Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Öffentliche VerwaltungNIS2 BehördenCybersecurity Verwaltung

NIS2 für die Öffentliche Verwaltung: Neue Pflichten 2026

Was NIS2 für Behörden und öffentliche Einrichtungen bedeutet: Bund, Länder, Kommunen, Pflichten und Schulungsanforderungen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202613 Min. Lesezeit

NIS2 für die Öffentliche Verwaltung: Was sich ändert

Letzte Aktualisierung: 23. März 2026

Einrichtungen der öffentlichen Verwaltung auf Bundesebene sind in Deutschland seit dem 6. Dezember 2025 ausdrücklich vom BSIG 2025 erfasst; für Länder und Kommunen hängt die NIS2-Relevanz zusätzlich von der jeweiligen staatlichen Einbeziehung, von landesrechtlichen Vorgaben und von Sonderrollen wie KRITIS oder kommunalen IT-Dienstleistungen ab. Für Behörden bedeutet das praktisch: Die Frage lautet nicht mehr nur, ob eine Verwaltung klassisch KRITIS ist, sondern ob sie als Einrichtung der öffentlichen Verwaltung, als Betreiber kritischer Anlagen oder über ausgelagerte IT-Funktionen in das neue Cybersicherheitsregime fällt.

NIS2 ist für die öffentliche Verwaltung keine bloße Verlängerung bestehender IT-Sicherheitsregeln. Die Richtlinie (EU) 2022/2555 verschiebt den Fokus auf dokumentierte Risikomanagementmaßnahmen nach Art. 21, auf engere Meldepflichten nach Art. 23 und auf eine stärkere Verantwortung der Leitungsebene. In Deutschland setzt das BSIG 2025 diese Logik für die Bundesverwaltung ausdrücklich um und schafft zugleich die Rechtsgrundlage dafür, dass Länder ihre Aufsicht über Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene organisieren. Wer die operative Umsetzung vorbereiten will, sollte parallel die NIS2 Online-Schulung, den Leitfaden zur NIS2-Vorfallmeldung und die Einordnung zu NIS2 vs. KRITIS heranziehen.

Die zentrale Änderung für die Verwaltung ist damit eine saubere Trennung der Regelungsebenen. Die NIS2-Richtlinie erfasst nach Art. 2 Abs. 2 lit. f zwingend Teile der öffentlichen Verwaltung auf zentralstaatlicher Ebene; nach Art. 2 Abs. 5 können Mitgliedstaaten den Scope zusätzlich auf regionale oder lokale Ebene ausdehnen. Deutschland hat im BSIG 2025 vor allem die Bundesverwaltung ausdrücklich geregelt. Für Länder und Kommunen entsteht deshalb ein differenziertes Bild, das stark von Zuständigkeitsverteilungen, der Rolle kommunaler IT-Dienstleister und ergänzenden Landesvorgaben abhängt.

Welche Behörden und Einrichtungen betroffen sind

Betroffen sind in Deutschland zunächst eindeutig die Einrichtungen der Bundesverwaltung, weil § 29 BSIG 2025 diese Kategorie ausdrücklich definiert und § 43 sowie § 44 daran konkrete Pflichten zu Informationssicherheitsmanagement, Schulung und Mindestanforderungen knüpfen. Dazu gehören nicht nur klassische Bundesministerien, sondern auch nachgeordnete Behörden, bundesunmittelbare Körperschaften und bestimmte IT-Dienstleister des Bundes, soweit sie unter die gesetzliche Definition fallen.

Landesbehörden sind nicht automatisch in exakt derselben Weise erfasst wie Bundesbehörden, aber sie liegen im NIS2-Radar. Das zeigt schon § 35 Abs. 2 BSIG 2025, der die Zusammenarbeit mit den Länderbehörden anspricht, die von den Ländern als zuständige Behörden für Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene nach Art. 2 Abs. 2 lit. f Ziff. ii NIS2 bestimmt wurden. Praktisch bedeutet das: Jedes Land muss klären, welche Landesstellen als regulierte Verwaltungseinheiten behandelt werden, welche Aufsicht zuständig ist und wie sich diese Pflichten mit Landes-CERTs, Landesdatenschutz und landesspezifischen Sicherheitsarchitekturen verzahnen.

Kommunen sind der schwierigste Bereich, weil hier zwei Aussagen zugleich richtig sind. Erstens sind Kommunen nicht pauschal und bundesweit in derselben Weise wie Bundesbehörden als Verwaltungseinheiten im BSIG 2025 durchreguliert. Zweitens können kommunale Strukturen sehr wohl NIS2-relevant sein, wenn sie kritische Dienstleistungen erbringen, kommunale Rechenzentren betreiben, als Eigenbetriebe digitale Infrastruktur bereitstellen oder als Betreiber kritischer Anlagen auftreten. Gerade kommunale IT-Dienstleister werden deshalb oft früher im Scope landen als das einzelne Rathaus.

Für die Praxis empfiehlt sich eine Einteilung in vier Gruppen:

  1. Bundesbehörden und Bundes-IT-Dienstleister: regelmäßig unmittelbar im nationalen Regime adressiert.
  2. Landesbehörden und landesnahe IT-Einheiten: abhängig von landesrechtlicher Einbeziehung und Aufsicht.
  3. Kommunalverwaltungen: nicht pauschal erfasst, aber häufig mittelbar oder funktional betroffen.
  4. Kommunale Unternehmen und Rechenzentren: oft die eigentlichen NIS2-Kandidaten, wenn sie kritische oder digitale Dienste betreiben.

Diese Differenzierung ist wichtig, weil sie Budget, Zuständigkeit und Nachweislogik verändert. Eine Bundesbehörde muss direkt prüfen, wie sie § 43 und § 44 BSIG 2025 erfüllt. Eine Kommune muss häufig zuerst klären, ob sie selbst im Scope ist oder ob der Handlungsdruck vor allem über ihr Rechenzentrum, ihren IT-Zweckverband oder ihre Rolle als KRITIS-Betreiber entsteht. Wer das branchenspezifisch vertiefen möchte, findet ergänzende Beispiele in NIS2 vs. KRITIS, in der Maßnahme Cyberhygiene-Schulungen unter NIS2 und im Glossar zur Meldepflicht.

Bund vs. Länder vs. Kommunen: Unterschiedliche Regelungen

Bund, Länder und Kommunen unterliegen unter NIS2 nicht automatisch derselben Logik. Genau diese föderale Differenzierung ist für die öffentliche Verwaltung der wichtigste Unterschied zu vielen privatwirtschaftlichen Sektoren, in denen die Frage nach Branche und Unternehmensgröße oft schneller beantwortet werden kann.

Für den Bund ist die Lage am klarsten. Das BSIG 2025 enthält mit §§ 29, 43, 44 und 45 einen eigenen Pflichtenrahmen für Einrichtungen der Bundesverwaltung. Die Leitung ist verantwortlich für das Informationssicherheitsmanagement, muss regelmäßig an Schulungen teilnehmen, muss die Einrichtung registrieren und hat Mindestanforderungen insbesondere nach BSI-Standards und IT-Grundschutz einzuhalten. Für Bundesstellen ist NIS2 daher keine abstrakte EU-Debatte mehr, sondern ein belastbarer nationaler Pflichtenrahmen seit dem 6. Dezember 2025.

Für die Länder ist die Lage rechtlich offener, aber organisatorisch nicht weniger dringlich. Die NIS2-Richtlinie erlaubt und strukturiert die Einbeziehung von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene. Das BSIG 2025 geht davon aus, dass Länder hierfür zuständige Behörden bestimmen. Landesregierungen und Landes-CIO-Strukturen müssen deshalb entscheiden, welche Behörden konkret erfasst werden, wie Aufsicht und Meldewege organisiert werden und welche landeseigenen Sicherheitsstandards neben dem BSI-Grundschutz gelten sollen.

Für die Kommunen ist die Lage am stärksten von Einzelfällen geprägt. Der IT-Planungsrat hat in der Debatte um die nationale Umsetzung empfohlen, die NIS2-Richtlinie nicht pauschal auf lokaler kommunaler Ebene auszurollen. Das nimmt kleinen und mittleren Kommunen aber nicht den Handlungsdruck, weil Bürgerdaten, Verwaltungsclouds, Fachverfahren, Outsourcing und kommunale Zweckverbände reale Angriffsflächen schaffen. Spätestens wenn ein kommunaler IT-Dienstleister zentrale Fachverfahren für mehrere Städte oder Kreise betreibt, wird die Frage nach NIS2 praktisch und nicht nur akademisch.

Die Unterschiede lassen sich in einer Übersicht verdichten:

EbeneRegulatorischer AusgangspunktPraktische Folge
Bund§§ 29, 43, 44, 45 BSIG 2025Klare Pflichten zu Informationssicherheitsmanagement, Schulung, Registrierung und Mindeststandards
LänderArt. 2 Abs. 2 lit. f und Abs. 5 NIS2, nationale und landesrechtliche KonkretisierungLand muss Scope, Aufsicht und Meldewege selbst organisatorisch zuschneiden
KommunenKeine pauschale bundesweite Vollerfassung als VerwaltungseinheitPrüfung über Landesrecht, kommunale IT-Dienstleister, KRITIS und ausgelagerte digitale Dienste

IT-Sicherheitsgesetz 2.0 und NIS2: Abgrenzung

Das IT-Sicherheitsgesetz 2.0 und NIS2 sind nicht identisch, auch wenn beide im Ergebnis auf dasselbe Feld einzahlen: mehr Cybersicherheitsverantwortung für Staat und Betreiber kritischer Dienste. Das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 hat vor allem das damalige BSI-Gesetz verschärft, die Stellung des BSI gestärkt und zusätzliche Anforderungen für KRITIS und Unternehmen im besonderen öffentlichen Interesse geschaffen. NIS2 geht weiter, weil die Richtlinie den persönlichen Anwendungsbereich verbreitert, die Governance der Leitungsebene stärker betont und ein unionsweit harmonisiertes Melderegime vorgibt.

Für Behörden ist die Abgrenzung praktisch wichtig, weil sie die Frage beantwortet, ob bestehende IT-Sicherheitsprogramme ausreichen. Die ehrliche Antwort lautet meistens: nein. Ein reines KRITIS- oder IT-SiG-2.0-Denken greift zu kurz, wenn die Organisation jetzt zusätzlich 24-Stunden-Erstmeldungen, dokumentierte Lieferkettenrisiken, regelmäßige Leitungsschulungen und ein formalisiertes Risikomanagement nach der NIS2-Logik abbilden muss.

Die Unterschiede zeigen sich besonders deutlich in vier Punkten:

  1. Scope: IT-SiG 2.0 fokussierte stärker auf bestehende Kategorien wie KRITIS oder Unternehmen im besonderen öffentlichen Interesse; NIS2 weitet den Blick auf mehr Sektoren und öffentliche Stellen.
  2. Governance: NIS2 und das BSIG 2025 adressieren die Leitungsebene ausdrücklich, etwa in § 38 Abs. 3 und § 43 Abs. 2.
  3. Meldelogik: NIS2 verlangt die gestufte Vorfallmeldung binnen 24 Stunden, 72 Stunden und einem Monat; diese Taktung ist strenger und strukturierter als viele bisher gelebte Prozesse.
  4. Lieferkette und Schulung: Art. 21 NIS2 nennt ausdrücklich Basishygiene, Cybersicherheitsschulungen und Sicherheitsaspekte in der Lieferkette.

Deshalb sollte die öffentliche Verwaltung nicht fragen, ob sie zwischen IT-SiG 2.0 und NIS2 wählen kann. Die richtige Frage ist, wie bestehende Sicherheitsstrukturen so erweitert werden, dass sowohl Bundespflichten, föderale Aufsicht als auch moderne Angriffsrealitäten abgedeckt werden. Für die Umsetzung ist meist ein Programm sinnvoll, das IT-Grundschutz, Incident Response, Lieferantensteuerung und Leitungsschulung gemeinsam weiterentwickelt.

Meldepflichten für die Verwaltung

Für betroffene Behörden und öffentlichen Einrichtungen gilt im Kern dieselbe NIS2-Meldelogik wie für andere regulierte Einrichtungen: § 32 BSIG 2025 verlangt eine frühe Erstmeldung unverzüglich, spätestens binnen 24 Stunden nach Kenntniserlangung, eine Vorfallmeldung binnen 72 Stunden und später einen Abschlussbericht. Für die Verwaltung ist der operative Unterschied jedoch größer als in vielen Unternehmen, weil Fachverfahren, Meldeketten, Pressestellen, Datenschutzaufsicht und föderale Zuständigkeiten enger abgestimmt werden müssen.

Die Meldelogik lässt sich in drei Pflichten zusammenfassen:

MeldestufeFristRechtsgrundlageInhalt
Frühe Erstmeldung24 Stunden§ 32 Abs. 1 Nr. 1 BSIG 2025, Art. 23 NIS2Erste Einordnung, Verdacht auf böswillige Handlung, mögliche grenzüberschreitende Wirkung
Vorfallmeldung72 Stunden§ 32 Abs. 1 Nr. 2 BSIG 2025, Art. 23 NIS2Bestätigung oder Aktualisierung, erste Bewertung von Schweregrad und Auswirkungen, Kompromittierungsindikatoren
Abschlussberichtgrundsätzlich 1 Monat§ 32 BSIG 2025, Art. 23 NIS2Ursache, tatsächliche Auswirkungen, Maßnahmen und Lessons Learned

Für Deutschland ist zusätzlich der Meldekanal wichtig. Das BSI weist darauf hin, dass seit dem 6. Dezember 2025 Registrierung und Meldung grundsätzlich über das BSI-Portal unter portal.bsi.bund.de erfolgen. KRITIS-Betreiber und Bundesbehörden konnten ihre etablierten Prozesse über MIP2 übergangsweise weiter nutzen, mindestens bis zum 31. Juli 2026 und voraussichtlich bis zum 31. Dezember 2026. Behörden sollten deshalb nicht nur die Fristen kennen, sondern auch technisch und organisatorisch klären, welcher Kanal für sie aktuell verbindlich ist.

Die öffentliche Verwaltung sollte Meldepflichten nicht isoliert als Security-Thema betrachten. Ein erheblicher Vorfall in einer Behörde berührt regelmäßig auch Fachaufsicht, Presse, Vergabe, Aktenführung und Datenschutz. Wenn etwa personenbezogene Daten betroffen sind, läuft neben NIS2 oft auch die Meldepflicht nach der DSGVO. Genau deshalb braucht die Verwaltung einen Vorfallprozess, der Rechtsprüfung, Technik, Krisenkommunikation und Führungskräfteentscheidungen innerhalb weniger Stunden zusammenführt.

Schulungspflichten für Behördenmitarbeiter

Schulung ist unter NIS2 kein freiwilliges Awareness-Zusatzprogramm, sondern Teil des Risikomanagements. Art. 21 Abs. 2 lit. g NIS2 nennt ausdrücklich Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen sowie grundlegende Cyberhygiene und Cybersicherheitsschulungen. Für Behörden heißt das: Beschäftigte in relevanten Rollen müssen nicht nur Regeln kennen, sondern Vorfälle erkennen, Meldeketten auslösen, Lieferantenrisiken einschätzen und Schutzmaßnahmen im Alltag umsetzen können.

Für die Leitungsebene wird die Pflicht noch konkreter. § 38 Abs. 3 BSIG 2025 verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen zu regelmäßigen Schulungen. § 43 Abs. 2 BSIG 2025 verlangt dasselbe für die Leitung von Einrichtungen der Bundesverwaltung. Damit ist die Grundsatzfrage beantwortet: Führungskräfte in betroffenen Behörden können Cybersicherheitsverantwortung nicht wirksam delegieren, ohne selbst regelmäßig geschult zu werden.

In der Praxis sollte die Verwaltung vier Zielgruppen unterscheiden:

  1. Leitung und Dezernatsebene: Verantwortung, Haftung, Freigaben, Krisenentscheidungen.
  2. IT und Informationssicherheit: technische Schutzmaßnahmen, Monitoring, Meldefähigkeit, IT-Grundschutz.
  3. Fachämter und Sachbearbeitung: sichere Nutzung von Fachverfahren, Erkennung von Auffälligkeiten, Eskalation.
  4. Beschaffung und Dienstleistersteuerung: Sicherheitsanforderungen in Vergaben, Verträgen und Betriebsmodellen.

Schulungspflichten sind dabei eng mit dem BSI-Grundschutz verzahnt. Gerade in Kommunalverwaltungen liefert das IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung eine brauchbare Mindestlinie, um organisatorische Standards, Rollen und Sensibilisierungsmaßnahmen aufzubauen. NIS2 erhöht den Druck, diese Maßnahmen nicht nur zu planen, sondern gegenüber Aufsicht und interner Revision nachweisbar zu leben.

Pflicht-Tabelle: Branchenspezifisch vs. allgemeine NIS2

Die öffentliche Verwaltung muss nicht nur allgemeine NIS2-Pflichten erfüllen, sondern ihr bestehendes Behördenumfeld mitdenken. Dazu gehören BSI-Grundschutz, IT-Planungsrat, Verwaltungscloud-Initiativen, Fachverfahren und der Schutz besonders sensibler Bürgerdaten.

AspektAllgemeine NIS2Spezifisch Öffentliche Verwaltung
RegulierungNIS2-Richtlinie und nationale UmsetzungBSI-Grundschutz, BSIG 2025, föderale Zuständigkeiten, IT-Planungsrat
FokusPrivatwirtschaftliche Dienste und UnternehmensgovernanceFachverfahren, Bürgerdienste, Verwaltungscloud, Akten- und Registerprozesse
Besonderheiten24h-, 72h- und 1-Monats-MeldelogikZusätzliche Abstimmung mit Fachaufsicht, Datenschutz, Pressestelle und Landesstrukturen
SchutzobjekteVerfügbarkeit, Integrität, Authentizität und Vertraulichkeit von DienstenBürgerdaten, Register, kommunale Rechenzentren, OZG-nahe Prozesse und Verwaltungsportale
SchulungCyberhygiene und rollenbezogene Security-SchulungLeitungsschulung, Fachamt-Schulung, Vergabe- und Dienstleisterkompetenz

Handlungsempfehlung mit Zeitplan

Behörden und kommunale IT-Einheiten sollten 2026 als Umsetzungsjahr für drei parallele Aufgaben nutzen: Scope klären, Meldefähigkeit herstellen und Schulungen dokumentieren. Die größte Schwäche in der Praxis ist meist nicht fehlende Technik, sondern unklare Verantwortung zwischen Verwaltung, ausgelagertem IT-Dienstleister und Leitungsebene.

Ein realistischer Fahrplan sieht so aus:

  1. Innerhalb von 30 Tagen: Prüfen Sie, ob Ihre Organisation als Bundesbehörde, Landesbehörde, kommunaler IT-Dienstleister, KRITIS-Betreiber oder wichtige Einrichtung betroffen ist.
  2. Innerhalb von 60 Tagen: Legen Sie Meldewege, Vertretungen und die Schnittstelle zum BSI-Portal fest; prüfen Sie parallel DSGVO- und Krisenkommunikationsprozesse.
  3. Innerhalb von 90 Tagen: Aktualisieren Sie IT-Grundschutz, Lieferantenanforderungen und Dienstleisterverträge; dokumentieren Sie Schwachstellen in Fachverfahren und Verwaltungsportalen.
  4. Bis Jahresende 2026: Führen Sie rollenbezogene Schulungen für Leitung, IT, Fachbereiche und Vergabe durch und halten Sie Nachweise zentral vor.

Wer diese vier Schritte umsetzt, reduziert nicht nur regulatorisches Risiko, sondern auch die Wahrscheinlichkeit realer Betriebsunterbrechungen. Gerade die Kombination aus Ransomware, kompromittierten Dienstleistern und überlasteten Fachverfahren zeigt, dass Verwaltungsresilienz heute nicht erst bei KRITIS beginnt. Wenn Sie dafür eine strukturierte Grundlage brauchen, ist die NIS2 Online-Schulung der schnellste Einstieg; für die Kombination aus Organisationspflichten und Training hilft außerdem der Beitrag Cybersecurity-Schulung als Pflicht.

FAQ: NIS2 Öffentliche Verwaltung

Fallen Kommunen unter NIS2?

Nicht pauschal. Die NIS2-Richtlinie erfasst die zentrale staatliche Verwaltung zwingend und erlaubt Mitgliedstaaten zusätzlich, regionale und lokale Verwaltungseinheiten einzubeziehen. In Deutschland sind Bundesbehörden im BSIG 2025 ausdrücklich geregelt; bei Kommunen kommt es häufig auf Landesrecht, kommunale IT-Dienstleister, KRITIS-Rollen oder sonstige NIS2-relevante Tätigkeiten an.

Was bedeutet NIS2 für Landesbehörden?

Landesbehörden müssen vor allem prüfen, ob ihr Land sie als Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene in die nationale Aufsicht einbezogen hat. Praktisch relevant sind dann dieselben Themen wie bei anderen NIS2-Betroffenen: Risikomanagement, Meldefähigkeit, dokumentierte Verantwortlichkeiten, Lieferkettensteuerung und Schulungen.

Wie ergänzt NIS2 den BSI-Grundschutz für Behörden?

NIS2 ersetzt den BSI-Grundschutz nicht, sondern erhöht den regulatorischen Druck auf dessen organisatorische Umsetzung. Der Grundschutz liefert für Behörden und Kommunalverwaltungen die technische und organisatorische Baseline, während NIS2 beziehungsweise das BSIG 2025 zusätzliche Anforderungen an Governance, Meldung, Aufsicht und Leitungspflichten konkretisiert.

Müssen kommunale IT-Dienstleister NIS2 umsetzen?

Sehr oft ja, jedenfalls deutlich häufiger als die Kernverwaltung selbst. Kommunale Rechenzentren, Shared-Service-Einheiten, kommunale Eigenbetriebe oder IT-Dienstleister können als digitale Dienstleister, als Betreiber kritischer Anlagen oder als wichtige beziehungsweise besonders wichtige Einrichtungen in den NIS2-Scope fallen, auch wenn die einzelne Kommune nicht pauschal erfasst ist.

Welche Meldepflichten gelten für die öffentliche Verwaltung?

Für betroffene Einrichtungen gilt die dreistufige NIS2-Meldelogik: frühe Erstmeldung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden und Abschlussbericht grundsätzlich binnen eines Monats. In Deutschland erfolgt die Registrierung und Meldung grundsätzlich über das BSI-Portal; KRITIS-Betreiber und Bundesbehörden konnten übergangsweise weiterhin MIP2 nutzen.

Müssen Behördenmitarbeiter nach NIS2 geschult werden?

Ja, jedenfalls in den für Informationssicherheit relevanten Rollen. Art. 21 Abs. 2 lit. g NIS2 nennt Basishygiene und Cybersicherheitsschulungen ausdrücklich als Teil der Risikomanagementmaßnahmen. Für Geschäftsleitungen und für die Leitung von Einrichtungen der Bundesverwaltung verlangt das BSIG 2025 darüber hinaus regelmäßige Schulungen ausdrücklich in § 38 Abs. 3 und § 43 Abs. 2.

Die praktische Konsequenz ist eindeutig: Öffentliche Stellen sollten NIS2 nicht als reines IT-Projekt behandeln, sondern als Governance-, Melde- und Schulungsprogramm für Verwaltung, IT und Leitung zugleich. Wenn Sie den Umsetzungsstand Ihrer Organisation beschleunigen möchten, starten Sie mit der NIS2 Online-Schulung oder nutzen Sie die Beratung zur Priorisierung von Scope, Meldepflichten und Schulungsnachweisen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →