Welche zehn Maßnahmen sind gemeint?

§ 30 BSIG zählt unter anderem Risikoanalyse, Sicherheit des Personals, Zugriffskontrolle, Kryptografie, Backup-Management, Vorfallbewältigung und Lieferkettensicherheit auf. Die Liste ist abschließend und durchgängig umzusetzen.

Was ist 'Stand der Technik'?

Ein dynamischer Begriff, der sich an Branchenstandards (ISO 27001, BSI-Grundschutz, NIST) und an den Empfehlungen der Aufsichtsbehörden orientiert. Eine reine Mindestumsetzung reicht nicht; der Stand der Technik verändert sich laufend.

Reicht eine ISO-27001-Zertifizierung?

Sie ist ein starker Baustein, deckt aber nicht alle NIS2-Anforderungen ab — insbesondere die persönliche Schulungs- und Meldepflicht der Geschäftsleitung. Eine Lückenanalyse ist erforderlich.

Wie dokumentieren wir die Umsetzung?

In einem Informationssicherheits-Management-System (ISMS) mit Maßnahmenkatalog, Risikoregister, Schulungsplan, Vorfalldokumentation und regelmäßigen Reviews.

Wer prüft die Umsetzung?

Wesentliche Einrichtungen unterliegen der Ex-ante-Aufsicht des BSI (regelmäßige Audits, anlassbezogene Prüfungen). Wichtige Einrichtungen unterliegen der Ex-post-Aufsicht (anlassbezogene Prüfung).

NIS2-Risikomanagement: die zehn § 30-Maßnahmen

Die zehn Maßnahmen im Überblick

§ 30 Abs. 2 BSIG enthält eine abschließende Liste von zehn Risikomanagementmaßnahmen: (1) Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen, (2) Bewältigung von Sicherheitsvorfällen, (3) Aufrechterhaltung des Betriebs (Backup-Management und Krisenmanagement), (4) Sicherheit der Lieferkette, (5) Sicherheit bei Erwerb, Entwicklung und Wartung von Informationssystemen, (6) Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen, (7) grundlegende Cyberhygiene-Verfahren und Schulungen in Cybersicherheit, (8) Konzepte für Kryptografie und Verschlüsselung, (9) Personalsicherheit, Zugriffskontrolle und Asset-Management, (10) Verwendung von Multi-Faktor-Authentifizierung und gesicherten Sprach-, Video- und Textkommunikationssystemen sowie gesicherten Notfallkommunikationssystemen.

Stand der Technik: dynamischer Maßstab

Die Maßnahmen sind nach dem Stand der Technik umzusetzen. Dieser Begriff ist im Gesetz nicht definiert, hat sich aber in der Datenschutz- und IT-Sicherheitsrechtsprechung als dynamischer Maßstab etabliert. Anhaltspunkte sind die BSI-Standards 200-x, ISO/IEC 27001 und 27002, NIST CSF, branchenspezifische Standards (z. B. TISAX, B3S) sowie die Empfehlungen der ENISA. Die Anforderungen verändern sich laufend; wer einen einmal etablierten Maßnahmenstand für die kommenden fünf Jahre als ausreichend ansieht, verstößt mit hoher Wahrscheinlichkeit gegen die NIS2-Pflichten.

ISO 27001: Baustein, nicht Vollabdeckung

Ein nach ISO 27001 zertifiziertes ISMS ist ein starker Baustein der NIS2-Compliance. Es deckt insbesondere die organisatorischen und prozessualen Anforderungen ab, einschließlich Risikoanalyse, Zugriffskontrolle und Lieferantensicherheit. NIS2 enthält jedoch Pflichten, die über ISO 27001 hinausgehen — vor allem die persönlichen Pflichten der Geschäftsleitung nach § 38 BSIG und die spezifische Meldekette nach § 32 BSIG. Eine Lückenanalyse zwischen vorhandener ISO-Dokumentation und NIS2-Anforderungen ist deshalb empfehlenswert.

Dokumentation: das ISMS als Beweis

Die Aufsichtsbehörden — in Deutschland das BSI — können die Umsetzung der Maßnahmen nachweispflichtig anfordern. Wer keine geordnete Dokumentation vorhalten kann, gerät schnell in eine Beweisnot. Ein typisches NIS2-konformes Dokumentationssystem enthält: Risikoregister mit jährlicher Aktualisierung, Maßnahmenkatalog mit Umsetzungsstand, Verfahrensanweisungen, Schulungsplan mit Teilnahmenachweisen, Vorfallverzeichnis, Lieferantenbewertung und regelmäßige Wirksamkeitsprüfungen. Diese Bausteine sind auch die Grundlage einer möglichen Bußgeldverteidigung im Ernstfall.

Lieferkette: das oft unterschätzte Modul

Die Sicherheit der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG) ist die in der Praxis am häufigsten unterschätzte Maßnahme. Sie verlangt eine Bewertung der Cybersicherheitspraktiken von Lieferanten und Diensteanbietern, einschließlich spezifischer Schwachstellen wie etwa der Verwendung quelloffener Komponenten oder der geografischen Risikoexposition. Die Maßnahme ist im Beitrag NIS2-Lieferkette vertieft.

Häufige Fragen

Welche zehn Maßnahmen sind gemeint?: § 30 BSIG zählt unter anderem Risikoanalyse, Sicherheit des Personals, Zugriffskontrolle, Kryptografie, Backup-Management, Vorfallbewältigung und Lieferkettensicherheit auf. Die Liste ist abschließend und durchgängig umzusetzen.
Was ist 'Stand der Technik'?: Ein dynamischer Begriff, der sich an Branchenstandards (ISO 27001, BSI-Grundschutz, NIST) und an den Empfehlungen der Aufsichtsbehörden orientiert. Eine reine Mindestumsetzung reicht nicht; der Stand der Technik verändert sich laufend.
Reicht eine ISO-27001-Zertifizierung?: Sie ist ein starker Baustein, deckt aber nicht alle NIS2-Anforderungen ab — insbesondere die persönliche Schulungs- und Meldepflicht der Geschäftsleitung. Eine Lückenanalyse ist erforderlich.
Wie dokumentieren wir die Umsetzung?: In einem Informationssicherheits-Management-System (ISMS) mit Maßnahmenkatalog, Risikoregister, Schulungsplan, Vorfalldokumentation und regelmäßigen Reviews.
Wer prüft die Umsetzung?: Wesentliche Einrichtungen unterliegen der Ex-ante-Aufsicht des BSI (regelmäßige Audits, anlassbezogene Prüfungen). Wichtige Einrichtungen unterliegen der Ex-post-Aufsicht (anlassbezogene Prüfung).

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.