Digitale Infrastruktur ist das Rückgrat des europäischen Internets – und gleichzeitig eines der Hauptziele der NIS2-Richtlinie. Wer Rechenzentren betreibt, Internet-Knoten verwaltet, DNS-Dienste anbietet oder Top-Level-Domains registriert, steht vor konkreten Cybersicherheitspflichten, die seit Dezember 2025 durch das NIS-2-Umsetzungs- und Cyberstärkungsgesetz (NIS2UmsuCG) in deutsches Recht umgesetzt sind. Dieser Leitfaden erklärt, wer genau betroffen ist, welche Besonderheiten der Sektor mitbringt – insbesondere die größenunabhängige Einordnung – und was die direkt anwendbare Durchführungsverordnung CIR 2024/2690 für die Praxis bedeutet.
Was gilt als digitale Infrastruktur nach NIS2?
Die NIS2-Richtlinie (Richtlinie 2022/2555/EU) listet in Anhang I, Punkt 8 acht Kategorien auf, die dem Sektor „Digitale Infrastruktur“ zugeordnet sind:
- Internet-Knoten (IXPs) – neutral betriebene Einrichtungen, über die der Datenverkehr verschiedener Netze ausgetauscht wird, ohne dass ein einzelner Betreiber die Route kontrolliert
- DNS-Dienstanbieter – Anbieter rekursiver oder autoritativer DNS-Dienste, ausgenommen Root-Name-Server-Betreiber
- TLD-Registrierungsstellen – Einrichtungen, die für die Verwaltung und den Betrieb einer Top-Level-Domain zuständig sind (z. B. .de, .eu, .com)
- Cloud-Computing-Dienstleister
- Rechenzentrumsdienstleister
- Anbieter von Inhaltszustellnetzen (CDNs)
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
Alle acht Kategorien gehören zu Anhang I (wesentliche Einrichtungen) – dem strengeren der beiden NIS2-Sektoren. Das bedeutet proaktive Aufsicht durch das BSI, strengere Prüfpflichten und höhere Bußgeldrahmen als in Anhang II.
Rechenzentren: Wer genau betroffen ist
Ein Rechenzentrumsdienstleister im Sinne von NIS2 ist eine Einrichtung, die Dienstleistungen erbringt, die Compute-, Speicher- oder Netzwerkressourcen in einer gemeinsam genutzten physischen Umgebung bereitstellt und wartungsseitig betreibt. Entscheidend: Die Dienstleistung muss an andere erbracht werden – wer nur ein unternehmensinternes Rechenzentrum für den Eigenbedarf betreibt, fällt nicht unter diese Kategorie. Betreiber von Co-Location-Centern, Colocation-Diensten (Housing, Hosting) und Hyperscale-Datencentern zählen jedoch dazu.
Auch Cloud-Computing-Dienstleister sind separat gelistet. Hierunter fallen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), sofern die Dienste in Deutschland oder an in Deutschland ansässige Empfänger erbracht werden. Public-Cloud-Anbieter, die grenzüberschreitend operieren, fallen in den meisten Fällen unter die deutsche Zuständigkeit, wenn sie wesentliche Dienste für deutsche Kunden erbringen.
Internet-Knoten (IXPs): DE-CIX und die NIS2-Einordnung
Internet Exchange Points sind physische Standorte, an denen Internetdienstanbieter, Netzbetreiber und Content-Anbieter ihre Netze verbinden und Datenverkehr austauschen. Der DE-CIX in Frankfurt ist einer der größten Internetknoten der Welt. Als neutraler Betreiber eines IXP gilt er als wesentliche Einrichtung nach Anhang I NIS2 – unabhängig von seiner Größe (dazu unten mehr).
Kleinere regionale Internet-Knoten in Deutschland, die zwar weniger Verkehr abwickeln, aber die Konnektivität regionaler Netze sicherstellen, fallen ebenfalls in den Geltungsbereich. Für IXPs gilt: Sie müssen sich beim BSI registrieren, die 10 Sicherheitsmaßnahmen nach Artikel 21 umsetzen und gravierende Vorfälle innerhalb von 24 Stunden melden.
DNS-Dienstanbieter und TLD-Registrierungsstellen
Diese beiden Kategorien gehören zu den sensibelsten Einrichtungen der digitalen Infrastruktur – ein Angriff auf sie kann den gesamten europäischen Internetverkehr beeinträchtigen. Deshalb behandelt NIS2 sie besonders streng:
DNS-Dienstanbieter umfassen alle Einrichtungen, die öffentlich erreichbare rekursive Namensauflösungsdienste (Open Resolver) oder autoritäre Nameserver-Dienste anbieten. Reine Root-Name-Server-Betreiber sind ausgenommen (Erwägungsgrund 54 NIS2). Registrare, die DNS-Verwaltung für Kundendomänen anbieten, sind dagegen eingeschlossen.
TLD-Registrierungsstellen verwalten die technische und administrative Infrastruktur einer Top-Level-Domain. In Deutschland ist die DENIC eG zuständig für .de. Europäische TLD-Registrierungsstellen, die in Deutschland ansässig sind oder wesentliche Dienste für den deutschen Markt erbringen, unterliegen deutschem NIS2-Recht.
Größenunabhängige Pflichten – die entscheidende Besonderheit
Für die meisten NIS2-Sektoren gilt: Nur mittlere Unternehmen (ab 50 Mitarbeiter oder über 10 Mio. € Jahresumsatz) und große Unternehmen (ab 250 Mitarbeiter oder über 50 Mio. €) sind betroffen. Beim Sektor digitale Infrastruktur gibt es jedoch wichtige Ausnahmen, bei denen die Größe keine Rolle spielt.
Artikel 2 Abs. 2 NIS2 bestimmt, dass die Richtlinie unabhängig von ihrer Größe auf Einrichtungen Anwendung findet, die:
- DNS-Dienstleistungen erbringen (Buchst. b)
- als TLD-Registrierungsstelle fungieren (Buchst. b)
- öffentliche elektronische Kommunikationsnetze oder -dienste bereitstellen (Buchst. c)
- Vertrauensdienste als qualifizierte Vertrauensdiensteanbieter anbieten (Buchst. a und d)
- Domain-Name-Registrierungsdienste anbieten (Buchst. e)
Das bedeutet konkret: Ein kleines DNS-Unternehmen mit 8 Mitarbeitern und 2 Mio. € Umsatz kann NIS2-pflichtig sein. Eine TLD-Registry mit 15 Mitarbeitern gilt als wesentliche Einrichtung und wird vom BSI aktiv beaufsichtigt. Diese Besonderheit unterscheidet digitale Infrastruktur fundamental von anderen Sektoren wie Energie oder Transport, wo die Größenschwellen uneingeschränkt gelten.
Für Rechenzentren, CDNs und Cloud-Anbieter gelten hingegen die normalen Größenschwellen – hier müssen mittlere oder große Unternehmen nach EU-Definition die Anforderungen erfüllen.
CIR 2024/2690: Die direkt anwendbare Durchführungsverordnung
Eine der wichtigsten Neuerungen gegenüber dem früheren NIS-Regime ist die Durchführungsverordnung (EU) 2024/2690 der Kommission (kurz: CIR 2024/2690), die am 17. Oktober 2024 veröffentlicht wurde und seit dem 6. November 2024 in Kraft ist. Details dazu finden Sie im Leitfaden zur NIS2-Durchführungsverordnung (CIR 2024/2690).
Das Entscheidende: Als EU-Verordnung gilt die CIR direkt in allen Mitgliedstaaten – ohne nationale Umsetzung. Es gibt keine deutsche Übertragungsgesetz. Die Anforderungen gelten unmittelbar für alle Einrichtungen des Sektors digitale Infrastruktur (Anhang I, Punkt 8 NIS2) sowie für Anbieter von ICT-Diensten in bestimmten Anhang-II-Kategorien.
Die CIR legt technische und methodische Anforderungen für die Cybersicherheitsmaßnahmen nach Artikel 21 Abs. 2 NIS2 fest. Konkret bedeutet das für Betreiber digitaler Infrastruktur:
- Detaillierte Vorgaben zu Risikoanalyse und Informationssicherheitsrichtlinien
- Konkrete technische Anforderungen für Zugriffskontrolle, Netzwerksegmentierung, Verschlüsselung und Protokollierung
- Spezifische Vorgaben für den Betrieb von DNS-Diensten (Abschnitt 14 CIR): DNSSEC-Implementierung, Resilienz gegen Query-Flooding, Protokollierung von DNS-Anfragen
- Vorgaben für Rechenzentren: physische Zutrittssicherung, Klimatisierungsredundanz, Notfallversorgung, Lieferantenmanagement
- IXP-spezifische Anforderungen: Redundanz des Schaltpunkts, BGP-Sicherheit, Route-Server-Härtung
Die CIR hat Vorrang vor nationalen technischen Standards, soweit sie die gleichen Bereiche regelt. Betroffene Einrichtungen müssen die CIR-Anforderungen ergänzend zum NIS2UmsuCG erfüllen.
Die 10 Pflichtmaßnahmen nach Artikel 21 NIS2
Alle wesentlichen und wichtigen Einrichtungen der digitalen Infrastruktur müssen die zehn Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 NIS2 umsetzen. Für den Sektor digitale Infrastruktur ergeben sich dabei besondere Schwerpunkte:
| Maßnahme (Art. 21 Abs. 2) | Besondere Relevanz für digitale Infrastruktur |
|---|---|
| a) Konzepte für Risikoanalyse und Sicherheit | Risikomodelle müssen BGP-Hijacking, DNS-Spoofing und DDoS-Szenarien abdecken |
| b) Bewältigung von Sicherheitsvorfällen | SOC-Anbindung, Eskalationspfade zu BSI und ENISA |
| c) Business Continuity und Krisenmanagement | Georedundanz, automatisches Failover, RTO/RPO für DNS und Routing |
| d) Sicherheit der Lieferkette | Hardware-Lieferanten, Transit-Provider, Peering-Partner prüfen |
| e) Sicherheit bei Erwerb und Wartung von Systemen | Patch-Management für Betriebssysteme, Router-Firmware, DNS-Software |
| f) Bewertung der Wirksamkeit von Maßnahmen | Penetrationstests, Red-Team-Übungen, BGP-Sicherheits-Audits |
| g) Grundlegende Cyberhygiene und Schulungen | Mitarbeiter für Phishing, Social Engineering und Insider-Threats sensibilisieren |
| h) Kryptografie und Verschlüsselung | DNSSEC, TLS 1.3, Verschlüsselung von Peering-Verbindungen |
| i) Personalmanagement und Zugriffssteuerung | Privilegierter Zugang zu Routern, Nameservern und Rechenzentrumsinfrastruktur |
| j) Multifaktor-Authentifizierung und sichere Kommunikation | MFA für alle Admin-Zugänge, Out-of-Band-Management-Netzwerke |
Meldepflichten bei Sicherheitsvorfällen
Wesentliche Einrichtungen der digitalen Infrastruktur müssen erhebliche Sicherheitsvorfälle nach einem strikten Zeitplan an das BSI melden:
- Innerhalb von 24 Stunden: Frühwarnung. Erste Information, ob der Vorfall auf rechtswidrige oder bösartige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben könnte.
- Innerhalb von 72 Stunden: Meldung. Erste Bewertung des Vorfalls, Schweregrad, Indikatoren für die Kompromittierung.
- Innerhalb von 1 Monat: Abschlussbericht. Ursachenanalyse, Art der Bedrohung, getroffene Abhilfemaßnahmen, grenzüberschreitende Folgen.
Ein Vorfall gilt als „erheblich“, wenn er zu einer schwerwiegenden Betriebsstörung oder zu einem finanziellen Verlust für die betroffene Einrichtung geführt hat oder andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt werden könnte. Für Betreiber digitaler Infrastruktur ist die Schwelle bewusst niedrig gesetzt: Ein mehriündiger DNS-Ausfall, ein BGP-Hijacking-Ereignis oder eine physische Sicherheitsverletzung im Rechenzentrum sind typische Meldefälle.
Registrierungspflicht beim BSI
Alle betroffenen Einrichtungen der digitalen Infrastruktur müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Das BSI hat hierfür eine Registrierungsplattform eingerichtet. Für die Registrierung sind mindestens folgende Angaben erforderlich:
- Name und Rechtsform der Einrichtung
- Anschrift des Hauptsitzes und aller Niederlassungen in der EU
- Aktuelle Kontaktdaten (IP-Adresspools, allgemeine E-Mail-Adresse, Telefonnummer)
- Zuständige NIS2-Kategorie(n) und Sektorzugehörigkeit
- Einstufung als wesentliche oder wichtige Einrichtung (soweit selbst bestimmt)
Wichtig: Die Registrierung ist keine Einmalmaßnahme. Änderungen müssen dem BSI unverzüglich mitgeteilt werden. Das BSI kann auf Basis der gemeldeten Informationen eine abweichende Einstufung vornehmen. Betreiber, die sich nicht registrieren, riskieren Baußgelder und proaktive BSI-Anordnungen.
Einstufung: wesentlich oder wichtig?
Für die Einrichtungen des Sektors digitale Infrastruktur gilt grundsätzlich eine Einstufung als wesentliche Einrichtung (Anhang I), sofern sie die Größenschwellen überschreiten oder eine der größenunabhängigen Kategorien erfüllen. Die Einstufung hat direkte Auswirkungen:
- Wesentliche Einrichtungen unterliegen proaktiver Aufsicht durch das BSI: regelmäßige Audits, Sicherheitsprüfungen, Inspektionen und Anfragen ohne konkreten Anlass.
- Wichtige Einrichtungen (Anhang II) werden reaktiv beaufsichtigt: Das BSI wird tätig, wenn Hinweise auf Verstöße vorliegen oder Vorfälle gemeldet werden.
Mittlere Unternehmen im Sektor digitale Infrastruktur, die keine größenunabhängige Kategorie erfüllen (etwa ein mittelgroßer Rechenzentrumsanbieter mit 80 Mitarbeitern), werden als wesentliche Einrichtungen eingestuft – nicht als wichtige. Das ergibt sich aus der Zuordnung zu Anhang I.
Im Gegensatz dazu ist der Sektor Telekommunikation zwar ebenfalls in Anhang I gelistet (Punkt 8, Nr. 8), unterliegt aber zusätzlichen bereichsspezifischen Regelungen im Telekommunikationsgesetz (TKG), das NIS2-Anforderungen für Telekommunikationsanbieter überschneidend regelt.
Bußgelder und Haftung
Für Verstöße von wesentlichen Einrichtungen der digitalen Infrastruktur sieht das NIS2-Regime folgende Sanktionen vor:
- Maximales Bußgeld: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstandsmitglieder können persönlich für Säumnisse bei der Umsetzung von Cybersicherheitsmaßnahmen haftbar gemacht werden. Das BSI kann temporäre Amtsuntersagungen gegen Leitungspersönen anordnen.
- Einstweilige Anordnungen: Das BSI kann die temporäre Aussetzung von Zertifizierungen oder Genehmigungen verfügen, um laufende Verstöße zu stoppen.
Für TLD-Registrierungsstellen und DNS-Dienstanbieter, die aufgrund der größenunabhängigen Regelung betroffen sind, gelten dieselben Bußgeldrahmen – auch wenn das Unternehmen für andere Zwecke als Kleinstunternehmen gilt. Die Compliance-Pflicht ist rechtsform- und größenneutral.
Häufig gestellte Fragen
Wir betreiben ein Unternehmensrechenzentrum nur für unseren eigenen Bedarf. Sind wir betroffen?
Nein. „Rechenzentrumsdienstleister“ im Sinne von NIS2 sind Anbieter, die Dienste an Dritte erbringen. Interne Rechenzentren für den Eigenbedarf fallen nicht unter diese Kategorie, können aber als Teil einer anderen betroffenen Einrichtung (z. B. wenn das Unternehmen selbst Anhang-I-Sektor ist) relevant werden.
Unser Unternehmen hat weniger als 50 Mitarbeiter und erbringt DNS-Dienste. Müssen wir NIS2 einhalten?
Ja. DNS-Dienstanbieter gehören zu den Kategorien, die gemäß Artikel 2 Abs. 2 NIS2 größenunabhängig erfasst werden. Auch Kleinstunternehmen, die öffentlich zugängliche DNS-Dienste erbringen, sind verpflichtet.
Wir sind ein CDN-Anbieter mit 120 Mitarbeitern und 40 Mio. Euro Umsatz. Gehören wir dazu?
Nein, nicht direkt. CDN-Anbieter fallen unter Anhang I, Punkt 8, Nr. 6, aber nicht unter die größenunabhängige Regelung. Die normalen Schwellenwerte gelten: mittleres Unternehmen = ab 50 Mitarbeiter oder über 10 Mio. € Jahresumsatz. Mit 120 Mitarbeitern erfüllen Sie das Kriterium und sind als wesentliche Einrichtung eingestuft.
Was verlangt die CIR 2024/2690 speziell für DNS-Betreiber?
Abschnitt 14 der CIR enthält spezifische Vorgaben: Betreiber müssen DNSSEC implementieren und in Zonen, für die sie autoritär zuständig sind, unterstützen. Sie müssen Mechanismen zur Erkennung und Begrenzung von DNS-Amplification- und Query-Flooding-Angriffen einsetzen und Abfrage-Logs im Rahmen des Zulässigen aufbewahren.
Gilt NIS2 auch für ausländische Anbieter, die Dienste in Deutschland erbringen?
Grundsätzlich ja, sofern die Einrichtung Dienste in der EU erbringt und in einem Mitgliedstaat „ansässig“ ist (Niederlassung, Hauptsitz oder benannter Vertreter). Drittländeranbieter ohne EU-Niederlassung, die Dienste in Deutschland erbringen, müssen einen EU-Vertreter benennen. Das BSI kann Anforderungen an diese über den Vertreter geltend machen.
Quellen
- Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2). EUR-Lex, 2022.
- Europäische Kommission. Durchführungsverordnung (EU) 2024/2690 vom 17. Oktober 2024 über technische und methodische Anforderungen an Cybersicherheitsmaßnahmen. EUR-Lex, 2024.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). NIS-2: Neue Cybersicherheitsanforderungen für Unternehmen. BSI, 2025.
- Bundesrepublik Deutschland. NIS-2-Umsetzungs- und Cyberstärkungsgesetz (NIS2UmsuCG). Bundesgesetzblatt, 2025.
