Welche Maßnahmen schreibt §30 BSIG konkret vor?

§30 BSIG definiert zehn Kategorien: Risikoanalyse, Sicherheitskonzept, Incident-Management, Business Continuity, Lieferkettensicherheit, Beschaffung, Schwachstellenmanagement, Kryptographie, Zugangssicherung und Multi-Faktor-Authentifizierung. Die Maßnahmen müssen angemessen und verhältnismäßig sein — und regelmäßig auf Wirksamkeit geprüft werden.

Was bedeutet 'angemessen' bei NIS2-Maßnahmen?

Angemessen bedeutet: passend zur Größe, zum Risiko und zur Kritikalität des Unternehmens. Ein Mittelständler mit 60 Mitarbeitenden muss nicht dieselben technischen Tiefgang erreichen wie ein Betreiber kritischer Infrastruktur. Entscheidend ist, dass Maßnahmen bewusst ausgewählt, umgesetzt und überprüft werden.

Maßnahmen nach §30 BSIG —
was konkret umgesetzt sein muss

§30 BSIG · zehn Maßnahmenkategorien

Angemessen · verhältnismäßig · wirksam

Verbindung zu §38 BSIG · Leitungsverantwortung

Anforderung · §30 BSIG

Was §30 BSIG verlangt — und wo es bewusst vage bleibt

§30 BSIG nennt zehn Kategorien von Sicherheitsmaßnahmen. Darunter: Risikoanalyse, Incident-Management, Business Continuity, Lieferkettensicherheit, Zugangskontrollen, Kryptographie und Multi-Faktor-Authentifizierung. Das ist der Rahmen.

Was §30 BSIG nicht vorgibt, ist eine feste technische Tiefe. Die Anforderung lautet: Maßnahmen müssen zum Unternehmen passen — zur Größe, zum Risiko und zur Kritikalität der Dienste. Ein Unternehmen mit 60 Mitarbeitenden muss nicht dasselbe umsetzen wie ein Betreiber kritischer Energieinfrastruktur.

Was das praktisch bedeutet

Angemessen bedeutet nicht minimal. Es bedeutet bewusst ausgewählt. Wer begründen kann, warum eine Maßnahme für das eigene Unternehmen passt — oder warum eine andere nicht verhältnismäßig wäre — hat die richtige Haltung zu §30 BSIG.

Empfohlene Reihenfolge

Was zuerst — und was danach

Nicht alle zehn Kategorien sind gleichgewichtig. Für den Einstieg gibt es Maßnahmen, die den größten Schutz bei überschaubarem Aufwand bringen — und die im Prüffall zuerst nachgefragt werden.

Sofort

MFA · Multi-Faktor-Authentifizierung Zugang zu E-Mail, VPN und Administrationssystemen mit einem zweiten Faktor absichern. Das ist die Einzelmaßnahme mit dem höchsten Schutzeffekt — und wird in Prüfsituationen regelmäßig als erstes abgefragt. Dokumentation: wer nutzt MFA, seit wann, für welche Systeme.

Sofort

Backup · Datensicherung Regelmäßige Sicherung geschäftskritischer Daten — mit nachweisbarem Wiederherstellungstest. Ein Backup, das noch nie getestet wurde, ist kein belastbarer Nachweis. Dokumentation: Rhythmus, letzter Test, Ergebnis.

Aufbau

Zugangsrechte · Rollenkonzept Wer hat Zugriff auf was — und warum. Nicht jeder Mitarbeitende braucht Administratorrechte. Ein dokumentiertes Rechtekonzept ist Grundlage für Incident-Management und Lieferkettensicherheit.

Aufbau

Incident-Prozess · Meldepfad Wer entscheidet im Sicherheitsvorfall, ob gemeldet werden muss? Wer informiert die Geschäftsführung? Wer sendet die Meldung ans BSI? Das muss vorab geregelt und dokumentiert sein — nicht erst im Ernstfall. Verbindung zum Incident-Response-Plan.

Laufend

Wirksamkeitsprüfung · Review-Rhythmus NIS2 und BSIG erwarten, dass Maßnahmen regelmäßig überprüft werden müssen — die einmalige Nachweis-Erstellung reicht im Ereignisfall nicht mehr aus. Wesentlich ist der Nachweis, dass Review-Termine in angemessenen Intervallen von mindestens 3, 6 oder 12 Monaten geplant, durchgeführt und dokumentiert wurden. Verbindung zum Maßnahmenpaket.

Der feine Unterschied

"Vorhanden" bedeutet nicht automatisch auch "wirksam" nach §30.

Eine eingerichtete Maßnahme inklusive Risiko- und Asset-Bezug, klarer Zuordnung von Owner und Gesamtverantwortung, ist der Start. Entscheidend ist, ob die betriebliche Umsetzung gelingt — und ob das Unternehmen die Wirksamkeit im Ereignisfall auch belegen kann.

Vorhanden

MFA ist eingerichtet.
Backup läuft täglich.
Ein Dienstleister betreibt die IT.
Ein Vertrag liegt vor.

Wirksam

MFA wird überprüft — wer nutzt sie, wer nicht.
Backup wurde erfolgreich wiederhergestellt.
Der Dienstleister wird regelmäßig bewertet.
Der Vertrag wird auf Umsetzung geprüft.

Von der Anforderung zum Nachweis

Aktive NIS2-Umsetzung belegen können.

Das Ziel ist nicht Vollständigkeit auf dem Papier. Sondern nachvollziehbar zu zeigen, dass Maßnahmen bewusst ausgewählt, umgesetzt und überprüft werden.

Arbeitsvorlage · §30 BSIG

Maßnahmenstand strukturiert erfassen

Das Maßnahmenpaket zeigt den aktuellen Stand übersichtlich — mit Ampelstatus, Zuständigen und Prüfterminen. Grundlage für den internen Review und die Prüfervorbereitung.

OPS-01 Maßnahmenpaket ansehen → ← Zurück zur Übersicht

Noch keinen Überblick, welche Maßnahmen vorhanden sind? GAP-01 Gap-Übersicht als Einstieg →

Weiter im Pfad · §30 BSIG

DownloadOPS-01 Maßnahmenpaket DownloadGAP-01 Gap-Übersicht VerbindungMeldepflicht §32