NIS-2 BSI Aufsicht: Pflichten, Fristen, Bußgelder 2026
NIS-2 BSI Aufsicht ab 2026: Registrierung, 24-Stunden-Meldung, Auditverfahren, Bußgelder bis 10 Mio. EUR. Operativer 14-Wochen-Plan für Vorstände.
NIS-2 BSI Aufsicht: Pflichten und Sanktionsrahmen für mittlere KRITIS-Betreiber
Das NIS2UmsuCG bringt einen neuen Aufsichtsmodus. Das BSI prüft Risikomanagement, Meldewege und physische Sicherheit. Bußgelder reichen bis 10 Mio. EUR. Vorstände haften persönlich. Dieser Beitrag ordnet den Rechtsrahmen, die Fristen und die operativen Konsequenzen für Betreiber zwischen 50 und 2.000 Mitarbeitern.
NIS-2 BSI Aufsicht: Der gesetzliche Rahmen 2026
Die NIS-2-Richtlinie wird in Deutschland über das NIS2UmsuCG in nationales Recht überführt. Das BSI wird zentrale Aufsichtsbehörde für wesentliche und wichtige Einrichtungen. Seine Befugnisse umfassen Registrierung, Audits, Anordnungen und Bußgelder. Die NIS-2-Richtlinie verpflichtet Einrichtungen zu Risikomanagement, Meldepflichten innerhalb von 24 Stunden und Nachweis physischer Sicherheitsmaßnahmen.
Die Aufsicht erstreckt sich auf beide Ebenen: Cybersicherheits-Risikomanagement nach Art. 21 NIS-2 und physische Sicherheitsmaßnahmen am Perimeter. Die Trennung von IT und physischer Sicherheit, die in vielen Organigrammen noch besteht, ist mit NIS-2 nicht mehr haltbar.
Der Geltungsbereich umfasst 18 Sektoren. Dazu zählen Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post, Abfall, Chemie, Lebensmittel, Maschinenbau, digitale Anbieter und Forschung. Die Schwellenwerte aktivieren die Pflichten automatisch: 50 oder mehr Mitarbeiter beziehungsweise 10 Mio. EUR Jahresumsatz.
Die Selbstidentifikation ist verpflichtend. Das BSI veröffentlicht keine vollständige Betreiberliste. Wer unterhalb der Wahrnehmungsschwelle der Behörde bleibt, ist nicht entbunden. Die Beweislast für die Nicht-Anwendbarkeit liegt beim Betreiber. Siehe auch die NIS-2 Compliance Übersicht.
Registrierungspflicht beim BSI: Fristen und Daten
Die Registrierung erfolgt über das BSI-Meldeportal. Die Frist beträgt drei Monate nach Inkrafttreten der jeweiligen Pflicht. Eine verspätete oder unvollständige Registrierung ist sanktionsbewehrt.
Anzugebende Daten:
- Firmenname und Rechtsform.
- Sektor und Teilsektor nach Anhang I oder II.
- IP-Bereiche und Domains der genutzten Infrastruktur.
- Zuständige Person für IT-Sicherheit.
- 24/7-Kontaktstelle mit Telefon und E-Mail.
Bei jeder wesentlichen Änderung gilt eine Aktualisierungspflicht innerhalb von zwei Wochen. Wesentlich ist jede Änderung der Sektorzugehörigkeit, der Kontaktstelle oder der IP-Adressblöcke. Falschangaben oder verspätete Registrierung führen zu Bußgeldern bis 7 Mio. EUR oder 1,4 Prozent des Jahresumsatzes.
Wichtig für KRITIS-Betreiber: Die Verknüpfung mit der KRITIS-Dachgesetz-Registrierung beim BBK erfolgt nicht automatisch. Es handelt sich um zwei separate Verfahren mit unterschiedlichen Behörden, Formularen und Fristen. Das KRITIS-Dachgesetz ergänzt NIS-2 um die Pflichten zur physischen Resilienz und verlangt separate Registrierung beim BBK. Operative Anleitung zur Registrierung beim Bundesamt: BBK-Registrierung Schritt für Schritt.
Nachweispflichten: Was das BSI sehen will
Die Aufsicht ist dokumentenbasiert. Ohne lesbare Nachweise gilt eine Maßnahme als nicht umgesetzt. Das BSI prüft folgende Bausteine:
Risikoanalyse nach Art. 21 NIS-2. Dokumentierte Bewertung physischer und logischer Angriffsvektoren. Pflicht zur Aktualisierung bei wesentlichen Änderungen, mindestens jährlich.
Maßnahmenkatalog. Zugangskontrolle, Perimeterschutz, Detektion, Incident Response, Kryptographie, Schwachstellenmanagement, Backup, Business Continuity. Jeder Punkt mit verantwortlicher Rolle und Reifegradbewertung.
Lieferkettensicherheit. Bewertung kritischer Zulieferer und Dienstleister. Das schließt Wachdienste, Cloud-Provider und Wartungsunternehmen ein. Verträge müssen Sicherheitsanforderungen und Auditrechte enthalten.
Schulungsnachweise. Geschäftsleitung und technisches Personal mit jährlicher Wiederholung. Teilnahmebestätigungen, Inhalte und Datumsnachweise sind aufzubewahren.
Technische Logs. SIEM-Daten, Zutrittsprotokolle, Perimeter-Sensorik. Mindestaufbewahrung zwölf Monate, abrufbar innerhalb 48 Stunden auf Anfrage. Vgl. BSI-Empfehlungen nach BSIG §8a Abs. 3.
Das BSI ist nach BSIG zentrale Aufsichtsbehörde für KRITIS-Betreiber und führt Registrierung, Prüfungen und Sanktionen durch. Die Nachweispflichten gelten unabhängig davon, ob die Behörde aktiv prüft.
Meldepflichten: 24-Stunden-Frühwarnung und Folgeberichte
Die Meldekette ist dreistufig und nicht verhandelbar:
- Erstmeldung innerhalb 24 Stunden. Frühwarnung an das BSI mit Angabe, ob der Vorfall mutmaßlich durch rechtswidrige Handlung ausgelöst wurde und ob grenzüberschreitende Auswirkungen möglich sind.
- Detailbericht innerhalb 72 Stunden. Erste Schadensbewertung, Indicators of Compromise, betroffene Systeme, Status der Eindämmung.
- Abschlussbericht innerhalb eines Monats. Root-Cause-Analyse, vollständige Schadensdarstellung, Lessons Learned, geplante Folgemaßnahmen.
Die Erheblichkeitsschwelle ist auslegungsbedürftig. Sie greift bei signifikanter Betriebsstörung, finanziellem Schaden über einem behördlich festgelegten Wert oder Auswirkung auf Dritte. Im Zweifel wird gemeldet, nicht zurückgehalten. Eine unterlassene Meldung wird härter sanktioniert als eine vorsorglich abgegebene.
Auch physische Vorfälle sind meldepflichtig, sofern IT-Systeme betroffen sind. Beispiele: Drohneneinflug über einem Rechenzentrum mit gleichzeitiger Funkstörung. Perimeterdurchbruch mit Zugang zu Server-Räumen. Sabotage an Stromversorgung mit Ausfall der Kühlung. Die operative Trennung zwischen Werkschutz und Security Operations Center muss durch eine gemeinsame Meldelogik überbrückt werden.
Auditverfahren und Vor-Ort-Prüfungen durch das BSI
Das NIS2UmsuCG unterscheidet zwei Aufsichtsmodi.
Wesentliche Einrichtungen unterliegen proaktiver Aufsicht. Das BSI prüft angekündigt und unangekündigt, ohne dass ein Vorfall vorliegen muss. Stichproben sind möglich.
Wichtige Einrichtungen werden reaktiv geprüft. Auslöser sind Vorfälle, Beschwerden oder konkrete Hinweise auf Verstöße.
Der Prüfungsumfang umfasst typischerweise:
- Dokumentationsreview der Risikoanalyse und des Maßnahmenkatalogs.
- Technische Tests, darunter Penetrationstests oder Konfigurationsprüfungen.
- Interviews mit Geschäftsleitung, CISO, Datenschutz, Werkschutzleitung.
- Vor-Ort-Inspektion am Perimeter, im Rechenzentrum, an Übergabepunkten.
Das BSI kann externe Auditoren beauftragen. Die Kosten trägt der Betreiber. Das gilt auch dann, wenn die Prüfung ohne Beanstandung endet. Nachweise zur Perimetersicherheit, Detektionstechnik und Reaktionsfähigkeit werden zunehmend Teil der Prüfung, nicht mehr nur die IT-Schicht.
Bußgelder und persönliche Haftung des Vorstands
Die Sanktionsstruktur ist zweistufig:
| Kategorie | Bußgeld maximal |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. EUR oder 2 % weltweiter Jahresumsatz |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4 % weltweiter Jahresumsatz |
Jeweils der höhere Betrag ist maßgeblich. Die Bemessung erfolgt nach Schwere, Dauer, Vorsatz und Kooperationsbereitschaft.
Die Geschäftsleitung haftet persönlich für die Umsetzung des Risikomanagements und die Teilnahme an Schulungen. Eine Delegation an den CISO entbindet den Vorstand nicht. D&O-Versicherungen schließen Verstöße gegen NIS-2-Pflichten zunehmend aus. Bestehende Deckungen sind erheblich eingeschränkt. Bestehende Policen sind zu prüfen.
Bei wesentlichen Einrichtungen kann das BSI als ultima ratio die zeitweise Untersagung von Leitungsfunktionen verfügen. Personalsanktionen auf Vorstandsebene waren im deutschen Wirtschaftsrecht bisher selten. NIS-2 markiert hier eine neue Aufsichtsqualität. Vertiefung in Vorstandshaftung unter NIS-2.
Physische Sicherheit als Bestandteil der NIS-2-Compliance
Art. 21 Abs. 2 lit. e NIS-2 fordert ausdrücklich Maßnahmen zur Sicherheit der physischen Umgebung von IT-Systemen. Das ist keine Auslegung, sondern Gesetzestext. Perimeterschutz, Zutrittskontrolle und Detektion sind unmittelbar prüfungsrelevant.
Die operative Herausforderung: Personelle Wachdienste liefern selten die geforderte Auditqualität. Streifenbücher sind nachträglich rekonstruierbar. Übergaben zwischen Schichten erzeugen Lücken. Laut Branchendaten der BDSW kosten personelle Wachdienste in DACH bei 24/7-Besetzung zwischen 15.000 und 25.000 EUR monatlich pro Posten. [Eigene Erhebung Quarero Robotics 2024, n=47 KRITIS-Standorte.] Vergleichsdaten siehe Wachschutzkosten im Vergleich.
Autonome Patrouillenroboter liefern lückenlose Auditlogs mit Zeitstempel, Standort und Sensorereignis. Die Plattformen QR-2 und QR-3 von Quarero erzeugen forensisch verwertbare Datensätze. Der BSI-Auditor liest diese in derselben Logik wie SIEM-Daten. Thermalerkennung und LiDAR-Detektion erfüllen die Anforderung an kontinuierliche Überwachung kritischer Zonen. Das gilt insbesondere nachts und bei Witterungsbedingungen, in denen Kameras allein versagen.
Was funktioniert, was nicht:
- Funktioniert: Roboter für wiederkehrende Patrouillen entlang definierter Routen, Detektion an Außenzaun und Übergabepunkten, Pre-Trigger-Aufzeichnung für Auditzwecke.
- Kein Ersatz für Personal: Eskalation bei aktiver Bedrohung, Festsetzung von Personen und Schlüsselgewalt für Innenräume erfordern weiterhin Personal nach §34a.
Robotics-as-a-Service vermeidet CapEx und ermöglicht Skalierung innerhalb der NIS-2-Umsetzungsfristen. Das Robotics-as-a-Service Modell und die Plattform QR-3 für KRITIS-Perimeter sind so kalibriert, dass sie als Audit-Evidenz akzeptiert werden. Das BMI koordiniert die nationale Umsetzung von NIS-2 und KRITIS-Dachgesetz und legt die Sektorabgrenzung fest, die operative Brücke zwischen IT und physischer Sicherheit liegt beim Betreiber.
14-Wochen-Plan zur NIS-2-Compliance
Der folgende Zeitplan ist für Betreiber zwischen 200 und 2.000 Mitarbeitern kalibriert. Größere Organisationen verlängern um vier bis sechs Wochen, kleinere verkürzen um zwei.
Wochen 1–2: Geltungsbereich und Selbstklassifikation. Sektorprüfung, Mitarbeiter- und Umsatzschwellen, Einordnung als wesentliche oder wichtige Einrichtung. Schriftliches Memo an die Geschäftsleitung mit Rechtsgrundlage und Konsequenzen.
Wochen 3–5: Registrierung und Rollen. BSI-Meldeportal vorbereiten, 24/7-Kontaktstelle benennen, interne Verantwortlichkeiten klären. Parallel BBK-Registrierung nach KRITIS-Dachgesetz prüfen, siehe KRITIS-Dachgesetz Checkliste 2026.
Wochen 6–9: Risikoanalyse und Maßnahmenkatalog. Gap-Assessment gegen Art. 21 NIS-2. Bestandsaufnahme Perimetertechnik, Zutrittskontrolle, SIEM, Backup. Maßnahmenkatalog mit Zeitplan und Verantwortlichen. Lieferkettenbewertung inklusive Wach- und Wartungsdienstleister.
Wochen 10–12: Schulung und Übung. Vorstandsschulung mit Teilnahmenachweis. Tabletop-Übung Incident Response unter Einschluss eines physischen Szenarios, etwa Drohneneinflug oder Perimeterdurchbruch. Lieferkettenprüfung abschließen.
Wochen 13–14: Dokumentation und Pilotbetrieb. Dokumentenpaket finalisieren, Versionierung und Freigaben dokumentieren. Pilotbetrieb Perimeterrobotik starten, um Auditevidenz auf Sensor- und Logebene zu erzeugen. Auditbereitschaft formell erklären.
Wer den Plan diszipliniert durchläuft, hält einer Erstprüfung stand. Wer ihn unterlässt, läuft in die Sanktionsspanne aus Abschnitt sechs.
Für eine konkrete Bewertung Ihres Standorts gegen NIS-2-Pflichten und für die Auslegung von Perimeterrobotik als Auditevidenz vereinbaren Sie ein vertrauliches Gespräch unter NIS-2 Beratungsgespräch buchen. Wir bringen die operative Erfahrung aus dem KRITIS-Dachgesetz-Handbuch (ESBN 978-3-912703-01-6) mit.