Die NIS2-Richtlinie gilt nicht nur für Unternehmen. Behörden auf Bundesebene, Länderebene und kommunaler Ebene sind ebenfalls betroffen – und stehen vor spezifischen Herausforderungen, die sich von der Privatwirtschaft grundlegend unterscheiden. Wer in der öffentlichen Verwaltung für IT-Sicherheit zuständig ist, muss die Systematik des NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) und die Besonderheiten des deutschen Föderalismus kennen.
Welche Behörden fallen unter NIS2 in Deutschland?
Das NIS2UmsuCG setzt die EU-NIS2-Richtlinie im deutschen Recht um. Die Einbeziehung von Einrichtungen der öffentlichen Verwaltung ist dabei ein zentrales Merkmal – und gleichzeitig einer der am häufigsten missverstandenen Bereiche.
Einrichtungen der Bundesverwaltung sind grundsätzlich vom Anwendungsbereich des NIS2UmsuCG erfasst, sofern sie in einem der kritischen Sektoren tätig sind oder öffentliche Dienstleistungen erbringen, die für das Funktionieren des Staates wesentlich sind. Konkret betroffen sind:
- Oberste Bundesbehörden (z. B. Bundesministerien mit eigenen IT-Infrastrukturen)
- Nachgeordnete Behörden mit bedeutenden digitalen Diensten (z. B. Bundesnetzagentur, Kraftfahrt-Bundesamt)
- Behörden, die kritische Infrastrukturen betreiben oder in den Anhang‑I- und Anhang‑II-Sektoren tätig sind
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) agiert dabei in einer Doppelrolle: Es ist sowohl zuständige Aufsichtsbehörde als auch selbst eine Einrichtung der Bundesverwaltung, die eigene Sicherheitsstandards erfüllen muss.
Eine gute Einführung in den allgemeinen Anwendungsbereich bietet unser Artikel Wer ist betroffen? Der NIS2-Anwendungsbereich im Überblick.
Länder- und Kommunalebene: Wo steht die Umsetzung?
Hier liegt die eigentliche Komplexität für Deutschland. Im Gegensatz zur Privatwirtschaft unterliegen Landesbehörden und Kommunen primär dem jeweiligen Landesrecht – und damit einem uneinheitlichen Flickenteppich an Regelungen.
Die Föderalismusproblematik
Die EU-NIS2-Richtlinie verüpflichtet die Mitgliedstaaten, auch ihre Einrichtungen der öffentlichen Verwaltung einzubeziehen. Deutschland hat beim NIS2UmsuCG jedoch eine Unterscheidung getroffen:
- Bundesebene: Direkt dem NIS2UmsuCG unterstellt, Aufsicht durch das BSI
- Länderebene: Pflicht zur Umsetzung über eigene Landesgesetze (analog zum IT-Sicherheitsgesetz 2.0)
- Kommunalebene: Abhängig vom jeweiligen Landesrecht, häufig noch keine verbindlichen Regelungen
Dies führt zu einer paradoxen Situation: Eine Kreisbehörde in Bayern kann anderen Pflichten unterliegen als eine vergleichbare Behörde in Nordrhein-Westfalen. Für Landkreise und Gemeinden, die kommunale IT-Dienstleister betreiben oder kritische Infrastrukturen wie Wasserversorgung, Abwasser oder den ÖPNV managen, ist die Rechtslage besonders komplex.
Stand der Landesgesetze (2026)
Mehrere Bundesländer haben begonnen, eigene IT-Sicherheitsgesetze an NIS2 anzupassen:
- Bayern: BayDiG enthält bereits IT-Sicherheitspflichten für Landesbehörden; Anpassung an NIS2-Niveau in Vorbereitung
- Nordrhein-Westfalen: E-Government-Gesetz NRW mit IT-Sicherheitsanforderungen; NIS2-Erweiterung diskutiert
- Baden-Württemberg: Landesstrategie Cybersicherheit; NIS2-Umsetzung für Landesverwaltung angekündigt
- Hamburg, Berlin: Stadtstaaten mit eigenen IT-Sicherheitsgesetzen, aktive Anpassungsverfahren
Kommunen, die in den Sektoren Wasser, Energie oder Verkehr tätig sind, müssen zusätzlich prüfen, ob sie als wesentliche oder wichtige Einrichtungen direkt dem NIS2UmsuCG unterliegen – unabhängig vom Landesrecht.
Unterschiede zur Privatwirtschaft
Wer die NIS2-Anforderungen aus der Unternehmensperspektive kennt, wird in der öffentlichen Verwaltung auf wesentliche Unterschiede stoßen. Diese betreffen nicht nur die rechtliche Struktur, sondern auch die praktische Umsetzung.
1. Kein Schwellenwertmodell für Bundesbehörden
In der Privatwirtschaft gelten NIS2-Pflichten ab bestimmten Schwellenwerten (50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz für wichtige Einrichtungen, 250 Mitarbeiter oder 50 Mio. Euro für wesentliche Einrichtungen). Für Einrichtungen der Bundesverwaltung in kritischen Sektoren entfällt dieses Schwellenwertmodell – sie sind unabhängig von Größe und Umsatz betroffen.
Details zu den Anforderungen finden Sie in unserem Artikel über die NIS2-Anforderungen und Cybersicherheitsmaßnahmen.
2. Unterschiedliche Haftungsstrukturen
| Merkmal | Privatwirtschaft | Öffentliche Verwaltung |
|---|---|---|
| Haftung | Persönliche Geschäftsführerhaftung (Art. 20 NIS2) | Beamtenrechtliche Verantwortung, kein direktes Haftungsrisiko wie in der GmbH |
| Bußgelder | Bis 10 Mio. EUR / 2 % des weltweiten Jahresumsatzes | Gesonderte Regelungen; Bußgeldrahmen für öffentliche Einrichtungen teils eingeschränkt |
| Aufsichtsbehörde | BSI (Bundesebene) / Sektorbehörden | BSI für Bundesbehörden; Länderbehörden für Landesverwaltung |
| Registrierung | Selbstregistrierung im NIS2-Register des BSI | Grundsätzlich gleich, aber Prozesse über Bundesbehördenstrukturen koordiniert |
| Meldepflichten | 24h-Erstmeldung / 72h-Folgmeldung / 1-Monat-Abschlussmeldung | Gleiche Fristen, aber Meldewege können über Behördenhierarchien laufen |
3. Beschaffung und Vergabe
Öffentliche Einrichtungen sind beim Einkauf von IT-Sicherheitsdienstleistungen an das Vergaberecht gebunden. Das bedeutet: Schnelle Reaktionen auf Sicherheitsvorfälle, die in der Privatwirtschaft durch direkten Lieferantenwechsel oder Notfallbeauftragungen möglich sind, können in Behörden durch Vergabepflichten verzzögert werden. Das NIS2UmsuCG enthält keine expliziten Ausnahmen vom Vergaberecht für Notfall-IT-Beschaffungen.
4. Personalstruktur und Ausbildung
Während Unternehmen auf dem Markt IT-Sicherheitspersonal rekrutieren können, unterliegt die öffentliche Verwaltung dem öffentlichen Tarifrecht (TVöD/TV-L) und Beamtenrecht. Das Gehaltsgebot im Wettbewerb um IT-Sicherheitsexperten ist strukturell eingeschränkt. Viele Behörden setzen daher auf:
- Aufbau eigener Nachwuchsprogramme (z. B. BSI-Cyber-Nachwuchs)
- Nutzung zentraler IT-Dienstleister des Bundes (Bundesdruckerei, Dataport, ITDZ Berlin)
- Kooperationen mit Hochschulen und Forschungseinrichtungen
OZG und IT-Konsolidierung: Die NIS2-Verbindung
Zwei große Reformvorhaben der deutschen Verwaltungsmodernisierung sind eng mit NIS2 verknüpft:
Onlinezugangsgesetz (OZG)
Das OZG verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen digital anzubieten. Die OZG-Umsetzung schafft neue IT-Systeme und Datenflüsse – und damit neue Angriffsflächen. NIS2 und OZG sind daher keine parallelen, voneinander unabhängigen Anforderungen:
- Jede neue OZG-Anwendung muss die NIS2-Sicherheitsanforderungen erfüllen
- Interoperabilitätsanforderungen (über die Köln-Architektur und das Nationale Once-Only Technical System) vergrößern die Angriffsoberfläche
- Zentralisierte Basiskomponenten (BundID, Fit-Connect) sind sicherheitskritische Infrastrukturen
Behörden, die OZG-Leistungen über das Verwaltungsportal des Bundes oder Portale der Länder anbieten, sollten ihre NIS2-Risikoanalysen explizit auf diese Dienste ausrichten.
IT-Konsolidierung des Bundes
Die IT-Konsolidierung Bund hat das Ziel, die dezentrale IT-Infrastruktur der Bundesbehörden zu bebündeln und über den Dienstleister ITZBund zu zentralisieren. Für NIS2 bedeutet das:
- Verantwortungsklarheit: Wer ist die NIS2-verantwortliche Einrichtung – die Behörde als Auftraggeber oder ITZBund als Dienstleister?
- Lieferkettenrisiken: ITZBund als zentraler Dienstleister ist ein hochgradig attraktives Angriffsziel; seine Sicherheitsmaßnahmen müssen NIS2-konform sein
- Incident-Response: Sicherheitsvorfälle bei ITZBund betreffen potenziell viele Bundesbehörden gleichzeitig – Meldewege und Eskalationsprozesse müssen klar definiert sein
Das BSI hat hierzu ein IT-Grundschutz-Kompendium entwickelt, das speziell auf die Anforderungen von Behörden zugeschnitten ist und als Umsetzungshilfe für NIS2-Maßnahmen dient.
Die 10 NIS2-Maßnahmen in der Verwaltungspraxis
Die in Artikel 21 NIS2 und den entsprechenden NIS2UmsuCG-Regelungen vorgeschriebenen 10 Cybersicherheitsmaßnahmen gelten grundsätzlich auch für Behörden – jedoch mit verwaltungsspezifischen Besonderheiten:
Risikoanalyse und -management
Behörden müssen eine ISMS-Basis (Information Security Management System) aufbauen. Das BSI empfiehlt hier den IT-Grundschutz nach BSI-Standard 200-1 bis 200-4 als praxiserprobtes Rahmenwerk, das direkt auf die deutschen Verwaltungsstrukturen zugeschnitten ist und als NIS2-kompatibler Ansatz gilt.
Vorfallsmanagement und Meldepflichten
Die 24-Stunden-Erstmeldung und die 72-Stunden-Folgmeldung gelten uneingeschränkt. In der öffentlichen Verwaltung kommen jedoch spezifische Meldewege hinzu: Bundesbehörden melden an das BSI, das über die Nationale Cyberlage-Zentrale (NCAZ) und das Cyber-Abwehrzentrum des Bundes (CAZ) koordiniert. Bei kritischen Infrastrukturen in kommunaler Trägerschaft können zusätzliche Meldepflichten gegenüber den Landesbehörden gelten.
Supply-Chain-Sicherheit
Gerade in der öffentlichen Verwaltung ist die Lieferkettensicherheit besonders relevant. Viele Behörden nutzen Software von wenigen großen Anbietern (SAP für ERP-Systeme, Microsoft 365 für Kollaboration). Ein Sicherheitsvorfall beim Lieferanten kann viele Behörden gleichzeitig treffen. Das NIS2UmsuCG verlangt, dass Einrichtungen Sicherheitsanforderungen in ihre Beschaffungsverträge aufnehmen – ein Punkt, der die Vergabe- und Vertragspraxis erheblich beeinflusst.
Kryptographie und Verschlüsselung
Für Behörden gilt zusätzlich die Kryptographierichtlinie des BSI (TR-02102-Serie), die konkrete Vorgaben für zulässige Algorithmen und Schlüssellängen macht. Diese Richtlinie ist als Stand der Technik im Sinne des NIS2UmsuCG anzusehen.
Besondere Sektoren: Kommunale Kritische Infrastrukturen
Viele kommunale Betriebe und Eigenbetriebe betreiben Anlagen, die dem KRITIS-Recht und NIS2 gleichzeitig unterfallen können:
- Stadtwerke und kommunale Energieversorger: Fallen in den Sektor Energie (Anhang I NIS2), der zu den wesentlichen Sektoren gehört. Ab den gesetzlichen Schwellenwerten (aktuell bei über 100.000 versorgte Personen für KRITIS) greifen die schärfsten Anforderungen.
- Wasserversorgung und Abwasser: Eigenständige Sektoren in Anhang I der NIS2. Kommunale Wasserbetriebe müssen unabhängig von der Trägerstruktur (Eigenbetrieb, GmbH, Zweckverband) prüfen, ob sie in den NIS2-Anwendungsbereich fallen.
- Öffentlicher Nahverkehr: Kommunale SPNV- und ÖPNV-Betreiber können dem Sektor Verkehr (Anhang I) unterfallen.
- Kommunale IT-Dienstleister: Zweckverbände und kommunale IT-Dienstleister (z. B. Dataport für norddeutsche Länder, AKDB in Bayern) sind als Anbieter digitaler Infrastrukturen potenziell betroffen.
Die Einordnung nach den Kriterien des NIS2-Anwendungsbereichs ist für kommunale Einrichtungen besonders komplex und sollte im Zweifel mit dem BSI oder der zuständigen Landesbehörde geklärt werden.
Umsetzungsstrategie für Behörden: Wo anfangen?
Angesichts der beschriebenen Komplexitäten empfehlen sich für öffentliche Einrichtungen folgende Schritte:
- Betroffenheitsanalyse: Zunächst klären, ob und in welcher Eigenschaft die Einrichtung NIS2-pflichtig ist (Bundesbehörde im Anwendungsbereich? Betreiber kritischer Infrastruktur? Im Landesrecht geregelt?)
- Bestandsaufnahme IT-Grundschutz: Überprüfen, ob bereits eine BSI-Grundschutz-Zertifizierung besteht. Diese ist ein guter Ausgangspunkt, deckt aber nicht alle NIS2-Anforderungen vollständig ab.
- Lückenanalyse gegen die 10 Maßnahmen: Systematisches Durcharbeiten der zehn Anforderungsfelder aus Artikel 21 NIS2 und Identifikation von Implementierungslücken
- Koordination mit IT-Konsolidierungspartnern: Abstimmung mit ITZBund, Dataport oder anderen zentralen Dienstleistern über NIS2-Verantwortlichkeiten und Meldewege
- Abstimmung mit BSI: Frühzeitige Kontaktaufnahme mit dem BSI für Beratung und Orientierung, insbesondere bei der Frage der Registrierungspflicht
Mehr zur allgemeinen Umsetzungssituation in Deutschland erfahren Sie in unserem Überblicksartikel NIS2 in Deutschland: Zeitplan, BSIG und Umsetzungsstand.
Häufig gestellte Fragen (FAQ)
Gilt NIS2 auch für kleine Gemeinden?
Kleine Gemeinden, die keine kritischen Infrastrukturen betreiben, fallen typischerweise nicht direkt unter das NIS2UmsuCG. Sie können jedoch durch Landesgesetze verpflichtet sein oder als Betreiber kommunaler Versorgungseinrichtungen (Wasserwerk, Heizwerk) indirekt betroffen sein. Eine individuelle Prüfung ist notwendig.
Wer ist die zuständige Aufsichtsbehörde für eine Kreisbehörde?
Für Landesbehörden und kommunale Einrichtungen sind primär die zuständigen Landesbehörden zuständig. Soweit eine kommunale Einrichtung gleichzeitig als Betreiber kritischer Infrastruktur (KRITIS) dem NIS2UmsuCG direkt unterliegt, ist das BSI die zuständige Behörde für diese Funktion. Die Abgrenzung kann im Einzelfall komplex sein.
Sind Bußgelder gegen öffentliche Einrichtungen möglich?
Das NIS2UmsuCG sieht Bußgelder grundsätzlich auch für Einrichtungen der öffentlichen Verwaltung vor. Allerdings gibt es Besonderheiten: Das Bund-Länder-Verhältnis und beamtenrechtliche Regelungen können die praktische Durchsetzung beeinflussen. Gegen Bundesbehörden richtet sich das BSI primär mit Beratung und Empfehlungen; Außerdem ist die politische Koordination im föderalen System ein wichtiger Faktor.
Wie verhält sich NIS2 zur ISO 27001-Zertifizierung in Behörden?
ISO 27001 und BSI-IT-Grundschutz sind die wichtigsten ISMS-Rahmenwerke in deutschen Behörden. Beide können als Nachweis für die Einhaltung der NIS2-Maßnahmen dienen – sie decken NIS2 aber nicht vollständig ab. Insbesondere die spezifischen Meldepflichten, die Registrierung beim BSI und die Supply-Chain-Anforderungen müssen zusätzlich adressiert werden.
Was bedeutet NIS2 für IT-Outsourcing an externe Rechenzentren?
Auch wenn eine Behörde IT-Dienste vollständig ausgelagert hat, bleibt sie für die Einhaltung der NIS2-Anforderungen verantwortlich. Das Outsourcing entbindet nicht von der Pflicht – es verschiebt sie in Richtung Lieferkettenmanagement. Behörden müssen sicherstellen, dass ihre Dienstleister vertraglich zur Einhaltung von NIS2-Standards verpflichtet sind und im Sicherheitsvorfall transparent kommunizieren.