NIS2-Autopilot
§30 BSIG (NIS2UmsuCG) — Stand Dezember 2025

Die 10 NIS2-Pflichtmaßnahmen

Was §30 BSIG konkret von Ihrem Unternehmen fordert — und wie NIS2-Autopilot bei jeder Maßnahme hilft.

Betroffenheit prüfen

Was bedeutet §30 BSIG?

§30 BSIG verpflichtet alle besonders wichtigen und wichtigen Einrichtungen, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen. Die 10 Maßnahmen gelten als Mindeststandard — Unternehmen können und sollen darüber hinausgehen.

1
§30 Abs. 2 Nr. 1 BSIG

Konzepte zur Risikoanalyse und Informationssicherheit

Die Grundlage aller NIS2-Compliance: Sie müssen systematisch ermitteln, welche Risiken für Ihre IT-Systeme und Daten bestehen, diese bewerten und in einem dokumentierten Risikoregister festhalten. Zusätzlich brauchen Sie eine schriftliche Informationssicherheits-Leitlinie.

Was konkret zu tun ist:

  • Risikoregister mit allen relevanten IT-Risiken aufbauen
  • Risiken bewerten: Eintrittswahrscheinlichkeit × Schadenshöhe
  • Informationssicherheits-Leitlinie erstellen und durch GF genehmigen
  • Risikoregister mindestens jährlich aktualisieren
NIS2-Autopilot Modul
Risikoregister & Gap-Analyse
Kostenlos testen →
2
§30 Abs. 2 Nr. 2 BSIG

Bewältigung von Sicherheitsvorfällen

Sie müssen in der Lage sein, Sicherheitsvorfälle zu erkennen, zu melden und zu beheben. Das BSI schreibt ein dreistufiges Meldeverfahren vor: Frühwarnung innerhalb von 24 Stunden, Erstmeldung innerhalb von 72 Stunden, Abschlussmeldung nach spätestens einem Monat.

Was konkret zu tun ist:

  • Incident-Response-Plan (IRP) erstellen
  • Prozess zur Erkennung und Klassifizierung von Vorfällen festlegen
  • BSI-Meldeprozess dokumentieren (24h / 72h / 1 Monat)
  • Verantwortlichkeiten und Eskalationswege definieren
NIS2-Autopilot Modul
Incident-Management
Kostenlos testen →
3
§30 Abs. 2 Nr. 3 BSIG

Business Continuity Management (BCM)

Ihr Unternehmen muss in der Lage sein, nach einem Sicherheitsvorfall den Betrieb aufrechtzuerhalten oder schnell wieder aufzunehmen. Dazu gehören Backup-Konzepte, Notfallpläne und regelmäßige Tests der Wiederherstellungsfähigkeit.

Was konkret zu tun ist:

  • Business-Continuity-Plan (BCP) erstellen
  • Backup-Konzept: Was wird gesichert, wie oft, wo gespeichert?
  • Recovery Time Objective (RTO) und Recovery Point Objective (RPO) definieren
  • Notfallplan mindestens jährlich testen
NIS2-Autopilot Modul
Dokumentenvorlagen (BCM-Plan)
Kostenlos testen →
4
§30 Abs. 2 Nr. 4 BSIG

Sicherheit der Lieferkette

Sie sind verantwortlich für die Cybersicherheitspraktiken Ihrer direkten Lieferanten und Dienstleister. Das bedeutet: Lieferanten müssen bewertet, Sicherheitsanforderungen vertraglich vereinbart und kritische Lieferantenbeziehungen regelmäßig überprüft werden.

Was konkret zu tun ist:

  • Kritische Lieferanten und IT-Dienstleister identifizieren
  • Sicherheitsfragebogen für Lieferanten entwickeln
  • Vertragliche Sicherheitsklauseln in neue Verträge aufnehmen
  • Lieferantenbewertungen dokumentieren und regelmäßig wiederholen
NIS2-Autopilot Modul
Lieferantenbewertung
Kostenlos testen →
5
§30 Abs. 2 Nr. 5 BSIG

Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheitsanforderungen müssen bereits beim Kauf von Hard- und Software sowie bei der eigenen Softwareentwicklung berücksichtigt werden. Außerdem muss ein strukturiertes Patch-Management für bekannte Schwachstellen bestehen.

Was konkret zu tun ist:

  • Sicherheitsanforderungen in Beschaffungsprozesse integrieren
  • Patch-Management-Prozess etablieren (kritische Patches: 24–72h)
  • IT-Asset-Inventar führen mit Patch-Status
  • Software-Entwicklung: Sicherheitstests und Code-Reviews
NIS2-Autopilot Modul
Asset-Verwaltung & Maßnahmenplan
Kostenlos testen →
6
§30 Abs. 2 Nr. 6 BSIG

Bewertung der Wirksamkeit der Maßnahmen

Es reicht nicht aus, Maßnahmen einzuführen — Sie müssen auch regelmäßig prüfen, ob sie wirksam sind. bwE sind verpflichtet, externe Zertifizierungen oder Audits durchzuführen und die Ergebnisse dem BSI zu melden.

Was konkret zu tun ist:

  • Jährliche interne Überprüfung aller 10 Maßnahmen
  • Compliance-Score als KPI einführen
  • Für bwE: regelmäßige externe Audits (Zertifizierung oder Penetrationstest)
  • Ergebnisse dokumentieren und an BSI melden
NIS2-Autopilot Modul
Compliance-Score & Audit-Trail
Kostenlos testen →
7
§30 Abs. 2 Nr. 7 BSIG

Cyberhygiene und Schulungen

Schulungen sind eine der sichtbarsten Pflichten — und direkt mit der GF-Haftung verknüpft. §38 BSIG schreibt vor, dass die Geschäftsleitung persönlich an Cybersecurity-Schulungen teilnimmt. Mitarbeiterschulungen sind für alle Beschäftigten verpflichtend.

Was konkret zu tun ist:

  • GF-Schulung zu Cybersicherheit und NIS2 — mit Zertifikat und Nachweis
  • Mitarbeiter-Awareness-Schulung für alle Beschäftigten
  • Phishing-Simulationen und Sicherheitsübungen
  • Schulungsnachweise archivieren (BSI-Prüfung möglich)
NIS2-Autopilot Modul
Schulungen & Zertifikate
Kostenlos testen →
8
§30 Abs. 2 Nr. 8 BSIG

Kryptografie und Verschlüsselung

Sensible Daten müssen verschlüsselt gespeichert und übertragen werden. Das BSI erwartet ein Konzept für den Einsatz kryptografischer Maßnahmen — inklusive Schlüsselmanagement und den Grundsatz „Verschlüsselung by default" für kritische Daten.

Was konkret zu tun ist:

  • Kryptografie-Konzept erstellen: Wo werden welche Daten verschlüsselt?
  • TLS für alle Webdienste und E-Mail-Kommunikation sicherstellen
  • Festplattenverschlüsselung für mobile Geräte und Server
  • Schlüsselmanagement-Prozess dokumentieren
NIS2-Autopilot Modul
Maßnahmenplan (Checkliste)
Kostenlos testen →
9
§30 Abs. 2 Nr. 9 BSIG

Personalsicherheit, Zugriffskontrolle und Asset Management

Der Grundsatz des „Least Privilege" muss umgesetzt werden: Jeder Mitarbeiter bekommt nur die Zugriffsrechte, die er für seine Tätigkeit benötigt. Zusätzlich müssen alle IT-Assets inventarisiert und Hintergrundüberprüfungen für kritische Stellen erwogen werden.

Was konkret zu tun ist:

  • Vollständiges IT-Asset-Inventar führen (Hardware, Software, Cloud-Dienste)
  • Zugriffskontrolle nach dem Least-Privilege-Prinzip umsetzen
  • Onboarding-/Offboarding-Prozess für IT-Zugänge dokumentieren
  • Regelmäßige Überprüfung der Zugriffsrechte (mindestens jährlich)
NIS2-Autopilot Modul
Asset-Verwaltung & Richtlinien-Management
Kostenlos testen →
10
§30 Abs. 2 Nr. 10 BSIG

Multi-Faktor-Authentifizierung und sichere Kommunikation

MFA ist für alle privilegierten Zugriffe (Admin-Accounts, Remote-Zugriff, kritische Systeme) verpflichtend. Zusätzlich müssen interne und externe Kommunikationsmittel (E-Mail, Chat, Voice) angemessen abgesichert werden.

Was konkret zu tun ist:

  • MFA für alle Admin-Konten und Remote-Zugriffe aktivieren
  • MFA für kritische Geschäftsanwendungen einführen
  • Sichere E-Mail-Kommunikation (S/MIME oder verschlüsselte Plattform)
  • Richtlinie zur Nutzung privater Kommunikationsmittel für Dienstliches
NIS2-Autopilot Modul
Maßnahmenplan (Checkliste)
Kostenlos testen →

Welche dieser 10 Maßnahmen fehlen Ihnen noch?

Die Gap-Analyse in NIS2-Autopilot prüft systematisch alle 10 Pflichtmaßnahmen, zeigt Ihnen Ihren Compliance-Score und erstellt automatisch einen priorisierten Maßnahmenplan.

Kostenloser BetroffenheitscheckGap-Analyse starten

14 Tage kostenlos · Keine Kreditkarte · Keine Registrierung nötig für den Check

Weiterführende Informationen

NIS2 FAQ
Die 30 häufigsten Fragen zu NIS2 beantwortet.
Kosten der Compliance
Berater vs. Tool vs. NIS2-Autopilot im Vergleich.
Bußgelder & Haftung
Was das BSI darf und was Sie riskieren.

Bereit für die Umsetzung?

Prüfen Sie zunächst, ob Ihr Unternehmen überhaupt betroffen ist. Danach zeigt Ihnen die Gap-Analyse, welche der 10 Maßnahmen Sie bereits erfüllen.

Kostenloser Betroffenheitscheck

Keine Registrierung  ·  Keine Kreditkarte  ·  5 Minuten