Universitäten, Fachhochschulen, außeruniversitäre Forschungsinstitute und industrielle F&E-Zentren stehen seit dem Inkrafttreten des NIS2UmsuCG vor einer neuen regulatorischen Realität: Als „Forschungsorganisationen“ nach Anhang II der NIS-2-Richtlinie (EU) 2022/2555 fallen sie als wichtige Einrichtungen in den Anwendungsbereich des europäischen Cybersicherheitsrechts. Staatlich gesponserte Angreifer, Ransomware-Gruppen und Wirtschaftsspionage nehmen Forschungseinrichtungen seit Jahren gezielt ins Visier – NIS2 reagiert auf diese Bedrohungslage mit verbindlichen Mindeststandards für Risikomanagement, Meldepflichten und Governance. Den übergeordneten Rahmen der technischen und organisatorischen Anforderungen beschreibt der Leitfaden zu den NIS2-Sicherheitsanforderungen.
Forschung als wichtige Einrichtung – Einstufung nach Anhang II NIS2
Die NIS-2-Richtlinie teilt betroffene Einrichtungen in zwei Kategorien: besonders wichtige Einrichtungen aus hochkritischen Sektoren (Anhang I, z. B. Energie, Gesundheit, Finanzen) und wichtige Einrichtungen aus weiteren kritischen Sektoren (Anhang II). Forschungseinrichtungen sind in Anhang II Nummer 10 der Richtlinie unter der Sektorkategorie „Forschung“ gelistet und gelten grundsätzlich als wichtige Einrichtungen. Im deutschen Recht ist dies in Anlage 2 zum BSIG (neu gefasste Fassung durch das NIS2UmsuCG) umgesetzt.
Die Einstufung als wichtige Einrichtung hat konkrete Auswirkungen auf den Aufsichtsrahmen und die Bußgeldsanktionen. Während besonders wichtige Einrichtungen proaktiven Kontrollen durch das BSI ausgesetzt sind, unterliegen wichtige Einrichtungen einer reaktiven Aufsicht – das BSI kann aber bei begründetem Anlass auch hier aktiv werden. Bußgelder sind bei wichtigen Einrichtungen auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt (gegenüber 10 Mio. Euro / 2 Prozent bei besonders wichtigen Einrichtungen). Die inhaltlichen Sicherheitsanforderungen nach Artikel 21 NIS2 sind für beide Kategorien identisch.
Für die Schwellenwerte gilt: Eine Forschungseinrichtung ist dann als wichtige Einrichtung von NIS2 erfasst, wenn sie mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von über 10 Millionen Euro aufweist. Öffentlich-rechtliche Einrichtungen – insbesondere staatliche Universitäten – berechnen die Schwellenwerte anhand ihres institutionellen Jahreshaushalts. Kleinere Institute mit weniger als 50 Mitarbeitern und einem Haushalt unter 10 Millionen Euro sind grundsätzlich nicht erfasst; Mitgliedstaaten können jedoch nach Artikel 2 Absatz 2 NIS2 bestimmte Einrichtungen aufgrund ihrer strategischen Bedeutung unabhängig von Größenkriterien einbeziehen. Welche Einrichtungen konkret betroffen sind, erläutert der Leitfaden zum NIS2-Anwendungsbereich detailliert.
Sonderfall Forschung in Anhang-I-Sektoren: Forschungseinrichtungen, die ausschließlich oder überwiegend in hochkritischen Sektoren tätig sind – etwa nationale Laboratorien für Kerntechnik, Forschungsreaktoren oder Einrichtungen der Verteidigungsforschung – können unmittelbar als besonders wichtige Einrichtungen nach Anhang I eingestuft werden, sofern die spezifischen Sektordefinitionen erfüllt sind.
Welche Einrichtungen betroffen sind – ein Überblick
Die Bandbreite der betroffenen Forschungsorganisationen ist erheblich. Die folgende Tabelle zeigt die wichtigsten Einrichtungstypen und ihre typische Einstufung:
| Einrichtungstyp | NIS2-Einstufung | Typische Begründung |
|---|---|---|
| Staatliche Universitäten | Wichtige Einrichtung | Jahreshaushalt i. d. R. > 50 Mio. EUR; > 250 MA |
| Fachhochschulen / HAW | Wichtige Einrichtung (große) / ggf. nicht erfasst (kleine) | Schwellenwert: ≥ 50 MA oder ≥ 10 Mio. EUR |
| Max-Planck-Institute | Wichtige Einrichtung | Institutsgröße überschreitet Schwellenwerte regelmäßig |
| Fraunhofer-Institute | Wichtige Einrichtung | Auftragsforschung; Budgets überschreiten 10 Mio. EUR |
| Helmholtz-Zentren | Wichtige Einrichtung | Großforschungszentren; weit über 250 MA |
| Leibniz-Institute | Wichtige Einrichtung (die meisten) | Institutsgröße variiert; viele über 50 MA |
| Privat-gewerbliche F&E-Zentren | Wichtige Einrichtung | ≥ 50 MA oder ≥ 10 Mio. EUR Umsatz |
| Kleine akademische Institute | Außerhalb des Anwendungsbereichs | < 50 MA und < 10 Mio. EUR – sofern nicht nach Art. 2 Abs. 2 NIS2 bestimmt |
Besonders relevant ist die Lage der deutschen Wissenschaftsorganisationen (DFG, Helmholtz, Fraunhofer, Max-Planck, Leibniz): Diese gehören zu den größten institutionellen Forschungsförderern und -trägern in Europa und sind praktisch ausnahmslos von NIS2 erfasst. Hinzu kommen über 400 staatliche Hochschulen in Deutschland, von denen der überwiegende Teil die Schwellenwerte erfüllt. Eine BSI-Registrierung nach § 33 BSIG war bis zum 6. März 2026 Pflicht; nicht registrierte Einrichtungen riskieren Bußgelder und sollten die Registrierung unverzüglich nachholen.
Schutz von Forschungsdaten und geistigem Eigentum
Forschungseinrichtungen verfügen über hochsensible Informationsvermögen, die für Angreifer außergewöhnlich attraktiv sind: patentreife Erfindungen, Forschungsprimärdaten, klinische Studienergebnisse und Dual-use-Erkenntnisse mit militärischer oder wirtschaftlicher Relevanz. Das Bundesamt für Verfassungsschutz (BfV) und das BSI berichten regelmäßig von gezielten Cyberangriffen auf deutsche Hochschulen und Forschungsinstitute durch staatlich gesteuerte Akteure aus China, Russland, Iran und Nordkorea.
Die Bedrohungslage ist vielschichtig:
- Wirtschaftsspionage und IP-Diebstahl: Staatlich gesponserte APT-Gruppen (Advanced Persistent Threats) infiltrieren Forschungsnetze, um Erfindungen und Entwicklungsergebnisse vor der Patentanmeldung zu stehlen. Besonders betroffen sind Bereiche wie Halbleitertechnologie, Biotechnologie, Quantencomputing und Luft- und Raumfahrt.
- Ransomware-Angriffe: Universitäten und Hochschulen sind verhältnismäßig häufig Ziel von Ransomware-Kampagnen – die Angreifer nutzen die heterogene IT-Infrastruktur, die große Zahl an Nutzerkonten und die häufig unzureichend gesicherten Gastnetze als Einfallstore. Bekannte Vorfälle betrafen unter anderem die Universität Duisburg-Essen (2022) und zahlreiche europäische Hochschulen.
- Datenexfiltration aus Kollaborationsprojekten: In internationalen Forschungsverbundprojekten nutzen Angreifer Partnereinrichtungen mit niedrigerem Sicherheitsniveau als Lateral-Movement-Vektor, um in die primär gesicherte Einrichtung einzudringen.
- Klinische und personenbezogene Forschungsdaten: Medizinische Fakultäten und klinische Forschungseinrichtungen verarbeiten Probandendaten und Patienteninformationen – hier überlagern sich NIS2-Pflichten mit den Anforderungen der DSGVO und dem Berufsgeheimnis.
NIS2 verlangt in Artikel 21 Absatz 2 Buchstabe a eine umfassende Risikoanalyse einschließlich Datenklassifizierung. Für Forschungseinrichtungen bedeutet dies in der Praxis, Forschungsdaten nach ihrer Sensitivität in mindestens drei Schutzklassen einzuteilen: öffentliche Forschungsergebnisse (Open Data/Open Access), vertrauliche Rohdaten in laufenden Projekten und streng vertrauliche Daten mit strategischer, kommerzieller oder sicherheitsrelevanter Bedeutung. Die Schutzmaßnahmen müssen jeweils proportional zur Schutzklasse sein.
Wissenschaftsfreiheit und NIS2 – kein grundsätzlicher Widerspruch
Ein häufig diskutiertes Spannungsverhältnis betrifft die Vereinbarkeit von NIS2-Sicherheitspflichten mit der in Artikel 5 Absatz 3 des Grundgesetzes garantierten Wissenschaftsfreiheit. Open Access, Open Data und die Prinzipien offener Wissenschaft stehen auf den ersten Blick im Kontrast zu Zugangsrestriktionen und Netzwerksegmentierung. Bei genauerem Hinsehen ist der Widerspruch jedoch kein grundsätzlicher.
NIS2 verlangt nach Artikel 21 Absatz 1 „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zur Behandlung von Risiken. Das Verhältnismäßigkeitsgebot ist dabei keine Einschränkung der Richtlinie, sondern deren explizit formulierter Kern. Für öffentlich zugängliche Forschungsdaten und veröffentlichte Publikationen bestehen daher keine Anforderungen, die mit der wissenschaftlichen Offenheit konfligieren. Strenge Zugangskontrolle und Datenverschlüsselung sind nur dort geboten, wo tatsächlich schützenswürdige Informationen verarbeitet werden.
In der Praxis bedeutet dies: Einrichtungen müssen klar definieren, welche Systeme und Daten überhaupt dem NIS2-Sicherheitsrahmen unterliegen, und diesen Bereich funktional von der offenen Wissenschaftsinfrastruktur trennen. Typische Abgrenzungen sind:
- Forschungsprimärdaten in laufenden Projekten (vor Veröffentlichung) → Schutzpflicht nach NIS2
- Administrations- und Personalverwaltungssysteme → Schutzpflicht nach NIS2
- Drittmittelabrechnung und Finanzdaten → Schutzpflicht nach NIS2
- Veröffentlichte Forschungsergebnisse und Open-Access-Repositorien → kein NIS2-relevanter Schutzbereich
- Lehrmaterialien und öffentliche Hochschulwebseiten → kein NIS2-relevanter Schutzbereich
Diese Differenzierung ist auch für die Budgetplanung entscheidend: NIS2-Maßnahmen sind nicht flächendeckend auf die gesamte IT-Infrastruktur anzuwenden, sondern risikobasiert auf die Systeme zu konzentrieren, die tatsächlich kritische Informationswerte beherbergen.
Die NIS2-Sicherheitsanforderungen im Forschungskontext
Artikel 21 Absatz 2 NIS2 listet zehn Kategorien von Sicherheitsmaßnahmen, die auch von Forschungseinrichtungen umzusetzen sind. Die folgende Tabelle zeigt die spezifische Relevanz im Hochschul- und Forschungskontext:
| Sicherheitsmaßnahme (Art. 21 Abs. 2 NIS2) | Forschungsspezifischer Kontext |
|---|---|
| Risikoanalyse und Sicherheitsrichtlinien (lit. a) | Datenklassifizierung nach Schutzbedürfnis (öffentlich / vertraulich / streng vertraulich); Einbezug von Forschungsprojektdaten |
| Behandlung von Sicherheitsvorfällen (lit. b) | 24/72h-Meldepflicht an BSI; Incident-Response-Prozess; besondere Bedeutung bei Exfiltration von IP-Daten |
| Business Continuity / Krisenmanagement (lit. c) | Backup-Konzepte für Forschungsprimärdaten; RTO/RPO für Kernsysteme; Notfallpläne für laufende Promotionen und Publikationsprozesse |
| Sicherheit der Lieferkette (lit. d) | Prüfung von Cloud-Diensten (z. B. Microsoft 365, Google Scholar APIs), Forschungssoftware-Lieferanten und Drittparteizugriffe |
| Sicherheit bei Erwerb und Entwicklung (lit. e) | Secure-Coding-Anforderungen für selbst entwickelte Forschungssoftware und Labordatenbanken |
| Wirksamkeitsbewertung (lit. f) | Regelmäßige Penetrationstests auf Forschungsinfrastruktur; Audits durch Hochschul-IT oder externe Prüfer |
| Kryptografie und Verschlüsselung (lit. g) | Verschlüsselung vertraulicher Forschungsdaten im Ruhezustand und bei der Übertragung; Schutz vor IP-Exfiltration |
| Personalsicherheit und Schulungen (lit. h) | Awareness-Trainings für Wissenschaftlerinnen und Wissenschaftler; besondere Sensibilisierung für Phishing-Kampagnen gegen Forschende |
| Grundlegende Cyberhygiene (lit. i) | Patch-Management insbesondere für heterogene Forschungsgeräte und Labor-IT (IoT, Messgeräte, embedded systems) |
| Zugangskontrolle und Asset-Management (lit. j) | Federated Identity (DFN-AAI / Shibboleth), MFA für alle privilegierten Zugänge, Netzwerksegmentierung Gast-/Forschungsnetz |
Ein strukturierter Einstieg in die Anforderungen des Art. 21 NIS2 sowie die zugrunde liegende Logik des risikobasierten Ansatzes ist im Leitfaden zu den NIS2-Anforderungen detailliert dargestellt.
Zugangskontrolle als Schlüsselmaßnahme in Forschungsnetzen
Unter den zehn Sicherheitsmaßnahmen des Artikels 21 kommt der Zugangskontrolle für Forschungseinrichtungen besondere Bedeutung zu. Hochschulen und Institute betreiben typischerweise eine hochgradig heterogene IT-Landschaft: neben klassischen Verwaltungssystemen existieren Hochleistungsrechner (HPC-Cluster), spezialisierte Laborinformationssysteme (LIMS), Messtechnik mit Netzwerkanbindung und offene WLAN-Netze für Studierende und Gäste. Diese Vielfalt erzeugt eine große Angriffsfläche, die durch eine konsequente Netzwerksegmentierung und Identitätsverwaltung begrenzt werden muss.
Bewährte Maßnahmen im Forschungskontext sind:
- Federated Identity Management: Der DFN-Verein betreibt mit der DFN-AAI (Authentication and Authorisation Infrastructure) eine auf Shibboleth basierende Föderation, über die Hochschulen ihren Nutzern Single-Sign-On-Zugang zu zahlreichen Diensten ermöglichen. Die DFN-AAI ist mit der europäischen eduGAIN-Föderation verbunden und erlaubt auch internationalen Forschungspartnern authentifizierten Zugang.
- Multi-Faktor-Authentifizierung (MFA): MFA muss mindestens für alle privilegierten Konten (IT-Administratoren, Rechenzentrum-Personal), Fernzugriffe (VPN, Remote Desktop) und Zugriffe auf sensible Forschungsdaten verpflichtend eingesetzt werden. Die Pflicht folgt aus Art. 21 Abs. 2 lit. j NIS2.
- Netzwerksegmentierung: Gastnetz, Lehrnetz, Verwaltungsnetz und Forschungsnetz sind als getrennte Segmente zu betreiben. Labornetzwerke mit angebundenen Messgeräten benötigen ggf. eigene Mikrosegmentierung, um einen Lateral-Move von einem kompromittierten Gerät in das Kernnetz zu verhindern.
- Least-Privilege-Prinzip: Wissenschaftlerinnen und Wissenschaftler erhalten nur Zugriff auf die Daten und Systeme, die sie für ihre Forschungstätigkeit benötigen. Gastkonten für externe Kooperationspartner sind zeitlich zu befristen und regelmäßig zu überprüfen.
Eine ausführliche Darstellung der technischen und organisatorischen Anforderungen an Zugangskontrolle und Identitätsverwaltung bietet der Leitfaden zur NIS2-Zugangskontrolle.
Compliance-Fahrplan für Forschungseinrichtungen
Der Aufbau einer NIS2-konformen Sicherheitsorganisation lässt sich in der Praxis in sechs Schritten strukturieren:
Schritt 1: Betroffenheitsanalyse und BSI-Registrierung. Prüfen Sie anhand der Schwellenwerte (50 Mitarbeiter / 10 Mio. EUR Jahreshaushalt), ob Ihre Einrichtung als wichtige Einrichtung von NIS2 erfasst ist. Falls ja und die Registrierung beim BSI-Meldeportal (MELDP) nach § 33 BSIG noch aussteht, ist diese unverzüglich nachzuholen. Benennen Sie gleichzeitig eine BSI-Ansprechperson (§ 30 Abs. 2 BSIG), die Ansprechpartner für behördliche Anfragen ist.
Schritt 2: Informationsverbund und Datenklassifizierung. Erstellen Sie einen vollständigen Inventar aller IT-Systeme, die im Scope der NIS2-Compliance liegen (Verwaltungssysteme, Forschungsdatenbanken, HPC-Infrastruktur, Laborsysteme). Klassifizieren Sie Informationsbestände nach Schutzbedürfnis und legen Sie fest, welche Systeme besonders gesichert werden müssen.
Schritt 3: Risikoanalyse und Sicherheitskonzept. Führen Sie eine strukturierte Risikoanalyse durch, die die spezifischen Bedrohungsszenarien für Ihre Einrichtung berücksichtigt: Wirtschaftsspionage, Ransomware, Insider-Bedrohungen, Schwachstellen in Forschungssoftware. Das Sicherheitskonzept muss alle zehn Maßnahmenbereiche des Artikels 21 adressieren. Als Orientierungsrahmen empfiehlt das BSI den IT-Grundschutz.
Schritt 4: Technische Maßnahmen priorisiert umsetzen. Setzen Sie technische Sofortmaßnahmen mit höchster Wirksamkeit zuerst um: MFA für alle privilegierten Konten, Netzwerksegmentierung (Trennung Gastnetz / Forschungsnetz / Verwaltungsnetz), regelmäßige Backups kritischer Forschungsdaten mit getesteter Wiederherstellung sowie Patch-Management für alle netzgebundenen Systeme.
Schritt 5: Meldeprozesse einrichten. Etablieren Sie einen Incident-Response-Prozess, der die dreistufige Meldepflicht nach § 32 BSIG (Frühwarnung 24 Stunden, Erstmeldung 72 Stunden, Abschlussbericht 1 Monat) einhalten kann. Definieren Sie intern, wer bei einem Sicherheitsvorfall zuständig ist und über welchen Kanal die BSI-Meldung erfolgt.
Schritt 6: Governance, Schulungen und kontinuierliche Verbesserung. Die Leitungsebene – Rektor, Präsident, Vorstand oder Direktorium – trägt nach Artikel 20 NIS2 und § 38 BSIG persönliche Verantwortung für die Cybersicherheits-Governance. Schulungen für Wissenschaftlerinnen und Wissenschaftler, Doktorandinnen und Doktoranden sowie Verwaltungspersonal sind jährlich durchzuführen. Die Wirksamkeit der Maßnahmen ist regelmäßig durch interne Audits oder externe Prüfungen zu überprüfen.
Häufig gestellte Fragen
Sind alle Universitäten in Deutschland von NIS2 betroffen?
Praktisch alle staatlichen Universitäten in Deutschland erfüllen die Schwellenwerte (mindestens 50 Mitarbeiter und / oder Jahreshaushalt über 10 Mio. EUR) und fallen damit als wichtige Einrichtungen in den Anwendungsbereich von NIS2 und des deutschen NIS2UmsuCG. Kleine private Hochschulen oder reine Studienhäuser ohne eigenes Forschungspersonal können ggf. unterhalb der Schwellenwerte liegen. Eine Einzelfallprüfung anhand der Mitarbeiterzahl (inkl. wissenschaftliches und nichtwissenschaftliches Personal) und des Jahreshaushalts ist daher erforderlich.
Werden Forschungseinrichtungen als wichtige oder besonders wichtige Einrichtungen eingestuft?
Forschungseinrichtungen fallen grundsätzlich als wichtige Einrichtungen in den Anwendungsbereich der NIS-2-Richtlinie, da der Sektor „Forschung“ in Anhang II (nicht Anhang I) gelistet ist. Ausnahmen gelten für Einrichtungen, die überwiegend in einem Anhang-I-Sektor tätig sind (z. B. Kernenergie, Verteidigung). Für wichtige Einrichtungen gilt eine reaktive Aufsicht; die inhaltlichen Sicherheitsanforderungen nach Artikel 21 NIS2 sind identisch mit denen für besonders wichtige Einrichtungen.
Wie lässt sich die Wissenschaftsfreiheit mit NIS2-Sicherheitspflichten vereinbaren?
NIS2 verlangt verhältnismäßige Maßnahmen auf Basis einer Risikoanalyse – keine flächendeckende Einschränkung des Informationszugangs. Öffentlich zugängliche Forschungsdaten, veröffentlichte Publikationen und Open-Access-Repositorien unterliegen keinen NIS2-Schutzanforderungen. Schutzmaßnahmen konzentrieren sich auf nicht-öffentliche Forschungsprimärdaten, Verwaltungssysteme und Systeme mit strategisch bedeutsamen Ergebnissen. Eine klare Datenklassifizierungsrichtlinie ist das zentrale Instrument, um Wissenschaftsfreiheit und Sicherheitspflichten zu vermitteln.
Welche Sanktionen drohen Forschungseinrichtungen bei NIS2-Verstößen?
Für wichtige Einrichtungen wie Forschungsorganisationen sind Bußgelder nach § 65 BSIG auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt. Bei öffentlich-rechtlichen Einrichtungen ist die praktische Anwendung der Bußgeldregelungen noch nicht vollständig geklärt; das BSI hat jedoch signalisiert, dass auch gegenüber öffentlichen Stellen Aufsichtsmaßnahmen möglich sind. Neben dem Bußgeld drohen Reputationsschäden, die insbesondere für drittmittelabhängige Einrichtungen erheblich sein können.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die konkreten Anforderungen können je nach Einrichtungstyp, Größe und Forschungsschwerpunkt variieren. Für eine auf Ihre Einrichtung zugeschnittene Einschätzung empfehlen wir die Hinzuziehung eines qualifizierten Rechtsanwalts oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) — EUR-Lex, insbesondere Artikel 2, 3, 21 und Anhänge I und II
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in der Fassung des NIS2UmsuCG, insbesondere §§ 28, 30, 32, 33, 38, 65 und Anlage 2 — Bundesministerium der Justiz, Gesetze im Internet
- NIS-2-Umsetzung in Deutschland — Orientierungshilfen für betroffene Unternehmen — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Wirtschaftsspionage und Wissensabfluss — Bedrohungen für Wissenschaft und Forschung — Bundesamt für Verfassungsschutz (BfV)
