Prüfen Sie hier Ihren Handlungsbedarf

1. NIS2 – Richtlinie oder Verordnung? Und was gilt in Deutschland?

NIS2 ist eine EU-Richtlinie (Richtlinie (EU) 2022/2555). Eine Richtlinie bindet die Mitgliedstaaten an das Ziel, muss aber in nationales Recht umgesetzt werden. Anders als bei einer Verordnung, die unmittelbar gilt, brauchen Unternehmen in Deutschland daher primär den Blick in das deutsche Umsetzungsgesetz. Maßgeblich ist in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das seit dem 6. Dezember 2025 in Kraft ist und das BSI-Gesetz (BSIG) umfassend neu fasst. Übergangsfristen gibt es ausdrücklich nicht – die Pflichten gelten seit Inkrafttreten. Für bestimmte Teilbereiche, etwa die Anforderungen an bestimmte Anbieter digitaler Dienste, gibt es zusätzlich eine EU-Durchführungsverordnung (VO (EU) 2024/2690) mit konkreten technischen Mindeststandards; sie bezieht sich aber nur auf einen engen Adressatenkreis.

2. Wie steht NIS2 im Verhältnis zu KRITIS? Reicht eines von beiden?

KRITIS und NIS2 sind nicht identisch. KRITIS ist die engere Kategorie der Betreiber kritischer Anlagen (bisheriges KRITIS-Regime nach BSI-KritisV, künftig ergänzt durch das KRITIS-Dachgesetz zur Umsetzung der CER-Richtlinie). NIS2 erfasst deutlich mehr Unternehmen in 18 Sektoren und setzt den Schwerpunkt stärker auf Governance, Risikomanagement und Verantwortung der Leitungsebene.

Das Verhältnis regelt § 28 BSIG: Wer eine kritische Anlage betreibt, ist automatisch auch besonders wichtige Einrichtung nach NIS2. Das heißt: Alle KRITIS-Betreiber sind zugleich bwE – umgekehrt sind aber nicht alle bwE auch KRITIS-Betreiber. Eine „Zertifizierung“ nach NIS2 gibt es nicht. KRITIS-Betreiber müssen weiterhin die KRITIS-Nachweise im Dreijahresrhythmus erbringen und zusätzlich die NIS2-Pflichten erfüllen – die Regime ergänzen sich also, sie ersetzen sich nicht.

3. Gelten die Schwellenwerte als „50 Mitarbeitende UND 10 Mio. €“ oder als ODER-Verknüpfung?

Die Schwellenwerte folgen der KMU-Definition der Empfehlung 2003/361/EG und wirken als ODER-Bedingung: Erfasst ist ein Unternehmen bereits dann, wenn es in einem der Sektoren der Anlagen 1 oder 2 BSIG tätig ist und entweder mindestens 50 Beschäftigte hat oder einen Jahresumsatz von mehr als 10 Mio. € und zugleich eine Bilanzsumme von mehr als 10 Mio. €. Die Bilanzsumme ist also nur beim Umsatzkriterium zusätzlich relevant; für die Beschäftigtenzahl nicht. Für besonders wichtige Einrichtungen (bwE) liegen die Grenzen höher: mindestens 250 Beschäftigte oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Bilanzsumme.

4. Werden die Schwellenwerte pro Einzelgesellschaft oder pro Konzern berechnet?

Grundsätzlich gilt die KMU-Empfehlung 2003/361/EG: Verbundene und Partnerunternehmen werden bei der Berechnung der Beschäftigten und der Finanzkennzahlen addiert. Eine kleine Tochter-GmbH kann also über den Konzernverbund in die NIS2-Pflicht rutschen. Pflichtensubjekt bleibt aber jede einzelne juristische Person. Das bedeutet: Die Schwellenwerte werden auf Gruppenebene ermittelt, die Pflichten (einschließlich Registrierung, Meldewege, technische Maßnahmen) trifft dann jede Gesellschaft, die selbst in einem erfassten Sektor tätig ist und nicht von der Schwellenwertbetrachtung durch die Ausnahme für IT-technisch unabhängige Einheiten nach Art. 3 Abs. 3 der Empfehlung 2003/361/EG ausgenommen ist.

5. Wir sind Muttergesellschaft + mehrere GmbH & Co. KGs. Müssen wir jede KG einzeln registrieren?

Ja, eine automatische Konzernregistrierung sieht das BSIG nicht vor. Das BSI geht im Grundsatz von einer gesellschaftsbezogenen Betrachtung aus. Maßgeblich ist, ob die einzelne KG selbst in einem erfassten Sektor tätig ist (etwa Energieerzeugung im Anlagenbetrieb) und die Schwellenwerte – unter Berücksichtigung der Konzernverbundwirkung – erreicht. Ist das der Fall, muss die einzelne Gesellschaft auch einzeln registriert werden. In der Praxis kann sich aus Konzerndienstleistungen zusätzlich eine MSP-Eigenschaft der zentralen IT-Gesellschaft ergeben, die dann eigenständig unter NIS2 fällt (digitale Infrastruktur nach Anlage 1 Nr. 8 BSIG).

6. Wir sind Beteiligungsgesellschaft mit mehreren Tochter-Unternehmen unter 50 FTE. Sind wir alle betroffen?

Die Konzernkennzahlen werden addiert; eine Beteiligungsgesellschaft mit mehreren kleinen Töchtern kann also in Summe über die Schwelle rutschen. Ob dann wirklich alle Töchter betroffen sind, hängt aber von zwei Fragen ab: Ist die jeweilige Tochter in einem NIS2-Sektor tätig? Und: Ist sie im Sinne der Empfehlung 2003/361/EG IT-technisch unabhängig von der Gruppe? Nur Gesellschaften, die sektoral erfasst sind, tragen die Pflichten – die reine Holdingfunktion allein begründet keine Betroffenheit.

7. Wie erfolgt die Sektorzuordnung in Grauzonen – z. B. Sanitätshäuser, Speditionen, Logistikdienstleister?

Die Sektoren der Anlagen 1 und 2 BSIG sind abschließend. Für den Gesundheitsbereich ist die Sektor-Einordnung eng an die Erbringung von Gesundheitsleistungen geknüpft; reine Sanitätshäuser ohne Leistungserbringung im Sinne des SGB V fallen regelmäßig nicht darunter, können aber als Zulieferer von Leistungserbringern mittelbar betroffen sein. Das BSI veröffentlicht sektorspezifische FAQs, die für solche Abgrenzungen konsultiert werden sollten.

Im Verkehrssektor ist nicht „Logistik“ als eigene Kategorie erfasst, sondern der Verkehrsträger (Luft-, See-, Binnen-, Schienen- und Straßenverkehr). Eine klassische Spedition oder ein reiner Lagerbetrieb ohne eigenen Transportbetrieb wird daher regelmäßig nicht originär erfasst – entscheidend ist, ob das Unternehmen beispielsweise Straßengüterverkehr im Sinne der Verkehrsträger-Definition erbringt. Im Zweifel lohnt eine sektorbezogene Einzelprüfung; das BSI hat angekündigt, hierzu weitere Klarstellungen zu veröffentlichen.

8. Gibt es für Kommunen und Bildungseinrichtungen eine Öffnungsklausel?

Der Bund hat Kommunen und Bildungseinrichtungen nicht in den Anwendungsbereich des BSIG einbezogen. Ob sie von NIS2 erfasst sind, entscheidet Ländersache: Einzelne Bundesländer – etwa Sachsen – haben bereits eigene Cybersicherheitsgesetze, die auch Schulen und kommunale Einrichtungen einbeziehen; andere Länder (z. B. Niedersachsen) folgen der Linie des IT-Planungsrats (Beschluss 2023/39) und verzichten auf eine Ausweitung. Die Lage ist also uneinheitlich – maßgeblich ist das jeweilige Landesrecht.

9. Wir sind unsicher, ob wir betroffen sind. Wie gehen wir vor?

Das BSI bietet ein eigenes Self-Assessment (Betroffenheitsprüfung) auf seiner Website an. Die saubere Prüfung erfolgt in vier Schritten: Erstens Sektorprüfung auf Basis der Anlagen 1 und 2 BSIG; zweitens Größenprüfung nach KMU-Empfehlung 2003/361/EG mit Blick auf Konzernverbund; drittens Prüfung der Sonderfälle, insbesondere der gesetzlichen Einbeziehung unabhängig von der Größe (etwa qualifizierte Vertrauensdiensteanbieter, DNS-Anbieter, Top-Level-Domain-Registrierstellen); viertens Dokumentation der Prüfung – denn im Streitfall liegt die Darlegungslast bei der Einrichtung.

Wer zu dem Ergebnis kommt, nicht betroffen zu sein, sollte diese Prüfung revisionssicher dokumentieren und regelmäßig – insbesondere bei Unternehmenswachstum, Umstrukturierung oder Leistungsänderung – wiederholen.

10. Die Registrierungsfrist lief am 6. März 2026 ab. Was gilt jetzt noch?

§ 33 Abs. 1 BSIG verlangt die Registrierung innerhalb von drei Monaten ab Betroffenheitseintritt. Für alle am 6. Dezember 2025 betroffenen Unternehmen endete die erste Welle der Registrierungspflicht daher am 6. März 2026. Eine Nachregistrierung ist weiterhin möglich und dringend zu empfehlen – der Rechtsverstoß wird durch das Nachholen nicht geheilt, aber die Wahrscheinlichkeit eines Bußgeldes sinkt erheblich, wenn die Registrierung nachgereicht wird, bevor das BSI sich von sich aus meldet.

11. Was passiert, wenn ein Unternehmen bisher gar nichts gemacht hat?

Formal liegt bereits jetzt eine Ordnungswidrigkeit nach § 65 Abs. 2 Nr. 6 BSIG vor. Das BSI hat aber öffentlich kommuniziert, dass es zunächst nicht flächendeckend sanktionieren, sondern auf Nachregistrierung und Umsetzung drängen wird. Trotzdem sollte die Zeit jetzt genutzt werden, um erstens zu prüfen, ob tatsächlich Betroffenheit vorliegt, zweitens die Registrierung nachzuholen und drittens parallel die Mindestmaßnahmen nach § 30 BSIG aufzusetzen. Wer bei einem Sicherheitsvorfall ohne Registrierung und ohne Maßnahmen auffliegt, hat erheblich schlechtere Karten.

12. Welche Bußgelder drohen konkret?

Die Bußgeldrahmen staffeln sich nach Einrichtungstyp. Für besonders wichtige Einrichtungen liegen die Höchstbeträge für schwerwiegende Verstöße bei bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bei bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes – maßgeblich ist jeweils der höhere Wert. Für die Verletzung der reinen Registrierungspflicht sind die Höchstbeträge deutlich niedriger: bis zu 500.000 € für bwE und bis zu 1 Mio. € für KRITIS-Betreiber. Zusätzlich kommt eine persönliche Haftung der Geschäftsleitung in Betracht, wenn sie ihre Überwachungspflicht verletzt.

13. Wie erkenne ich, ob die Registrierung wirklich durchgegangen ist? Eine Bestätigungsmail kam nicht.

Die Registrierung erfolgt zweistufig: zuerst Authentifizierung über „Mein Unternehmenskonto“ (MUK) bzw. ELSTER-Organisationszertifikat, dann Eintragung im BSI-Portal. Eine gesonderte Bestätigungsmail versendet das BSI derzeit nicht routinemäßig; Indikator für den Erfolg ist der erneut mögliche Login im BSI-Portal und die dort sichtbare Einrichtung. Wer unsicher ist, sollte sich im Portal einloggen, die Einrichtungsdaten und Kontaktstelle prüfen und einen Screenshot des hinterlegten Datensatzes zur eigenen Dokumentation ziehen. Bei unklarer Lage empfiehlt sich eine kurze Rückfrage über das Kontaktformular des BSI.

14. Sollten wir uns „proforma“ registrieren, solange die Prüfung noch läuft?

Eine vorsorgliche Registrierung ist rechtlich erst einmal unproblematisch und kann sicherlich erwogen werden. Das BSI wird aus der Registrierung allein kein Sanktionsrisiko ableiten; umgekehrt verhindert sie den Vorwurf einer fahrlässigen Nichtregistrierung. Stellt sich im weiteren Verlauf heraus, dass tatsächlich keine Betroffenheit vorliegt, kann die Einrichtung über das BSI-Portal abgemeldet werden. Für grenzüberschreitend tätige Gruppen (z. B. Deutschland/Tschechien) ist zusätzlich zu prüfen, ob in anderen Mitgliedstaaten eigene Registrierungen erforderlich sind.

15. Wann muss ich registrieren, wenn ich erst nachträglich durch einen neuen Kunden oder ein Wachstum betroffen werde?

Die Drei-Monats-Frist aus § 33 Abs. 1 BSIG läuft ab dem Zeitpunkt, ab dem erstmals Betroffenheit besteht. Das heißt: Wer beispielsweise durch ein Mitarbeiterwachstum im Mai 2026 die Schwelle überschreitet, hat bis Anfang August 2026 Zeit, sich zu registrieren. Die Fristberechnung beginnt nicht am Stichtag der Gesetzesänderung, sondern mit dem tatsächlichen Überschreiten der Schwelle. Eine bloße Geschäftsbeziehung zu einem NIS2-pflichtigen Kunden macht den Lieferanten übrigens nicht selbst registrierungspflichtig – dazu sogleich.

16. Wie weit reicht die Lieferkette „nach unten“? Hauptfirma A beauftragt Dienstleister B, der wiederum Dienstleister C einsetzt – ist C automatisch NIS2-pflichtig?

Nein, nicht automatisch. § 30 Abs. 2 Nr. 4 BSIG verpflichtet die regulierte Einrichtung A nur zur Sicherheit der eigenen Lieferkette und insbesondere der Beziehungen zu ihren unmittelbaren Anbietern und Diensteerbringern. Das Gesetz verlangt also eine Risikobetrachtung entlang der relevanten Lieferbeziehungen, nicht eine lückenlose Zertifizierung jeder nachgelagerten Stufe. Faktisch reicht der vertragliche Durchgriff aber häufig weiter, weil A seinerseits B verpflichtet, die Anforderungen an C weiterzureichen.

17. Muss ein Zulieferer, der selbst nicht unter NIS2 fällt, die Anforderungen „1 zu 1“ umsetzen?

Nein. Rechtlich bindet NIS2 nur die regulierten Einrichtungen. Pflichtenadressat gegenüber dem BSI ist allein der Auftraggeber. Dieser muss allerdings sein Drittparteirisikomanagement so aufstellen, dass Cybersicherheit, Notfallfähigkeit und Meldeprozesse bei seinen Lieferanten angemessen berücksichtigt sind. In der Praxis wird das über Vertragsklauseln abgebildet: Sicherheitsanforderungen, Audit-Rechte, Meldepflichten bei Vorfällen, ggf. Zertifikate. Die Tiefe dieser Anforderungen orientiert sich am Risiko für die Dienste des Auftraggebers. Ein kleiner Zulieferer darf nicht pauschal auf das Niveau einer bwE angehoben werden.

18. Sind IT-Dienstleister wirklich automatisch Teil der NIS2-Lieferkette? Auch als Hardware-Lieferant?

Es kommt auf die Rolle an. Ein Dienstleister, der administrativen Zugriff auf IT-Systeme eines NIS2-pflichtigen Kunden hat (klassischer Managed Service Provider, MSP) oder der Sicherheitsdienste für ihn erbringt (MSSP), kann selbst originär unter NIS2 fallen – nämlich als digitale Infrastruktur nach Anlage 1 Nr. 8 BSIG, sofern die Schwellenwerte erreicht werden. Reine Hardware-Lieferungen oder einmalige Beratungsprojekte begründen diese Eigenschaft grundsätzlich nicht.

Liegt keine eigene Betroffenheit vor, bleibt der IT-Dienstleister „nur“ Teil der Lieferkette des Kunden und erfüllt seine Anforderungen vertragsbasiert. Wichtig: Auch ein Ein-Mann-IT-Dienstleister kann betroffen sein, wenn er etwa als Outsourcing-Partner wesentliche IT-Dienste für mehrere NIS2-pflichtige Kunden erbringt und die Schwellenwerte (z. B. über Umsatz) erreicht.

19. Muss sich ein indirekt Betroffener (Zulieferer) beim BSI registrieren?

Nein. Die Registrierungspflicht nach § 33 BSIG trifft nur direkt regulierte Einrichtungen. Wer ausschließlich über die Lieferkette Anforderungen an seinen Kunden erfüllen muss, muss sich nicht beim BSI melden. Die Anforderungen ergeben sich dann aus dem Vertrag mit dem Kunden.

20. Gilt das auch für typische Nicht-IT-Dienstleister wie Reinigungsfirmen? Muss auch dort alles NIS2-konform sein?

Die Supply-Chain-Pflicht verlangt eine risikoorientierte Betrachtung, nicht eine 1:1-Durchsetzung aller Maßnahmen bei jedem Lieferanten. Eine Reinigungsfirma, die Zutritt zu Serverräumen hat, ist aus Sicherheitssicht relevant – für sie kann eine Regelung zu Zutrittskontrolle, Besucherbegleitung, Geheimhaltung und Vorfallmeldung sinnvoll sein. Eine Reinigungsfirma, die nur Büroflächen reinigt, wird anders zu behandeln sein.

Wenn ein Lieferant die Anforderungen tatsächlich nicht erfüllen kann oder will, sind die klassischen ISO-27001-Instrumente zulässig: Risikobewertung, Restrisikoakzeptanz durch die Geschäftsleitung, ggf. kompensierende Maßnahmen (z. B. Begleitung des Reinigungspersonals im Serverraum). Wichtig ist die revisionssichere Dokumentation dieser Entscheidung. Eine pauschale „NIS2-Erklärung“ für alle Lieferanten ist weder praktikabel noch verlangt.

21. Welche Inhalte muss die Schulung der Geschäftsleitung nach § 38 Abs. 3 BSIG abdecken?

§ 38 Abs. 3 BSIG verlangt, dass Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, die sie befähigen, Risiken und Risikomanagementpraktiken im Bereich der Informationssicherheit zu erkennen und zu bewerten. Das BSI hat hierzu eine ausdrückliche Handreichung veröffentlicht („NIS-2-Geschäftsleitungsschulung“). Darin sind drei Kompetenzfelder vorgegeben: Risikoerkennung, Risikomanagement-Maßnahmen sowie Bewertung der Auswirkungen von Risiken auf die erbrachten Dienste.

Ein allgemeines Mitarbeiter-Awareness-Training deckt diese Inhalte nicht vollständig ab. Es geht ausdrücklich um strategische Leitungsverantwortung: Risikoappetit, Investitionsentscheidungen für Cybersicherheit, Einbettung in die Unternehmenssteuerung, Überwachung des ISB und der ISMS-Prozesse.

22. Reichen allgemeine Awareness-Module mit Zertifikat aus?

In der Regel nein. Awareness-Programme für die Gesamtbelegschaft richten sich an Mitarbeitende und sind für § 30 Abs. 2 Satz 2 Nr. 7 BSIG relevant, nicht für § 38 Abs. 3. Die Schulung der Geschäftsleitung muss die drei vom BSI benannten Kompetenzfelder inhaltlich abdecken. Ein Standard-Phishing-Modul zur Kompetenzschulung bzgl. Phishing Angriffen erfüllt das typischerweise nicht. Entscheidend ist die dokumentierte inhaltliche Übereinstimmung mit den BSI-Vorgaben, nicht die formale Bezeichnung als „GF-Schulung“.

23. Welche Nachweise der Geschäftsleitungsschulung sind gerichtsfest?

„Gerichtsfest“ ist im BSIG nicht definiert, die allgemeinen Grundsätze der Beweisvorsorge gelten jedoch. Empfehlenswert ist eine revisionssichere Dokumentation mit folgenden Elementen: benannte Teilnehmer (mit Funktion), Schulungsanbieter, Datum und Dauer, inhaltliche Agenda mit ausdrücklichem Bezug zu den drei BSI-Kompetenzfeldern, Prüfungsnachweis oder Teilnahmebestätigung, Signatur des Teilnehmers. Zusätzlich sollte ein Protokoll der Aufsichtsgremien die Kenntnisnahme festhalten. Der so gebildete Nachweis genügt sowohl einer BSI-Prüfung als auch einer etwaigen Haftungsdiskussion im Innenverhältnis.

24. Wie oft muss die Geschäftsleitung geschult werden?

Die Richtlinie nennt keine feste Frequenz, verlangt aber „regelmäßig“. Das BSI empfiehlt in seiner Handreichung jährliche Schulungen; im Mindestrhythmus werden drei Jahre diskutiert. In der Praxis hat sich eine Jahresfrequenz etabliert, ergänzt um anlassbezogene Schulungen bei erheblichen Vorfällen, Gesetzesänderungen oder Umstrukturierungen.

25. Bedeutet „Überwachung“ durch die Geschäftsleitung nur Schulung – oder mehr?

Die Überwachungspflicht aus § 38 Abs. 1 BSIG geht deutlich über Schulung hinaus. Die Geschäftsleitung muss die Umsetzung der Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und für Verstöße persönlich haften. Das umfasst insbesondere: regelmäßige Berichte des ISB bzw. CISO, Entscheidungen über Budgets und Ressourcen, Freigabe von Risikoakzeptanzen, Dokumentation in Vorstands- bzw. Geschäftsführerprotokollen. Schulung ist nur ein Baustein; die inhaltliche Befassung mit dem Thema im Gremium ist der eigentliche Pflichtkern.

26. Wir sind nach ISO/IEC 27001 zertifiziert – decken wir damit nicht bereits 90 % der NIS2-Anforderungen ab?

Die Überschneidung ist real, aber 90 % ist in der Praxis selten. ISO 27001 deckt typischerweise 70 bis 80 % der NIS2-Maßnahmen ab – vor allem Risikomanagement, Lieferkettensicherheit, Incident-Management und Governance. Übrig bleiben vier wesentliche Lücken: die strikten Meldefristen (24 h Frühwarnung, 72 h Folgemeldung, 30 Tage Abschlussbericht), die persönliche Verantwortlichkeit der Geschäftsleitung nach § 38 BSIG, die Registrierungspflicht und die spezifischen Anforderungen an Krisenkommunikation und Nachweispflichten gegenüber dem BSI.

Wer ISO 27001 hat, hat eine sehr gute Ausgangsbasis, braucht aber ein Gap-Mapping zu § 30 BSIG und den einschlägigen BSI-Handreichungen. Als Richtwert: 3 bis 6 Monate für eine saubere Lückenschließung in einem mittelgroßen Unternehmen.

27. Wo ist die Pflicht zur Protokollierung (Logs) geregelt?

Eine ausdrückliche eigenständige „Log-Pflicht“ nennt das BSIG nicht namentlich. Sie ergibt sich aber aus § 30 Abs. 2 Satz 2 Nr. 3 BSIG (Aufrechterhaltung des Betriebs, Vorfallsbearbeitung) und Nr. 8 (Informationssicherheit in Bezug auf Systeme, Kryptographie, Zugriffskontrolle) sowie implizit aus der Meldepflicht nach § 32 BSIG: Ohne funktionsfähiges Logging lassen sich erhebliche Sicherheitsvorfälle weder erkennen noch bewerten noch fristgerecht melden. Der BSI-Grundschutz und die ISO 27001/2 konkretisieren, was „angemessen“ ist – in der Praxis sind zentrale Protokollierung, geschützte Aufbewahrung und definierte Retentionszeiten Pflichtinhalte jedes NIS2-ISMS.

28. Gibt es konkrete Anforderungen an die E-Mail-Archivierung nach NIS2? Muss alles aus einem Tool kommen?

NIS2 schreibt kein bestimmtes Archivierungsprodukt und kein konkretes technisches Format vor. Die Anforderungen folgen aus den allgemeinen Schutzzielen: Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Geschäftskommunikation. Das Zusammenführen von Altbeständen und neuen Archiven in einem einheitlichen Tool ist aus Governance-Gründen sinnvoll, aber nicht zwingend – entscheidend ist, dass alle relevanten E-Mails revisionssicher, vollständig und über die gesetzlichen Aufbewahrungsfristen (HGB, AO) zugriffsgeschützt verfügbar sind. Daneben greifen die handels- und steuerrechtlichen Archivierungspflichten ohnehin unabhängig von NIS2.

29. Gilt die frühere Empfehlung, eine jährliche Datensicherung extern auf LTO-Tape abzulegen, noch?

Eine ausdrückliche Pflicht, Backups auf LTO-Tape extern zu lagern, kennt das BSIG nicht. Der BSI-Grundschutz fordert aber ein angemessenes Backup-Konzept mit Offline- bzw. netzseparierter Sicherungskopie, das gegen Ransomware geschützt ist (3-2-1-1-Regel oder vergleichbare Ansätze). LTO-Tapes sind hierfür eine etablierte Lösung, aber nicht die einzige – Immutable Storage, Air-Gap-Backups oder S3-Object-Lock sind gleichwertig einsetzbar.

30. Was ist der Unterschied zwischen IT-Sicherheit und Informationssicherheit?

Informationssicherheit ist der umfassendere Begriff. Sie schützt Informationen unabhängig vom Trägermedium – digital, auf Papier, im Gespräch – und folgt den klassischen Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit (ISO 27000-Familie). IT-Sicherheit ist die Teilmenge, die sich auf IT-Systeme bezieht.

NIS2 adressiert beides: Der Wortlaut spricht ausdrücklich von „Sicherheit in der Informationstechnik“ im engeren Sinn, die Umsetzung verlangt aber ein Informationssicherheits-Managementsystem (ISMS) mit organisatorischen, personellen und physischen Schutzmaßnahmen. Wer NIS2-konform sein will, muss also beides mitdenken.

31. Was ist ein „erheblicher Sicherheitsvorfall“ im Sinne der Meldepflicht?

Nach § 2 Abs. 1 Nr. 11 BSIG liegt ein erheblicher Sicherheitsvorfall vor, wenn der Vorfall eine schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste für die betroffene Einrichtung verursacht oder verursachen kann oder andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Die Durchführungsverordnung (EU) 2024/2690 konkretisiert die Schwellen für bestimmte Einrichtungsarten weiter (z. B. anhand von Ausfallzeiten, Nutzerzahlen, finanzieller Auswirkung). Die Bewertung muss in der Praxis schnell getroffen werden – sinnvoll ist eine vordefinierte Eskalationsmatrix im ISMS.

32. Welche Meldefristen gelten?

§ 32 BSIG sieht ein dreistufiges Modell vor: Frühwarnung innerhalb von 24 Stunden nach Kenntnis vom erheblichen Vorfall, Folgemeldung mit einer ersten Bewertung innerhalb von 72 Stunden und Abschlussbericht spätestens nach einem Monat. Die Fristen laufen nebeneinander zu datenschutzrechtlichen Meldungen nach Art. 33 DSGVO und – in regulierten Branchen – zu vertraglichen Meldewegen an Versicherer, Kunden und Aufsichtsbehörden. Unternehmen sollten daher einen einheitlichen Incident-Response-Prozess vorhalten, der alle drei Meldewege bedient.