§ 30 BSIG
10 Pflichtmaßnahmen-Bereiche für NIS2-Risikomanagement
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
§ 30 BSIG (Bundesgesetz für Informationssicherheit, in Kraft seit 06.12.2025 durch das NIS2UmsuCG) verpflichtet wesentliche und wichtige Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Beherrschung der Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu treffen — in 10 explizit benannten Pflichtmaßnahmen-Bereichen.
Was ist § 30 BSIG?
Die 10 Pflichtmaßnahmen-Bereiche nach § 30 Abs. 2 BSIG:
- Konzepte für die Risikoanalyse und -bewertung sowie für die Sicherheit von Informationssystemen
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup, Disaster Recovery, Krisenmanagement)
- Sicherheit der Lieferkette
- Sicherheit beim Erwerb, Entwickeln und Warten von Netz- und Informationssystemen
- Konzepte zur Beurteilung der Wirksamkeit der Maßnahmen
- Cyberhygiene und Schulungen im Bereich Cybersicherheit
- Konzepte für Kryptografie und Verschlüsselung
- Sicherheit des Personals, Zugriffskontroll-Konzepte
- MFA, kontinuierliche Authentifizierung, sichere Sprach-/Video-/Text-Kommunikation
Praxisbeispiel
Ein Maschinenbauer (350 MA, 'wichtige Einrichtung' nach § 28 BSIG) setzt § 30 wie folgt um:
- Bereich 1: ISMS-Leitlinie + Risikoanalyse-Methodik nach ISO 27005 (jährlicher Review)
- Bereich 2: Incident Response Policy + 24h/72h/30d-Meldevorlagen
- Bereich 3: BCP, Backup, DR-Plan, Krisenmanagement
- Bereich 4: Lieferanten-Fragebogen + Cybersecurity-Vertragsklauseln
- Bereich 7: Cyberhygiene-Schulung jährlich, Phishing-Simulation quartalsweise
- Bereich 10: MFA für alle Admin-Zugänge, sichere Kommunikation via S/MIME
Häufig gestellte Fragen
Reicht ISO 27001 als Nachweis?
ISO 27001 deckt einen Großteil der Bereiche ab, aber nicht alle. Ergänzungen erforderlich für: NIS2-Meldepflichten (24/72/30), Lieferketten-Klauseln, sektorspezifische BSI-Anforderungen. Mapping-Workbooks helfen.
Was ist der Unterschied zu § 8a BSIG (alt, KRITIS)?
§ 30 ist breiter und gilt für ~29.500 Einrichtungen statt ~4.500. Pflichtkatalog ist aus NIS2-RL Art. 21 abgeleitet, mit zusätzlicher deutscher Konkretisierung.
Wer prüft die Einhaltung?
BSI als zentrale Aufsichtsbehörde. Prüfungen: anlassbezogen, anlassunabhängig, im Rahmen von Vorfallsmeldungen. Nachweispflicht beim betroffenen Unternehmen.