NIS2-Compliance: Dokumentationspflichten für kritische Einrichtungen 2026

Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 in Deutschland ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen — und viele von ihnen stehen vor einer grundlegenden Neuorganisation ihrer Dokumentationsprozesse. Dabei ist die Frage, welche Unterlagen in welcher Form vorgehalten, geprüft und nachgewiesen werden müssen, keine akademische Übung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann bei Verstößen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen. Dieser Leitfaden erklärt, was NIS2 konkret für die Dokumentenprüfung bedeutet, welche Artikel die relevanten Pflichten begründen und wie betroffene Einrichtungen ihren Compliance-Nachweis strukturieren.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Verweise entsprechen dem Stand vom Veröffentlichungsdatum. Wenden Sie sich an einen qualifizierten Rechtsberater für eine auf Ihre Situation zugeschnittene Einschätzung.

Was ist NIS2 und welche Einrichtungen sind in Deutschland betroffen

NIS2 ist die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022, die eine erheblich ausgeweitete Pflicht zur Cybersicherheitsrisikoverwaltung einführt — und in Deutschland zum 6. Dezember 2025 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft getreten ist.

Das NIS2UmsuCG novelliert primär das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in wesentlichen Teilen. Es unterscheidet zwei Kategorien betroffener Unternehmen:

• Wesentliche Einrichtungen (essential entities): Große Unternehmen in hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Als Schwellenwert gilt in der Regel: mindestens 250 Beschäftigte oder ein Jahresumsatz von über 50 Millionen Euro.
• Wichtige Einrichtungen (important entities): Mittlere Unternehmen in weiteren kritischen Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Herstellung kritischer Produkte, Lebensmittelversorgung und IKT-Dienste. Die Schwelle liegt hier bei mindestens 50 Beschäftigten oder einem Jahresumsatz von über 10 Millionen Euro.

Insgesamt sind nach Schätzungen des BSI rund 29.500 Unternehmen in 18 Sektoren von den neuen Pflichten erfasst. Die Registrierungsfrist beim BSI endete am 6. März 2026: Bis zu diesem Stichtag hatten sich lediglich rund 11.500 von geschätzten 29.850 Unternehmen fristgerecht beim BSI eingetragen — das entspricht einer Registrierungsquote von etwa 38,5 Prozent. Die Mehrzahl der betroffenen Unternehmen hat damit eine gesetzliche Pflicht versäumt, die gemäß § 33 BSIG n.F. explizit vorgeschrieben ist.

Die sektorale Zuständigkeit für die Aufsicht verteilt sich auf mehrere Behörden. Das BSI ist übergreifende Cybersicherheitsbehörde und koordiniert die Umsetzung. Die BaFin ist für den Finanzsektor zuständig, die Bundesnetzagentur (BNetzA) für den Telekommunikationsbereich. In Sektoren wie Energie und Verkehr teilen sich sektorspezifische Regulierungsbehörden und das BSI die Aufsichtsfunktionen.

Für Einrichtungen, die bisher nicht unter die NIS1-Pflichten fielen — das sind die sogenannten „Neu-Einrichtungen" — bedeutet das: Die gesamte Dokumentationsinfrastruktur für Cybersicherheits-Risikomanagement muss neu aufgebaut werden. Für früher bereits verpflichtete Betreiber kritischer Infrastrukturen (KRITIS) gilt es, bestehende KRITIS-Nachweise mit den erweiterten NIS2-Anforderungen abzugleichen.

Artikel 21: Dokumentationspflichten für das Risikomanagement

Artikel 21 der Richtlinie (EU) 2022/2555 schreibt vor, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten — und diese Maßnahmen müssen vollständig dokumentiert und der zuständigen Behörde auf Verlangen nachweisbar sein.

Die Dokumentationspflichten aus Artikel 21 gliedern sich in folgende Kernbereiche:

Richtlinien zur Informationssicherheit (Artikel 21 Absatz 2 Buchstabe a): Jede betroffene Einrichtung muss schriftliche Sicherheitsrichtlinien erstellen, die Risikoanalyse und Sicherheitskonzepte abdecken. Diese Richtlinien müssen genehmigt, versioniert und in einem Dokumentenmanagementsystem mit nachvollziehbarem Änderungsverlauf hinterlegt sein. Das BSI fordert auf Basis von § 30 BSIG n.F. nachprüfbare Managementsysteme.

Konzepte für den Einsatz von Kryptografie und Verschlüsselung (Artikel 21 Absatz 2 Buchstabe h): Schriftliche Kryptografiekonzepte sind nicht mehr optional. Sie müssen Algorithmen, Schlüssellängen, Lebensdauerkonzepte und Zertifizierungsanforderungen abdecken und regelmäßig aktualisiert werden.

Zugangskontrollen und Identitäts- und Zugriffsmanagement (Artikel 21 Absatz 2 Buchstabe i): Dokumentierte Zugangskontrollrichtlinien, schriftliche Nachweise über Berechtigungsvergaben, Protokolle privilegierter Zugriffsrechte und Nachweise über Multi-Faktor-Authentifizierung bei kritischen Systemen.

Business Continuity und Krisenmanagement (Artikel 21 Absatz 2 Buchstaben b und c): Schriftliche Business-Continuity-Pläne, Backup-Strategien, Notfallkonzepte und Wiederherstellungsverfahren müssen vorgehalten, regelmäßig getestet und die Testergebnisse dokumentiert werden.

Ein häufiger Fehler in der Praxis besteht darin, Sicherheitsmaßnahmen zwar technisch umzusetzen, den Umsetzungsnachweis aber nicht in einer prüfungsgeeigneten Form vorzuhalten. Das BSI nimmt im Rahmen seiner Aufsichtstätigkeit gemäß § 64 BSIG n.F. anlassbezogene und anlassunabhängige Prüfungen vor. Dabei reicht die bloße Behauptung, eine Maßnahme sei getroffen worden, nicht aus — es sind schriftliche Nachweise vorzulegen.

Für den Aufbau eines strukturierten Compliance-Dokumentationsprogramms empfiehlt sich ein systematischer Ansatz, wie er im Beitrag zum Dokumenten-Compliance-Programm aufbauen beschrieben wird.

Sicherheit der Lieferkette: Lieferantendokumentation prüfen

Artikel 21 Absatz 2 Buchstabe d verpflichtet wesentliche und wichtige Einrichtungen ausdrücklich dazu, die Sicherheit in der Lieferkette zu gewährleisten — einschließlich der Sicherheitsaspekte bei den Beziehungen zu direkten Lieferanten und Diensteanbietern.

Diese Anforderung stellt in der Praxis eine der anspruchsvollsten Dokumentationsaufgaben dar. Betroffene Einrichtungen müssen für jeden sicherheitsrelevanten Lieferanten und Dienstleister nachweisen können:

• Existenz und Inhalt von Vertragsklauseln zu Cybersicherheitsanforderungen
• Aktuelle Zertifizierungsnachweise (z. B. ISO/IEC 27001, SOC 2) oder gleichwertige Sicherheitsatteste
• Ergebnisse eigener Sicherheitsprüfungen oder Lieferantenselbstauskünfte
• Nachweise über regelmäßige Überprüfung dieser Dokumente

Das BSI hat in seiner Orientierungshilfe zu den Anforderungen nach § 30 BSIG n.F. klargestellt, dass die Lieferkettensicherheit als integraler Bestandteil des Risikomanagements verstanden werden muss — nicht als separate Übung. Das bedeutet: Ist ein Dienstleister Träger kritischer Prozesse (etwa ein Cloud-Anbieter für eine Gesundheitsplattform oder ein Softwaredienstleister für Energie-Steuerungssysteme), muss dessen Sicherheitsdokumentation mit denselben Sorgfaltspflichten geprüft werden wie intern erstellte Dokumente.

Wer als wesentliche Einrichtung einen Vorfall meldet und dabei herauskommt, dass ein ungeprüfter Drittanbieter den Angriffsvektor geliefert hat, muss dem BSI nachweisen, welche Dokumentenprüfungen im Rahmen des Lieferantenrisikomanagements durchgeführt wurden — fehlen diese Nachweise, droht eine eigenständige Sanktionierung.

Die Überprüfung der Lieferantendokumentation umfasst mindestens:

1. Vertragscheck: Enthalten bestehende Verträge Mindestsicherheitsanforderungen, Auditrechte und Meldepflichten bei Vorfällen? Liegen die Verträge in geprüfter Form vor?
2. Zertifikatsprüfung: Sind vorliegende Sicherheitszertifikate aktuell, original und auf den richtigen Vertragspartner ausgestellt?
3. Selbstauskunft und Fragebögen: Sind ausgefüllte und unterschriebene Sicherheitsfragebögen vorhanden und auf dem aktuellen Stand?
4. Eskalationspfade: Sind Kontaktdaten und Meldewege für Sicherheitsvorfälle beim Lieferanten schriftlich dokumentiert?

Für eine strukturierte Herangehensweise an das Lieferantenrisikomanagement bietet der TPRM-Leitfaden zum Lieferantenrisikomanagement einen detaillierten Rahmen, der an die NIS2-Anforderungen angepasst werden kann.

Die CheckFile-Plattform unterstützt mehr als 3.200 Dokumententypen in 32 Rechtsordnungen und ermöglicht eine automatisierte Echtzeit-Prüfung von Lieferantendokumenten — einschließlich Zertifikaten, Sicherheitsnachweisen und Compliance-Attestierungen. Das ist besonders relevant, wenn große Lieferantenportfolios mit dezentralem Dokumenteneingang verwaltet werden müssen.

Personaldokumentation und Zugangsmanagement

NIS2 schreibt in Artikel 21 Absatz 2 Buchstaben g und i vor, dass Einrichtungen Maßnahmen zur Sicherheit des Personals umsetzen und dokumentieren müssen — einschließlich Schulungsnachweise, Konzepte für privilegierte Zugriffsrechte und Nachweise über Zuverlässigkeitsüberprüfungen bei sicherheitskritischen Funktionen.

In der deutschen Umsetzung über das NIS2UmsuCG sind die Personalsicherheitspflichten in § 30 Absatz 2 BSIG n.F. verankert. Konkret bedeutet das für die Dokumentationspraxis:

Schulungsnachweise: Mitarbeitende in sicherheitsrelevanten Rollen müssen regelmäßige Cybersicherheitsschulungen absolvieren. Die Teilnahme ist lückenlos zu dokumentieren — Datum, Inhalt, Dauer und Teilnehmerliste müssen nachweisbar sein. Das BSI erwartet, dass Schulungskonzepte schriftlich vorliegen und auf aktuelle Bedrohungslagen ausgerichtet sind.

Hintergrundprüfungen und Zuverlässigkeitsnachweise: Für Mitarbeitende mit Zugang zu sicherheitskritischen Systemen — Systemadministratoren, IT-Sicherheitsverantwortliche, Mitglieder von Security-Operations-Centern — sollte dokumentiert werden, ob und in welchem Umfang Zuverlässigkeitsprüfungen durchgeführt wurden. Bei Einrichtungen der öffentlichen Verwaltung und bestimmten KRITIS-Bereichen können erweiterte Sicherheitsüberprüfungen nach dem Sicherheitsüberprüfungsgesetz (SÜG) relevant sein.

Identitäts- und Zugangsmanagement: Jede Berechtigungsvergabe, jede Änderung von Zugriffsrechten und jede Aufhebung eines privilegierten Zugangs muss protokolliert werden. Die Protokolle müssen eine Mindestaufbewahrungsfrist einhalten, die das BSI in seinen Umsetzungshilfen mit mindestens 12 Monaten für operative Logs und 5 Jahren für aufsichtsrelevante Nachweise empfiehlt.

Regelungen für den Umgang mit Subauftragnehmern und externem Personal: Wer Wartungsarbeiten, IT-Dienstleistungen oder Systemintegration an externe Kräfte übergibt, muss schriftliche Nachweise über die Einweisung in Sicherheitsrichtlinien, zeitlich begrenzte Zugriffsberechtigungen und die nachvollziehbare Deaktivierung dieser Zugänge nach Abschluss des Auftrags vorhalten.

Die Anforderungen an die Personaldokumentation überschneiden sich in mehreren Punkten mit den KYC-Anforderungen aus dem Finanzbereich — insbesondere bei der Identitätsprüfung von Mitarbeitenden und Auftragnehmern. Die KYC-Lösung für Finanzinstitute von CheckFile bietet eine Referenzarchitektur für die strukturierte Dokumentenprüfung, die auf NIS2-Kontexte übertragen werden kann.

Vorfallsmeldung: Fristen und Format (Artikel 23)

Artikel 23 der Richtlinie (EU) 2022/2555 legt ein dreistufiges Meldeverfahren fest: eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung mit weiteren Angaben und einen Abschlussbericht innerhalb eines Monats — jede dieser Stufen erfordert spezifische Dokumentation.

Das dreistufige Meldesystem sieht im Detail vor:

Stufe 1 — Frühwarnung (innerhalb von 24 Stunden): Sobald eine Einrichtung Kenntnis von einem erheblichen Sicherheitsvorfall erlangt, muss innerhalb von 24 Stunden eine erste Frühwarnung an das BSI (und gegebenenfalls an das nationale CSIRT) übermittelt werden. Diese Frühwarnung enthält eine erste Einordnung: Hat der Vorfall möglicherweise grenzüberschreitende Auswirkungen? Gibt es Hinweise auf einen vorsätzlichen Angriff? Die interne Dokumentation zu diesem Zeitpunkt muss Zeitstempel, erste Lagebeschreibung und die verantwortliche Person für die Meldung erfassen.

Stufe 2 — Notifizierung (innerhalb von 72 Stunden): Die vollständige Vorfallsmeldung muss eine erste Risikobewertung, die betroffenen Systeme und Dienste sowie die getroffenen Sofortmaßnahmen enthalten. Das BSI hat über MELDIS — das Meldesystem des BSI — digitale Einreichungsformate bereitgestellt. Die interne Vorfallsdokumentation muss den gesamten Entscheidungsbaum von der Ersterkennung bis zur Meldung nachvollziehbar abbilden.

Stufe 3 — Abschlussbericht (innerhalb eines Monats): Der Abschlussbericht muss eine vollständige Ursachenanalyse (Root Cause Analysis), die Auswirkungen auf Dienste und Daten, die getroffenen dauerhaften Abhilfemaßnahmen und — soweit bekannt — die Angreifer- oder Angriffsvektorinformationen enthalten. Dieser Bericht ist das zentrale Dokument für etwaige aufsichtsbehördliche Nachprüfungen.

Eine fehlende oder verspätete Vorfallsmeldung begründet eine eigenständige Ordnungswidrigkeit nach § 60 BSIG n.F., die unabhängig vom zugrundeliegenden Sicherheitsvorfall geahndet werden kann — Einrichtungen müssen daher ein dokumentiertes Incident-Response-Verfahren mit klar definierten Auslöseschwellen und Meldeverantwortlichkeiten vorhalten.

Für die Praxis empfiehlt sich die Einführung eines standardisierten Incident-Response-Handbuchs, das Auslösekriterien für die Meldepflicht, Vorlagen für die Frühwarnung und die vollständige Notifizierung sowie Eskalationsmatrix und Kontaktdaten des BSI enthält. Die offizielle Meldestelle des BSI und das nationale CSIRT sind unter den im MELDIS-Portal angegebenen Kontakten erreichbar.

NIS1 vs. NIS2: Vergleich der Dokumentationsanforderungen

Das folgende Vergleich zeigt die wesentlichen Erweiterungen der Dokumentationsanforderungen gegenüber dem Vorgängerregime der NIS1-Richtlinie (Richtlinie (EU) 2016/1148):

Der Vergleich macht deutlich: NIS2 ist kein inkrementelles Update, sondern ein struktureller Sprung in Umfang, Tiefe und Durchsetzbarkeit der Dokumentationspflichten. Unternehmen, die ihre NIS1-Dokumentation als ausreichend betrachten, riskieren erhebliche Compliance-Lücken.

Einen umfassenden Überblick über den gesamten Rahmen der Dokumenten-Compliance bietet die Übersichtsseite zu Dokumenten-Compliance, die als Einstiegspunkt für alle wesentlichen Anforderungen dient.

Sanktionen und Haftung der Geschäftsleitung

Das NIS2UmsuCG führt in § 38 BSIG n.F. eine persönliche Haftung der Leitungsorgane ein, die über die bisherige Praxis im deutschen Cybersicherheitsrecht deutlich hinausgeht — und stellt damit sicher, dass Dokumentationspflichten nicht als rein operative IT-Aufgabe behandelt werden können.

Der Bußgeldrahmen unterscheidet zwischen den zwei Kategorien betroffener Einrichtungen:

Wesentliche Einrichtungen: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Die Berechnung auf Basis des weltweiten Konzernumsatzes — nicht nur des deutschen Unternehmensumsatzes — orientiert sich an der kartellrechtlichen Praxis und kann für international tätige Konzerne zu erheblichen Sanktionssummen führen.

Wichtige Einrichtungen: Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, wiederum je nachdem, welcher Betrag höher ist.

Persönliche Haftung nach § 38 BSIG n.F.: Die Geschäftsleitung — also Geschäftsführer, Vorstände und gleichgestellte Leitungsorgane — kann persönlich und direkt für Verstöße gegen die Sicherheits- und Dokumentationspflichten haftbar gemacht werden, wenn sie die Umsetzung der Pflichten pflichtwidrig nicht überwacht haben. Das BSI kann nach § 38 Absatz 3 BSIG n.F. die vorübergehende Untersagung der Ausübung von Leitungsfunktionen für natürliche Personen anordnen, die für wiederholte schwere Verstöße verantwortlich sind.

Diese persönliche Haftungsdimension hat unmittelbare Konsequenzen für die Dokumentationsorganisation: Compliance-Berichte müssen der Geschäftsleitung regelmäßig vorgelegt und von ihr formell zur Kenntnis genommen werden — mit Datum und Unterschrift. Eine reine Delegation an die IT-Abteilung ohne Governance-Nachweis auf Ebene der Leitungsorgane ist nicht ausreichend.

Die Europäische Kommission hat in ihrer NIS2-Orientierungspublikation klargestellt, dass die persönliche Haftung der Leitungsorgane ein bewusstes gesetzgeberisches Signal ist: Cybersicherheit soll als Chefsache und nicht als rein technisches Thema behandelt werden.

Ergänzend weist die Bundesregierung in ihren Informationen zur Cybersicherheitsstrategie darauf hin, dass die NIS2-Umsetzung Teil einer umfassenderen nationalen Sicherheitsarchitektur ist, die auch die KRITIS-Dachgesetz-Pflichten einschließt.

Für die Dokumentationspraxis bedeutet die Haftungsregelung: Es empfiehlt sich, ein formelles Governance-Dokumentenset aufzubauen, das Vorstandsbeschlüsse zur NIS2-Umsetzung, Protokolle der regelmäßigen Sicherheitsberichterstattung an die Geschäftsleitung, schriftliche Beauftragungen des CISO oder der IT-Sicherheitsverantwortung und Nachweise über die Genehmigung von Sicherheitsrichtlinien durch die Leitungsebene umfasst.

Wie CheckFile die NIS2-Dokumenten-Compliance vereinfacht

CheckFile adressiert die zentralen Dokumentenprüfungsaufgaben unter NIS2 durch eine einheitliche Plattform, die Echtzeit-Validierung, strukturierte Prüfpfade und automatisierte Wiedervorlagezyklen kombiniert — und dabei mehr als 3.200 Dokumententypen in 32 Rechtsordnungen unterstützt.

Die Herausforderung bei der NIS2-Dokumenten-Compliance liegt nicht selten in der schieren Menge und Heterogenität der zu prüfenden Unterlagen. Eine wesentliche Einrichtung im Gesundheitsbereich verwaltet typischerweise Sicherheitszertifikate von Dutzenden Medizintechniklieferanten, Arbeitsverträge mit Sicherheitsklauseln, ISO-27001-Zertifikate von Cloud-Anbietern, Schulungsnachweise von Hunderten Mitarbeitenden und Vorfallsberichte in verschiedenen Formaten. Ohne strukturierte Werkzeuge entstehen dabei Compliance-Lücken nicht durch schlechten Willen, sondern durch mangelnde Übersicht.

CheckFile bietet für NIS2-relevante Prüfungsaufgaben konkrete Unterstützung in folgenden Bereichen:

Lieferantendokumentenprüfung: Automatisierte Extraktion und Validierung relevanter Felder aus Sicherheitszertifikaten, Subunternehmerverträgen und Compliance-Attestierungen. Das System erkennt ablaufende Zertifikate und generiert automatische Wiedervorlagen — bevor ein Audit eine Lücke aufdeckt.

Personaldokumentation: Prüfung von Schulungszertifikaten, Identitätsnachweisen und Berechtigungsprotokollen auf Vollständigkeit, Aktualität und Echtheit. Die Sicherheitsarchitektur von CheckFile ist nach ISO/IEC 27001 ausgerichtet und gewährleistet eine nachvollziehbare Verarbeitungskette für sensible Personaldokumente.

Audit-Trail und Nachweisführung: Jede Dokumentenprüfung erzeugt einen revisionssicheren Prüfpfad mit Zeitstempel, Prüfergebnis und Metadaten. Diese Protokolle lassen sich direkt für BSI-Prüfungen und interne Governance-Berichte verwenden.

Rechtsordnungsübergreifende Standardisierung: Für Einrichtungen mit internationalen Lieferketten ermöglicht die Unterstützung von 32 Rechtsordnungen die einheitliche Prüfung von Dokumenten aus unterschiedlichen nationalen Rechtsräumen nach einem standardisierten Verfahren — relevant etwa bei der Überprüfung von EU-weit tätigen IKT-Dienstleistern.

Interessierte Einrichtungen können die Preisgestaltung und die verfügbaren Paketoptionen auf der Tarifseite einsehen. Die Integration in bestehende Dokumentenmanagementsysteme und SIEM-Plattformen ist über API möglich.

---

Häufig gestellte Fragen

Welche Unternehmen sind von NIS2 in Deutschland konkret betroffen?

Betroffen sind wesentliche und wichtige Einrichtungen in 18 definierten Sektoren, sofern sie bestimmte Größenschwellen überschreiten. Als wesentliche Einrichtung gilt grundsätzlich, wer in einem hochkritischen Sektor (Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasserversorgung, digitale Infrastruktur, öffentliche Verwaltung) tätig ist und mindestens 250 Beschäftigte oder einen Jahresumsatz von über 50 Millionen Euro aufweist. Als wichtige Einrichtung gilt, wer in weiteren kritischen Sektoren (Post, Abfall, Herstellung, Lebensmittel, IKT-Dienste) tätig ist und die Schwellenwerte von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz überschreitet. Das BSI hat auf seiner Website einen Selbsteinschätzungsrahmen veröffentlicht.

Welche Dokumente müssen für eine BSI-Prüfung konkret vorgehalten werden?

Das BSI erwartet im Rahmen einer Prüfung gemäß § 64 BSIG n.F. primär: schriftliche Sicherheitsrichtlinien, Nachweise über die Risikoanalyse, Lieferantensicherheitsdokumentation (Zertifikate, Vertragsklauseln, Prüfnachweise), Schulungs- und Zertifizierungsnachweise für Mitarbeitende in sicherheitsrelevanten Rollen, Protokolle zur Zugangsmanagement-Governance sowie Incident-Response-Pläne mit Nachweis über regelmäßige Tests. Die vollständige Liste ergibt sich aus § 30 BSIG n.F. in Verbindung mit dem BSI-Orientierungsdokument zu den NIS2-Sicherheitsanforderungen.

Was droht, wenn die Registrierungsfrist beim BSI versäumt wurde?

Die Registrierungspflicht beim BSI ergibt sich aus § 33 BSIG n.F. und galt bis zum 6. März 2026 für alle betroffenen Einrichtungen. Eine versäumte Registrierung begründet eine eigenständige Ordnungswidrigkeit, die mit einem Bußgeld geahndet werden kann. Das BSI hat angekündigt, die Registrierungspflicht aktiv durchzusetzen. Einrichtungen, die die Frist versäumt haben, sollten die Registrierung unverzüglich nachholen und rechtlichen Rat einholen, ob ein proaktives Gespräch mit dem BSI angezeigt ist, um das Bußgeldrisiko zu minimieren.

Wie häufig müssen Lieferantendokumente überprüft werden?

Das NIS2UmsuCG schreibt keine explizite Mindestüberprüfungsfrequenz für Lieferantendokumente vor, verlangt aber, dass das Risikomanagement laufend und verhältnismäßig betrieben wird. In der Praxis empfiehlt das BSI eine jährliche Überprüfung des Lieferantenportfolios sowie anlassbezogene Nachprüfungen bei Vertragsänderungen, neuen Sicherheitserkenntnissen oder bekannt gewordenen Vorfällen beim Lieferanten. Für kritische Lieferanten mit Zugang zu zentralen IT-Systemen sind häufigere Intervalle — in der Regel halbjährlich oder quartalsweise — als angemessen anzusehen.

Gilt NIS2 auch für öffentliche Einrichtungen und Behörden?

Ja. Das NIS2UmsuCG erfasst ausdrücklich auch die öffentliche Verwaltung. Bundesbehörden unterliegen gemäß § 29 BSIG n.F. den Sicherheitspflichten direkt, für Landesbehörden gelten parallele Umsetzungsgesetze der Länder. Der Sektor öffentliche Verwaltung umfasst Bundesbehörden, Landesbehörden der Kernverwaltung sowie Kommunen ab einer Einwohnerzahl, die im Einzelnen durch die zuständigen Landesbehörden festgelegt wird. Auch öffentliche Körperschaften wie gesetzliche Krankenkassen und Universitätsklinika können im Sektor Gesundheit oder Bildung erfasst sein.