NIS2 für Cloud-Provider + SaaS-Anbieter: Sektor 'Cloud Computing'
TL;DR
- Sektor „Cloud Computing" nach Anhang I NIS-2-Richtlinie als wesentliche Einrichtung
- Pflichten: § 30 BSIG (10 Maßnahmen), § 32 (Vorfall-Meldungen), § 33 (Registrierung)
- Kunden-Schnittstelle: AVV nach Art. 28 DSGVO + Audit-Bericht-Bereitstellung
- BSI-Registrierung bis 06.03.2026 (wesentliche Einrichtungen)
- Bei Verstoß: bis 10 Mio. EUR / 2 % Umsatz + GF-Innenhaftung § 38 BSIG
Hauptartikel: Hauptartikel: NIS2-Umsetzung Deutschland — der vollständige Pillar-Artikel zum Thema.
1. Sektor-Klassifikation
NIS2 Anhang I: Cloud-Computing-Dienste = wesentliche Einrichtung. Ab 50 MA + 10 Mio. EUR. Auch unter 50 MA, wenn 'kritisch' (z.B. CDN für Behörden).
2. SaaS-Provider als Cloud-Provider?
Nicht alle SaaS = Cloud i.S.v. NIS2. Definition: 'Bereitstellung von skalierbaren, elastischen IT-Ressourcen' (Anhang I). Reine SaaS oft NICHT erfasst, IaaS/PaaS schon.
3. Erhöhte Pflichten
Strengere Service-Level-Agreements, höhere Verfügbarkeits-Standards, ENISA-Cloud-Security-Benchmark, EU-Datenboundary.
4. Lieferanten als Verantwortliche
Cloud-Provider haftet auch für Sub-Provider. § 30 BSIG-Lieferketten-Klauseln strikt.
5. Vorfall-Meldung an Kunden
Bei Vorfall: Pflicht zur Kunden-Information binnen 24h (NIS2 + DSGVO Art. 33-Kette).
6. Empfohlener Standard
ISO 27017/27018 (Cloud-Security/Cloud-Privacy), C5 (BSI-Cloud-Standard), CSA STAR.
Häufig gestellte Fragen
Hyperscaler vs. Mittelstands-Cloud?
CSA STAR oder ISO 27017?
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 30, § 32 BSIG (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21, Anhang I (digitale Infrastruktur) (EUR-Lex DE) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen