Regulatorischer Rahmen
Rechtsquellen
| Rechtsquelle | Status | Relevanz |
|---|---|---|
| NIS-2-Richtlinie (EU) 2022/2555 | In Kraft seit 16.01.2023 | EU-Rahmenrichtlinie |
| NIS2UmsuCG (Artikelgesetz) | In Kraft seit 06.12.2025 | Deutsche Umsetzung |
| BSIG (Neufassung) | In Kraft seit 06.12.2025 | Zentrale Pflichtennorm |
| Durchführungsverordnung (EU) 2024/2690 | In Kraft | Detaillierte technische Anforderungen |
| KRITIS-Dachgesetz | Beschlossen 29.01.2026 | Physische Resilienz |
Betroffenheit
Die NIS2-Richtlinie unterscheidet zwei Kategorien:
| Kategorie | Kriterien | Sanktionen |
|---|---|---|
| Besonders wichtige Einrichtungen | Annex I-Sektoren, ≥250 Mitarbeiter oder ≥50 Mio. EUR Umsatz | Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | Annex I/II-Sektoren, ≥50 Mitarbeiter oder ≥10 Mio. EUR Umsatz | Bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes |
§30 BSIG – Zehn Risikomanagementmaßnahmen
| Nr. | Maßnahme | Dokumentation |
|---|---|---|
| 1 | Risikoanalyse und Konzepte für die Sicherheit von Informationssystemen | Risikomanagement |
| 2 | Bewältigung von Sicherheitsvorfällen | Vorfallmanagement |
| 3 | Aufrechterhaltung des Betriebs (BCM, Backup, Disaster Recovery, Krisenmanagement) | Business Continuity |
| 4 | Sicherheit der Lieferkette | Lieferkettensicherheit |
| 5 | Sicherheit bei Erwerb, Entwicklung und Wartung | Schwachstellenmanagement |
| 6 | Konzepte und Verfahren zur Bewertung der Wirksamkeit | Wirksamkeitsprüfung |
| 7 | Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen | Schulung & Awareness |
| 8 | Konzepte und Verfahren für den Einsatz von Kryptografie | Kryptografie |
| 9 | Sicherheit des Personals, Konzepte für die Zugriffskontrolle | Zugriffskontrolle |
| 10 | Verwendung von MFA, gesicherte Kommunikation | Zugriffskontrolle |
Weitere Pflichten
| Paragraph | Pflicht | Dokumentation |
|---|---|---|
| §32 BSIG | Meldepflichten bei erheblichen Sicherheitsvorfällen | Vorfallmanagement |
| §33 BSIG | Registrierungspflicht beim BSI | Organisatorisch umgesetzt |
| §38 BSIG | Billigungs-, Überwachungs- und Schulungspflichten der Geschäftsleitung | Governance |
Abgrenzung CRA / NIS2
| Kriterium | NIS2 | CRA |
|---|---|---|
| Regulierungsgegenstand | Betreiber (Einrichtungen) | Produkte mit digitalen Elementen |
| Rechtsform | Richtlinie (nationale Umsetzung) | Verordnung (direkt anwendbar) |
| Fokus | Betriebssicherheit (Risikomanagement) | Produktsicherheit (Security by Design) |
| Meldepflicht | CSIRT (24h/72h/1 Monat) | ENISA (24h/72h/14d) |
CRA-Synergie
CRA-konforme Prozesse (Schwachstellenmanagement, Incident Response, Supply Chain) erfüllen weitgehend auch die entsprechenden NIS2-Anforderungen. Details in der CRA-Compliance-Dokumentation.