sich, dass Resi­li­enz-Maß­nah­men fehl­ten, kann der GF per­sön­lich zur Rechen­schaft gezo­gen werden
  • Vor­wurf: Fahr­läs­sig­keit, Ver­let­zung der Sorgfaltspflicht

Kun­den­ver­lust & Vertragsstrafen:

  • Gro­ße Kun­den for­dern jetzt NIS2-Com­pli­ance von Zulieferern
  • Ver­si­che­rer erhö­hen Prä­mi­en ohne Nachweise
  • Geschäfts­re­pu­ta­ti­ons-Scha­den

Imple­men­ta­ti­on Time­line: So imple­men­tie­ren Sie NIS2 #

Pha­se 1 (Sofort, Janu­ar 2026):

  • ✓ Busi­ness Impact Ana­ly­sis durchführen
  • RTO/RPO Zie­le definieren
  • ✓ Inci­dent Respon­se Plan schreiben

Pha­se 2 (März 2026):

  • ✓ Busi­ness Con­ti­nui­ty Plan schreiben
  • ✓ Back­up-Stra­te­gie überprüfen
  • ✓ Tier 2 (Air-Gap) imple­men­tie­ren (wenn nicht vorhanden)

Pha­se 3 (Juni 2026):

  • ✓ Reco­very-Tests durch­füh­ren (Table­top + teilweise)
  • ✓ IR-Team trainieren
  • ✓ Doku­men­ta­ti­on für Audit vorbereiten

Pha­se 4 (Sep­tem­ber 2026):

  • ✓ Voll­test durchführen
  • ✓ Audit-vor­be­rei­tet sein
  • ✓ Kon­ti­nu­ier­li­che Ver­bes­se­rung starten

Das ist mach­bar in 9 Mona­ten für ein mit­tel­stän­di­ges Unternehmen.

Häu­fi­ge Fra­gen #

Ist NIS2 nur in Deutschland? Nein, NIS2 ist EU-Richt­li­nie. Jeder EU-Mit­glied­staat setzt es in natio­na­les Recht um. Für Deutsch­land ist das neue BSIG.

Wann ist dead­line für NIS2-Compliance?

  • NIS2 Richt­li­nie seit 20.11.2024 in Kraft
  • Natio­na­les Recht (BSIG) seit 6.12.2025
  • Com­pli­ance-Frist: Typi­scher­wei­se 6 – 12 Mona­te nach natio­na­le Umsetzung

Wer über­wacht die Einhaltung?

  • Das BSI (Bun­des­amt für Sicher­heit in der Informationstechnik)
  • Die Lan­des­re­gu­lie­rungs­be­hör­de (Ener­gie, Was­ser, etc.)
  • Im Not­fall: Staats­an­walt­schaft (bei Bußgeld-Verfahren)

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.