Wer überprüft die NIS-2-Einhaltung?
Januar 2026
Das BSI: Zentrale Aufsichtsbehörde nach § 59 BSIG
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist gemäß § 59 BSIG die zuständige Aufsichtsbehörde für die Einhaltung der Vorschriften in Teil 3 durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepublik Deutschland niedergelassen sind, durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Hoheitsgebiet der Bundesrepublik Deutschland befinden, und durch Einrichtungen der Bundesverwaltung.
Kurz gesagt: Wenn Ihr Unternehmen unter NIS-2 fällt und in Deutschland ansässig ist, ist das BSI Ihre Aufsichtsbehörde.
Sonderfall: Zentrale EU-Zuständigkeit für bestimmte Einrichtungsarten nach § 60 BSIG
Für bestimmte digitale Dienstleister gilt eine Besonderheit, das sogenannte One-Stop-Shop-Prinzip:
Wer ist betroffen?
DNS-Diensteanbieter,
Top Level Domain Name Registries,
Domain-Name-Registry-Dienstleister,
Anbieter von Cloud-Computing-Diensten,
Anbieter von Rechenzentrumsdiensten,
Betreiber von Content Delivery Networks,
Managed Service Provider,
Managed Security Service Provider sowie
Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke
sind nur dann dem BSI gegenüber verantwortlich, wenn sie ihre Hauptniederlassung in der EU in Deutschland haben. Ist das der Fall, ist das BSI für die gesamte EU-Tätigkeit zuständig.
Was bedeutet das praktisch?
Wenn Sie als Cloud-Anbieter Ihre europäische Hauptniederlassung in München haben, beaufsichtigt das BSI Ihre Tätigkeiten in der gesamten EU. Haben Sie Ihre Hauptniederlassung in Paris, ist die französische Behörde zuständig, auch wenn Sie in Deutschland Kunden betreuen.
Wo liegt die Hauptniederlassung?
Als Hauptniederlassung gilt der Mitgliedstaat, in dem die Entscheidungen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden. Kann das nicht bestimmt werden, gilt der Ort, an dem die Cybersicherheitsmaßnahmen durchgeführt werden. Ist auch das unklar, zählt die Niederlassung mit den meisten Beschäftigten in der EU.
Dienstleister ohne EU-Niederlassung:
Hat eine Einrichtung keine Niederlassung in der EU, bietet aber Dienste in der EU an, muss sie einen Vertreter in einem EU-Mitgliedstaat benennen. Sitzt dieser Vertreter in Deutschland, ist das BSI zuständig.
Was darf das BSI kontrollieren? Die Befugnisse nach § 61 BSIG
Das BSI hat bei besonders wichtigen Einrichtungen weitreichende Befugnisse:
1. Audits und Prüfungen anordnen (§ 61 Abs. 1 BSIG): Das BSI kann einzelne Unternehmen verpflichten, externe Audits, Prüfungen oder Zertifizierungen durchführen zu lassen, um die Erfüllung der Pflichten nach §§ 30, 31, 32 und 38 BSIG zu überprüfen.
2. Nachweise verlangen (§ 61 Abs. 3 BSIG): Frühestens drei Jahre nach Inkrafttreten des Gesetzes kann das BSI die Vorlage von Nachweisen über die Erfüllung der Verpflichtungen anordnen. Bei Krankenhäusern gilt eine Fünfjahresfrist.
3. Vor Ort prüfen (§ 61 Abs. 5 BSIG): Das BSI darf Ihre Geschäfts- und Betriebsräume während der üblichen Betriebszeiten betreten, Unterlagen einsehen, Auskünfte verlangen und Unterstützung einfordern.
Gute Nachricht: Gebühren fallen nur an, wenn das BSI aufgrund konkreter Zweifel an der Compliance tätig wird, nicht bei routinemäßigen Kontrollen.
4. Maßnahmen anordnen (§ 61 Abs. 6 BSIG): Das BSI kann konkrete Schutzmaßnahmen anordnen, einen Mängelbeseitigungsplan verlangen und Nachweise über die erfolgte Behebung fordern. Das Benehmen mit Ihrer Fachaufsicht ist normalerweise erforderlich, entfällt aber bei Gefahr im Verzug.
5. Prüfempfehlungen durchsetzen (§ 61 Abs. 7 BSIG): Konkrete Empfehlungen aus Sicherheitsprüfungen können vom BSI mit Fristsetzung zur Umsetzung angeordnet werden. Auch hier ist typischerweise ein Benehmen mit Ihrer Fachaufsicht erforderlich, entfällt aber bei Gefahr im Verzug.
6. Öffentliche Warnungen anordnen (§ 61 Abs. 8 BSIG): Das BSI kann Sie verpflichten, Ihre Kunden über Cyberbedrohungen zu informieren oder Verstöße öffentlich bekannt zu machen.
Die schärfste Waffe: Tätigkeitsuntersagung nach § 61 Abs. 9 BSIG
Was passiert, wenn ein Unternehmen BSI-Anordnungen trotz Fristsetzung ignoriert?
Das BSI informiert dann die zuständige Fachaufsichtsbehörde (z.B. BaFin, Bundesnetzagentur). Diese kann als letztes Mittel die erteilte Genehmigung vorübergehend aussetzen oder unzuverlässigen Geschäftsleitungen die Ausübung ihrer Tätigkeit vorübergehend untersagen.
Beispiel: Ein Energieversorger ignoriert wiederholt BSI-Anordnungen zur Mängelbeseitigung. Das BSI informiert die Bundesnetzagentur. Diese kann die Betriebsgenehmigung vorübergehend aussetzen oder dem Geschäftsführer die Tätigkeit untersagen.
Wichtig: Die Maßnahmen dauern nur so lange, bis das Unternehmen die Anordnungen befolgt. Sie sind keine dauerhafte Stilllegung, sondern ein Druckmittel zur Durchsetzung.
Aufsicht bei wichtigen Einrichtungen: Erst prüfen, dann handeln nach § 62 BSIG
Bei wichtigen Einrichtungen (der zweiten Kategorie) geht das BSI vorsichtiger vor:
Das BSI kann nur dann tätig werden, wenn konkrete Tatsachen die Annahme rechtfertigen, dass Verpflichtungen nicht erfüllt werden. Dann aber stehen dem BSI die gleichen Maßnahmen wie bei besonders wichtigen Einrichtungen zur Verfügung.
Unterschied zu besonders wichtigen Einrichtungen: Anlasslose Routinekontrollen sind bei wichtigen Einrichtungen nicht vorgesehen. Das BSI muss zunächst Hinweise auf Verstöße haben.
Empfindliche Bußgelder nach § 65 BSIG
Was ist bußgeldbewehrt? Verstöße gegen Risikomanagementpflichten (§ 30 BSIG), fehlende oder unvollständige Dokumentation, nicht rechtzeitige Meldungen von Sicherheitsvorfällen (§ 32 BSIG), fehlende Registrierung (§ 33 BSIG) und Missachtung von BSI-Anordnungen.
Wie hoch sind die Bußgelder?
Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro. Bei Unternehmen mit über 500 Millionen Euro Jahresumsatz: Bis zu 2 % des weltweiten Jahresumsatzes.
Wichtige Einrichtungen: Bis zu 7 Millionen Euro. Bei Unternehmen mit über 500 Millionen Euro Jahresumsatz: Bis zu 1,4 % des weltweiten Jahresumsatzes.
Zusätzlich: Zwangsgelder nach § 63 BSIG: Das BSI kann Zwangsgelder bis zu 100.000 Euro verhängen, um Anordnungen durchzusetzen.
Was sagt das BSI dazu: Im Gespräch hat das BSI mitgeteilt, dass sie zunächst gerne beratend und begleitend tätig werden. Wenn sich ein Unternehmen allerdings nicht an die Regelungen hält, würde von den Rechten als Aufsichtsbehörde durchaus Gebrauch gemacht.
Weitere beteiligte Behörden
Bundesnetzagentur: Zuständig für Telekommunikationsunternehmen und Energieversorger
BaFin: Zuständig für Banken und Finanzdienstleister
Landesdatenschutzbehörden: Werden informiert, wenn Verstöße auch Datenschutzverletzungen darstellen
Das BSI muss die Fachaufsicht unverzüglich informieren, wenn es Maßnahmen ergreift, besonders wenn diese wegen Gefahr im Verzug ohne vorherige Abstimmung erfolgen.
Die ENISA (Agentur der Europäischen Union für Cybersicherheit) ist die zentrale EU-Koordinierungsstelle für Cybersicherheit, die Berichte über Sicherheitsvorfälle vom BSI erhält, Registrierungsdaten ausgewählter Einrichtungsarten empfängt und die Kooperationsgruppe sowie das CSIRTs-Netzwerk der nationalen Behörden koordiniert.
So bereiten Sie sich auf BSI-Prüfungen vor
1. Dokumentieren Sie lückenlos: Alle Risikoanalysen, Schutzmaßnahmen, Überprüfungen und deren Ergebnisse müssen schriftlich festgehalten werden.
2. Weisen Sie Geschäftsleitungspflichten nach: Dokumentieren Sie Beschlüsse der Geschäftsleitung, Überwachungsberichte und Schulungsteilnahmen mit Teilnahmebestätigungen.
3. Testen Sie Ihre Meldeprozesse: Simulieren Sie Sicherheitsvorfälle und prüfen Sie, ob Ihre Meldeabläufe die 24-Stunden- bzw. 72-Stunden-Fristen einhalten können.
4. Halten Sie Registrierungsdaten aktuell: Ihre Kontaktstelle zum BSI muss jederzeit erreichbar sein. Änderungen müssen Sie unverzüglich melden.
5. Bereiten Sie sich auf Inspektionen vor: Legen Sie fest, wer bei BSI-Besuchen Ansprechpartner ist. Stellen Sie sicher, dass relevante Unterlagen schnell verfügbar sind.
Fazit: Nehmen Sie die BSI-Aufsicht ernst
Das BSI hat scharfe Instrumente in der Hand: Es kann Audits anordnen, Ihre Räume betreten, Maßnahmen vorschreiben und Bußgelder verhängen.
Die härteste Sanktion bei Verweigerung: Ihre Fachaufsicht kann die Betriebsgenehmigung aussetzen oder Ihrer Geschäftsleitung die Tätigkeit untersagen.
Für grenzüberschreitend tätige digitale Dienstleister vereinfacht § 60 BSIG die Aufsicht: Wer seine Hauptniederlassung in Deutschland hat, wird nur vom BSI beaufsichtigt, für alle EU-Tätigkeiten. Das vermeidet Doppelprüfungen.
Handeln Sie jetzt: Bauen Sie ein solides ISMS auf, dokumentieren Sie sauber und nehmen Sie die Geschäftsleitungsverantwortung ernst. MAINLY unterstützt Sie bei der rechtssicheren Umsetzung, der Vorbereitung auf BSI-Prüfungen und der professionellen Dokumentation.
