§30 BSIG

NIS2-Compliance-Checkliste

Eine strukturierte Übersicht aller wesentlichen NIS2/BSIG-Pflichten. Nutzen Sie diese, um Ihren aktuellen Status zu bewerten und Lücken zu identifizieren.

§30 BSIG definiert 10 verpflichtende Cybersicherheitsmaßnahmen, die jedes NIS2-betroffene Unternehmen in Deutschland umsetzen muss. Diese Maßnahmen sind nicht optional und nicht verhandelbar – sie gelten für alle besonders wichtigen Einrichtungen (bwE) und wichtigen Einrichtungen (wE) unabhängig von Größe oder Branche. Die CIR 2024/2690 ergänzt technische Details zu jeder Maßnahme.

Nutzen Sie diese Checkliste, um Ihren aktuellen Stand gegen jede Maßnahme zu bewerten, Lücken zu identifizieren und Ihre Umsetzung zu planen. Für jede Maßnahme listen wir die Kernanforderungen und die Nachweise auf, die das BSI bei einem Audit erwarten würde. Arbeiten Sie sie in der Prioritätsreihenfolge am Ende ab – sie bauen aufeinander auf, daher ist die Reihenfolge wichtig.

So nutzen Sie diese Checkliste
  • Arbeiten Sie jede Maßnahme der Reihe nach durch – sie bauen aufeinander auf
  • Dokumentieren Sie für jede Anforderung Ihren aktuellen Stand und identifizieren Sie Lücken
  • Fokus auf Nachweise: Fragen Sie bei jeder Anforderung „Wie würden wir das dem BSI beweisen?“

10 Pflichtmaßnahmen (§30 BSIG)

Jede Maßnahme unten entspricht §30(2) BSIG und wird durch CIR 2024/2690 weiter spezifiziert. Die Aufwandsbewertung bezieht sich auf ein typisches 100-Personen-Unternehmen, das bei Null anfängt.

1. Risikoanalyse & Informationssicherheitsrichtlinien
§30(2)(1) BSIG – Risikoanalyseprozesse und Informationssicherheitsrichtlinien etablieren. Dies ist das Fundament: Ohne Risikobewertung lässt sich keine andere Maßnahme begründen. Das BSI erwartet einen methodischen Ansatz (BSI-200-3 empfohlen), keine Ad-hoc-Risikolisten.

Kernanforderungen

  • Rahmenwerk für Informationssicherheitsmanagement etablieren
  • Regelmäßige Risikobewertungen aller kritischen Assets durchführen
  • Risikoakzeptanzkriterien und Behandlungsverfahren definieren
  • Sicherheitsrichtlinien mindestens jährlich pflegen und überprüfen

Erforderliche Nachweise

  • Dokumentierte Risikobewertung mit Asset-Inventar
  • Von der Geschäftsleitung unterzeichnete Informationssicherheitsrichtlinie
  • Risikobehandlungsplan mit zugewiesenen Verantwortlichen
Hoch – grundlegend, zuerst erledigen
2. Vorfallbehandlung
§30(2)(2) BSIG – Prozesse zur Erkennung, Bewältigung und Meldung von Sicherheitsvorfällen etablieren. §32 BSIG definiert strenge Meldefristen: Erstmeldung an das BSI innerhalb von 24 Stunden, Follow-up innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Sie brauchen Prozesse, die diese Fristen auch um 2 Uhr nachts an einem Sonntag einhalten können.

Kernanforderungen

  • Verfahren zur Vorfallserkennung, -klassifizierung und -eskalation definieren
  • 24h/72h/1M-Meldekaskade an das BSI gemäß §32 BSIG etablieren
  • Incident-Response-Rollen und Kontaktketten zuweisen
  • Nachbearbeitungs- und Lessons-Learned-Prozess implementieren

Erforderliche Nachweise

  • Incident-Response-Plan mit definierten Rollen und Verantwortlichkeiten
  • BSI-Meldevorlagen und Kommunikationsverfahren
  • Vorfallprotokoll mit Klassifizierung, Zeitachse und Lösungsprotokollen
Hoch – kritisch, erfordert getestete Prozesse, nicht nur Dokumentation
3. Betriebskontinuität & Krisenmanagement
§30(2)(3) BSIG – Kontinuität kritischer Dienste während und nach Sicherheitsvorfällen sicherstellen. Dies umfasst Backup-Management, Disaster Recovery und Krisenmanagement. Die CIR verlangt dokumentierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für kritische Systeme.

Kernanforderungen

  • Kritische Geschäftsprozesse und ihre IT-Abhängigkeiten identifizieren
  • RTO und RPO für kritische Systeme definieren
  • Backup-Verfahren implementieren und testen
  • Krisenmanagement- und Kommunikationsverfahren etablieren

Erforderliche Nachweise

  • Betriebskontinuitätsplan mit RTO/RPO pro kritischem System
  • Backup-Verfahren mit dokumentierten Testergebnissen
  • Krisenkommunikationsplan mit Notfallkontakten
Mittel – nutzt Ihre bestehende Backup-Infrastruktur
4. Lieferkettensicherheit
§30(2)(4) BSIG – Cybersicherheitsrisiken in der Lieferkette bewerten und managen. NIS2 erkennt an, dass Ihre Sicherheit nur so stark ist wie Ihr schwächster Lieferant. Sie müssen Lieferanten bewerten, die Zugang zu Ihren Systemen, Daten oder Netzwerken haben – und Sicherheitsanforderungen in Verträge aufnehmen.

Kernanforderungen

  • Alle Lieferanten mit Zugang zu Systemen, Daten oder Netzwerk inventarisieren
  • Cybersicherheitsstatus kritischer Lieferanten bewerten
  • Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen
  • Sicherheitsstatus der Lieferanten laufend überwachen

Erforderliche Nachweise

  • Lieferanteninventar mit Risikokategorisierung
  • Lieferantenbewertungsfragebögen oder Audit-Ergebnisse
  • Vertragsklauseln mit Bezug auf Cybersicherheitsanforderungen
Mittel – zeitaufwändig bei der erstmaligen Erfassung der Lieferantendaten
5. Sicherheit bei Beschaffung, Entwicklung & Wartung
§30(2)(5) BSIG – Sicherheitsaspekte bei Beschaffung, Entwicklung und Wartung von IT-Systemen berücksichtigen. Das bedeutet Sicherheitsanforderungen in Beschaffungsspezifikationen, Schwachstellenbehandlungsverfahren und sichere Konfigurationsbaselines für neue Systeme.

Kernanforderungen

  • Sicherheitsanforderungen für die IT-Beschaffung definieren
  • Schwachstellenbehandlungs- und Offenlegungsverfahren etablieren
  • Sichere Konfigurationsbaselines für neue Systeme implementieren
  • Sicherheitsprüfungen in Systemabnahmetests einbeziehen

Erforderliche Nachweise

  • Beschaffungsrichtlinien mit Sicherheitsanforderungen
  • Dokumentation des Schwachstellenmanagement-Prozesses
  • Sichere Konfigurationsstandards pro Systemtyp
Mittel – hauptsächlich Dokumentation, wenn bereits Beschaffungsprozesse bestehen
6. Wirksamkeitsbewertung
§30(2)(6) BSIG – Wirksamkeit der Cybersicherheits-Risikomanagementmaßnahmen bewerten. Das ist die Audit-Schleife: Sie müssen regelmäßig prüfen, ob Ihre Maßnahmen tatsächlich funktionieren, nicht nur ob sie existieren. KPIs, interne Audits und Korrekturmaßnahmenprozesse sind erforderlich.

Kernanforderungen

  • Kennzahlen und KPIs für Cybersicherheitswirksamkeit definieren
  • Regelmäßige interne Audits oder Bewertungen durchführen
  • Korrekturmaßnahmenverfahren für identifizierte Lücken implementieren
  • Wirksamkeitsergebnisse an die Geschäftsleitung berichten

Erforderliche Nachweise

  • Wirksamkeitsbewertungsberichte mit KPI-Messungen
  • Interner Auditplan und abgeschlossene Auditberichte
  • Korrekturmaßnahmenprotokoll mit Lösungsverfolgung
Mittel – erfordert, dass die anderen Maßnahmen bereits umgesetzt sind
7. Cybersicherheitsschulung & Sensibilisierung
§30(2)(7) BSIG – Cybersicherheitsschulungs- und Sensibilisierungsprogramme implementieren. Dies umfasst alle Mitarbeiter (jährliche Sensibilisierung), IT-Personal (rollenspezifische technische Schulungen) und Geschäftsleitung (§38-BSIG-Pflicht). Der Umfang ist breiter als die meisten Unternehmen erwarten.

Kernanforderungen

  • Jährliche Cybersicherheits-Sensibilisierung für alle Mitarbeiter durchführen
  • Rollenspezifische Schulungen für IT- und Sicherheitspersonal anbieten
  • Sicherstellen, dass die Geschäftsleitung die §38-BSIG-Schulung absolviert
  • Schulungsabschluss nachverfolgen und Aufzeichnungen führen

Erforderliche Nachweise

  • Schulungsplan mit Zielgruppen und Häufigkeiten
  • Schulungsabschlussnachweise mit Datum und Teilnehmerlisten
  • Managementschulungszertifikate gemäß §38 BSIG
Niedrig – viele Anbieter bieten fertige Schulungspakete an
8. Kryptographie & Verschlüsselung
§30(2)(8) BSIG – Angemessene Kryptographie- und Verschlüsselungsmaßnahmen implementieren. Dokumentieren Sie, welche Verschlüsselung Sie wo und warum einsetzen. Die CIR verlangt Verschlüsselung für ruhende und übertragene Daten sowie Schlüsselmanagement-Verfahren.

Kernanforderungen

  • Verschlüsselungsnutzung über Systeme und Datenflüsse inventarisieren
  • Verschlüsselung für ruhende und übertragene Daten implementieren
  • Schlüsselmanagement-Verfahren etablieren (Erzeugung, Speicherung, Rotation, Widerruf)
  • Kryptographische Algorithmenstandards gemäß BSI TR-02102 definieren

Erforderliche Nachweise

  • Kryptographierichtlinie mit Algorithmenstandards
  • Verschlüsselungsinventar: was wird wo und womit verschlüsselt
  • Dokumentation der Schlüsselmanagement-Verfahren
Niedrig bis Mittel – hauptsächlich Dokumentation dessen, was Sie bereits nutzen
9. Zugriffskontrolle & Asset-Management
§30(2)(9) BSIG – Zugriffskontrolle, Identitätsmanagement und Asset-Management implementieren. Dies kombiniert Zugriffsberechtigungen (Least-Privilege-Prinzip, rollenbasierter Zugriff) mit Asset-Inventarisierung. Das Asset-Inventar aus Maßnahme 1 fließt direkt hier ein.

Kernanforderungen

  • Rollenbasierte Zugriffskontrolle mit Least-Privilege-Prinzip implementieren
  • On-/Offboarding-Verfahren für Zugriffsbereitstellung etablieren
  • Asset-Inventar für Hardware, Software und Daten pflegen
  • Privileged Access Management für administrative Konten implementieren

Erforderliche Nachweise

  • Zugriffskontrollrichtlinie mit Rollendefinitionen
  • On-/Offboarding-Checklisten mit Zugriffsprüfungsprotokollen
  • Asset-Inventar mit zugewiesenen Verantwortlichen und Klassifizierung
Hoch – erfordert operative Prozessänderungen, nicht nur Dokumentation
10. Multi-Faktor-Authentifizierung & Sichere Kommunikation
§30(2)(10) BSIG – Multi-Faktor-Authentifizierung und sichere Kommunikationsmaßnahmen implementieren. MFA ist für Fernzugriff, administrativen Zugriff und Zugriff auf kritische Systeme erforderlich. Sichere Kommunikation bedeutet verschlüsselte E-Mail, Messaging und Sprache für vertrauliche Informationen.

Kernanforderungen

  • MFA für Fernzugriff, VPN und administrative Konten implementieren
  • MFA für den Zugang zu kritischen Geschäftsanwendungen einführen
  • Sichere Kommunikationskanäle für vertrauliche Informationen etablieren
  • Notfallzugriffsverfahren bei MFA-Ausfall implementieren

Erforderliche Nachweise

  • MFA-Bereitstellungsdokumentation mit abgedeckter Systemliste
  • Richtlinie für sichere Kommunikation und Tool-Inventar
  • Notfallzugriffsverfahren mit Break-Glass-Dokumentation
Mittel – technische Implementierung erforderlich, wenn MFA noch nicht eingeführt ist
Prioritätsreihenfolge
Nicht alle Maßnahmen sind gleich dringend. Diese Prioritätsreihenfolge spiegelt Abhängigkeiten wider – spätere Maßnahmen bauen auf früheren auf – und das Durchsetzungsrisiko. Beginnen Sie mit dem, wonach das BSI zuerst fragen wird.
1

Sofort beginnen

Maßnahmen 1 (Risikoanalyse), 2 (Vorfallbehandlung), 9 (Zugriffskontrolle & Assets). Diese sind grundlegend – alles andere baut darauf auf.

2

Wochen 3–6

Maßnahmen 3 (Kontinuität), 4 (Lieferkette), 7 (Schulung). Diese erfordern das Asset-Inventar aus Maßnahme 1.

3

Wochen 7–12

Maßnahmen 5 (Beschaffung), 6 (Wirksamkeit), 8 (Kryptographie), 10 (MFA). Diese bauen auf den in Stufe 2 etablierten Kontrollen auf.

Ihren Fortschritt verfolgen
Die Plattform unterteilt jede dieser 10 Maßnahmen in strukturierte Anforderungen mit Nachweisupload, Management-Sign-offs und Fortschrittsverfolgung – damit Sie immer genau wissen, wo Sie stehen und was noch zu tun ist.
NIS2-Compliance-Prozess starten