Krisenvorbereitung

NIS-2 Betroffenheit und Einbeziehung von Ländern, Landkreisen und Kommunen

Sabine Griebsch

Sabine Griebsch

6 Min. Lesezeit
Teilen
NIS-2 Betroffenheit und Einbeziehung von Ländern, Landkreisen und Kommunen

Rechtslage, Betroffenheitsprüfung und Handlungsbedarf

Der Beitrag bezieht sich auf die Veröffentlichung "NIS-2 für die Landes- und Kommunalverwaltung - Häufig gestellte Fragen und Antworten (FAQ) zur Betroffenheit und Einbeziehung von Ländern, Landkreisen und Kommunen in die Umsetzung der NIS-2-Richtlinie". Der Beitrag stellt keine Rechtsberatung dar.

Mit dem Inkrafttreten des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" (NIS2UmsuCG) am 6. Dezember 2025 hat Deutschland die europäische Richtlinie (EU) 2022/2555 in nationales Recht umgesetzt. Das grundlegend novellierte BSI-Gesetz (BSIG) definiert neue Pflichten für eine Vielzahl von Einrichtungen – von Energieversorgern bis zu Gesundheitsdienstleistern. Für Kommunen stellte sich seither eine Frage, die zunächst keine klare Antwort hatte: In welchem Umfang betrifft das Gesetz die kommunale Ebene überhaupt?

Mit seinen aktualisierten FAQ „NIS-2 für Land und Kommune” hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun Leitlinien für diese Betroffenheitsprüfung veröffentlicht. Diese Leitlinien ändern zwar nicht das Gesetz, erschließen aber erstmals belastbar, wie die bestehenden Normen auf die spezifische Organisationsstruktur von Kommunen anzuwenden sind. Für kommunale Verwaltungen, die bisher mit überzogenen Compliance-Annahmen oder pauschaler Entwarnung gearbeitet haben, sind diese Leitlinien eine wesentliche Grundlage.

Die verfassungsrechtliche Ausgangslage

Bevor die inhaltlichen Kriterien betrachtet werden, muss die Kompetenzfrage geklärt werden. Die Gesetzgebungszuständigkeit für die Cybersicherheit von Landesverwaltungen, Landkreisen und Kommunen liegt gemäß Art. 70 Abs. 1 und Art. 28 Abs. 2 GG bei den Ländern. Das BSIG des Bundes entfaltet für kommunale Stellen keine unmittelbare normative Wirkung – es dient der Landesverwaltungsebene lediglich als Orientierungsrahmen. Maßgeblich sind die jeweiligen landesrechtlichen Umsetzungsakte, sofern sie erlassen wurden. Wo dies nicht der Fall ist, bewegen sich Kommunen in einem regulatorischen Raum, den das BSI-FAQ durch seine Auslegungshinweise pragmatisch strukturiert, ohne dabei rechtsverbindlich zu sein.

Ergänzend ist der Beschluss 2023/39 des IT-Planungsrats zu berücksichtigen: Er schließt die Ausdehnung des Anwendungsbereichs des BSIG auf Einrichtungen der kommunalen Kernverwaltung und auf Bildungseinrichtungen ausdrücklich aus. Standesamt, Ordnungsamt, Sozialverwaltung und allgemeine Bauverwaltung fallen demnach grundsätzlich nicht in den Anwendungsbereich des BSIG. Der Beschluss ist jedoch kein Freifahrtschein für die kommunale Ebene insgesamt, da er ausschließlich den bundesrechtlichen Anwendungsbereich betrifft und einer eigenständigen Ausdehnung durch Landesgesetzgebung nicht entgegensteht.

Der einheitenbezogene Ansatz: Was § 28 BSIG tatsächlich regelt

Der entscheidende Befund aus den BSI-FAQ lautet: Das BSIG knüpft nicht an die Gesamtorganisation „Kommune” an, sondern an die funktionale Einheit. § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG erfassen ausdrücklich auch rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, sofern sie drei Kriterien kumulativ erfüllen.

Das erste Kriterium ist die Zuordnung zu einem regulierten Sektor. Dabei gilt eine Unterscheidung, die in der Praxis häufig übersehen wird. Für besonders wichtige Einrichtungen (bwE) nach § 28 Abs. 1 Nr. 4 BSIG ist ausschließlich Anlage 1 des Gesetzes einschlägig – dieser Katalog umfasst unter anderem die Bereiche Energie, Trinkwasser, Gesundheit, Verkehr und digitale Infrastruktur. Für wichtige Einrichtungen (wE) nach § 28 Abs. 2 Nr. 3 BSIG kommen dagegen die Anlagen 1 und 2 in Betracht. Anlage 2 erweitert den Sektorenkatalog um Bereiche wie Abfallwirtschaft, Post- und Kurierdienste sowie Lebensmittelproduktion und -verteilung. Ein kommunaler Regiebereich, der etwa die Abfallentsorgung betreibt, ist damit über Anlage 2 potenziell als wE erfassbar, jedoch nicht zwingend als bwE.

Das zweite Kriterium ist die wirtschaftliche Tätigkeit: Die Einheit muss anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten. Rein intern erbrachte Verwaltungsleistungen ohne Außenwirkung fallen nicht darunter.

Das dritte Kriterium sind die Schwellenwerte – hier liegt eine Feinheit, die rechtlich bedeutsam ist. Der Gesetzeswortlaut formuliert die Schwellenwerte in § 28 Abs. 2 Nr. 3 lit. a und b BSIG als Alternativvoraussetzungen. Erfasst ist, wer entweder mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist. Für bwE gelten entsprechend: 250 Mitarbeiter oder ein Jahresumsatz von über 50 Millionen Euro und eine Jahresbilanzsumme von über 43 Millionen Euro. Es genügt also, wenn eine dieser Bedingungen erfüllt ist – ein kommunales Wasserwerk mit 60 Beschäftigten, aber nur 7 Millionen Euro Jahresumsatz, erfüllt das Schwellenwertkriterium allein durch seine Mitarbeiterzahl. In der Praxis wird diese Alternativlogik häufig als kumulative Anforderung missverstanden.

Ergänzend bestimmt § 28 Abs. 3 BSIG, dass Tätigkeiten, die im Hinblick auf die gesamte Geschäftstätigkeit einer Einheit vernachlässigbar sind, bei der Sektorzuordnung unberücksichtigt bleiben können. Ein Regiebereich, dessen regulierte Tätigkeit nur einen marginalen Anteil am Gesamtbetrieb ausmacht, ist damit nicht automatisch betroffen.

Schwellenwerte ohne Handelsbilanz: Die BSI-Berechnungsmethodik

Rechtlich unselbstständige Einheiten wie Regiebetriebe führen in der Regel keine eigenständige Handelsbilanz. Das BSI hat in seinen FAQ eine pragmatische Berechnungsmethodik für genau diese Konstellation entwickelt. Die dem jeweiligen Aufgabenbereich im Haushaltsplan der Gebietskörperschaft zugeordneten Erträge – etwa Gebühreneinnahmen für die Abfallentsorgung oder die Wasserversorgung – werden dem Jahresumsatz gleichgestellt. Die veranschlagten Budgets bzw. die zugeordneten Vermögenswerte bilden die Jahresbilanzsumme ab. Die Zahl der Beschäftigten ergibt sich aus dem Stellenplan oder der Personalübersicht der Gebietskörperschaft, bezogen auf den betreffenden Aufgabenbereich.

Ziel ist es, die tatsächliche wirtschaftliche Dimension der regulierten Tätigkeit abzubilden, nicht die finanzielle Gesamtgröße der Gemeinde. Diese Methodik ist keine Rechtsvorschrift, sondern eine Auslegungshilfe des BSI. Für Einheiten in Grenzwertbereichen ist eine rechtliche Überprüfung dieser Werte empfehlenswert, da Abweichungen in der Berechnungslogik erhebliche Konsequenzen haben können.

Keine Verbundbetrachtung - und was das konkret bedeutet

§ 28 Abs. 4 Satz 1 BSIG stellt klar, dass die EU-Empfehlung 2003/361/EG, welche die Aggregation von Kennzahlen verbundener Gesellschaften vorschreibt, für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft nicht anzuwenden ist. Dies hat unmittelbare praktische Konsequenzen: So fließen die Gesamtgröße der Kommune, die Mitarbeiterzahlen anderer Ämter, die Haushaltsmittel anderer Fachbereiche oder die Bilanzdaten kommunaler Beteiligungsgesellschaften in die Schwellenwertprüfung einer unselbstständigen Einheit nicht ein.

Für rechtlich selbstständige Tochtergesellschaften – etwa eine kommunale GmbH – gilt das umgekehrte Grundprinzip: Hier ist die EU-Empfehlung grundsätzlich anwendbar. § 28 Abs. 4 Satz 2 BSIG enthält allerdings eine wichtige Ausnahme: Die Zahlen verbundener Unternehmen sind dann nicht hinzuzurechnen, wenn die betreffende Gesellschaft „mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von ihren Partner- oder verbundenen Unternehmen ist”. Eine kommunale Tochter-GmbH, die ihre IT vollständig eigenständig betreibt, kann sich auf diese Ausnahme berufen. In jedem Fall gilt: Jede Beteiligungsgesellschaft ist eigenständig zu prüfen – ein automatisches Einbeziehen aufgrund der Betroffenheit der Muttereinheit ist gesetzlich nicht vorgesehen.

IT-Infrastruktur: Abgrenzung als operative Kernaufgabe

Eine der praktisch komplexesten Fragen betrifft die gemeinsam genutzte IT-Infrastruktur. In vielen Kommunen werden zentrale IT-Systeme, Netzwerke und Fachverfahren über mehrere Verwaltungseinheiten hinweg betrieben. Die Anforderungen des BSIG gelten jedoch nur für jene Infrastruktur, die für die regulierte Leistungserbringung tatsächlich erforderlich ist. Eine gesetzliche Pflicht zur Ausweitung auf die gesamte IT der Kommunalverwaltung besteht nicht.

Das bedeutet: Kommunale Einheiten, die unter § 28 BSIG fallen, müssen technisch nachvollziehbar dokumentieren, welche Systeme, Netze und Fachverfahren zum Betrachtungsumfang gehören. Netzwerksegmentierung und klare Schnittstellendokumentation sind dabei nicht nur technische Maßnahmen, sondern auch das Mittel zur regulatorischen Eingrenzung. Fehlt eine solche Abgrenzung und ist die zentrale IT für die regulierte Leistungserbringung wesentlich, muss sie in den Schutzumfang einbezogen werden. Das kann in Kommunen mit konsolidierter IT-Infrastruktur zu erheblichem Aufwand führen.

Sonderfall: Die Öffnungsklausel für kommunale IT-Dienstleister

Bislang wenig beachtet ist die Öffnungsklausel in § 28 Abs. 8 BSIG (in der Fassung des KRITIS-Dachgesetzes vom 11. März 2026, in Kraft ab 17. März 2026): Das BSIG findet keine Anwendung auf unselbstständige Organisationseinheiten von Gebietskörperschaften und auf juristische Personen, an denen ausschließlich Gebietskörperschaften - mit Ausnahme des Bundes - beteiligt sind, wenn sie zu dem Zweck errichtet wurden, im öffentlichen Auftrag Leistungen für Verwaltungen zu erbringen, und wenn sie durch vergleichbare landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert werden. Kommunale Rechenzentren, kommunale Datenzentralen und vergleichbare Shared-Service-Einheiten, die ausschließlich Verwaltungen bedienen, können damit aus dem Bundesrecht herausgenommen werden - vorausgesetzt, das jeweilige Bundesland hat eine entsprechende Landesregelung erlassen, die explizit auf § 28 Abs. 8 BSIG Bezug nimmt. Fehlt diese Landesregelung, bleibt die Einheit dem BSIG unterworfen. Stand Mai 2026 existiert eine solche Regelung in keinem Bundesland flächendeckend.

Geschäftsleitungsverantwortung nach § 38 BSIG

Einrichtungen, die die Betroffenheitsprüfung mit einer Zuordnung als wE oder bwE abschließen, müssen neben den Risikomanagementmaßnahmen nach § 30 BSIG auch die persönliche Verantwortung ihrer Leitungsorgane klären. § 38 BSIG verpflichtet die Leitung der Einrichtung zur Umsetzung und Überwachung der gesetzlichen Anforderungen. Da § 28 BSIG explizit auf die unselbstständige Organisationseinheit abstellt, ist deren jeweilige Leitung Adressat dieser Pflichten - auch wenn Sicherheitsfunktionen zentral durch die Gebietskörperschaft gesteuert werden.

Die Haftungsregelung in § 38 Abs. 2 BSIG knüpft dabei an das Gesellschaftsrecht der Einrichtung an: Die persönliche Haftung nach BSIG greift subsidiär, wenn keine vorrangige gesellschaftsrechtliche Haftungsregelung besteht. Das BSI vertritt in seinen FAQ die Auffassung, dass bei Amtsträgern die einschlägigen beamten- und haftungsrechtlichen Vorschriften dem § 38 BSIG vorgehen — diese Einordnung ist eine fachliche Interpretation des BSI auf Grundlage des Gesetzestexts, keine explizite Regelung des Gesetzes selbst. Kommunen sollten bei hybriden Leitungsformen frühzeitig die Kommunalaufsicht einbinden, um Haftungsrisiken zu klären. Die Schulungspflicht nach § 38 Abs. 3 BSIG - regelmäßige Schulungen zur Risikoerkennung und -bewertung - ist nicht delegierbar und dauerhaft wiederkehrend.

Was jetzt zu tun ist

Die gesetzlichen Fristen laufen bereits. Die Registrierungspflicht nach § 33 BSIG hätte bis zum 6. März 2026 erfüllt werden müssen. Einrichtungen, die diese Frist versäumt haben, sind aufgefordert, intern nachvollziehbar zu dokumentieren, dass die Betroffenheitsprüfung erfolgt ist oder läuft, und die Registrierung im BSI-Portal schnellstmöglich nachzuholen. Alle weiteren Pflichten - Risikomanagementmaßnahmen, Meldepflichten bei Sicherheitsvorfällen, Schulungen - gelten ohne Übergangsfrist ab dem 6. Dezember 2025. Der Nachweis der Gesetzeseinhaltung gegenüber dem BSI ist erstmals spätestens fünf Jahre nach Inkrafttreten zu erbringen, danach regelmäßig.

Für Kommunen ergibt sich daraus ein klarer Handlungsrahmen: Zunächst sind alle wirtschaftlich tätigen, rechtlich unselbstständigen Organisationseinheiten auf Basis von Haushaltsplan und Stellenplan systematisch zu erfassen und gegen die Kriterien des § 28 BSIG zu prüfen - einheitenbezogen, ohne Verbundbetrachtung, unter Berücksichtigung der Alternativlogik bei den Schwellenwerten. Parallel dazu ist die technische Abgrenzung der relevanten IT-Infrastruktur zu dokumentieren. Für Einheiten mit festgestellter Betroffenheit ist die Leitungsverantwortung nach § 38 BSIG zu klären und ein Risikomanagementprozess aufzusetzen. Kommunen, bei denen nach BSIG keine Betroffenheit festgestellt wird, sollten die Entwicklung der Landesgesetzgebung beobachten - insbesondere hinsichtlich der Öffnungsklausel nach § 28 Abs. 8 BSIG und etwaiger eigenständiger Landespflichten.

Bei Zweifelsfragen zur Einordnung oder zur Haftungsverantwortung empfiehlt das BSI ausdrücklich, die zuständige Kommunalaufsicht oder eine externe Rechtsberatung hinzuzuziehen.

Fazit

Die aktualisierten BSI-FAQ ersetzen die bisherige pauschale Frage „Ist unsere Kommune NIS-2-betroffen?" durch eine präzisere operative Formulierung:

„Welche kommunale Organisationseinheit erbringt entgeltliche Leistungen in einem Anlage-1- oder Anlage-2-Bereich und überschreitet eigenständig die Schwellenwerte? Welche IT- und Prozessabhängigkeiten gehören tatsächlich zum Betrachtungsumfang?”

Weiterlesen