Das BSI-Gesetz (BSIG) bildet die deutsche gesetzliche Pflichtenebene. Der vorhandene NIS2-Maßnahmenkatalog dient als fachlich detaillierte Arbeitsgrundlage für die praktische Umsetzung. Es wird kein zweiter Maßnahmenkatalog geführt.
Die Zuordnung zeigt, welche Bereiche des Maßnahmenkatalogs die gesetzlichen Themen unterstützen. Sie ersetzt weder die Prüfung der Anwendbarkeit noch die kundenspezifische Bewertung und Freigabe.
| Ebene | Aufgabe | Bearbeitung |
|---|---|---|
| BSIG | gesetzliche Anforderungen und Pflichten | Anwendbarkeit und Abdeckung feststellen |
| NIS2-Maßnahmenkatalog | fachliche Konkretisierung der Sicherheitsmaßnahmen | Erwartung, aktueller Stand, Status und Nachweise bearbeiten |
| ISMS von NIS2-ISMS - Demonstration | organisatorische und technische Umsetzung | Verantwortlichkeiten, Verfahren und Wirksamkeit nachweisen |
Der Umsetzungsstatus wird ausschließlich auf den einzelnen Maßnahmenseiten gepflegt. Die BSIG-Sicht fasst die zugeordneten Ergebnisse zusammen. Dadurch entstehen weder doppelte Bearbeitung noch widersprüchliche Statusangaben.
Vor der inhaltlichen Bewertung muss festgestellt werden, für welche Rechtsperson, Tätigkeit, Anlage und Dienstleistung die jeweilige Vorschrift gilt. Bei einem Unternehmen mit mehreren Sparten genügt eine pauschale Einordnung des Gesamtunternehmens nicht.
Besonders zu beachten ist § 28 Abs. 5 BSIG. Bestimmte Energietätigkeiten, die den §§ 5c bis 5e EnWG unterliegen, sind von mehreren BSIG-Pflichten ausgenommen. Weitere Tätigkeiten oder kritische Anlagen können dennoch vom BSIG erfasst werden. Das Ergebnis wird unter Betroffenheit Stadtwerk dokumentiert und durch die Geschäftsleitung freigegeben.
| Nr. | Gesetzliches Thema | Zugeordnete Bereiche des Maßnahmenkatalogs |
|---|---|---|
| 1 | Risikoanalyse und Sicherheit der Informationstechnik | 1 Sicherheitskonzept, 2 Risikomanagement, 12 Anlagen- und Wertemanagement |
| 2 | Bewältigung von Sicherheitsvorfällen | 3 Bewältigung von Sicherheitsvorfällen |
| 3 | Betriebskontinuität, Backup, Wiederherstellung und Krisenmanagement | 4 Betriebskontinuität und Krisenmanagement, 13 Physische und umgebungsbezogene Sicherheit |
| 4 | Sicherheit der Lieferkette | 5 Sicherheit der Lieferkette |
| 5 | Sicherheit bei Erwerb, Entwicklung und Wartung einschließlich Schwachstellen | 6 Erwerb, Entwicklung und Wartung |
| 6 | Bewertung der Wirksamkeit der Risikomanagementmaßnahmen | 7 Wirksamkeitsbewertung, 2 Risikomanagement |
| 7 | Grundlegende Schulungen und Sensibilisierung | 8 Cyberhygiene und Schulungen |
| 8 | Kryptografische Verfahren | 9 Kryptografie |
| 9 | Personalsicherheit, Zugriffskontrolle und Verwaltung von IKT | 10 Personalsicherheit, 11 Zugriffskontrolle, 12 Anlagen- und Wertemanagement |
| 10 | Starke Authentisierung und gesicherte Kommunikation | 11 Zugriffskontrolle und Authentisierung, 9 Kryptografie, 4 Krisenmanagement |
Mehrfachzuordnungen sind beabsichtigt. Eine Maßnahme kann mehrere gesetzliche Themen unterstützen, wird aber nur einmal bearbeitet und nachgewiesen.
§ 30 Abs. 1 und 2 verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen. Dabei sind insbesondere zu berücksichtigen:
Diese Anforderungen gelten übergreifend und werden nicht nur einer einzelnen Maßnahme zugeordnet. Ihre Einhaltung muss dokumentiert werden. Die Verhältnismäßigkeit wird ergänzend unter Verhältnismäßigkeit der Maßnahmen behandelt.
Die folgenden Pflichten werden getrennt vom Maßnahmenstatus organisiert:
| Fundstelle | Pflicht | Erforderliche Organisation |
|---|---|---|
| § 32 | Meldung erheblicher Sicherheitsvorfälle | Erstmeldung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Zwischen- und Abschlussmeldung |
| § 33 | Registrierung | Stammdaten, Einordnung, Kontaktstellen und fristgerechte Änderungsmeldungen |
| §§ 35 und 36 | Unterrichtung von Empfängern oder Öffentlichkeit | abgestimmter Kommunikations- und Freigabeprozess |
| § 38 | Pflichten der Geschäftsleitung | Umsetzung und Überwachung der Maßnahmen sowie regelmäßige Schulung |
| §§ 31 und 39 | besondere Pflichten für Betreiber kritischer Anlagen | Angriffserkennung und gegebenenfalls periodische Nachweise |
Das operative Verfahren für Sicherheitsvorfälle wird unter Meldewesen geführt. Die Gesamtübersicht der gesetzlichen und organisatorischen Aufgaben befindet sich unter Pflichten.
Grundlage ist das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung vom 2. Dezember 2025, Bundesgesetzblatt 2025 Teil I Nr. 301. Artikel 1 enthält das neue BSI-Gesetz; es trat am 6. Dezember 2025 in Kraft.
Die amtlichen Bezeichnungen lauten besonders wichtige Einrichtung und wichtige Einrichtung.