Technischer Anwendungsbereich von NIS2 in Deutschland

Inhalt

NIS2-Richtlinie und geändertes BSI-Gesetz (BSIG) verpflichten Unternehmen zu erhöhter Cybersicherheit. Doch welche Systeme, Komponenten und Prozesse muss eine betroffene Einrichtung für ihre NIS2-Compliance überhaupt einbeziehen? Wir erklären den technischen Anwendungsbereich von NIS2 bzw. Art. 30 BSIG und zeigen, worauf Unternehmen bei der Abgrenzung achten sollten.

Was ist der technische Anwendungsbereich gemäß § 30 BSIG?

Kurz gesagt, erstreckt sich der technische Anwendungsbereich von § 30 BSIG auf alle Systeme, Komponenten und Prozesse, welche die betreffende Einrichtung zur Erbringung ihrer Dienste nutzt und welche technische Mittel zur Verarbeitung von Informationen darstellen.

Um das verständlich zu machen, betrachten wir alle Komponenten dieser Definition einzeln:

Es benötigt

  1. ein System, eine Komponente oder einen Prozess,
  2. die Informationen
  3. technisch verarbeiten und
  4. die von der Einrichtung genutzt werden, um ihre Dienste zu erbringen.

(1) a) Informationstechnische Systeme

Ein informationstechnisches System (IT-System) ist eine funktionale Gesamtheit aus technischen und softwarebasierten Teilen, die zusammen Daten erfassen, verarbeiten, speichern oder übertragen. Beispiele dafür sind:

  • ERP-System (z. B. zur Warenwirtschaft und Buchhaltung)
  • Webanwendung mit Server, Datenbank und Benutzeroberfläche
  • E-Mail-System (Mailserver + Clients + Spamfilter)
  • Industrie-/IoT-System (Sensoren + Gateway + Cloud-Plattform)

(1) b) Informationstechnische Komponenten

Eine Komponente ist ein einzelnes Bauteil (Hardware, Software oder logisches Modul), das Teil eines Systems ist und eine spezifische Funktion übernimmt. Komponenten-Arten (mit Beispielen):

  • Hardware-Komponenten: Server, Laptop, Smartphone, Router, Firewall, Sensor
  • Software-Komponenten: Betriebssystem, Datenbank, Webserver, App, Treiber
  • Logische/technische Module: Authentifizierung (Login), Verschlüsselung, Logging, Backup-Service, API-Gateway
  • Schnittstellen/Kommunikation: REST-API, Message Queue, VPN, TLS

(1) c) Informationstechnische Prozesse

Ein informationstechnischer Prozess ist ein Ablauf/Workflow, bei dem IT eingesetzt wird, um Daten entlang definierter Schritte zu bearbeiten. Das kann vollautomatisch oder teilautomatisch sein. Typische Schritte in IT-Prozessen sind:

  • Daten erfassen (Formular, Sensor, Import)
  • Daten validieren (Plausibilitätsprüfung)
  • Daten verarbeiten (Berechnung, Klassifikation, Zuordnung)
  • Daten speichern (Datenbank, Dateiablage)
  • Daten übertragen (API, E-Mail, Schnittstelle)
  • Daten archivieren/löschen (Aufbewahrung, Retention)

Beispiele:

  • Kunde registriert sich → E-Mail-Verifikation → Konto wird angelegt → Begrüßungsmailwird versendet
  • Logdaten sammeln → korrelieren → Alarm auslösen → Ticket erstellen

(2) Informationen

Beispiele von Informationen, welche von informationstechnischen Systemen, Komponenten und Prozessen verarbeitet werden können:

  • Textdaten: E-Mails, Dokumente (z. B. Verträge, Berichte), Chat-Nachrichten, Websiteinhalte
  • Zahlen-/Strukturdaten: Tabellen (Excel), Datenbankeinträge (Kundenstammdaten), Buchungs- und Sensordaten
  • Netzwerkdaten: IP-Adressen, Paket-/Verkehrsdaten, Verbindungsmetadaten
  • Identitäts- und Zugangsdaten: Benutzerkonten, Rollen/Rechte, Passworthashes, Tokens/Zertifikate
  • Transaktionsdaten: Bestellungen, Zahlungen, Rechnungen, Warenkörbe
  • Kommunikations- und Metadaten: Absender/Empfänger, Zeitstempel, Betreffzeilen, Geräteinfos
  • Geräte-/IoT-Daten: Temperatur, Luftfeuchte, Stromverbrauch, Telemetrie von Maschinen/Fahrzeugen
  • Geheimnisse und Schlüsselmaterial: API-Keys, kryptografische Schlüssel
  • Personenbezogene Daten (als wichtige Untergruppe): Name, Adresse, Kontaktdaten, Kundennummer, Online-Kennungen
  • Besondere Kategorien personenbezogener Daten: Gesundheitsdaten, biometrische Daten, politische Meinung etc.

Wichtig: Es ist nicht relevant welche Art von Informationen verarbeitet werden, sondern nur ob.

(3) Technisch verarbeiten

Technisch verarbeitet bedeutet, dass Informationen mithilfe von Informationstechnischen Systemen, Komponenten und Prozesse als digitale Daten behandelt und in einem automatisierten, regelbasierten Ablauf bearbeitet werden. Typische Merkmale technischer Verarbeitung sind:

  • Automatisierung: Die Verarbeitung geschieht ohne manuelle Einzelfallbearbeitung durch Menschen, sondern durch festgelegte Funktionen/Algorithmen.
  • Digitalität: Die Informationen liegen digital vor (oder werden durch Digitalisierung wie Scan/OCR erst digitalisiert).
  • Reproduzierbarkeit: Gleiche Eingaben führen nach denselben Regeln zu gleichen/vergleichbaren Ergebnissen.
  • IT-gestützte Schritte: z. B. Erfassen, Speichern, Auslesen, Ändern, Übermitteln, Löschen, Analysieren.

Technische Verarbeitung ist also die Bearbeitung von Daten durch IT-Systeme, gesteuert durch Software. Dabei kann ein Programm die automatische Verarbeitung digitaler Daten durchführen, indem es Daten z. B. einliest, validiert, sortiert, berechnet, mit anderen Datensätzen abgleicht, speichert oder weiterleitet.

(4) Nutzung zur Diensterbringung

Unter „Dienste“ versteht das BSIG die Leistungen/Services, die die Einrichtung nach außen erbringt (Geschäfts-/Auftragszweck), für deren Erbringung sie informationstechnische Systeme, -Komponenten und -Prozesse einsetzt. Wegen der Bedeutung dieser Dienste fallen die Einrichtungen in den Anwendungsbereich der BSIG, sei es als kritische, besonders wichtige oder wichtige Einrichtung.

Wichtig: Maßgeblich ist nicht jede Informationsverarbeitung, sondern, ob die jeweiligen IT-Systeme/Prozesse/Komponenten für die Leistungserbringung genutzt werden. Insofern ist der Scope regelmäßig weit, aber funktional begrenzt.

Gelten NIS2 bzw. BSIG auch für Operational Technology (OT)?

Industrielle Steuerungssysteme – etwa SCADA-Systeme, speicherprogrammierbare Steuerungen (SPS) oder Prozessleitsysteme – fallen grundsätzlich ebenfalls unter den Begriff des Netz- und Informationssystems, sofern sie Daten automatisch verarbeiten und in den Betrieb einer wichtigen oder besonders wichtigen Einrichtung eingebunden sind. Für Sektoren wie Energie, Wasser oder Verkehr ist dieser Punkt besonders relevant, da dort die IT und die Operational Technology (OT) zunehmend konvergieren.

Das Bundesamt für Sicherheit in der Informationstechnik  (BSI) konkretisiert auf seiner Website, dass mit dem technischen Anwendungsbereich alle Systeme, Komponenten und Prozesse gemeint sind, die Einrichtungen für die Erbringung ihrer Dienste nutzen. Also sowohl klassische IT-Systeme als auch OT-Systeme, d.h. industrielle Steuerungs- und Automatisierungssysteme sowie Systeme der Gebäudeautomation.

Gerade in der OT-Umgebung ist die Abgrenzungsfrage komplex: Einfache, nicht programmierbare Feldgeräte (z. B. rein mechanische Sensoren ohne digitale Datenverarbeitung) dürften nicht erfasst sein. Sobald ein Gerät jedoch Daten digital verarbeitet und in ein Netzwerk eingebunden ist – auch wenn es primär physische Prozesse steuert –, ist eine Einbeziehung in den Anwendungsbereich gut vertretbar.

Hinweis: Die Anforderung gemäß BSIG verlangt zudem IT-Sicherheitsmaßnahmen über den gesamten Lebenszyklus von Systemen, Komponenten und Prozessen (Einkauf/Erwerb, Entwicklung, Betrieb/Wartung). Daher müssen Einrichtungen zusätzlich zu den in diesem Artikel beschriebenen Anforderungen auch die weiteren Anforderungen aus § 30 BISG zwingend berücksichtigen und umsetzen, z. B. Lieferkettensicherheit oder Asset Management.

Was gilt für Cloud-Dienste und externe Dienstleister?

Cloud-Infrastrukturen, die eine betroffene Einrichtung nutzt, gehören ebenfalls zu den Netz- und Informationssystemen, auf deren Sicherheit sie achten muss. Das schließt auch solche Systeme ein, die durch Dritte – etwa Managed-Service-Provider – betrieben oder aktiv verwaltet werden. Dabei verbleibt die regulatorische Verantwortung bei der betroffenen Einrichtung selbst; sie muss vertraglich und technisch sicherstellen, dass auch in ausgelagerten Umgebungen die NIS2-Anforderungen eingehalten werden.

Achtung: In Unternehmen, die stark auf Cloud- oder Managed Services setzen, zeigt sich regelmäßig, dass die Verträge mit Dienstleistern die NIS2-Anforderungen (z. B. Meldepflichten, Sicherheitsstandards) nicht ausreichend abbilden. Eine Überprüfung und ggf. Anpassung bestehender Verträge ist daher dringend empfehlenswert.

Wie lässt sich der technische Anwendungsbereich von NIS2 in der Praxis greifen?

Für die Praxis ist damit klar: Sie müssen die NIS2-Risikomanagement-Maßnahmen nicht nur für zentrale Server oder einzelne Netzsegmente umsetzen, sondern für die Gesamtheit der dienstrelevanten Technik und Abläufe. Die Abgrenzung des technischen Anwendungsbereiches orientiert sich an der Frage, welche Systeme und Prozesse für die Erbringung Ihrer Dienste tatsächlich erforderlich sind.

Für die Praxis lassen sich aus den folgenden Leitlinien ableiten:

  • Kernsysteme sind eindeutig vom technischen Anwendungsbereich erfasst: Server, Netzwerkkomponenten, Betriebssysteme und eingebettete Steuerungssysteme fallen unstreitig unter die Definition. Sie müssen zwingend in die NIS2-Compliance einbezogen werden.
  • Anwendungssoftware: Ob auch Applikationen (z. B. ERP, CRM, SCADA-Oberflächen) direkt unter den Begriff fallen, ist rechtlich noch nicht abschließend geklärt. Aus Vorsichtsgründen empfiehlt es sich, auch kritische Anwendungen in das Informationssicherheits-Managementsystem (ISMS) zu integrieren.
  • Daten als eigene Komponente: Die Definition im BSIG schließt ausdrücklich digitale Daten ein. Das unterstreicht, dass Datensicherheit integraler Bestandteil der NIS2-Compliance ist.

Hinweis: Viele Unternehmen stellen bei der initialen NIS2-Gap-Analyse fest, dass ihr IT-Asset-Inventar unvollständig ist. Ein strukturiertes Asset-Management ist daher häufig der erste notwendige Schritt – bevor überhaupt bewertet werden kann, welche Systeme vom technischen Anwendungsbereich der NIS2 erfasst sind.

Tipp: Lesen Sie auch, wie Sie Ihr bestehendes ISMS für NIS2-Compliance erweitern.

Fazit: Lieber zu weit denken als zu eng

Der technische Anwendungsbereich von § 30 BSIG ist bewusst weit gefasst und umfasst sämtliche Hardware, Systemsoftware und die darüber verarbeiteten digitalen Daten, die zur Erbringung der Dienste nötig sind. Unternehmen, die ihre NIS2-Compliance voranbringen wollen, sollten daher mit einem vollständigen Asset-Inventar beginnen, OT-Systeme nicht vergessen und Verträge mit externen Dienstleistern kritisch prüfen.

Wer den technischen Anwendungsbereich zu eng zieht, riskiert nicht nur Lücken im Sicherheitskonzept, sondern auch aufsichtsrechtliche Konsequenzen wie NIS2-Bußgelder und Haftung der Geschäftsführung.

Compliance mit der NIS2-Richtlinie

Erfüllen Sie die Vorgaben der NIS2-Richtlinie und des BSIG. So schützen Sie Ihr Unternehmen wirksam vor Angriffen und bewahren Ihre Werte.
Jetzt beraten lassen

Weiterlesen

  • Informationssicherheit, NIS2-Richtlinie

NIS2-Schulungen für Mitarbeiter

Wie und wozu Sie Ihre Beschäftigten unter NIS2-Richtlinie und BSIG schulen müssen, inklusive praktischer Tipps für die Umsetzung.
  • Informationssicherheit, NIS2-Richtlinie

Wie lässt sich NIS2-Compliance nachweisen?

So erbringen Sie den Nachweis über NIS2-konforme Cybersicherheit Ihres Unternehmens: Was das BSI wissen will und wie Ihnen bestehende Zertifizierungen dabei helfen.
  • Informationssicherheit, NIS2-Richtlinie

Incident-Response-Framework nach NIS2

Wie Sie unter NIS2 systematisch und effektiv auf Sicherheitsvorfälle reagieren, so Ihre Compliance wahren und Ihr Unternehmen schützen.
  • Informationssicherheit, Künstliche Intelligenz

KI-basierte Cyberattacken abwehren

Warum klassische Awareness-Maßnahmen nicht mehr ausreichen und wie Sie Ihre Mitarbeiter besser auf Angriffe durch künstliche Intelligenz vorbereiten.
  • Informationssicherheit, NIS2-Richtlinie

Internes Audit für NIS2 durchführen

Ziele, Durchführung, Inhalte und Fortschreibung von internen Audits auf dem Weg zur NIS2-Compliance – die ultimative Anleitung.
  • Informationssicherheit, NIS2-Richtlinie

Was kostet NIS2-Compliance?

Mit welchen Investitionen Sie kalkulieren müssen, wie Sie Ausgaben für NIS2 priorisieren und warum sich das ganze am Ende doch rechnet.

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Mit Klick auf den Button willigen Sie ein, dass wir Sie unter der angegebenen E-Mail-Adresse zu NIS2 informieren. Sie können Ihre Einwilligung jederzeit für die Zukunft über den Link am Ende jeder Nachricht widerrufen. Wir verarbeiten Ihre personenbezogenen Daten gemäß unserer Datenschutzhinweise.

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.