NIS 2 Deutschland — § 30 BSIG

Die zehn NIS-2-Maßnahmen nach § 30 BSIG

§ 30 Abs. 2 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen in zehn Bereichen. Der IT-Grundschutz des BSI ist die etablierte Methodik, um sie umzusetzen. Diese Pflicht gilt seit dem 6. Dezember 2025 unmittelbar — ohne allgemeine Übergangsfrist.

§ 30 Abs. 2 Nr. 1–10 — die zehn Maßnahmenbereiche

Wortlaut der zehn Bereiche nach § 30 Abs. 2 BSIG. Sie entsprechen den Risikomanagement-Maßnahmen aus Artikel 21(2) der NIS-2-Richtlinie.

1Risikoanalyse und Informationstechnik-Sicherheit

Konzepte für die Risikoanalyse und für die Sicherheit in der Informationstechnik — die Grundlage, aus der die übrigen Maßnahmen abgeleitet werden.

2Bewältigung von Sicherheitsvorfällen

Prozesse zur Erkennung, Bearbeitung und Nachbereitung von Sicherheitsvorfällen — eng verzahnt mit der Meldepflicht nach § 32 BSIG.

3Aufrechterhaltung des Betriebs

Backup-Management, Notfallwiederherstellung und Krisenmanagement, damit kritische Dienste auch nach einem Vorfall verfügbar bleiben.

4Sicherheit der Lieferkette

Sicherheit in der Lieferkette einschließlich der Beziehungen zu Dienstleistern und Zulieferern — Artikel 21(2)(d) ist eine harte Anforderung, kein Nice-to-have.

5Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, einschließlich Schwachstellenmanagement und -offenlegung.

6Bewertung der Wirksamkeit

Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen — Compliance ist messbar nachzuweisen, nicht zu behaupten.

7Schulungen und Sensibilisierung

Grundlegende Cyberhygiene und Schulungen zur IT-Sicherheit — die häufigste Prüf-Schwachstelle, da auch die Leitungsebene geschult werden muss.

8Kryptographie und Verschlüsselung

Konzepte für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung.

9Personalsicherheit, Zugriffskontrolle und IKT-Verwaltung

Sicherheit des Personals, Zugriffskontrolle und Verwaltung der IKT-Assets (Asset-Management).

10Authentifizierung und sichere Kommunikation

Multi-Faktor- oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation, inklusive Notfallkommunikation.

IT-Grundschutz als Umsetzungsmethodik

Der IT-Grundschutz des BSI (10 Schichten, 111 Bausteine) ist die etablierte Methodik, um die § 30-Anforderungen strukturiert umzusetzen, und bildet die Grundlage für „ISO 27001 auf der Basis von IT-Grundschutz“. Er ist nicht zwingend vorgeschrieben — auch ein ISO/IEC-27001-Ansatz ist möglich —, solange die Maßnahmen geeignet, verhältnismäßig und wirksam sind und ihre Wirksamkeit nach § 30 Abs. 2 Nr. 6 bewertet wird.

Verantwortung der Geschäftsleitung (§ 38 BSIG): Die Geschäftsleitung muss die Maßnahmen umsetzen, ihre Umsetzung überwachen und an Schulungen teilnehmen — und haftet bei schuldhafter Verletzung persönlich.

Häufige Fragen

Welche Maßnahmen verlangt § 30 BSIG?

§ 30 Abs. 2 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen in zehn Bereichen — von der Risikoanalyse (Nr. 1) über Lieferkettensicherheit (Nr. 4) und der Bewertung der Wirksamkeit (Nr. 6) bis zu Multi-Faktor-Authentifizierung und gesicherter Kommunikation (Nr. 10). Der Ansatz ist „all-hazards“ und an der konkreten Risikolage auszurichten.

Ist IT-Grundschutz für NIS 2 verpflichtend?

Nein, IT-Grundschutz ist nicht zwingend vorgeschrieben, aber die etablierte Methodik des BSI, um die § 30-Anforderungen umzusetzen. Mit 10 Schichten und 111 Bausteinen bildet er auch die Grundlage für „ISO 27001 auf der Basis von IT-Grundschutz“. Andere anerkannte Vorgehensweisen (z. B. ISO/IEC 27001) sind ebenfalls möglich, solange die Maßnahmen geeignet, verhältnismäßig und wirksam sind.

Muss die Geschäftsleitung selbst tätig werden?

Ja. Nach § 38 BSIG trägt die Geschäftsleitung eine persönliche Verantwortung: Sie muss die Risikomanagement-Maßnahmen umsetzen, ihre Umsetzung überwachen und an entsprechenden Schulungen teilnehmen. Bei schuldhafter Verletzung kann sie persönlich haften.

Wie weist man die Wirksamkeit nach?

§ 30 Abs. 2 Nr. 6 verlangt ausdrücklich Konzepte zur Bewertung der Wirksamkeit. In der Praxis heißt das: definierte Kennzahlen, regelmäßige Überprüfung und ein nachvollziehbarer Audit-Trail. KRITIS-Betreiber (§ 31) müssen zusätzlich dreijährliche Nachweise (§ 39) erbringen.

Die zehn Maßnahmen lückenlos abdecken

Reglyze führt ein Gap-Assessment gegen die zehn § 30-Bereiche durch, erzeugt KI-gestützt die zugehörigen Richtlinien und dokumentiert die Wirksamkeit (§ 30 Abs. 2 Nr. 6) prüffest. Transparente Preise in Euro, EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform für NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Den verbindlichen Gesetzestext (§ 30 BSIG) finden Sie unter gesetze-im-internet.de.