Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Alle Beiträge
KRITIS · Dachgesetz · NIS-2

NIS-2 Umsetzungsgesetz: Pflichten für KRITIS-Betreiber

NIS2UmsuCG verpflichtet 29.500 Unternehmen zu Cybersicherheit, Meldungen binnen 24 Stunden und Vorstandshaftung. Operative Anleitung für KRITIS-Betreiber.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Investor & Autor · Founding Partner
Auf LinkedIn folgen

NIS-2 Umsetzungsgesetz: Pflichten für KRITIS-Betreiber

Das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) verschiebt die Cybersicherheitspflichten in Deutschland auf eine neue Grundlage. Der Geltungsbereich wächst um den Faktor zwanzig gegenüber dem alten BSI-Gesetz. Vorstände haften persönlich. Meldefristen werden auf 24 Stunden verkürzt. Wer den Stichtag verpasst, riskiert Bußgelder bis 10 Millionen Euro.

Das NIS-2 Umsetzungsgesetz im Überblick

Das NIS2UmsuCG setzt die NIS-2-Richtlinie 2022/2555 in nationales Recht um. Die EU-Frist zur Umsetzung lief am 17. Oktober 2024 ab. Deutschland hat diese Frist verpasst. Der Bundestag arbeitet weiter am Gesetzentwurf, Vollzug wird ab 2025 erwartet.

Die Zahlen sind operativ relevant. Rund 29.500 Unternehmen in Deutschland fallen unter den neuen Geltungsbereich. Davon werden etwa 1.500 als wesentliche Einrichtungen klassifiziert, der Rest als wichtige Einrichtungen. Das alte BSI-Gesetz erfasste rund 1.700 Betreiber. Der Sprung beträgt also etwa Faktor siebzehn.

Die Schwellenwerte für wichtige Einrichtungen liegen bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz (NIS-2-Richtlinie Art. 3). Wesentliche Einrichtungen sind ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz betroffen. Die KRITIS-Verordnung definiert zusätzliche Anlagenschwellen, etwa für Krankenhäuser und Wasserwerke (BSI-KritisV).

18 Sektoren sind betroffen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienste, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung.

Nächster Schritt: KRITIS-Anforderungen und Sektor-Zuordnung prüfen.

Wer fällt unter das Gesetz

Wesentliche Einrichtungen umfassen Energieversorger ohne Größenschwelle, Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr und Wasserwerke ab 22 Millionen Kubikmeter Jahresabgabe (BSI-KritisV). Die Schwellen stammen aus der KRITIS-Verordnung und gelten parallel zu den allgemeinen NIS-2-Schwellen.

Wichtige Einrichtungen sind Lebensmittelproduzenten ab Mittelstandsgröße, Chemieunternehmen, Maschinen- und Anlagenbau sowie Postdienstleister. Hier greift die 50-Mitarbeiter-Schwelle. Wer knapp darunter liegt, sollte den Drei-Jahres-Trend dokumentieren.

Die Selbstregistrierung beim BSI ist Pflicht. Es gibt keine behördliche Zustellung eines Bescheids. Der Betreiber prüft eigenständig, ob er unter das Gesetz fällt, und meldet sich an. Verspätete Registrierung gilt als Pflichtverletzung. Das BSI ist nach § 1 BSIG zuständige nationale Behörde (BMI zur NIS-2-Umsetzung).

Konzernstrukturen verlangen Einzelprüfung. Jede Tochtergesellschaft bewertet ihren Status selbst. Eine automatische Befreiung durch die Mutter existiert nicht. Bei Shared-Service-Centern muss klar sein, wer für welche Anlage haftet.

Zulieferer fallen indirekt unter die Lieferkettenpflichten der Hauptbetreiber. Wer NIS-2-Betreiber beliefert, wird vertraglich zu Sicherheitsmaßnahmen verpflichtet. Das gilt für IT-Dienstleister, Reinigungsfirmen mit Zutritt und Wartungsunternehmen.

Nächster Schritt: NIS-2 Compliance bei Quarero zur Geltungsbereichsprüfung konsultieren.

Vorstandshaftung und persönliche Sanktionen

Die Geschäftsleitung haftet persönlich für Verstöße. Eine Enthaftung durch Delegation an den CISO oder einen externen Dienstleister ist ausgeschlossen. Der Vorstand muss Risikomanagement genehmigen, überwachen und dokumentieren.

Die Bußgelder sind gestaffelt. Wesentliche Einrichtungen zahlen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist (NIS-2-Richtlinie Art. 34). Wichtige Einrichtungen zahlen bis 7 Millionen Euro oder 1,4 Prozent. Bußgelder werden gegen die Einrichtung verhängt, persönliche Sanktionen gegen Leitungsorgane treten hinzu.

Schulungen der Leitungsorgane sind verpflichtend. Inhalt: Risikomanagement, Cyberbedrohungen, regulatorische Pflichten. Die Schulung ist dokumentationspflichtig. Bei Audits prüft das BSI die Teilnahmenachweise.

Es gilt eine faktische Beweislastumkehr. Der Vorstand muss aktiv nachweisen, dass er Sorgfaltspflichten erfüllt hat. Reine Behauptung genügt nicht. Vorstandsbeschlüsse, Risikoberichte und Schulungsnachweise gehören in die Akten.

D&O-Versicherungen helfen nur begrenzt. Vorsätzliche Pflichtverletzungen sind regelmäßig ausgeschlossen. Bei grober Fahrlässigkeit kürzen Versicherer die Leistung. Wer die Schulung versäumt hat, gerät schnell in den Bereich der groben Fahrlässigkeit.

Nächster Schritt: Vorstandshaftung unter NIS-2 im Detail für die Aktendokumentation prüfen.

Zehn technische und organisatorische Mindestmaßnahmen

Artikel 21 der NIS-2-Richtlinie listet zehn Maßnahmenbereiche, die jede Einrichtung umsetzen muss. Diese sind nicht optional.

  1. Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen, jährlich überprüft.
  2. Bewältigung von Sicherheitsvorfällen mit dokumentierten Reaktionsplänen und definierter Eskalation.
  3. Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellung nach Notfall und Krisenmanagement nach BCM-Logik.
  4. Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Anbietern und Dienstleistern.
  5. Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement.
  6. Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset-Management.
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation.

Punkt 9 schließt physische Absicherung der IT-Standorte und kritischen Perimeter ein. Zugriffskontrolle ist nicht nur ein Login. Wer ins Rechenzentrum kommt, ist Teil der Asset-Sicherheit. Autonome Überwachung an Perimetern zählt zur Umsetzung.

Nächster Schritt: Gap-Analyse gegen alle zehn Punkte führen, Verantwortliche je Maßnahme benennen.

Meldepflichten an das BSI

Die Meldefristen sind dreistufig und gelten kumulativ.

Die Frühwarnung erfolgt innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls. Inhalt: erste Einschätzung, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückgeht und grenzüberschreitende Auswirkungen hat.

Die Vorfallsmeldung folgt innerhalb von 72 Stunden nach Kenntnis. Sie enthält eine erste Bewertung, Schadensumfang und Indikatoren für eine Kompromittierung. Bei wesentlichen Einrichtungen kann das BSI Zwischenberichte anfordern.

Der Abschlussbericht ist innerhalb eines Monats nach der Vorfallsmeldung einzureichen. Er beschreibt den Vorfall im Detail: Art der Bedrohung, ergriffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen, sofern vorhanden.

Ein Vorfall ist erheblich, wenn er eine schwerwiegende Betriebsstörung verursacht, finanzielle Schäden für die Einrichtung herbeiführt oder Auswirkungen auf Dritte mit erheblichem materiellem oder immateriellem Schaden hat. Die Schwelle ist niedriger als unter dem alten BSI-Gesetz.

Meldungen erfolgen über das BSI-Meldeportal. Die 24/7-Erreichbarkeit der internen Meldestelle ist zu gewährleisten. Vorfälle am Wochenende sind nicht ausgenommen. Wer Freitagabend einen Ransomware-Angriff erkennt, meldet bis Samstagabend.

Nächster Schritt: Meldekette und Rufbereitschaft definieren, Testlauf mit fiktivem Vorfall durchführen.

Physische Sicherheit als Bestandteil der NIS-2-Pflichten

Anhang I Nummer 4 der Richtlinie fordert ausdrücklich Sicherheit der Anlagen, einschließlich physischer Zugangskontrolle. NIS-2 ist nicht rein Cyber. Wer die physische Ebene vernachlässigt, erfüllt die Mindestmaßnahmen nicht.

Konkret betroffen sind Serverräume, Umspannwerke, Wasseraufbereitungsanlagen, Rechenzentren und Telekommunikationsknoten. Die Perimeter müssen gesichert sein, der Zutritt protokolliert, ungewöhnliche Bewegungen erkannt.

Autonome Patrouillenroboter dokumentieren Begehungen lückenlos. Jede Runde erzeugt Logdaten mit Zeitstempel, GPS-Position und Sensordaten. Diese Aufzeichnungen sind Beweismittel für Audits durch das BSI. Eine Streife mit Stechuhr liefert diese Tiefe nicht.

Der QR-2 mit Wärmebildkamera erkennt Eindringlinge bei Dunkelheit und schlechter Sicht. Der QR-3 mit LiDAR-Sensorik detektiert Drohnen über sensiblen Anlagen, etwa über Umspannwerken oder Trinkwasserspeichern. Beide Modelle liefern Daten an das Security Operations Center in Echtzeit.

Der Kostenrahmen ist berechenbar. Ein QR-2 im Robotics-as-a-Service-Modell kostet 3.500 Euro monatlich (Quarero Robotics Preisliste 2025). Ein 24/7-Wachposten mit Manteltarifvertrag, Zuschlägen und Vertretung kostet 15.000 bis 25.000 Euro pro Monat (BDSW Lohnübersicht 2024). Der Roboter ersetzt die Streife nicht vollständig, deckt aber 80 Prozent der Routinerunden ab (Quarero Robotics Betriebsdaten 2024).

Nächster Schritt: QR-2 für 24/7-Außenperimeter für die Anlagensicherung evaluieren.

Umsetzungsplan in zwölf Wochen

Wer im Januar startet, ist Ende März prüfungsfähig. Der Plan ist sequenziell, nicht parallel.

Woche 1 bis 2: Geltungsbereichsprüfung. Welcher Sektor, welche Schwellenwerte, welche Tochtergesellschaften. Selbstregistrierung beim BSI vorbereiten. Verantwortliche je Geschäftseinheit benennen.

Woche 3 bis 4: Gap-Analyse gegen die zehn Mindestmaßnahmen aus Artikel 21. Dokumentationsstand erfassen. Lücken priorisieren nach Risiko und regulatorischer Sichtbarkeit.

Woche 5 bis 8: Risikomanagement etablieren oder anpassen. Notfallpläne testen, nicht nur schreiben. Lieferantenverträge anpassen, mindestens für die kritischen zwanzig Prozent der Anbieter. Zugriffskontrolle und Multi-Faktor-Authentifizierung implementieren.

Woche 9 bis 10: Vorstandsschulung durchführen. Meldeprozesse aufsetzen, inklusive 24/7-Erreichbarkeit. Rufbereitschaftspläne dokumentieren. Erste Trockenübung der Meldung an das BSI.

Woche 11 bis 12: Physische Absicherung prüfen. Perimeter begehen, Schwachstellen identifizieren. Pilotbetrieb autonomer Perimeterüberwachung starten. Abschlussdokumentation für den ersten Audit-Zyklus.

Nächster Schritt: Robotics-as-a-Service Modell für die Pilotphase prüfen.

Schnittstellen zum KRITIS-Dachgesetz

NIS-2 regelt Cybersicherheit. Das KRITIS-Dachgesetz regelt physische Resilienz. Beide Gesetze gelten parallel und überschneiden sich an mehreren Punkten. Der Entwurf des KRITIS-Dachgesetzes liegt als Bundestags-Drucksache 20/9262 vor.

Betreiber, die unter beide Regelwerke fallen, registrieren sich beim BSI für NIS-2 und beim BBK für KRITIS. Das BBK koordiniert Bevölkerungsschutz und führt das Register der kritischen Anlagen. Doppelte Registrierung bedeutet nicht doppelte Arbeit, solange Stammdaten und Risikodokumente zentral gepflegt werden.

Der Resilienzplan nach KRITIS-Dachgesetz und das Informationssicherheitskonzept nach NIS-2 sind getrennt zu führen. Inhaltlich sind sie zu verzahnen. Wer ein Umspannwerk gegen Sabotage schützt, schützt auch die SCADA-Steuerung. Doppelarbeit vermeidet, wer ein gemeinsames Risikoregister pflegt.

Gemeinsame Audits sind sinnvoll. Lieferantenprüfungen, Personalsicherheit und Zutrittskontrollen erscheinen in beiden Regimen. Wer einmal prüft und beide Anforderungen abdeckt, spart Aufwand. Die Prüfer akzeptieren kombinierte Nachweise, sofern Zuordnung klar ist.

Vorstandshaftung ist in beiden Gesetzen verankert. Schulungspflichten kumulieren: Cyber-Inhalte nach NIS-2 plus Resilienz-Inhalte nach KRITIS-Dachgesetz. Eine kombinierte Jahresschulung deckt beide ab, wenn Curriculum und Dokumentation stimmen.

Nächster Schritt: KRITIS-Dachgesetz Checkliste 2026 für die parallele Umsetzung nutzen.

Operative Konsequenz für Vorstand und Sicherheitsleitung

Das NIS2UmsuCG ist kein IT-Projekt. Es ist eine Vorstandsangelegenheit mit messbarem persönlichem Risiko. Wer den Stichtag verpasst, riskiert Bußgelder bis 10 Millionen Euro für die Einrichtung (NIS-2-Richtlinie Art. 34) und persönliche Haftung der Leitungsorgane. Wer formal registriert ist, aber die zehn Mindestmaßnahmen nicht belegen kann, steht beim ersten Audit ohne Verteidigung da.

Die operative Antwort besteht aus drei Schichten. Cyber-Risikomanagement nach Artikel 21. Meldebereitschaft mit 24/7-Erreichbarkeit und dokumentierten Prozessen. Physische Absicherung der Anlagen, einschließlich autonomer Perimeterüberwachung dort, wo Wachpersonal zu teuer oder nicht verfügbar ist.

Der Kostenvergleich Wachschutz zeigt, wo Robotics-as-a-Service die Wachposten ergänzt. Die Entscheidung ist nicht ideologisch. Sie ist eine Frage der Audit-Tiefe und der monatlichen Betriebskosten.

Für die Geltungsbereichsprüfung, die Gap-Analyse und die Auswahl der physischen Maßnahmen führt der Weg über NIS-2 Compliance bei Quarero. Dort liegt die strukturierte Vorgehensweise für Betreiber, die parallel NIS-2 und KRITIS-Dachgesetz erfüllen müssen.

Übersetzungen

Mehr aus diesem Cluster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →