§44 BSIG

NIS2 und IT-Grundschutz

§44 Abs. 2 BSIG bietet eine rechtliche Abkürzung: Die Umsetzung von IT-Grundschutz gilt als anerkannter Nachweis der NIS2-Compliance in Deutschland.

Die rechtliche Kette

Deutsche Unternehmen haben gegenüber ihren europäischen Pendants einen einzigartigen Vorteil bei der NIS2-Compliance. Während Unternehmen in Frankreich, Italien oder den Niederlanden direkt aus der NIS2-Richtlinie und der EU-Durchführungsverordnung arbeiten müssen, können deutsche Unternehmen den IT-Grundschutz nutzen – eine etablierte, vom BSI gepflegte Methodik, die seit über 25 Jahren der Standard für Informationssicherheit in Deutschland ist.

§44 Abs. 2 BSIG bietet die rechtliche Abkürzung: Unternehmen, die IT-Grundschutz umsetzen, können dies als Nachweis der NIS2-Compliance verwenden. Dies ist keine informelle Empfehlung – es ist im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik kodifiziert. Das BSI entwickelt und pflegt sowohl das Grundschutz-Framework als auch das NIS2-Durchsetzungsregime und stellt so die Abstimmung by Design sicher.

Diese Seite bildet die gesamte rechtliche Kette von der EU-NIS2-Richtlinie über die deutsche Umsetzung bis zur praktischen Implementierungsmethodik ab. Das Verständnis dieser Kette ist für jeden Compliance-Verantwortlichen essenziell: Sie zeigt genau, welche Anforderungen woher kommen, warum sie bestehen und wie sie mit dokumentierten Nachweisen erfüllt werden.

Von der EU-Richtlinie zur deutschen Praxis
NIS2-Compliance in Deutschland folgt einer vierstufigen rechtlichen Kette. Jede Stufe fügt Spezifität hinzu – von übergeordneten Zielen bis hin zu konkreter Umsetzungsanleitung.
1

NIS2-Richtlinie

EU-Richtlinie 2022/2555 – der EU-weite Cybersicherheitsrahmen

2

BSIG

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – setzt NIS2 in deutsches Recht um

3

CIR 2024/2690

EU-Durchführungsverordnung – definiert die technischen Mindestmaßnahmen

4

IT-Grundschutz

BSI-Methodik – das etablierte deutsche Framework zur Umsetzung dieser Maßnahmen

§44 Abs. 2 BSIG: Grundschutz gleich Compliance
Die rechtliche Abkürzung, die die meisten Unternehmen nicht kennen.

§44 Abs. 2 BSIG besagt, dass die Einhaltung der Anforderungen des §30 BSIG durch die Umsetzung anerkannter Standards nachgewiesen werden kann – und verweist ausdrücklich auf den IT-Grundschutz als solchen Standard. Das bedeutet: Wenn Sie Grundschutz nach der Methodik BSI-200-1 bis BSI-200-4 umsetzen, haben Sie eine gesetzlich anerkannte Grundlage für den Nachweis Ihrer NIS2-Compliance. Dies ist kein Freifahrtschein – Sie brauchen weiterhin Nachweise – aber es gibt Ihnen eine klare, BSI-anerkannte Methodik als Leitfaden.

In der Praxis bedeutet das: Sie müssen die NIS2-Richtlinie oder die CIR 2024/2690 nicht von Grund auf interpretieren. Das Grundschutz-Kompendium bildet die technischen Anforderungen bereits auf spezifische Bausteine und Anforderungen ab. Wenn das BSI Ihre NIS2-Compliance prüft, prüft es gegen eine Methodik, die es selbst entwickelt hat – nicht gegen eine abstrakte EU-Richtlinie. Diese Abstimmung eliminiert die Interpretationslücke, unter der Unternehmen in anderen EU-Mitgliedstaaten leiden.

Für BSI-Prüfer ist die Grundschutz-Umsetzung vertrautes Terrain. Sie prüfen seit Jahrzehnten nach Grundschutz. Das bedeutet Prüfungseffizienz: Die Prüfer wissen genau, welche Nachweise zu erwarten sind, die Terminologie ist standardisiert, und die Methodik ist auf Deutsch dokumentiert. Vergleichen Sie das mit der Verteidigung eines Ad-hoc-Compliance-Ansatzes gegen die englischsprachige CIR – der praktische Vorteil ist erheblich.

CIR 2024/2690: Die technische EU-Baseline
Die EU-Durchführungsverordnung, die das technische Minimum definiert, das jeder EU-Mitgliedstaat durchsetzen muss.

Die CIR 2024/2690 (Durchführungsverordnung der Kommission) wurde am 17. Oktober 2024 veröffentlicht und legt die technischen und methodischen Anforderungen für die NIS2-Compliance in der gesamten EU fest. Sie gilt unmittelbar – keine Umsetzung erforderlich – und definiert die Mindestmaßnahmen, die alle wesentlichen und wichtigen Einrichtungen umsetzen müssen. Dies ist die Untergrenze, nicht die Obergrenze.

Die CIR umfasst insbesondere DNS-Diensteanbieter, TLD-Registrierungsstellen, Cloud-Computing-Dienste, Rechenzentren, Content-Delivery-Netzwerke, Managed Services, Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdiensteanbieter. Das BSIG dehnt diese technischen Anforderungen jedoch auf alle NIS2-erfassten Sektoren in Deutschland aus, wodurch die technischen Maßnahmen der CIR zum De-facto-Standard für alle werden.

Das Grundschutz-Kompendium deckt jede Anforderung der CIR ab und geht darüber hinaus. Wo die CIR ‚Zugriffskontrolle implementieren' sagt, spezifiziert der Grundschutz genau wie – durch Bausteine wie ORP.4 (Identitäts- und Berechtigungsmanagement) mit schrittweiser Umsetzungsanleitung. Deshalb erkennt §44 Abs. 2 BSIG den Grundschutz an: Er ist eine Obermenge der CIR-Anforderungen, nicht nur ein Äquivalent.

IT-Grundschutz vs. ISO 27001 für NIS2
Beide sind anerkannte Informationssicherheits-Frameworks, aber für die NIS2-Compliance in Deutschland sind sie nicht gleichwertig.

BSI-Anerkennung

IT-Grundschutz wird in §44 Abs. 2 BSIG ausdrücklich als anerkannter Standard zum Nachweis der NIS2-Compliance referenziert. Eine ISO 27001-Zertifizierung kann Ihren Fall unterstützen, wird aber nicht spezifisch im Gesetz genannt. Wenn das BSI sowohl Autor des Frameworks als auch Durchsetzungsbehörde ist, zählt die Abstimmung.

Anforderungsabdeckung

Der Grundschutz deckt 100 % der CIR 2024/2690-Anforderungen durch seine Kompendium-Bausteine ab. ISO 27001 deckt Informationssicherheitsmanagement breit ab, adressiert aber nicht spezifisch alle §30 BSIG-Maßnahmen – insbesondere die NIS2-spezifischen Vorfallmeldefristen, Lieferkettenpflichten und die Geschäftsführerhaftung. Sie bräuchten ISO 27001 plus zusätzliche Lückenfüllung.

Sprache & Methodik

Der Grundschutz wird auf Deutsch, vom BSI, für deutsche Organisationen entwickelt. Die Terminologie entspricht exakt dem BSIG. ISO 27001 ist ein internationaler Standard in englischer Sprache mit anderer Terminologie und einer weniger präskriptiven Methodik. Für ein 100-Personen-Mittelstandsunternehmen ist die konkrete, deutschsprachige Umsetzungsanleitung des Grundschutzes deutlich praktischer als die abstrakten Kontrollziele von ISO 27001.

Warum das für Ihr Unternehmen wichtig ist
Für mittelständische deutsche Unternehmen bietet der Grundschutz-Weg drei konkrete Vorteile gegenüber alternativen Compliance-Ansätzen.

Prüfungsvorteil

Wenn das BSI Ihre NIS2-Compliance prüft, bedeutet die Vorlage grundschutz-strukturierter Nachweise, dass der Prüfer Ihre Sprache spricht. Methodik, Dokumentationsstruktur und Nachweiserwartungen sind standardisiert. Das führt zu schnelleren Prüfungen, weniger Missverständnissen und klareren Ergebnissen.

BSI-Abstimmung

Das BSI veröffentlicht das Grundschutz-Kompendium, setzt die NIS2-Compliance durch und prüft Ihre Umsetzung. Die Verwendung ihrer eigenen Methodik stellt sicher, dass Ihre Interpretation der Anforderungen mit ihrer übereinstimmt. Es gibt keine Interpretationslücke – dieselbe Organisation, die die Regeln definiert, liefert auch den Leitfaden.

Rechtssicherheit

§44 Abs. 2 BSIG verleiht der Grundschutz-Umsetzung ausdrücklich die rechtliche Anerkennung als Compliance-Nachweis. Dies ist die stärkste verfügbare Rechtsposition: Sie folgen der vom Gesetz selbst anerkannten Methodik. Im Streitfall können Sie auf eine konkrete gesetzliche Bestimmung verweisen, die Ihren Ansatz validiert – nicht nur auf branchenübliche Best Practice oder Beratereinschätzungen.

Auf dem Grundschutz-Framework aufgebaut
Die Plattform strukturiert alle 49 BSIG-Anforderungen nach der IT-Grundschutz-Methodik, mit Nachweisvorlagen und prüfungsfertiger Dokumentation, die der Struktur des BSI selbst folgt.
NIS2-Compliance starten