NIS2-Glossar

Besonders wichtige Einrichtung

Besonders wichtige Einrichtung (bwE)

Unternehmen in Sektoren hoher Kritikalität (Anhang I der NIS2-Richtlinie) oberhalb der Größenschwelle. In Deutschland unterliegen diese den strengsten Anforderungen und höchsten Bußgeldern nach §28 BSIG – Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur. Besonders wichtige Einrichtungen unterliegen proaktiver BSI-Aufsicht – das BSI kann ohne konkreten Anlass prüfen.

§28 Abs. 1 BSIG, NIS2-Richtlinie Art. 3 Abs. 1

Wichtige Einrichtung

Wichtige Einrichtung (wE)

Unternehmen in sonstigen kritischen Sektoren (Anhang II der NIS2-Richtlinie) oberhalb der Größenschwelle. Gleiche Kernpflichten wie besonders wichtige Einrichtungen, aber niedrigere Höchstbußgelder und reaktive statt proaktive Aufsicht – das BSI wird erst bei konkreten Hinweisen tätig. Typische Sektoren: Abfallwirtschaft, Lebensmittel, verarbeitendes Gewerbe, Post, Chemie, Forschung.

§28 Abs. 2 BSIG, NIS2-Richtlinie Art. 3 Abs. 2

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – die deutsche Umsetzung der NIS2-Richtlinie. Das NIS2UmsuCG hat das BSIG grundlegend novelliert und alle NIS2-Pflichten in deutsches Recht überführt. Wer in Deutschland von NIS2-Compliance spricht, meint die Einhaltung des novellierten BSIG – nicht der EU-Richtlinie selbst.

BSIG in der Fassung des NIS2UmsuCG

NIS2-Richtlinie

Die EU-Richtlinie (EU) 2022/2555 zur Netzwerk- und Informationssicherheit, die alle Mitgliedstaaten zur Umsetzung von Cybersicherheitsregulierung für wesentliche und wichtige Einrichtungen verpflichtet. Sie setzt Mindestanforderungen – jedes Land hat sie in nationales Recht umgesetzt. In Deutschland wurde daraus das novellierte BSIG. Sie müssen nicht die Richtlinie direkt einhalten, sondern das BSIG.

Richtlinie (EU) 2022/2555

CIR 2024/2690

Die Durchführungsverordnung (EU) 2024/2690 der Europäischen Kommission, die die genauen technischen und methodischen Anforderungen an NIS2-Einrichtungen konkretisiert. Anders als die Richtlinie gilt sie unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Sie definiert, was ‚angemessene Cybersicherheitsmaßnahmen' in der Praxis bedeuten – das technische Regelwerk, das die offenen Details der Richtlinie ausfüllt.

Durchführungsverordnung (EU) 2024/2690

BSI-Registrierung

BSI-Registrierung

Die Pflicht aller betroffenen Einrichtungen, sich beim BSI über dessen Online-Portal zu registrieren. Vorgeschrieben durch §33 BSIG mit eigenem Bußgeldtatbestand. Sie übermitteln Unternehmensdaten, Sektorklassifizierung, eine Cybersicherheits-Kontaktstelle und IP-Adressbereiche. Die Registrierung ist eine eigenständige Rechtspflicht – ihre Erfüllung ersetzt nicht die übrigen NIS2-Anforderungen, aber ihre Nichterfüllung ist ein eigener Verstoß.

§33 BSIG

Erheblicher Sicherheitsvorfall

Erheblicher Sicherheitsvorfall

Ein Cybersicherheitsereignis, das tatsächlich Dienste beeinträchtigt, finanziellen Schaden verursacht oder sich auf Dritte ausbreiten kann. Nicht jede Phishing-Mail – nur Ereignisse, die bestimmte Schwellenwerte überschreiten, lösen die BSI-Meldekaskade aus. Die CIR 2024/2690 definiert konkrete Schwellenwerte: finanzieller Schaden über 500.000 EUR oder 5% des Jahresumsatzes, Exfiltration von Geschäftsgeheimnissen oder Gefährdung von Leib und Leben.

§32 BSIG, CIR 2024/2690 Art. 3

Risikomanagementmaßnahmen

Risikomanagementmaßnahmen

Die zehn Kategorien von Cybersicherheitsmaßnahmen, die alle NIS2-Einrichtungen nach §30 BSIG umsetzen müssen. Sie reichen von Risikoanalyse und Vorfallbehandlung bis zu Lieferkettensicherheit und Kryptografie. Die Maßnahmen müssen ‚angemessen und verhältnismäßig' zu Größe und Risikoprofil sein – von einem 50-Personen-Entsorgungsbetrieb werden nicht die gleichen Kontrollen erwartet wie von der Deutschen Telekom.

§30 Abs. 2 BSIG

Sicherheit der Lieferkette

Sicherheit der Lieferkette

Die Pflicht, Cybersicherheitsrisiken in der Lieferkette zu bewerten und zu steuern – insbesondere bei IT-Dienstleistern, Cloud-Anbietern und allen Lieferanten mit Zugang zu Ihren Systemen oder Daten. Sie müssen Sicherheitsanforderungen vertraglich verankern, die Sicherheitspraktiken der Lieferanten bewerten und diese laufend überwachen. Dies ist neu gegenüber dem alten KRITIS-Regime.

§30 Abs. 2 Nr. 4 BSIG

Leitungsverantwortung

Leitungsverantwortung / Geschäftsführerhaftung

Die persönliche Haftung der Geschäftsleitung für NIS2-Compliance nach §38 BSIG. Die Geschäftsführung muss Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen – und kann persönlich für daraus entstehende Schäden haften. Diese Haftung kann nicht abbedungen werden – auch nicht durch Gesellschafterbeschluss. Diese Vorschrift hebt Cybersicherheit aus der IT-Abteilung in die Geschäftsleitung.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

Das IT-Sicherheitsframework des BSI – ein umfassendes System aus Sicherheitsbausteinen mit schrittweiser Umsetzungsanleitung. §44 Abs. 2 BSIG erkennt die Implementierung von Grundschutz ausdrücklich als Nachweis der NIS2-Compliance an. Da das BSI Grundschutz sowohl veröffentlicht als auch NIS2 durchsetzt, bedeutet die Nutzung ihres Frameworks, dass Sie gegen einen Standard geprüft werden, den der Prüfer in- und auswendig kennt.

§44 Abs. 2 BSIG, BSI-Standards 200-1 bis 200-4

Audit-Trail (Prüfpfad)

Die lückenlose, chronologische Dokumentation aller sicherheitsrelevanten Aktionen und Entscheidungen im Compliance-Prozess. NIS2 verlangt den Nachweis, dass Maßnahmen nicht nur dokumentiert, sondern tatsächlich umgesetzt und gepflegt werden. Der Audit-Trail zeigt dem BSI-Prüfer, dass Ihre Richtlinien gelebte Dokumente sind – wer eine Maßnahme genehmigt hat, wann sie zuletzt geprüft wurde, was sich geändert hat.

Mehrstufige Authentifizierung (MFA)

Authentifizierung, die zwei oder mehr Verifikationsfaktoren erfordert – typischerweise etwas, das Sie wissen (Passwort) und etwas, das Sie besitzen (Smartphone, Hardware-Schlüssel). §30 Abs. 2 Nr. 10 BSIG verlangt MFA für Fernzugriffe, administrative Zugänge und Zugriff auf kritische Systeme. Wenn Sie MFA noch nicht für VPN, Administratorkonten und E-Mail einsetzen, ist dies eine der konkretesten technischen Anforderungen zur Umsetzung.

§30 Abs. 2 Nr. 10 BSIG

§30 BSIG – Risikomanagementmaßnahmen

Die zentrale Vorschrift der NIS2-Umsetzung im deutschen Recht. Listet zehn Kategorien von Cybersicherheits-Risikomanagementmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen: Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitsbewertung, Schulung, Kryptografie, Zugangskontrolle und Mehrstufige Authentifizierung. Die Maßnahmen müssen ‚angemessen und verhältnismäßig' sein – nicht vergoldet, aber ernsthaft.

§30 BSIG

§32 BSIG – Meldepflichten

Meldepflichten

Die dreistufige Pflicht-Meldekaskade bei erheblichen Sicherheitsvorfällen. Bei einem erheblichen Vorfall: Frühwarnung an das BSI innerhalb von 24 Stunden, detaillierte Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Jede Stufe hat spezifische Inhaltsanforderungen. Verspätete oder fehlende Meldungen sind eigenständige Verstöße mit eigenen Bußgeldtatbeständen.

§32 BSIG

§33 BSIG – Registrierungspflicht

Registrierungspflicht

Die Rechtspflicht aller betroffenen Einrichtungen, sich beim BSI zu registrieren. Anzugeben sind Unternehmensdaten, Sektorklassifizierung, Cybersicherheits-Kontaktdaten und IP-Adressbereiche. Die Nichtregistrierung ist ein eigenständiger Verstoß mit Bußgeldern bis 500.000 EUR – unabhängig von Bußgeldern für fehlende tatsächliche Sicherheitsmaßnahmen.

§33 BSIG

§38 BSIG – Billigung von Risikomanagementmaßnahmen

Billigung von Risikomanagementmaßnahmen

Die Vorschrift, die die Geschäftsleitung persönlich für NIS2-Compliance haftbar macht. Die Geschäftsführung muss Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Pflichtverletzung begründet persönliche Schadensersatzhaftung – und diese Haftung kann nicht durch Gesellschafterbeschluss abbedungen werden. Dies ist der Paragraph, der CEOs aufhorchen lässt.

§38 BSIG

Anhang I der NIS2-Richtlinie – Sektoren hoher Kritikalität

Die Liste der Sektoren, deren Einrichtungen als ‚besonders wichtig' (besonders wichtige Einrichtungen) eingestuft werden, wenn sie die Größenschwelle erreichen. Umfasst: Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme), Transport (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum.

Anhang I NIS2-Richtlinie, §28 Abs. 1 BSIG

Anhang II der NIS2-Richtlinie – Sonstige kritische Sektoren

Die Liste der Sektoren, deren Einrichtungen als ‚wichtig' (wichtige Einrichtungen) eingestuft werden, wenn sie die Größenschwelle erreichen. Umfasst: Post- und Kurierdienste, Abfallwirtschaft, Chemische Herstellung und Vertrieb, Lebensmittelproduktion und -vertrieb, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen.

Anhang II NIS2-Richtlinie, §28 Abs. 2 BSIG

CSIRT (Computer Security Incident Response Team)

Computer-Notfallteam

Das nationale Team für die Entgegennahme und Bearbeitung von Cybersicherheitsvorfällen. In Deutschland fungiert das BSI als nationales CSIRT. Wenn Sie einen erheblichen Vorfall nach §32 BSIG melden, nimmt das BSI-CSIRT Ihre Meldung entgegen und bearbeitet sie. Es kann auch technische Unterstützung bei der Vorfallbewältigung leisten – es ist nicht nur ein Briefkasten, sondern eine operative Ressource.

NIS2-Richtlinie Art. 10, §32 BSIG