Volljurist und Compliance-Experte
21 Mar 2026
8 min
.svg)
Eine NIS2-Zertifizierung existiert nicht. Das NIS2UmsuCG kennt stattdessen drei verschiedene Nachweisregime für KRITIS-Betreiber, besonders wichtige und wichtige Einrichtungen.
Betreiber kritischer Anlagen müssen dem BSI alle drei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen, dass sie die Anforderungen aus §30 und §31 BSIG umsetzen.
ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Die verbleibenden 30 % (Meldepflicht, Lieferkettensicherheit, Geschäftsführer-Schulung) erfordern zusätzliche Maßnahmen.
Wer seine Dokumentation frühzeitig auf Auditniveau bringt, spart im Ernstfall Monate. Ein ISMS bildet das Rückgrat für jeden NIS2-Nachweis.
Eine NIS2-Zertifizierung existiert nicht. Wer im Markt nach einem "NIS2-Zertifikat" sucht, findet private Bescheinigungen ohne gesetzliche Grundlage. Das NIS2UmsuCG, seit Dezember 2025 in Kraft, sieht stattdessen drei verschiedene Nachweisregime vor: eines für Betreiber kritischer Anlagen, eines für besonders wichtige Einrichtungen und eines für wichtige Einrichtungen. Die Unterschiede sind erheblich, und genau diese Unterschiede entscheiden darüber, wie viel Vorbereitungsaufwand auf ein Unternehmen zukommt.
Die Pflichten nach §30 BSIG greifen ab dem 1. Oktober 2026. Ab diesem Zeitpunkt müssen betroffene Unternehmen ihre Maßnahmen nicht nur umgesetzt haben, sondern im Fall einer Prüfung auch nachweisen können. Dieser Artikel zeigt, welches Nachweisregime für welchen Einrichtungstyp gilt, wie der 3-Jahres-Audit-Zyklus funktioniert und warum ISO 27001 das sinnvollste Fundament für den Nachweis ist.
Der Begriff "Nachweispflicht" ist im NIS2-Kontext präziser als "Audit". Es geht nicht um eine einmalige Prüfung mit Stempel, sondern um die Fähigkeit, jederzeit belegen zu können, dass die gesetzlich geforderten Maßnahmen umgesetzt sind. Ob Ihr Unternehmen überhaupt unter die NIS2-Regelung fällt, hängt von Branche und Unternehmensgröße ab. Eine detaillierte Betroffenheitsprüfung finden Sie in unserem NIS2-Leitfaden.
Wie der Nachweis konkret aussieht, hängt vom Einrichtungstyp ab. Das BSIG unterscheidet drei Kategorien mit unterschiedlichen Aufsichtsintensitäten: Betreiber kritischer Anlagen unterliegen der strengsten Pflicht (proaktive Nachweiserbringung alle drei Jahre). Besonders wichtige Einrichtungen werden proaktiv beaufsichtigt, müssen aber nicht automatisch Nachweise liefern. Wichtige Einrichtungen werden nur bei konkretem Verdacht geprüft.
Die Unterscheidung ist in der Praxis relevanter, als sie auf den ersten Blick wirkt. Ein Energieversorger, der als KRITIS-Betreiber eingestuft wird, muss aktiv auf das BSI zugehen und fertige Audit-Ergebnisse vorlegen. Ein mittelständischer IT-Dienstleister als wichtige Einrichtung muss dagegen "nur" in der Lage sein, im Fall einer BSI-Anfrage seine Dokumentation vorzuzeigen. Der Aufwand unterscheidet sich um Größenordnungen.
Kein anderes EU-Cybersicherheitsgesetz differenziert so stark nach Einrichtungstyp wie das NIS2UmsuCG. Die Konsequenz: Der gleiche §30-Maßnahmenkatalog führt je nach Einstufung zu völlig unterschiedlichem Prüfaufwand. Die folgende Tabelle zeigt die Unterschiede auf einen Blick.
| Kriterium | Betreiber kritischer Anlagen | Besonders wichtige Einrichtungen (bwE) | Wichtige Einrichtungen (wE) |
|---|---|---|---|
| Rechtsgrundlage | §39 BSIG | §61 BSIG | §62 BSIG |
| Auslöser | Automatisch, kraft Gesetz | BSI kann Audits anordnen | Nur bei konkretem Verdacht |
| Frequenz | Alle 3 Jahre (Pflicht) | Keine feste Frequenz | Keine feste Frequenz |
| Form des Nachweises | Sicherheitsaudits, Prüfungen oder Zertifizierungen | Audits, Prüfungen, Dokumentation auf Anordnung | Dokumentation auf Anforderung |
| Konsequenzen bei Nicht-Nachweis | Bußgeld + Mängelbeseitigungsplan | Bußgeld bis 10 Mio. € oder 2 % Umsatz | Bußgeld bis 7 Mio. € oder 1,4 % Umsatz |
Die konkreten technischen und organisatorischen Maßnahmen nach §30, von Risikomanagement bis Backup-Konzepte, behandeln wir im Überblick zu den NIS2-Anforderungen. Welche Bußgelder bei Verstößen drohen und wie sich NIS2 von den bisherigen KRITIS-Regelungen unterscheidet, erklären die verlinkten Artikel im Detail.
Für Betreiber kritischer Anlagen ist der Nachweis keine Option, sondern gesetzliche Pflicht. §39 Abs. 1 BSIG regelt den Ablauf: "Betreiber kritischer Anlagen haben die Umsetzung der Maßnahmen [...] zu einem vom Bundesamt [...] festgelegten Zeitpunkt, frühestens drei Jahre nachdem sie erstmals [...] als ein Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre dem Bundesamt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen."
In der Praxis bedeutet das einen festen Zyklus mit vier Phasen:
Erstnachweis vorbereiten
Frühestens drei Jahre nach der erstmaligen Einstufung als KRITIS-Betreiber wird der erste Nachweis fällig. Den genauen Zeitpunkt legt das BSI im Benehmen mit dem BBK fest. Die Vorbereitungszeit sollte genutzt werden, um Dokumentation, Richtlinien und Prozesse auf Auditniveau zu bringen.
Audit durchführen
Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen. Eine ISO-27001-Zertifizierung kann als Basis dienen, deckt aber nicht alle NIS2-spezifischen Anforderungen ab. Zugelassene Prüfstellen oder das BSI selbst führen die Prüfung durch.
Ergebnisse an das BSI übermitteln
Die Audit-Ergebnisse einschließlich aufgedeckter Sicherheitsmängel werden an das BSI übermittelt. Das BSI kann zusätzlich die zugrundeliegende Dokumentation anfordern. Bei Mängeln verlangt das BSI einen Mängelbeseitigungsplan und kann Fristen für die Umsetzung setzen.
Folgenachweis alle drei Jahre
Der Zyklus wiederholt sich: Alle drei Jahre ist ein neuer Nachweis fällig. Unternehmen, die ihr ISMS kontinuierlich pflegen, reduzieren den Vorbereitungsaufwand für jeden Folgenachweis erheblich.
Wer den Nachweis nicht oder nicht rechtzeitig erbringt, handelt ordnungswidrig (§65 BSIG). Das BSI kann außerdem die zugrundeliegende Dokumentation anfordern. Werden Sicherheitsmängel festgestellt, verlangt das BSI einen Mängelbeseitigungsplan mit Fristen. Die Erfahrung aus der bisherigen KRITIS-Regulierung zeigt: Das BSI nutzt diese Befugnisse auch tatsächlich. Die persönliche Haftung der Geschäftsführung bei Verstößen regelt §38. Mehr dazu im Artikel NIS2-Haftung für Geschäftsführer.
"Viele Unternehmen suchen nach einer NIS2-Zertifizierung und stellen fest, dass es sie nicht gibt. Was es gibt, ist eine Nachweispflicht. Und die unterscheidet sich je nach Einrichtungstyp so stark, dass der gleiche Maßnahmenkatalog zu völlig unterschiedlichem Dokumentationsaufwand führt. Wer das früh versteht, plant realistischer."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
ISO 27001 ist kein NIS2-Nachweis. Aber sie ist das sinnvollste Fundament dafür. Die Überschneidung zwischen den Anforderungen aus §30 BSIG und den Controls der ISO 27001:2022 liegt bei rund 70 %. Das Risikomanagement, die Dokumentationspflichten, die Zugriffskontrollen, die Incident-Response-Prozesse: All das verlangt ISO 27001 ohnehin. Wer sich die zehn Maßnahmenbereiche aus §30 anschaut, wird feststellen, dass sie im Kern das Inhaltsverzeichnis eines ISMS beschreiben. Der Gesetzgeber hat sich bei der Formulierung bewusst an ISO 27001 orientiert.
Die verbleibenden 30 % sind NIS2-spezifisch und müssen zusätzlich abgedeckt werden. Konkret betrifft das vier Bereiche:
Meldepflicht (§32 BSIG): Die 24-Stunden-Frühwarnung, der 72-Stunden-Bericht und die Abschlussmeldung nach einem Monat gehen über ISO 27001 hinaus. Welche Meldepflichten bei Sicherheitsvorfällen im Detail gelten, erfahren Sie im verlinkten Artikel.
Lieferkettensicherheit (§30 Abs. 2 Nr. 4 BSIG): NIS2 fordert eine systematische Bewertung der Sicherheit in der Lieferkette, einschließlich der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern.
Geschäftsführer-Schulung (§38 Abs. 3 BSIG): Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen. Das ist eine persönliche Pflicht, die ISO 27001 nicht kennt.
Branchenspezifische Anforderungen: Bestimmte Sektoren unterliegen zusätzlichen Vorgaben. Energieversorger müssen §5c EnWG beachten, Telekommunikationsanbieter §165 TKG. Finanzunternehmen stehen vor der Frage, wie sich NIS2 und DORA zueinander verhalten. In vielen Fällen überlappen sich die Anforderungen, aber die Nachweismechanismen unterscheiden sich.
Ein vollständiges Mapping der ISO-27001-Controls auf die NIS2-Anforderungen finden Sie unter NIS2 und ISO 27001 im Vergleich. Für Unternehmen, die bereits ein ISMS betreiben, ist der Weg zum NIS2-Nachweis kurz. ISMS-Plattformen wie SECJUR Digital Compliance Office bilden sowohl die ISO-27001-Controls als auch die NIS2-spezifischen Anforderungen in einem System ab, sodass die Gap-Analyse zwischen bestehendem ISMS und NIS2-Anforderungen direkt auf der Plattform stattfinden kann.
Die Pflichten greifen ab dem 1. Oktober 2026. Bis dahin sind es noch rund sechs Monate. Wer jetzt beginnt, hat genug Vorlauf. Wer im Herbst startet, wird unter Zeitdruck arbeiten und dabei Fehler machen, die im Audit auffallen. Fünf Schritte bringen Unternehmen in eine Position, in der sie einer Prüfung gelassen entgegensehen können.
Betroffenheit klären
Das BSI stellt eine offizielle Betroffenheitsprüfung bereit. Dort lässt sich in wenigen Minuten ermitteln, ob das Unternehmen als besonders wichtige oder wichtige Einrichtung eingestuft wird.
Gap-Analyse durchführen
Die Anforderungen aus §30 BSIG gegen den Ist-Zustand abgleichen. Wer bereits ISO 27001 zertifiziert ist, startet mit einem Vorteil: Rund 70 % der Anforderungen sind abgedeckt. Die Gap-Analyse konzentriert sich dann auf die NIS2-spezifischen Bereiche.
Dokumentation aufbauen
Ohne Dokumentation kein Nachweis. Richtlinien, Risikobewertungen, Incident-Response-Pläne und Schulungsnachweise müssen nicht nur existieren, sondern jederzeit vorzeigbar sein. Mit einer Plattform wie SECJUR lässt sich die Dokumentation zentral aufbauen und auditfertig halten, statt vor jedem Nachweis erneut Unterlagen zusammenzusuchen.
Audit-Partner auswählen
KRITIS-Betreiber brauchen eine zugelassene Prüfstelle. Die Auswahl sollte frühzeitig erfolgen, da die Kapazitäten begrenzt sind. Für bwE und wE reicht es, die interne Dokumentation so aufzubereiten, dass sie einer BSI-Prüfung standhält.
Erstnachweis-Timeline planen
Nicht alles gleichzeitig aufbauen, sondern die Bereiche priorisieren, in denen die Gap-Analyse die größten Lücken gezeigt hat. Ein realistischer Zeitplan für die Umsetzung liegt bei 3 bis 6 Monaten, wenn die Grundlagen (ISMS, Dokumentation) bereits stehen. Wer ohne ISMS startet, sollte erfahrungsgemäß 6 bis 9 Monate einplanen. ISMS-Plattformen können die Vorbereitungszeit um bis zu 50 % verkürzen, weil Vorlagen, Mappings und Workflows bereits vorkonfiguriert sind.
Nein. Das NIS2UmsuCG sieht keine eigenständige NIS2-Zertifizierung vor. Angebote am Markt, die eine solche Zertifizierung versprechen, sind private Bescheinigungen ohne gesetzliche Grundlage. Was das Gesetz verlangt, sind Nachweise durch Audits, Prüfungen oder bestehende Zertifizierungen wie ISO 27001.
Für Betreiber kritischer Anlagen: das BSI selbst oder vom BSI zugelassene Prüfstellen. Für besonders wichtige Einrichtungen kann das BSI nach §61 BSIG Audits anordnen und durchführen. Wichtige Einrichtungen werden nur anlassbezogen geprüft (§62 BSIG), wenn Tatsachen die Annahme rechtfertigen, dass Pflichten nicht erfüllt werden.
Die Pflichten nach §30 BSIG gelten ab dem 1. Oktober 2026. Für KRITIS-Betreiber wird der erste Nachweis frühestens drei Jahre nach der erstmaligen Einstufung fällig. Den genauen Zeitpunkt legt das BSI fest. Besonders wichtige und wichtige Einrichtungen müssen nicht proaktiv nachweisen, sollten aber jederzeit auf eine BSI-Prüfung vorbereitet sein.
Nicht vollständig, aber sie ist das beste Fundament. ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Die verbleibenden Lücken (Meldepflicht, Lieferkettensicherheit, Geschäftsführer-Schulung) müssen zusätzlich geschlossen werden. ISMS-Plattformen wie SECJUR helfen dabei, beide Anforderungskataloge parallel zu verwalten.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Nein. Das NIS2UmsuCG sieht keine eigenständige NIS2-Zertifizierung vor. Was das Gesetz verlangt, sind Nachweise durch Audits, Prüfungen oder bestehende Zertifizierungen wie ISO 27001.
Für Betreiber kritischer Anlagen das BSI oder zugelassene Prüfstellen. Für besonders wichtige Einrichtungen kann das BSI Audits anordnen (§61 BSIG). Wichtige Einrichtungen werden nur bei konkretem Verdacht geprüft (§62 BSIG).
Die Pflichten nach §30 BSIG gelten ab dem 1. Oktober 2026. Für KRITIS-Betreiber wird der erste Nachweis frühestens drei Jahre nach Einstufung fällig. Den Zeitpunkt legt das BSI fest.
Nicht vollständig. ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Die Lücken bei Meldepflicht, Lieferkettensicherheit und Geschäftsführer-Schulung müssen zusätzlich geschlossen werden.
Welche Bußgelder drohen bei NIS2-Verstößen? Die 7 Bußgeldstufen nach §65 BSIG, BSI-Aufsichtsmaßnahmen und 3 realistische Szenarien im Überblick.
Viele Unternehmen investieren in Sicherheitstools – doch NIS2 macht klar: Einzelne Lösungen reichen nicht. Der Schlüssel liegt in der Integration. In diesem Leitfaden erfahren Sie, wie SIEM, IAM und Automatisierung zusammenspielen, um NIS2-Compliance effizient zu erreichen und Ihre Sicherheitsarchitektur nachhaltig zu stärken.
Viele Unternehmen kämpfen damit, ISO-27001-Aufbewahrungsfristen mit DSGVO und GoBD in Einklang zu bringen. Dieser Leitfaden zeigt, wie Sie widersprüchliche Anforderungen auflösen, ein rechtssicheres Löschkonzept entwickeln und Ihren Informationslebenszyklus so steuern, dass Audits problemlos bestehen. Lernen Sie praxisnah, wie Sie Ordnung ins Datenchaos bringen und Compliance in einen echten Effizienz- und Sicherheitsvorteil verwandeln.
.svg)
.svg)
.svg){kind=small}