Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für öffentliche Verwaltung und Kommunen

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu öffentliche Verwaltung und Kommunen.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Ihr Rathaus läuft nicht auf Hochglanz-IT. Es läuft auf Legacy-Altlasten, Fachverfahren, Excel-Listen, ausgelasteten Admins und politischen Haushaltszyklen. Genau dort schlägt Ransomware zu.

Städte und Gemeinden stehen unter Druck. Bürgerdienste. Meldewesen. Standesamt. Bauamt. Kasse. Alles digital abhängig. Fällt die IT, steht die Verwaltung. Öffentlich. Sichtbar. Teuer.

Die bittere Wahrheit: NIS2 wird nicht warten, bis Ihre Kommune Personal, Geld und Zeit hat. Sie brauchen keinen Enterprise-Apparat. Sie brauchen einen belastbaren, priorisierten Umsetzungsplan.

NIS2 in der kommunalen Verwaltung: Anforderungen und Einordnung

NIS2 verschiebt IT-Sicherheit aus der Technik-Ecke in die Leitungsebene. Es geht nicht mehr nur um Firewalls, Virenscanner und Backups. Es geht um Risikomanagement, Nachweisfähigkeit, Meldewege, Verantwortlichkeiten und organisatorische Mindeststandards.

Für Kommunen ist die Lage besonders unangenehm:

  • Die konkrete Betroffenheit hängt von Bundesrecht, Landesrecht, kommunalen Eigenbetrieben und ausgelagerten IT-Dienstleistungen ab.
  • Kommunale Versorger, Rechenzentren, kritische Fachverfahren oder Zweckverbände können schneller in den Anwendungsbereich fallen, als es politisch eingeplant wurde.
  • Auch wenn einzelne Rathäuser nicht unmittelbar wie ein KRITIS-Betreiber behandelt werden, bleibt die faktische Pflicht: angemessene IT-Sicherheit muss organisiert und dokumentiert sein.

Das BSI macht deutlich, dass Leitung und Verantwortung differenziert betrachtet werden. Wörtlich heißt es: „Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach § 29 BSIG gelten nicht als Geschäftsleitung... Für Einrichtungen der Bundesverwaltung gilt § 43 Absatz 2 BSIG.

Was heißt das praktisch?

Nicht jede öffentliche Stelle wird wie ein klassisches Unternehmen behandelt. Aber das ist kein Freifahrtschein. Im Gegenteil. Die Verwaltung muss sauber klären:

  • Wer ist intern verantwortlich?
  • Welche Systeme sind kritisch für die Aufgabenerfüllung?
  • Welche Dienstleister haben Zugriff?
  • Welche Risiken sind akzeptiert, reduziert oder offen?
  • Welche Maßnahmen sind dokumentiert?
  • Wer meldet einen Sicherheitsvorfall?
  • Wer entscheidet bei IT-Notbetrieb?

Ohne diese Antworten bleibt die Planung auf dem Papier und bietet im Ernstfall keine belastbare Grundlage.

Warum Enterprise-Lösungen in Kommunen oft nicht passen

Die meisten NIS2-Angebote sind für Konzerne gebaut. Nicht für Kommunen.

Sie bekommen dann:

  • 90-seitige ISO-Templates
  • abstrakte Risikomatrizen
  • Beraterworkshops ohne Umsetzung
  • Tool-Demos statt belastbarer Maßnahmen
  • Empfehlungen für Budgets, die im Rathaus niemand freigibt

Das löst Ihr Problem nicht.

Eine Kommune hat andere Realitäten:

  • Ressourcenmangel in der IT
  • starre Haushaltsplanung
  • Ausschreibungszwänge
  • politische Gremien
  • abhängigkeitskritische Fachverfahren
  • externe IT-Dienstleister mit unklaren Verantwortlichkeiten
  • veraltete Server, Netzwerke und Clients
  • kaum Zeit für Vollzeit-Compliance-Projekte

Die Konkurrenz verschweigt genau diesen Punkt: NIS2 scheitert in Kommunen nicht an fehlender Erkenntnis. NIS2 scheitert an fehlender Priorisierung und fehlender Finanzierbarkeit.

Eine neue Firewall ist keine NIS2-Umsetzung. Ein ISO-Handbuch ist keine Cyber-Resilienz. Ein einmaliger Penetrationstest ist kein Sicherheitsmanagement.

Was Sie brauchen, ist ein kostenbewusster Fahrplan:

  • Risiken reduzieren, bevor sie politisch eskalieren
  • Pflichtdokumentation aufbauen, ohne Verwaltungsmonster
  • Fördermöglichkeiten prüfen, etwa go-digital-nahe Beratungs- und Digitalisierungsprogramme, Landesförderungen oder kommunale IT-Förderlinien
  • Maßnahmen so priorisieren, dass sie haushaltsfähig werden
  • Dienstleisterverträge nachschärfen
  • Notbetrieb planen, bevor der Ernstfall kommt

Nicht perfekt. Belastbar.

Nicht maximal. Finanzierbar.

Nicht theoretisch. Umsetzbar.

Prüfpunkte und erste Schritte für Kommunen

  1. Kritische Verwaltungsprozesse in 48 Stunden kartieren: Listen Sie nicht „die IT“ auf. Listen Sie die Prozesse auf, deren Ausfall politisch und operativ nicht tragbar ist: Bürgerbüro, Meldewesen, Kasse, Sozialleistungen, Standesamt, Ratsarbeit, Bauverfahren, E-Mail, Telefonie, Dokumentenmanagement. Ordnen Sie jedem Prozess die Fachanwendung, den Server, den Dienstleister und den Datenbestand zu. Ergebnis: Ihre erste NIS2-taugliche Kritikalitätsmatrix.

  2. Dienstleister und Altlasten sofort rechtlich einfangen: Prüfen Sie alle Verträge mit kommunalen Rechenzentren, MSPs, Softwarehäusern und Hosting-Anbietern. Entscheidend sind Meldefristen, Protokollierung, Backup-Verantwortung, Patch-Verantwortung, Wiederanlaufzeiten, Zugriffskontrollen und Subunternehmer. Wenn diese Punkte fehlen, haben Sie ein Haftungs- und Betriebsrisiko. Nicht irgendwann. Jetzt.

  3. Budgetfähige Sofortmaßnahmen statt Wunscharchitektur beschließen: Starten Sie mit Maßnahmen, die nachweisbar Risiko senken und politisch begründbar sind: Offline-/Immutable-Backups, MFA für Admin- und Remote-Zugänge, Notfallhandbuch, Wiederanlaufplan, Admin-Konten-Trennung, Patch-Priorisierung, Basis-Schulung für Phishing, Protokollierung kritischer Systeme. Parallel prüfen Sie Förderprogramme und bilden Maßnahmenpakete für den nächsten Haushalt. Keine Mega-Roadmap. Ein belastbarer 90-Tage-Plan.

Checkliste: NIS2 für öffentliche Verwaltung und Kommunen

Die Checkliste gibt einen strukturierten Überblick, welche Prüfpunkte für Kommunen und öffentliche Einrichtungen im NIS2-Kontext besonders relevant sind – von der Kritikalitätsmatrix über Dienstleisterverträge bis zur budgetfähigen Maßnahmenpriorisierung. Sie dient der internen Orientierung und ersetzt keine rechtliche, behördliche oder landesspezifische Fachberatung.

Verwandte Seiten

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

NIS2 für E-Commerce und Handel

Orientierung für Online-Händler und E-Commerce-Betreiber zu NIS2-Anforderungen, Kundendatenschutz und sicherer Zahlungsabwicklung.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.