Mit der NIS2-Richtlinie gelten für Behörden erstmals verbindliche und deutlich höhere Anforderungen an die IT-Sicherheit. Der öffentliche Sektor ist nun gefordert, technische und organisatorische Schutzmaßnahmen umzusetzen, klare Zuständigkeiten zu schaffen und Sicherheitsprozesse umfassend zu dokumentieren.
Inhalt
NIS2 als Wendepunkt für die IT-Sicherheit in Behörden
Behörden und öffentliche Einrichtungen stehen zunehmend im Fokus gezielter Cyberangriffe und das nicht ohne Grund: Die digitale Abhängigkeit staatlicher Prozesse wächst stetig. Verwaltungsportale, Fachverfahren, Kommunikationssysteme sind längst als kritische Infrastrukturen zu bezeichnen. Gleichzeitig zeigt sich, dass viele Sicherheitsstrukturen in der öffentlichen Verwaltung bislang häufig nicht flächendeckend standardisiert oder verpflichtend geregelt waren.
Genau hier setzt die NIS2-Richtlinie der EU an: Sie schafft einen verbindlichen europäischen Rahmen für Cybersicherheit, erstmals auch mit klaren Pflichten für Behörden. Seit dem Inkrafttreten des deutschen Umsetzungsgesetzes Ende 2024 gelten diese Anforderungen rechtsverbindlich.
Ziel ist ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Europäischen Union. Betroffene Einrichtungen müssen technische und organisatorische Maßnahmen ergreifen, Risiken systematisch managen, und Sicherheitsvorfälle fristgerecht melden.
Die Regulierung bringt einen grundlegenden Wandel: Cybersicherheit wird zur Führungsaufgabe, die tief in Strukturen, Prozesse und Zuständigkeiten eingreift und gleichzeitig die Chance bietet, Resilienz dauerhaft strategisch zu verankern.
Doch wer ist konkret betroffen? Und wie lässt sich die Umsetzung in der Praxis gestalten?
Wer ist NIS2-pflichtig?
Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 richtete sich vor allem an private Betreiber kritischer Infrastrukturen (KRITIS) sowie an ausgewählte digitale Dienste. Mit NIS2 wurde der Anwendungsbereich deutlich erweitert: Nun fallen auch viele Behörden und öffentliche Einrichtungen unter die Regulierungspflicht.
Seit der nationalen Umsetzung in deutsches Recht ist klar: Zahlreiche staatliche Stellen – auf kommunaler, Landes- und Bundesebene – unterliegen verbindlichen Cybersicherheitsanforderungen, die über bisherige Selbstverpflichtungen oder Empfehlungen deutlich hinausgehen. Für die öffentliche Verwaltung bedeutet das: Sicherheit ist nicht mehr optional, sondern gesetzlich verpflichtend.
Welche Behörden unter die NIS2 fallen: Wesentliche und wichtige Einrichtungen im ÜberblickFür die Umsetzung der NIS2 ist eine wichtige Unterscheidung relevant: Behörden werden entweder als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft. Diese Einteilung bestimmt, welche Anforderungen, Meldepflichten und Kontrollen im Einzelnen gelten.
- Wesentliche Einrichtungen („Essential Entities“)
Unter diese Kategorie fallen Organisationen, deren Ausfall oder Beeinträchtigung eine besonders hohe Relevanz für das staatliche Funktionieren und die öffentliche Sicherheit hätte. Dazu gehören unter anderem:
- Energie- und Wasserversorger, Gesundheitswesen, Verkehr
- Öffentliche Verwaltungen auf Bundes- und Landesebene, wenn sie zentrale staatliche Aufgaben oder kritische Infrastrukturen betreiben
- Wichtige Einrichtungen („Important Entities“)
Diese Einrichtungen leisten einen wesentlichen Beitrag zur digitalen Verwaltung und öffentlichen Daseinsvorsorge, gelten aber formell nicht als „kritisch“. Dazu zählen beispielsweise:
- Kommunale Verwaltungen, insbesondere mit digitalen Bürgerdiensten
- IT-Dienstleister der öffentlichen Hand, z. kommunale Rechenzentren oder Landes-IT-Dienstleister
- Fachbehörden, die sicherheitsrelevante oder besonders schützenswerte Daten verarbeiten (z. im Umwelt- oder Gesundheitsbereich)
- Einstufungskriterien: Funktion statt Größe
Die Einstufung erfolgt nicht nach Größe oder Rechtsform, sondern nach der gesellschaftlichen Funktion und digitalen Abhängigkeit der Einrichtung. Entscheidend ist, ob die jeweilige Behörde Dienste erbringt, deren Ausfall erhebliche Auswirkungen auf das öffentliche Leben, die Sicherheit oder die wirtschaftliche Stabilität hätte.
Technische und organisatorische Anforderungen im Überblick
Die NIS2-Richtlinie benennt zehn zentrale Themenfelder, in denen betroffene Behörden verbindliche Sicherheitsmaßnahmen umsetzen müssen. Diese betreffen nicht nur die technische Absicherung der Systeme, sondern auch organisatorische Strukturen, Prozesse und Zuständigkeiten.
Ziel ist es, Informationssicherheit ganzheitlich zu denken – als Zusammenspiel aus Technologie, klarer Verantwortungsverteilung und gelebtem Risikobewusstsein.
- Risikomanagement
Behörden müssen in der Lage sein, IT-bezogene Risiken zu erfassen, zu bewerten und geeignete Maßnahmen abzuleiten. Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS), z. B. nach ISO 27001 oder BSI-Grundschutz, bietet hierfür eine bewährte methodische Grundlage.
- Identifikation kritischer Prozesse und Systeme
- Planung und Umsetzung risikomindernder Maßnahmen
- Regelmäßige Überprüfung der Risikolage
- Vorfallmanagement
Sicherheitsvorfälle lassen sich nie vollständig verhindern umso wichtiger ist ein professionelles Vorfallmanagement:
- Interne Melde- und Eskalationswege
- Dokumentation und Bewertung von Vorfällen
- Maßnahmen zur Eindämmung und Wiederherstellung
- Notfallmanagement und Geschäftskontinuität
Die Aufrechterhaltung wesentlicher Funktionen auch im Krisenfall ist Pflicht. Gefordert werden:
- Notfallkonzepte mit klaren Wiederanlaufplänen
- Redundanz- und Backup-Strategien
- Regelmäßige Tests von Wiederherstellungsprozessen
Ziel ist es, Ausfälle schnell zu beheben und Schäden zu minimieren.
4. Sicherheit in der Lieferkette
Die Absicherung der eigenen Systeme reicht nicht aus, auch Dienstleister und Partner müssen einbezogen werden. Das betrifft:
- Verträge mit IT-Dienstleistern und Hosting-Anbietern
- Kontrolle von Drittzugriffen und externer Software
- Sicherheitsanforderungen in Ausschreibungen und Vergaben
Gerade öffentliche IT-Dienstleister und Betreiber gemeinsamer Infrastrukturen sind in der Pflicht, sich und ihre Kundensysteme abzusichern.
- Zugriffskontrolle und Authentifizierung
Zugriffe auf sensible Daten und Systeme müssen nach dem Prinzip der minimalen Rechtevergabe geregelt sein. Zu den Mindestanforderungen gehören:
- Rollenkonzepte und Zugriffsrichtlinien
- Protokollierung und regelmäßige Überprüfung von Zugriffsrechten
- Einsatz von Multi-Faktor-Authentifizierung (MFA), wo technisch möglich
- Sicherheit in der Systementwicklung und Wartung
Sicherheitsaspekte müssen über den gesamten Lebenszyklus von IT-Systemen berücksichtigt werden („Security by Design & by Default“). Dazu zählen:
- Sichere Konfigurationen und regelmäßige Updates
- Schwachstellenmanagement
- Schulung und Sensibilisierung
NIS2 fordert, dass alle Beschäftigten aktiv eingebunden und geschult werden:
- Regelmäßige Schulungen für IT-Sicherheit und Datenschutz
- Awareness-Maßnahmen für Führungskräfte und Fachabteilungen
- Einführung sicherer Verhaltensstandards im Arbeitsalltag (z. Umgang mit E-Mails, Passwörtern und Mobilgeräten)
- Netzwerksicherheit und IT-Architektur
Die technische Infrastruktur muss gegen interne und externe Angriffe geschützt sein. Gefordert wird unter anderem:
- Einsatz von Firewalls
- Absicherung der Schnittstellen zwischen internen und externen Netzen
Besonderes Augenmerk gilt dem Schutz von Verwaltungsportalen, Rechenzentren und zentralen Kommunikationswegen.
- Verschlüsselung und Schutz der Datenintegrität
Vertrauliche und personenbezogene Daten müssen bei Speicherung und Übertragung angemessen geschützt werden:
- Ende-zu-Ende-Verschlüsselung sensibler Kommunikation
- Absicherung von Datenbanken und Speichersystemen
- Integritätsprüfungen bei der Datenübermittlung
- Dokumentation und Nachweisführung
Alle umgesetzten Maßnahmen müssen nachvollziehbar dokumentiert und auf Anfrage den Aufsichtsbehörden (z. B. dem BSI) vorgelegt werden können. Dazu gehören:
- Sicherheitskonzepte und Richtlinien
- Protokolle zu Schulungen, Vorfällen, Prüfungen
- Nachweise über Wirksamkeit und Aktualität der Maßnahmen
Informationssicherheit strategisch steuern – Governance und Zuständigkeiten unter NIS2
Mit der NIS2-Richtlinie rückt Cybersicherheit von einer reinen IT-Aufgabe zu einer organisationsweiten Führungsverantwortung auf. Besonders für Behörden bedeutet das: Informationssicherheit muss strukturell verankert, in Entscheidungsprozesse integriert und durch klare Rollen abgesichert werden.
Die Richtlinie verpflichtet Organisationen ausdrücklich dazu, die Verantwortung für Informationssicherheit auf Leitungsebene zu verankern. Das bedeutet:
- Verantwortliche Personen müssen benannt und dokumentiert werden
- Die oberste Leitungsebene trägt Mitverantwortung für Planung, Umsetzung und Kontrolle der Sicherheitsmaßnahmen
- Sicherheitsfragen müssen regelmäßig auf Leitungsebene behandelt und in die strategische Steuerung eingebunden werden
Ein zentrales Element der NIS2-Compliance ist die Fähigkeit, alle Maßnahmen, Verantwortlichkeiten und Prozesse nachweisbar zu dokumentieren. Behörden müssen u. a. festhalten:
- Zuständigkeiten und Rollenverteilungen (z. durch Organigramme oder Stellenbeschreibungen)
- Sicherheitsrichtlinien und Notfallpläne
- Protokolle über Schulungen, Audits, Vorfälle und Management-Reviews
- Fortschrittsberichte zur Umsetzung von Maßnahmen
Diese Nachweise müssen bei Prüfungen durch Aufsichtsbehörden (z. B. das BSI oder Landesstellen) auf Anforderung vorgelegt werden können.
Fazit: NIS2 strategisch umsetzen und als Chance begreifen
Die NIS2-Richtlinie bringt neue Pflichten, aber vor allem die Chance, Cybersicherheit in Behörden verbindlich und zukunftssicher zu gestalten. Informationssicherheit ist damit nicht länger ein isoliertes IT-Thema, sondern ein integraler Bestandteil moderner Verwaltungssteuerung.
Was sich mit NIS2 ändert, ist nicht nur die rechtliche Lage, sondern das Bewusstsein:
Verwaltungen sind Teil der kritischen digitalen Infrastruktur und müssen entsprechend resilient aufgestellt sein. Der Weg zur NIS2-Konformität beginnt mit klaren Zuständigkeiten, einem strukturierten Sicherheitsmanagement und dem Willen, Risiken vorausschauend zu begegnen.
Für Behörden bedeutet das konkret:
- Die eigene Rolle und Einstufung prüfen (wesentliche oder wichtige Einrichtung?)
- Bestehende Maßnahmen einem Realitätscheck unterziehen
- Governance und Sicherheitsprozesse strategisch weiterentwickeln
- Mitarbeitende sensibilisieren und einbinden
- Nachweise und Dokumentation frühzeitig vorbereiten
Wer frühzeitig handelt, reduziert nicht nur Risiken und Prüfungsdruck, sondern schafft auch Vertrauen in die digitale Leistungsfähigkeit der Verwaltung. Dabei lohnt sich der Blick über das reine Sicherheitsmanagement hinaus: Neue Technologien wie Künstliche Intelligenz bieten zusätzliche Chancen, Verwaltungsprozesse effizienter und bürgernaher zu gestalten – vorausgesetzt, Sicherheit und Governance sind mitgedacht. Wie KI die öffentliche Verwaltung unterstützt, lesen Sie hier.
EITCO unterstützt Sie mit fachlicher Expertise, praxisnaher Beratung und erprobten Lösungen. Sie möchten mehr zum Thema KI in der öffentlichen Verwaltung lesen?
