NIS2 für die öffentliche Verwaltung
Die Bundesverwaltung fällt größenunabhängig unter §29 BSIG. Kommunen sind vom NIS2-Bundesgesetz ausgenommen — doch Landesgesetze und sektorale Betroffenheit kommunaler Eigenbetriebe schließen die Lücke zunehmend.
NIS2 in der öffentlichen Verwaltung — ein Sonderfall
Die öffentliche Verwaltung ist im NIS2UmsuCG separat in §29 BSIG geregelt — nicht über die allgemeine bwE/wE-Systematik des §28. Nur die Bundesverwaltung fällt direkt unter das Gesetz. Kommunen und Länder müssen eigene Regelungen schaffen.
Bundesverwaltung: §29 BSIG
Einrichtungen der Bundesverwaltung — Bundesbehörden, bundeseigene Körperschaften und IT-Dienstleister im Mehrheitseigentum des Bundes — fallen größenunabhängig unter das NIS2UmsuCG. Sie werden wie besonders wichtige Einrichtungen behandelt.
Die Kommunen-Lücke
Kommunen und Landesverwaltungen sind vom NIS2UmsuCG explizit ausgenommen. Trotzdem waren bereits über 27 Kommunen von Ransomware betroffen, ca. 6 Mio. Bürger erlitten Einschränkungen. Landesgesetze wie das SächsISichG schließen diese Lücke zunehmend.
Kommunale Eigenbetriebe
Stadtwerke, Wasserwerke und Abfallbetriebe in kommunaler Trägerschaft können über den sektoralen Weg unter NIS2 fallen — nicht als Verwaltung, sondern als Energie-, Wasser- oder Abfallunternehmen, sofern sie die Größenschwellen überschreiten.
Föderale IT-Struktur
Bund, 16 Länder und tausende Kommunen mit jeweils eigenständiger IT-Infrastruktur — unterschiedliche Systeme, Standards und Reifegrade. Das BSI bietet mit dem „Weg in die Basis-Absicherung" (WiBA) freiwillige Unterstützung für Kommunen.
Was die Verwaltung wissen muss
Die Bundesverwaltung wird wie besonders wichtige Einrichtungen behandelt. Wichtig: §38 (Geschäftsführerhaftung) und §65 (Bußgelder) gelten nicht für Bundeseinrichtungen.
Art. 21 — Relevante Maßnahmen für die öffentliche Verwaltung
Alle 10 Maßnahmenbereiche des Art. 21 sind für die öffentliche Verwaltung relevant. Diese 6 haben besondere Bedeutung — 3 davon prüft Wolf-Agents automatisiert.
| Art. 21 | Maßnahme | Verwaltungs-Relevanz | Status |
|---|---|---|---|
| (a) | Risikoanalyse | IT-Sicherheitskonzept nach BSI-Grundschutz, Risikoanalyse für Fachverfahren und Bürgerportale | Fragebogen |
| (e) | Sichere Systeme | Bürgerportale, OZG-Dienste, Intranet-Anwendungen — Security Headers und SSL/TLS-Konfiguration | Automatisiert |
| (f) | Wirksamkeitsprüfung | Kontinuierliches Monitoring aller öffentlich erreichbaren Systeme, Score-Trends | Automatisiert |
| (g) | Cyberhygiene | Security-Awareness-Schulungen für Sachbearbeiter, Phishing-Erkennung, sichere Passwort-Praktiken | Fragebogen |
| (h) | Kryptografie | TLS auf allen Bürgerportalen, DANE für behördliche E-Mail, Verschlüsselung sensibler Bürgerdaten | Automatisiert |
| (j) | Multi-Faktor-Auth | MFA für Verwaltungsportale, Fachverfahren und Remote-Zugriff auf kommunale Systeme | Fragebogen |
Prüfen → Überwachen → Dokumentieren
NIS2-Compliance für die öffentliche Verwaltung: Automatische Prüfung Ihrer Bürgerportale, E-Mail-Infrastruktur und OZG-Dienste — kontinuierlich überwacht.
Prüfen
Web Security Scanner prüft Bürgerportale, OZG-Dienste und Intranet-Anwendungen auf Security Headers, SSL/TLS und bekannte Schwachstellen.
Überwachen
Automatisches Monitoring alle 6 Stunden: Score-Verschlechterung, DNS-Änderungen, Blacklist-Listings und Zertifikatsablauf — sofortige Alerts.
Dokumentieren
Score-History, Maßnahmen-Log und NIS2-Compliance-Report — nachweisbar für BSI-Prüfungen, Rechnungshöfe und die Behördenleitung.
Ist Ihre Einrichtung vorbereitet?
Prüfen Sie, ob Ihre Einrichtung unter §29 BSIG, sektorale Regelungen oder Landesgesetze fällt — und wie Ihre technische Aufstellung aussieht.