Purpose

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 06.12.2025 in Kraft getreten und hat das BSIG neu gefasst. Die Risikomanagementpflichten sitzen jetzt in § 30 BSIG (n.F.) — nicht mehr in den alten §§ 8a/8b BSIG. § 30 BSIG setzt Art. 21 NIS2-RL um und verlangt einen All-Hazards-Ansatz mit zehn Mindestmaßnahmen. Dieser Skill liefert die Gap-Analyse gegen diesen Katalog und verankert die Verhältnismäßigkeit.

Inputs

  • Einordnung der Einrichtung (besonders wichtig / wichtig — § 28 BSIG)
  • Sektor und Größenklasse (Risiko- und Verhältnismäßigkeitsmaßstab)
  • Bestehendes ISMS (z. B. ISO 27001, BSI-Grundschutz)
  • Inventar kritischer Systeme und Lieferketten / Dienstleister
  • Vorhandene Notfall-, Backup- und Krisenkonzepte
  • Stand der Geschäftsleitungs-Einbindung (§ 38 BSIG)

Sub-Agent Architecture

Drei gedankliche Rollen. Ein Katalog-Agent prüft jede der zehn Mindestmaßnahmen des § 30 BSIG / Art. 21 NIS2-RL einzeln gegen den Ist-Stand und markiert Lücken. Ein Verhältnismäßigkeits-Agent kalibriert Umfang und Tiefe jeder Maßnahme an Größe, Risikoexposition und Sektor der Einrichtung. Ein Governance-Agent verknüpft die Maßnahmen mit der Billigungs- und Überwachungspflicht der Geschäftsleitung (§ 38 BSIG) und der Meldepflicht (§ 32 BSIG). Die Rollen erzeugen eine priorisierte Maßnahmen-Roadmap; die Billigung erfolgt durch die Leitung.

Process

1. Anwendbarkeit und All-Hazards-Ansatz (§ 30 BSIG)

  • Pflichtadressaten: besonders wichtige und wichtige Einrichtungen (§ 28 BSIG).
  • Maßstab ist der All-Hazards-Ansatz: Schutz vor allen Gefahren für Netz- und Informationssysteme, einschließlich physischer Umgebung.
  • Maßnahmen müssen dem Stand der Technik entsprechen.

2. Die zehn Mindestmaßnahmen (Art. 21 NIS2-RL / § 30 BSIG)

#Maßnahme
1Risikoanalyse- und Sicherheitskonzepte für Informationssysteme
2Bewältigung von Sicherheitsvorfällen (Incident Handling)
3Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement
4Sicherheit der Lieferkette (inkl. Dienstleister)
5Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen
6Bewertung der Wirksamkeit der Risikomaßnahmen
7Cyberhygiene und Schulungen
8Kryptografie und Verschlüsselung
9Personalsicherheit, Zugriffskontrolle, Asset-Management
10Multi-Faktor-Authentifizierung, gesicherte Kommunikation/Notfallkommunikation

3. Verhältnismäßigkeit (§ 30 Abs. 1 BSIG)

  • Umfang richtet sich nach Risikoexposition, Größe der Einrichtung sowie Eintrittswahrscheinlichkeit und Schwere von Vorfällen.
  • Verhältnismäßigkeit rechtfertigt Abstufung, aber keinen Verzicht auf eine der zehn Maßnahmenkategorien.

4. Lieferketten-Dimension

  • Die Lieferkette ist eigenständige Pflichtkategorie: Sicherheitsqualität direkter Anbieter und Dienstleister ist zu bewerten und vertraglich zu sichern.

5. Verzahnung Governance und Meldung

  • Maßnahmen nach § 30 BSIG sind von der Geschäftsleitung zu billigen und zu überwachen (§ 38 BSIG).
  • Versäumnisse können nach § 65 BSIG bußgeldbewehrt sein.

Risks and Common Mistakes

  • All-Hazards-Ansatz verengt auf reine IT — physische Sicherheit, Personal und Lieferkette gehören dazu.
  • Verhältnismäßigkeit als Freibrief missverstanden — sie skaliert die Tiefe, erlaubt aber nicht das Weglassen einer der zehn Maßnahmen.
  • Lieferkette unbeachtet — Vorfälle bei Dienstleistern sind eigenständige Pflichtkategorie (Maßnahme 4).
  • Geschäftsleitung nicht eingebunden — § 38 BSIG verlangt aktive Billigung und Überwachung der § 30-Maßnahmen.

Sources

Statute

Sekundärliteratur

  • Eckhardt, NIS2, 1. Aufl. 2024
  • Voigt/Schmitz, Cybersicherheitsrecht, 2. Aufl. 2024

Output Format

NIS2-RISIKOMANAGEMENT — <Einrichtung> — <Datum>

I.    Einordnung (§ 28 BSIG)               [besonders wichtig / wichtig]
II.   All-Hazards-Reife (§ 30 BSIG / Art. 21 NIS2-RL)
      1 Risikoanalyse          [🟢/🟡/🔴]
      2 Incident Handling      [🟢/🟡/🔴]
      3 Business Continuity    [🟢/🟡/🔴]
      4 Lieferkette            [🟢/🟡/🔴]
      …                        bis Maßnahme 10
III.  Verhältnismäßigkeit                   [Maßstab: Größe/Risiko]
IV.   Verzahnung Geschäftsleitung (§ 38 BSIG) [Billigung erfolgt? Ja/Nein]
V.    Bußgeldrisiko (§ 65 BSIG)             [Hinweis]

Roadmap:
  Sofort: <…>   Mittelfristig: <…>

Related Skills in NIS2

View SKILL.md on GitHub