NIS 2 Deutschland — Pflichten

NIS2 Pflichten im Überblick

Sie sind eine besonders wichtige oder wichtige Einrichtung — was müssen Sie unter dem NIS2UmsuCG (BSIG 2025) jetzt konkret tun? Diese Seite ordnet alle Pflichten: die zehn Risikomanagement-Maßnahmen nach § 30 Abs. 2 BSIG, die Registrierung beim BSI (§ 33), die Vorfallsmeldung (§ 32) und die Pflicht der Geschäftsleitung (§ 38) — mit Paragraphen belegt.

Keine allgemeine Übergangsfrist

Die Pflichten nach § 30 BSIG binden seit dem Inkrafttreten am 6. Dezember 2025 unmittelbar. Lediglich für die Registrierung beim BSI gilt eine eigene Drei-Monats-Frist (§ 33).

§ 30 Abs. 2 Nr. 1–10 BSIG

Die zehn Risikomanagement-Maßnahmen

IT-Grundschutz als Methodik

§ 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen in zehn Bereichen. Der IT-Grundschutz des BSI ist die etablierte Umsetzungsmethodik (zehn Schichten, 111 Bausteine).

1Risikoanalyse und Sicherheitskonzepte

Risiken für die Informationssysteme systematisch erfassen, bewerten und in Konzepten für die Sicherheit der Informationssysteme festhalten.

2Bewältigung von Sicherheitsvorfällen

Vorfälle erkennen, behandeln und dokumentieren — die Grundlage, um Meldefristen nach § 32 überhaupt einhalten zu können.

3Aufrechterhaltung des Betriebs

Backup-Management, Notfallwiederherstellung und Krisenmanagement, damit der Betrieb auch nach einem Vorfall fortgeführt werden kann.

4Sicherheit der Lieferkette

Die Sicherheit der Beziehungen zu Anbietern und Dienstleistern bewerten und steuern — einschließlich der Risiken aus eingekaufter IT.

5Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheit über den gesamten Lebenszyklus der Informationssysteme — von der Beschaffung über die Entwicklung bis zur Wartung und zum Schwachstellenmanagement.

6Bewertung der Wirksamkeit

Regelmäßig prüfen, ob die getroffenen Risikomanagement-Maßnahmen tatsächlich wirken — und nachsteuern, wo sie es nicht tun.

7Cyberhygiene und Schulungen

Grundlegende Cyberhygiene-Praktiken etablieren und Beschäftigte regelmäßig im Bereich der Cybersicherheit schulen.

8Kryptografie und Verschlüsselung

Konzepte für den Einsatz von Kryptografie und — wo angemessen — von Verschlüsselung festlegen und umsetzen.

9Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

Personalsicherheit, Konzepte für die Zugriffskontrolle und ein Verzeichnis der relevanten Anlagen (Asset-Management).

10Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation, wo erforderlich.

Wie Reglyze die zehn § 30-Maßnahmen abbildet →

Verfahrenspflichten neben den Maßnahmen

Über die zehn Maßnahmen hinaus verlangt das BSIG drei Verfahrenspflichten. Jede ist eigenständig durchsetzbar.

Registrierung beim BSI

§ 33 BSIG

Besonders wichtige und wichtige Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. Für bereits am 6.12.2025 betroffene Einrichtungen lief die Frist bis zum 6. März 2026. Die Registrierung läuft über „Mein Unternehmenskonto“ und das BSI-Meldeportal; eine verspätete Registrierung ist selbst eine Ordnungswidrigkeit.

Registrierung vorbereiten

Vorfallsmeldung an das BSI

§ 32 BSIG

Erhebliche Sicherheitsvorfälle sind in drei Stufen an das BSI / CERT-Bund zu melden: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen eines Monats. Dasselbe BSI-Meldeportal dient der Registrierung und den Meldungen.

Meldeprozess ansehen

Pflicht der Geschäftsleitung

§ 38 BSIG

Die Geschäftsleitung muss die Risikomanagement-Maßnahmen umsetzen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Diese Pflicht ist nicht delegierbar; bei schuldhafter Verletzung kann die Geschäftsleitung persönlich haften.

Haftung und Bußgelder

Meldefristen nach § 32 BSIG

Erhebliche Sicherheitsvorfälle sind in drei Stufen an das BSI / CERT-Bund zu melden.

Frühwarnung

24 Stunden

nach Kenntnis des erheblichen Vorfalls.

Meldung

72 Stunden

mit einer ersten Bewertung des Vorfalls.

Abschlussbericht

1 Monat

mit der vollständigen Analyse des Vorfalls.

Vorfallsmeldung an das BSI im Detail →

Die Geschäftsleitung trägt die Verantwortung (§ 38 BSIG)

NIS 2 ist keine reine IT-Aufgabe. Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagement-Maßnahmen umsetzen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen — eine nicht delegierbare Pflicht. Bei schuldhafter Verletzung kann sie persönlich haften. Mehr zur Haftung und zu den Bußgeldern (§ 65) →

Häufige Fragen zu den NIS-2-Pflichten

Welche Pflichten habe ich als betroffene Einrichtung unter NIS 2?

Drei Pflichtenblöcke: erstens die zehn technischen und organisatorischen Risikomanagement-Maßnahmen nach § 30 Abs. 2 Nr. 1–10 BSIG (geeignet, verhältnismäßig und wirksam). Zweitens die Verfahrenspflichten — Registrierung beim BSI (§ 33) und Vorfallsmeldung (§ 32: 24 Stunden / 72 Stunden / ein Monat). Drittens die Governance-Pflicht der Geschäftsleitung (§ 38: umsetzen, überwachen, schulen). Diese Pflichten gelten für besonders wichtige und für wichtige Einrichtungen gleichermaßen.

Was sind die zehn Maßnahmen nach § 30 BSIG?

Risikoanalyse und Sicherheitskonzepte; Bewältigung von Sicherheitsvorfällen; Aufrechterhaltung des Betriebs (Backup, Notfallwiederherstellung, Krisenmanagement); Sicherheit der Lieferkette; Sicherheit bei Erwerb, Entwicklung und Wartung; Bewertung der Wirksamkeit; Cyberhygiene und Schulungen; Kryptografie und Verschlüsselung; Personalsicherheit, Zugriffskontrolle und Anlagenmanagement; sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Der IT-Grundschutz des BSI ist die etablierte Methodik, um diese Anforderungen umzusetzen.

Gibt es eine Übergangsfrist für die § 30-Pflichten?

Nein. Anders als in Frankreich oder Italien gibt es in Deutschland keine allgemeine Übergangsfrist: Die Risikomanagement-Pflichten nach § 30 BSIG binden ab Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025. Lediglich für die Registrierung beim BSI gilt eine eigene Drei-Monats-Frist (§ 33).

Welche Rolle spielt der IT-Grundschutz?

§ 30 BSIG schreibt geeignete, verhältnismäßige und wirksame Maßnahmen vor, gibt aber keine konkrete Methodik vor. Der IT-Grundschutz des BSI (zehn Schichten, 111 Bausteine) ist die etablierte Umsetzungsmethodik und bildet die Grundlage für „ISO 27001 auf der Basis von IT-Grundschutz“. Er ist nicht zwingend, aber der naheliegende Weg, die § 30-Anforderungen nachvollziehbar zu erfüllen.

Gelten für KRITIS-Betreiber zusätzliche Pflichten?

Ja. KRITIS-Betreiber (§ 31 BSIG) tragen zusätzliche Pflichten oberhalb der allgemeinen § 30-Basis — dreijährliche Nachweispflichten (§ 39 BSIG) und Systeme zur Angriffserkennung. NIS 2 ersetzt KRITIS nicht, sondern erweitert den Kreis auf rund 29.500 Einrichtungen; KRITIS bleibt eine kleinere, strenger regulierte Teilmenge.

Pflichten der Reihe nach abarbeiten

Reglyze bewertet Ihren Stand für jede der zehn § 30-Maßnahmen vor, stellt die Stammdaten für die BSI-Registrierung zusammen und führt Sie durch den Meldeprozess (§ 32) — in unter einer Stunde, mit transparenten Preisen in Euro und EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform für NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskünfte erteilt das BSI unter bsi.bund.de.