§ 30 BSIG: 10 NIS2-Pflichtmaßnahmen für Unternehmen erklärt
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- 10 Pflichtmaßnahmen-Bereiche nach § 30 Abs. 2 BSIG (in Kraft seit 06.12.2025)
- Risikobasiert + verhältnismäßig — keine starre Mindestliste, aber jeder Bereich muss adressiert sein
- ISO 27001 deckt 70-80 % ab — aber Mapping-Lücken systematisch schließen
- Häufigste Audit-Beanstandungen 2026: Lieferkette, Wirksamkeitsbewertung, Cyberhygiene
- Bußgelder bis 10 Mio. EUR / 2 % Umsatz — plus persönliche GF-Innenhaftung nach § 38 Abs. 5
1. Überblick: Was § 30 BSIG verlangt
§ 30 BSIG (Bundesgesetz für Informationssicherheit, in Kraft seit 06.12.2025 durch das NIS2UmsuCG) verpflichtet wesentliche und wichtige Einrichtungen zu geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen zur Beherrschung von Cyberrisiken.
"Die Maßnahmen müssen in Anbetracht der Besonderheiten der wesentlichen oder wichtigen Einrichtung den Stand der Technik einhalten und den einschlägigen europäischen und internationalen Normen entsprechen." — § 30 Abs. 1 Satz 2 BSIG
Die Verordnung listet 10 Maßnahmen-Bereiche auf, die jede betroffene Einrichtung adressieren muss — die Tiefe der Umsetzung skaliert mit dem Risiko.
Wer die 22 Vorlagen für alle 10 Bereiche nicht selbst aufsetzen will, findet im NIS2-Kit ein vollständiges Maßnahmen-Paket inkl. ISO-27001-Mapping und BSI-Grundschutz-Crosswalk.
2. Bereich 1 + 2: Risikoanalyse + Vorfälle
| Bereich | Pflicht | Vorlagen |
|---|---|---|
| 1. Risikoanalyse + Sicherheitskonzepte | Methodik (z.B. ISO 27005), Risiko-Register, Risikobehandlungs-Plan | ISMS-Leitlinie, Risiko-Register, RMP |
| 2. Bewältigung von Sicherheitsvorfällen | Incident Response Policy, 24h/72h/30d-Meldevorlagen, Playbooks | IR-Policy, IR-Playbook, Meldevorlagen |
Praxis-Hinweis: Die 24h-Frühwarnung ist binnen 24h ab Kenntnis Pflicht — nicht ab Vorfalls-Beginn. Erreichbarkeit muss 24/7 sichergestellt sein.
3. Bereich 3: Business Continuity
"Aufrechterhaltung des Betriebs (Backup-Management und Wiederherstellung nach einem Notfall, Krisenmanagement)" — § 30 Abs. 2 Nr. 3 BSIG.
- Business Continuity Plan (BCP) mit RTO/RPO pro Geschäftsprozess
- Backup-Strategie (3-2-1-Prinzip oder gleichwertig)
- Disaster Recovery Plan mit getesteter Wiederherstellungsroutine
- Krisenmanagement-Plan + interne/externe Kommunikation
4. Bereich 4 + 5: Lieferkette + sichere Entwicklung
Häufigste Audit-Beanstandung 2026 ist Bereich 4. Pflicht-Inhalte:
- Lieferanten-Bewertung mit Risikoklassifizierung
- Cybersecurity-Klauseln in Standard-Verträgen
- Right-to-Audit für kritische Lieferanten
- Vorfall-Notification durch Lieferanten an Sie als Auftraggeber (max. 24h)
Bereich 5: sichere Softwareentwicklung — typischerweise OWASP-orientiert + Schwachstellen-Management nach CVD-Prozess (Coordinated Vulnerability Disclosure).
5. Bereich 6: Wirksamkeitsbewertung
Pflicht zu "Konzepten zur Beurteilung der Wirksamkeit der Maßnahmen". Praktisch:
- KPIs pro Bereich (z.B. Patch-Compliance-Rate, Phishing-Klickrate, Recovery-Time)
- Quartalsweises Reporting an Geschäftsleitung
- Pentest jährlich (BSI-Empfehlung)
- Internes Audit + externes Audit alle 2 Jahre
6. Bereich 7: Cyberhygiene
"Konzepte und Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit" — § 30 Abs. 2 Nr. 7 BSIG.
- Phishing-Simulation quartalsweise mit Click-Rate-Monitoring
- Schulung aller Mitarbeitenden jährlich (mit Quiz)
- Onboarding-Schulung für neue Beschäftigte (Pflicht in den ersten 4 Wochen)
- Sektorspezifische Vertiefung (z.B. SCADA-Schulung in Industrie)
7. Bereich 8: Kryptografie
| Anwendung | Standard |
|---|---|
| Daten in Transit | TLS 1.3 (BSI TR-02102), HTTPS überall |
| Daten at Rest | AES-256 für Datenträger und Backups |
| E-Mail-Sicherheit | S/MIME oder PGP für sensible Kommunikation |
| Schlüsselverwaltung | HSM oder gleichwertiges Key Management System |
| Quanten-Kryptografie | Vorbereitung Post-Quantum (NIST Standards 2024) |
8. Bereich 9 + 10: Personalsicherheit + Authentifizierung
| Bereich | Pflicht |
|---|---|
| 9. Personalsicherheit + Zugriffskontrolle | Berechtigungskonzept, Need-to-Know, regelmäßige Überprüfung, Onboarding/Offboarding-Workflow, ggf. Sicherheitsprüfung |
| 10. MFA + sichere Kommunikation | MFA für alle Admin- und externen Zugänge, sichere Sprach-/Video-/Text-Kommunikation, Notfallkommunikation |
9. ISO 27001-Mapping
| § 30 Bereich | ISO 27001 Annex A | Lücken-Wahrscheinlichkeit |
|---|---|---|
| 1. Risikoanalyse | A.5, A.8 | gering |
| 2. Vorfälle | A.16 | mittel (NIS2-Meldepflichten 24/72/30 fehlen) |
| 3. BCP | A.17 | gering |
| 4. Lieferkette | A.15 | hoch (Cybersecurity-Klauseln fehlen oft) |
| 5. sichere Entwicklung | A.14 | gering |
| 6. Wirksamkeit | A.18 | mittel (KPI-Reporting an GF fehlt) |
| 7. Cyberhygiene | A.7 | mittel |
| 8. Kryptografie | A.10 | gering |
| 9. Personalsicherheit | A.7, A.9 | gering |
| 10. MFA | A.9 | mittel |
10. Praxis-Checkliste: 22 Vorlagen für die 10 Bereiche
- ISMS-Leitlinie
- Risikoanalyse-Methodik
- Risiko-Register
- Risikobehandlungs-Plan
- Incident Response Policy
- Incident Playbook
- 24h/72h/30d-Meldevorlagen (3 Stück)
- Business Continuity Plan
- Backup & Recovery-Konzept
- Disaster Recovery Plan
- Krisenmanagement-Plan
- Lieferanten-Fragebogen
- Cybersecurity-Vertragsklauseln
- Schwachstellenmanagement-Prozess
- Vulnerability Disclosure Policy
- Cyberhygiene-Schulung
- Phishing-Simulation-Konzept
- Kryptografie-Policy
- Berechtigungskonzept
- MFA-Policy
- Asset-Inventar
- Audit-Checkliste + Wirksamkeitsmessung
Häufig gestellte Fragen
Reicht ISO 27001 als Nachweis für § 30 BSIG?
Größtenteils ja. ISO 27001 deckt 70-80 % der § 30-Anforderungen ab. Lücken: NIS2-Meldepflichten 24h/72h/30d (§ 32 BSIG), Lieferketten-Sorgfalt nach § 30 Abs. 2 Nr. 5, sektorale Spezifika. Mapping-Workbook + Ergänzungs-Vorlagen schließen die Lücken.
Müssen alle 10 Bereiche gleich tief umgesetzt sein?
Nein. § 30 verlangt 'angemessene und verhältnismäßige' Maßnahmen — risikobasiert. Praxis: Risikoanalyse zeigt, wo Schwerpunkte liegen. Beispiel: Online-Shop priorisiert Bereich 9+10 (Authentifizierung); Maschinenbauer Bereich 4 (Lieferkette).
Was ist die häufigste Audit-Beanstandung?
Drei typische BSI-Befunde 2026: (1) Bereich 5 (Lieferketten-Sicherheit) — keine Cybersecurity-Klauseln in Verträgen, (2) Bereich 6 (Wirksamkeitsbewertung) — keine dokumentierten KPIs, (3) Bereich 7 (Cyberhygiene) — keine Phishing-Simulation.
Wie hoch ist der Initial-Aufwand?
Bei vorhandener IT-Sicherheit (z.B. ISO 27001-zertifiziert): 3-6 Monate Anpassung + 0,5 FTE. Ohne ISMS: 9-12 Monate Aufbau + 1 FTE. Compliance-Kit NIS2-Kit liefert 22 Vorlagen + Mapping — Aufwand reduziert sich um 50-70 %.
MFA überall Pflicht?
Faktisch ja. § 30 Abs. 2 Nr. 10 verlangt 'Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung'. BSI-Praxis: alle Admin-Konten + alle externen Zugänge (VPN, Cloud) mit MFA. Reine Mitarbeiter-Office-Nutzung: risikobasiert begründbar.
Was zählt als 'Stand der Technik'?
Für jeden der 10 Bereiche orientieren sich Aufsichten an: BSI Grundschutz Bausteine, ISO 27002, ENISA Technical Implementation Guidance v1.0 (26.06.2025), branchenspezifische Standards (z.B. TISAX im Automotive). Kein statischer Standard — laufende Aktualisierung Pflicht.
Welcher Bereich hat die höchsten Bußgelder?
Pflichtverletzungen sind bußgeldbewehrt unabhängig vom Bereich. Höhere Bußgelder bei Bereichen mit Außenwirkung: Bereich 2 (Vorfall-Bewältigung) bei Verfehlung der 24h-Meldefrist, Bereich 5 (Lieferkette) bei nachweisbar mangelnder Sorgfalt mit Schaden für Dritte. BSIG: bis 10 Mio. EUR / 2 % Umsatz.
Müssen Tochtergesellschaften eigene § 30-Maßnahmen aufsetzen?
Wenn jede Tochter eigenständig betroffen ist (eigene wesentl./wichtige Einrichtung): ja. Konzern-Mutter kann zentrale ISMS-Leitlinie + zentrale Maßnahmen vorgeben — die Tochter setzt sie operativ um. Verträge/Delegationsketten dokumentieren.
Quellen
- BSIG 2025 (konsolidierte Fassung) — §§ 28–60 (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 (EUR-Lex DE) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen
Werkzeuge & Selbsttests
NIS2 Readiness-Check
Pruefen Sie Ihre NIS2-Reife in 10 Minuten.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
NIS2 Selbsttest
Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit.
NIS2 Pflichtmassnahmen-Audit
10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.