--- title: "NIS2 und IT-Resilienz: Was das Gesetz konkret fordert" date: 2026-01-13T10:40:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/nis2-und-it-resilienz-was-das-gesetz-konkret-fordert" section: "Entries: Articles" --- ### Die NIS2 Anfor­de­run­gen im Detail: §30 BSIG [\#](#die-nis2-anforderungen-im-detail-30-bsig "Die NIS2 Anforderungen im Detail: §30 BSIG") Das neue BSIG §30 defi­niert Sicher­heits­an­for­de­run­gen in 8 Berei­chen. Drei davon sind direkt Resilienz-fokussiert: #### 1. Back­up-Manage­ment [\#](#1-backup-management "1. Backup-Management") **Wort­laut (§30 Abs. 1 Nr. 3):** ​“Siche­rung von Sys­te­men und Daten sowie Wie­der­her­stel­lung von Sys­te­men bei Ver­lust der Verfügbarkeit.” **Was das bedeutet:** - Sie müs­sen regel­mä­ßig Back­ups durch­füh­ren (Fre­quenz nicht vor­ge­ge­ben, aber min­des­tens so oft, dass RPO-Zie­le erfüllt werden) - Back­ups müs­sen getes­tet wer­den (nicht nur ​“vor­han­den”) - Back­ups müs­sen iso­liert sein (nicht nur Kopien im glei­chen Netzwerk) - Wie­der­her­stel­lungs-Fähig­keit muss nach­ge­wie­sen werden **Audit-Fra­ge:** ​“Zei­gen Sie mir die Back­up-Poli­cy. Zei­gen Sie mir Test­ergeb­nis­se vom letz­ten Reco­very. Zei­gen Sie mir RTO/RPO Definitionen.” **Best Prac­ti­ce NIS2-konform:** - Tier 1 (Online) + Tier 2 (Air-Gap) - Quar­ter­ly Reco­very Tests - Doku­men­tier­te RTO/RPO für kri­ti­sche Systeme #### 2. Busi­ness Con­ti­nui­ty & Kri­sen­ma­nage­ment [\#](#2-business-continuity-krisenmanagement "2. Business Continuity & Krisenmanagement") **Wort­laut (§30 Abs. 1 Nr. 4):** ​“Geschäfts­kon­ti­nui­täts­ma­nage­ment­sys­tem, das Ver­fah­ren, Maß­nah­men und Ant­wort­maß­nah­men auf Sicher­heits­vor­fäl­le festlegt.” **Was das bedeutet:** - Sie brau­chen einen schrift­li­chen Busi­ness Con­ti­nui­ty Plan (BCP) - Der BCP muss Kri­sen­ma­nage­ment-Pro­zes­se definieren - RTO/RPO müs­sen defi­niert sein - Not­fall-Pro­zes­se müs­sen doku­men­tiert sein - Der Geschäfts­be­trieb darf nicht durch Cyber­an­grif­fe gefähr­det sein **Audit-Fra­ge:** ​“Zei­gen Sie mir Ihren BCP. Wer ist Inci­dent Com­man­der? Wie wird der Vor­stand infor­miert? Was ist Ihr Notfall-Kommunikationsplan?” **Best Prac­ti­ce NIS2-konform:** - Schrift­li­cher BCP mit Exe­cu­ti­ve Summary - Busi­ness Impact Ana­ly­sis durchgeführt - Rol­len und Eska­la­ti­ons­pfa­de dokumentiert - BCP wird jähr­lich review­ed und getestet #### 3. Inci­dent Hand­ling & Mel­dung [\#](#3-incident-handling-meldung "3. Incident Handling & Meldung") **Wort­laut (§30 Abs. 1 Nr. 7):** ​“Ver­fah­ren zur Mel­dung, Behand­lung und Bei­le­gung von Sicherheitsvorfällen.” **Was das bedeutet:** - Sie müs­sen einen Inci­dent Respon­se Plan haben - Sie müs­sen das BSI inner­halb **72 Stun­den** mel­den (bei bestimm­ten Vorfällen) - Sie müs­sen Betrof­fe­ne infor­mie­ren (DSGVO Datenpanne) - Sie müs­sen doku­men­tie­ren wie der Vor­fall gehand­habt wurde **Mel­de­pflicht Details:** - Wer mel­det? Legal + Secu­ri­ty gemeinsam - Wie schnell? 72 Stun­den nach Erkennung - Was mel­den? Grund­le­gen­de Infos (wel­che Sys­te­me, Art des Vor­falls, gro­be Zeitachse) - Wohin? BSI (und ggfalls Datenschutzbehörde) **Buß­gel­der:** Non-Com­pli­ance kann bis zu 50 Mio. EUR oder 10% des jähr­li­chen Umsat­zes kosten. **Audit-Fra­ge:** ​“Zei­gen Sie mir Ihren Inci­dent Respon­se Plan. Wer sind die IR-Team-Mit­glie­der? Wie wer­den Sie das BSI benach­rich­ti­gen? Doku­men­tie­ren Sie einen frü­he­ren Vorfall.” **Best Prac­ti­ce NIS2-konform:** - Schrift­li­cher IR-Plan (8 Abschnitte) - BSI-Kon­tak­te vor­ab dokumentiert - Tem­p­la­te für BSI-Mel­dung vorbereitet - His­to­ri­sche Vor­fäl­le dokumentiert ### Wei­te­re NIS2-Anfor­de­run­gen (nicht expli­zit Resi­li­enz) [\#](#weitere-nis2-anforderungen-nicht-explizit-resilienz "Weitere NIS2-Anforderungen (nicht explizit Resilienz)") #### 4. Schwach­stel­len­ma­nage­ment (§30 Abs. 1 Nr. 6) [\#](#4-schwachstellenmanagement-30-abs-1-nr-6 "4. Schwachstellenmanagement (§30 Abs. 1 Nr. 6)") “Erkennungs‑, Ana­ly­se- und Behe­bungs-Ver­fah­ren von Sicherheitsmängeln.” #### 5. Lie­fer­ket­ten-Manage­ment (§30 Abs. 1 Nr. 8) [\#](#5-lieferketten-management-30-abs-1-nr-8 "5. Lieferketten-Management (§30 Abs. 1 Nr. 8)") “Bewer­tung der Sicher­heits­ri­si­ken durch abhän­gi­ge Entitäten.” #### 6. Authen­ti­fi­zie­rung & Zugriffs­kon­trol­le (§30 Abs. 1 Nr. 1 – 2) [\#](#6-authentifizierung-zugriffskontrolle-30-abs-1-nr-1-2 "6. Authentifizierung & Zugriffskontrolle (§30 Abs. 1 Nr. 1-2)") “Authen­ti­fi­zie­rung und Auto­ri­sie­rung für Zugriff auf Sys­te­me und Daten.” #### 7. Ver­schlüs­se­lung (§30 Abs. 1 Nr. 2) [\#](#7-verschl%C3%BCsselung-30-abs-1-nr-2 "7. Verschlüsselung (§30 Abs. 1 Nr. 2)") “Siche­rung von Daten durch Verschlüsselung.” #### 8. Moni­to­ring & SIEM (§30 Abs. 1 Nr. 5) [\#](#8-monitoring-siem-30-abs-1-nr-5 "8. Monitoring & SIEM (§30 Abs. 1 Nr. 5)") “Über­wa­chung von Sicherheitsereignissen.” Die­se sind wich­tig, aber weni­ger direkt mit Resi­li­enz ver­bun­den als die ers­ten drei. ### NIS2-Audit: 8‑Punkt Check­lis­te [\#](#nis2-audit-8-punkt-checkliste "NIS2-Audit: 8-Punkt Checkliste") Wenn der BSI einen Audit durch­führt, wer­den die­se Fra­gen gestellt: \#Fra­geDoku­men­ta­ti­on1Haben Sie doku­men­tier­te RTO/RPO Zie­le für kri­ti­sche Systeme?BCP, BIA2Füh­ren Sie regel­mä­ßig Back­ups durch und tes­ten Sie diese?Back­up-Poli­cy, Test-Reports3Sind Ihre Back­ups iso­liert vom Produktions-Netzwerk?Tier 2 (Air-Gap) Set­up dokumentieren4Haben Sie einen schrift­li­chen Busi­ness Con­ti­nui­ty Plan?BCP-Doku­ment, letz­te Änderung5Haben Sie einen Inci­dent Respon­se Plan mit defi­nier­ten Rollen?IR-Plan, Team-Mit­glie­der, Eskalationspfade6Wie mel­den Sie Sicher­heits­vor­fäl­le dem BSI?Mel­de­pro­zess, BSI-Kon­tak­te, Template7Haben Sie einen Krisenmanagement-Prozess?Gover­nan­ce-Struk­tur, Krisenstab8Doku­men­tie­ren Sie durch­ge­führ­te Reco­very-Tests und deren Ergebnisse?Test-Reports, RTO-Mes­sung, Erkenntnisse**Pass-Rate:** Wenn Sie 8/8 bestehen kön­nen, sind Sie NIS2-kon­form. Wenn Sie < 6⁄8 bestehen, wird ein Buß­geld-Ver­fah­ren sehr wahrscheinlich. ### Wer ist NIS2-Pflicht? [\#](#wer-ist-nis2-pflicht "Wer ist NIS2-Pflicht?") NIS2 gilt für: - **Betrei­ber Kri­ti­scher Infra­struk­tur (KRI­TIS)** — immer (Ener­gie, Was­ser, Ver­kehr, Finan­zen, Gesund­heit, Digi­tal, Che­mie, Weltraum) - **Gro­ße Unter­neh­men** — ab 250 Mit­ar­bei­ter ODER > 50 Mio. EUR Umsatz - **Bestimm­te Digi­ta­le Diens­te­an­bie­ter** — z.B. Cloud, Saas, Messaging - **Kom­mu­nen und Behör­den** — AUS­GE­NOM­MEN (natio­na­le Rege­lung separat) Es gibt also ganz kla­re Gren­zen. Ein KMU mit 30 Mit­ar­bei­tern ist nicht ver­pflich­tet. Ein Dax-Kon­zern schon. ### Buß­gel­der & Kon­se­quen­zen [\#](#bu%C3%9Fgelder-konsequenzen "Bußgelder & Konsequenzen") **Admin-Buß­geld (nicht-Com­pli­ance mit Resilienz-Anforderungen):** - Bis zu 50 Mio. EUR oder 10% des glo­ba­len Umsat­zes (höhe­rer Betrag) - Bei­spiel: Ein Kon­zern mit 10 Mrd. EUR Umsatz risik­iert 1 Mrd. EUR Bußgeld **Geschäfts­füh­rer-Haf­tung:** - Wenn ein Cyber­an­griff erfolgt und es zeigt sich, dass Resi­li­enz-Maß­nah­men fehl­ten, kann der GF per­sön­lich zur Rechen­schaft gezo­gen werden - Vor­wurf: Fahr­läs­sig­keit, Ver­let­zung der Sorgfaltspflicht **Kun­den­ver­lust & Vertragsstrafen:** - Gro­ße Kun­den for­dern jetzt NIS2-Com­pli­ance von Zulieferern - Ver­si­che­rer erhö­hen Prä­mi­en ohne Nachweise - Geschäfts­re­pu­ta­ti­ons-Scha­den ### Imple­men­ta­ti­on Time­line: So imple­men­tie­ren Sie NIS2 [\#](#implementation-timeline-so-implementieren-sie-nis2 "Implementation Timeline: So implementieren Sie NIS2") **Pha­se 1 (Sofort, Janu­ar 2026):** - ✓ Busi­ness Impact Ana­ly­sis durchführen - ✓ RTO/RPO Zie­le definieren - ✓ Inci­dent Respon­se Plan schreiben **Pha­se 2 (März 2026):** - ✓ Busi­ness Con­ti­nui­ty Plan schreiben - ✓ Back­up-Stra­te­gie überprüfen - ✓ Tier 2 (Air-Gap) imple­men­tie­ren (wenn nicht vorhanden) **Pha­se 3 (Juni 2026):** - ✓ Reco­very-Tests durch­füh­ren (Table­top + teilweise) - ✓ IR-Team trainieren - ✓ Doku­men­ta­ti­on für Audit vorbereiten **Pha­se 4 (Sep­tem­ber 2026):** - ✓ Voll­test durchführen - ✓ Audit-vor­be­rei­tet sein - ✓ Kon­ti­nu­ier­li­che Ver­bes­se­rung starten Das ist mach­bar in 9 Mona­ten für ein mit­tel­stän­di­ges Unternehmen. ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Ist NIS2 nur in Deutschland?** Nein, NIS2 ist EU-Richt­li­nie. Jeder EU-Mit­glied­staat setzt es in natio­na­les Recht um. Für Deutsch­land ist das neue BSIG. **Wann ist dead­line für NIS2-Compliance?** - NIS2 Richt­li­nie seit 20.11.2024 in Kraft - Natio­na­les Recht (BSIG) seit 6.12.2025 - Com­pli­ance-Frist: Typi­scher­wei­se 6 – 12 Mona­te nach natio­na­le Umsetzung **Wer über­wacht die Einhaltung?** - Das BSI (Bun­des­amt für Sicher­heit in der Informationstechnik) - Die Lan­des­re­gu­lie­rungs­be­hör­de (Ener­gie, Was­ser, etc.) - Im Not­fall: Staats­an­walt­schaft (bei Bußgeld-Verfahren) --- ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)