Die 10 NIS-2-Mindestmaßnahmen: Anforderungen nach § 30 BSIG

Letzte Aktualisierung:

NIS-2-Maßnahmen im Detail: Die 10 Mindestanforderungen nach § 30 BSIG erklärt. Mit Praxistipps zur Umsetzung und Checkliste. Jetzt informieren.

Das NIS-2-Umsetzungsgesetz verpflichtet betroffene Unternehmen zur Umsetzung konkreter Risikomanagementmaßnahmen. § 30 des novellierten BSI-Gesetzes (BSIG) definiert dabei zehn Mindestmaßnahmen, die als Grundgerüst der NIS-2-Compliance gelten. Ob Ihr Unternehmen überhaupt unter die Regelung fällt, können Sie mit unserer NIS-2-Betroffenheitsanalyse prüfen. In diesem Artikel erfahren Sie, was jede einzelne Maßnahme bedeutet, welche praktischen Anforderungen sich daraus ergeben und wie Sie die Umsetzung angehen können.

Überblick: Was fordert § 30 BSIG?

§ 30 Absatz 1 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" zu ergreifen. Das Ziel: Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme vermeiden und Auswirkungen von Sicherheitsvorfällen minimieren.

Der Gesetzgeber verfolgt dabei einen gefahrenübergreifenden Ansatz (All-Gefahren-Ansatz). Die Maßnahmen müssen dem Stand der Technik entsprechen und einschlägige europäische sowie internationale Normen berücksichtigen. Die konkrete Ausgestaltung hängt vom individuellen Risikoprofil des Unternehmens ab.

Wichtig: Die Maßnahmen gelten seit dem 6. Dezember 2025 ohne Übergangsfrist. Die Umsetzung muss dokumentiert werden – das BSI kann stichprobenartige Kontrollen durchführen.

Die 10 Mindestmaßnahmen im Detail

1. Konzepte für Risikoanalyse und Informationssicherheit

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 1 BSIG): Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.

Was bedeutet das in der Praxis?

Diese Maßnahme bildet das Fundament aller weiteren Aktivitäten. Erforderlich ist ein systematischer Risikomanagementrahmen, der folgende Elemente umfasst:

  • Risikobewertung: Systematische Identifikation, Analyse und Bewertung von Risiken für die IT-Systeme
  • Risikobehandlungsplan: Dokumentierte Entscheidungen, wie identifizierte Risiken behandelt werden (vermeiden, mindern, transferieren, akzeptieren)
  • Informationssicherheitsleitlinie: Übergeordnetes Dokument, das die Sicherheitsziele und -grundsätze des Unternehmens festlegt
  • Regelmäßige Überprüfung: Die Risikobewertung muss mindestens jährlich aktualisiert werden – sowie bei wesentlichen Änderungen oder nach Sicherheitsvorfällen

Praxistipp: Ein bestehendes ISMS nach ISO 27001 erfüllt diese Anforderung bereits weitgehend. Ohne formales ISMS bietet der BSI-Standard 200-3 „Risikomanagement" eine gute Orientierung.

2. Bewältigung von Sicherheitsvorfällen

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 2 BSIG): Bewältigung von Sicherheitsvorfällen.

Was bedeutet das in der Praxis?

Erforderlich sind dokumentierte Prozesse für den gesamten Lebenszyklus eines Sicherheitsvorfalls:

  • Erkennung: Technische und organisatorische Maßnahmen zur Identifikation von Vorfällen (Monitoring, SIEM, Anomalieerkennung)
  • Analyse: Verfahren zur Bewertung von Schweregrad und Auswirkungen
  • Eindämmung: Sofortmaßnahmen zur Begrenzung des Schadens
  • Beseitigung: Entfernung der Ursache (z. B. Schadsoftware, kompromittierte Accounts)
  • Wiederherstellung: Rückkehr zum Normalbetrieb
  • Nachbereitung: Lessons Learned und Prozessverbesserung

Besonders wichtig: Die Prozesse müssen auch die Meldepflichten nach § 32 BSIG berücksichtigen. Erhebliche Sicherheitsvorfälle erfordern eine Erstmeldung innerhalb von 24 Stunden – unser Cybervorfall-Meldefristen-Rechner hilft Ihnen, die relevanten Fristen im Blick zu behalten.

Praxistipp: Erstellen Sie einen Incident-Response-Plan mit klaren Eskalationswegen und Verantwortlichkeiten. Üben Sie die Abläufe regelmäßig in Tabletop-Übungen.

3. Aufrechterhaltung des Betriebs und Krisenmanagement

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 3 BSIG): Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.

Was bedeutet das in der Praxis?

Diese Maßnahme umfasst das gesamte Business Continuity Management (BCM):

  • Backup-Strategie: Regelmäßige Datensicherungen nach der 3-2-1-Regel (3 Kopien, 2 Medientypen, 1 Offsite)
  • Wiederherstellungspläne: Dokumentierte Verfahren zur Wiederherstellung von Systemen und Daten
  • Notfallpläne: Handlungsanweisungen für verschiedene Szenarien (Ransomware, Systemausfall, Datenverlust)
  • Krisenmanagement: Strukturen und Prozesse für die Bewältigung schwerwiegender Vorfälle
  • Regelmäßige Tests: Backup-Restore-Tests und Notfallübungen

Die Wiederherstellungszeiten (RTO) und akzeptablen Datenverluste (RPO) müssen für kritische Systeme definiert sein.

Praxistipp: Dokumentieren Sie die kritischen Geschäftsprozesse und ihre IT-Abhängigkeiten in einer Business-Impact-Analyse (BIA). Testen Sie Backup-Restores mindestens quartalsweise.

4. Sicherheit der Lieferkette

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 4 BSIG): Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern.

Was bedeutet das in der Praxis?

Die Lieferkettensicherheit ist ein zentrales Element der NIS-2-Regulierung. Gefordert ist:

  • Lieferantenbewertung: Systematische Bewertung der Cybersicherheit von Anbietern und Dienstleistern
  • Vertragliche Anforderungen: Sicherheitsanforderungen in Verträgen verankern (z. B. Zertifizierungsnachweise, Audit-Rechte, Meldepflichten)
  • Überwachung: Regelmäßige Überprüfung der Einhaltung vereinbarter Sicherheitsstandards
  • Risikobewertung: Berücksichtigung der Risiken durch Drittanbieter in der eigenen Risikoanalyse

Das Gesetz verlangt explizit die Berücksichtigung „spezifischer Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie der Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter".

Praxistipp: Erstellen Sie einen Lieferantenkatalog mit Risikoeinstufung. Fordern Sie von kritischen Dienstleistern Nachweise wie ISO-27001-Zertifikate oder SOC-2-Reports an.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 5 BSIG): Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.

Was bedeutet das in der Praxis?

Diese Maßnahme adressiert den gesamten Lebenszyklus von IT-Systemen:

Bei der Beschaffung:

  • Sicherheitsanforderungen in Ausschreibungen und Beschaffungsprozessen
  • Bewertung der Sicherheitseigenschaften von Produkten vor dem Kauf
  • Berücksichtigung von Herstellerreputation und Support-Verfügbarkeit

Bei der Entwicklung:

  • Secure Development Lifecycle (SDL) für eigenentwickelte Software
  • Code-Reviews und Sicherheitstests
  • Sichere Entwicklungsumgebungen

Bei der Wartung:

  • Patch-Management: Zeitnahe Installation von Sicherheitsupdates
  • Änderungsmanagement: Kontrollierte Durchführung von Änderungen
  • Schwachstellenmanagement: Systematische Erfassung, Bewertung und Behandlung von Schwachstellen

Praxistipp: Implementieren Sie einen Patch-Management-Prozess mit definierten Zeitrahmen für kritische, wichtige und normale Updates. Nutzen Sie Vulnerability-Scanner zur regelmäßigen Prüfung.

6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 6 BSIG): Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.

Was bedeutet das in der Praxis?

Die implementierten Maßnahmen müssen regelmäßig auf ihre Wirksamkeit überprüft werden:

  • Interne Audits: Regelmäßige Überprüfung der Umsetzung und Wirksamkeit
  • Penetrationstests: Technische Überprüfung der Sicherheitsmaßnahmen durch simulierte Angriffe
  • Kennzahlen (KPIs): Messung der Sicherheitsleistung anhand definierter Metriken
  • Management-Reviews: Regelmäßige Berichterstattung an die Geschäftsleitung
  • Kontinuierliche Verbesserung: Anpassung der Maßnahmen basierend auf den Ergebnissen

Diese Maßnahme stellt sicher, dass Sicherheit kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess.

Praxistipp: Definieren Sie messbare KPIs wie „Zeit bis zur Patch-Installation", „Anzahl offener Schwachstellen" oder „Erfolgsrate bei Phishing-Tests". Führen Sie jährlich einen Penetrationstest durch.

7. Schulungen und Sensibilisierung

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 7 BSIG): Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.

Was bedeutet das in der Praxis?

Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Gefordert sind:

  • Grundlegende Cyberhygiene: Schulung aller Mitarbeiter zu sicherem Verhalten (Passwörter, Phishing-Erkennung, sicherer Umgang mit Daten)
  • Rollenspezifische Schulungen: Vertiefende Schulungen für IT-Personal und andere Funktionen mit erhöhtem Risiko
  • Regelmäßige Auffrischung: Keine einmalige Schulung, sondern kontinuierliche Sensibilisierung
  • Erfolgskontrolle: Messung des Schulungserfolgs (z. B. durch Phishing-Simulationen)

Besonders wichtig: § 38 BSIG verpflichtet die Geschäftsleitung explizit zur Teilnahme an Cybersicherheitsschulungen. Details zu den Anforderungen und Konsequenzen finden Sie in unserem Artikel zur NIS-2-Schulungspflicht für Geschäftsführer.

Praxistipp: Kombinieren Sie E-Learning-Module mit Präsenzschulungen und praktischen Übungen wie Phishing-Simulationen. Dokumentieren Sie alle Schulungsteilnahmen.

8. Kryptografie und Verschlüsselung

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 8 BSIG): Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren.

Was bedeutet das in der Praxis?

Kryptografie ist ein zentrales Element des Datenschutzes – hier zeigen sich auch deutliche Überschneidungen zwischen DSGVO und NIS-2. Gefordert werden:

  • Verschlüsselung ruhender Daten (Data at Rest): Festplattenverschlüsselung, Datenbankverschlüsselung
  • Verschlüsselung übertragener Daten (Data in Motion): TLS/SSL für Netzwerkverkehr, verschlüsselte E-Mail
  • Schlüsselmanagement: Sichere Erzeugung, Speicherung, Verteilung und Vernichtung kryptografischer Schlüssel
  • Kryptografie-Richtlinie: Dokumentation der eingesetzten Verfahren und Standards

Die eingesetzten Verfahren müssen dem Stand der Technik entsprechen – veraltete Algorithmen wie MD5 oder SHA-1 für sicherheitskritische Anwendungen sind nicht mehr akzeptabel.

Praxistipp: Erstellen Sie ein Kryptografie-Inventar: Welche Systeme nutzen welche Verschlüsselung? Planen Sie die Migration von veralteten Verfahren rechtzeitig.

9. Personalsicherheit und Zugriffskontrolle

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 9 BSIG): Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen.

Was bedeutet das in der Praxis?

Diese Maßnahme adressiert drei Bereiche:

Personalsicherheit:

  • Sicherheitsüberprüfungen bei der Einstellung (soweit rechtlich zulässig)
  • Klare Definition von Verantwortlichkeiten
  • Regelungen für das Ausscheiden von Mitarbeitern (Zugangsentzug, Rückgabe von Assets)

Zugriffskontrolle:

  • Need-to-know-Prinzip: Zugriff nur auf die für die Aufgabe erforderlichen Ressourcen
  • Berechtigungsmanagement: Dokumentierte Prozesse für Vergabe, Änderung und Entzug von Berechtigungen
  • Regelmäßige Rezertifizierung: Überprüfung bestehender Berechtigungen
  • Privileged Access Management (PAM): Besondere Kontrollen für administrative Zugänge

Asset-Management:

  • Inventarisierung aller IT-Assets
  • Klassifizierung nach Kritikalität
  • Regelungen für Beschaffung, Nutzung und Entsorgung

Praxistipp: Implementieren Sie ein Identity and Access Management (IAM) System. Führen Sie quartalsweise Berechtigungsreviews für kritische Systeme durch.

10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Gesetzliche Anforderung (§ 30 Abs. 2 Nr. 10 BSIG): Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Was bedeutet das in der Praxis?

Diese Maßnahme umfasst zwei Schwerpunkte:

Multi-Faktor-Authentifizierung (MFA):

  • Implementierung von MFA für alle kritischen Systeme und Zugänge
  • Mindestens zwei Faktoren aus: Wissen (Passwort), Besitz (Token, Smartphone), Inhärenz (Biometrie)
  • Besonders wichtig für: Remote-Zugänge, administrative Accounts, Cloud-Dienste
  • Alternative: Kontinuierliche Authentifizierung (risikobasierte Authentifizierung)

Sichere Kommunikation:

  • Verschlüsselte Kommunikationskanäle für sensible Informationen
  • Sichere Sprach-, Video- und Textkommunikation (z. B. verschlüsselte Messenger)
  • Notfallkommunikationssysteme: Alternative Kommunikationswege für Krisensituationen, wenn reguläre Systeme ausfallen

Praxistipp: Priorisieren Sie MFA für VPN-Zugänge, E-Mail und administrative Konten. Planen Sie einen alternativen Kommunikationskanal für Notfälle (z. B. dedizierte Mobiltelefone).

Verhältnismäßigkeit der Maßnahmen

Das Gesetz verlangt keine Einheitslösung für alle Unternehmen. § 30 Abs. 1 BSIG betont ausdrücklich, dass die Maßnahmen „verhältnismäßig" sein müssen. Bei der Bewertung sind zu berücksichtigen:

  • Das Ausmaß der Risikoexposition
  • Die Größe der Einrichtung
  • Die Umsetzungskosten
  • Die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen
  • Die gesellschaftlichen und wirtschaftlichen Auswirkungen

Ein mittelständisches Unternehmen muss nicht dieselben Maßnahmen umsetzen wie ein DAX-Konzern. Entscheidend ist eine nachvollziehbare Risikoabwägung.

Zusammenhang mit anerkannten Standards

Die NIS-2-Maßnahmen orientieren sich stark an etablierten Standards. Die folgende Tabelle zeigt das Mapping zur aktuellen ISO 27001:2022 (Annex A mit 93 Controls in 4 Kategorien) und zum BSI IT-Grundschutz:

NIS-2-Maßnahme ISO 27001:2022 Annex A BSI IT-Grundschutz
1. Risikoanalyse und Informationssicherheit A.5.1 (Policies), A.5.2-A.5.6 (Rollen, Verantwortlichkeiten) ISMS.1, ORP.1
2. Bewältigung von Sicherheitsvorfällen A.5.24-A.5.28 (Incident Management), A.6.8 (Event Reporting) DER.2.1, DER.2.2
3. Business Continuity und Krisenmanagement A.5.29 (Security during disruption), A.5.30 (ICT readiness), A.8.13 (Backup) DER.4, CON.3
4. Lieferkettensicherheit A.5.19-A.5.23 (Supplier relationships) ORP.2, OPS.2.1
5. Sicherheit bei Erwerb, Entwicklung, Wartung A.8.8 (Vulnerability management), A.8.9 (Configuration), A.8.25-A.8.31 (Secure development) OPS.1.1.3, CON.8
6. Wirksamkeitsprüfung A.5.35 (Independent review), A.5.36 (Compliance with policies) DER.3.1, DER.3.2
7. Schulungen und Sensibilisierung A.6.3 (Awareness, education, training) ORP.3
8. Kryptografie A.8.24 (Use of cryptography) CON.1
9. Personalsicherheit und Zugriffskontrolle A.5.15-A.5.18 (Access control), A.6.1-A.6.2 (Screening, Terms), A.8.2-A.8.5 (User access) ORP.4, OPS.1.1.1
10. MFA und sichere Kommunikation A.8.5 (Secure authentication), A.5.14 (Information transfer) ORP.4, NET.4.2

Hinweis: Unternehmen mit bestehender ISO-27001-Zertifizierung oder IT-Grundschutz-Umsetzung haben einen deutlichen Vorsprung bei der NIS-2-Compliance.

Der Weg zur Umsetzung

Die Implementierung der zehn Maßnahmen erfordert einen strukturierten Ansatz:

Schritt 1: Ist-Analyse Führen Sie eine Gap-Analyse durch: Welche Maßnahmen sind bereits umgesetzt? Wo bestehen Lücken?

Schritt 2: Priorisierung Nicht alle Lücken müssen gleichzeitig geschlossen werden. Priorisieren Sie nach Risiko und Quick-Win-Potenzial.

Schritt 3: Maßnahmenplanung Erstellen Sie einen realistischen Umsetzungsplan mit Verantwortlichkeiten, Ressourcen und Zeitrahmen.

Schritt 4: Umsetzung Implementieren Sie die Maßnahmen schrittweise. Dokumentieren Sie alle Aktivitäten.

Schritt 5: Überprüfung Prüfen Sie die Wirksamkeit der umgesetzten Maßnahmen und passen Sie bei Bedarf an.

NIS-2-Maßnahmen als Sicherheitsgrundlage

Die zehn Mindestmaßnahmen nach § 30 BSIG bilden das Fundament der NIS-2-Compliance. Sie decken die wesentlichen Aspekte der Informationssicherheit ab – von der Risikoanalyse über die technischen Schutzmaßnahmen bis hin zum Krisenmanagement.

Die gute Nachricht: Viele Unternehmen haben bereits Teile dieser Anforderungen umgesetzt, sei es durch DSGVO-Compliance, bestehende Sicherheitsprozesse oder Branchenstandards. Eine systematische Gap-Analyse zeigt, wo noch Handlungsbedarf besteht. Mit unserer interaktiven NIS-2-Checkliste können Sie Ihren aktuellen Umsetzungsstand erfassen und priorisieren.

Die Umsetzung erfordert zwar Ressourcen, schafft aber echten Mehrwert: Besserer Schutz vor Cyberangriffen, klare Prozesse für den Ernstfall und Nachweis der Sorgfaltspflicht gegenüber Behörden und Geschäftspartnern. Wenn Sie professionelle Unterstützung bei der Implementierung benötigen, informieren Sie sich über unsere NIS-2-Beratungsleistungen.

Offizielle Quellen

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren