Mitteilung

Neue BSI-Hinweise für Kommunen und kommunale Eigenbetriebe zu NIS-2

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Informationen zur Umsetzung der NIS-2-Richtlinie für Länder und Kommunen veröffentlicht. Anlass ist die Unsicherheit über die Betroffenheit kommunaler Eigenbetriebe, die als rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft geführt werden. Diese führte zu der Folgefrage, ob dadurch mittelbar Kommunalverwaltungen in Gänze betroffen sein können.

25. März 2026  
Teilen
XING
LinkedIn
Mailen
Link kopieren

Ziel der NIS-2-Richtlinie ist es, ein höheres und einheitlicheres Cybersicherheitsniveau in allen EU-Mitgliedstaaten sicherzustellen. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ ist am 6. Dezember 2025 in Deutschland in Kraft getreten. Im Beschluss 2023/39 des IT-Planungsrats aus dem Jahr 2023 wurde entschieden, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene zu erstrecken, keinen Gebrauch zu machen. Für Betreiber kritischer Anlagen und wichtige Einrichtungen (wE) bzw. besonders wichtige Einrichtungen (bwE), wozu auch Unternehmen im Bereich der Abwasserent- bzw. Trinkwasserversorgung gehören können, gelten die bundesrechtlichen Vorgaben des BSI-Gesetzes aufgrund der wirtschaftlichen Betätigung.

Während die kommunale Kernverwaltung damit nur durch ein – in NRW nicht vorhandenes – Landesgesetz zur Einhaltung der Vorgaben verpflichtet werden könnte, sind rechtlich selbstständige Kommunalbetriebe ab Erreichen der relevanten Schwellenwerte bereits unmittelbar vom BSIG erfasst. Unklar war jedoch, ob rechtlich unselbstständige Regiebetriebe wie die erste oder die zweite Fallgruppe zu behandeln sind. Vorsorglich hatte der StGB NRW seine Mitgliedsstädte und -gemeinden mit Schnellbrief 068/2026 vom 02.03.2026 über die wahrscheinliche Anwendbarkeit des BSIG auch in diesen Fällen informiert.

Das BSI führt in seiner ergänzten FAQ nunmehr aus:

„Kommunale Eigenbetriebe sowie rechtlich unselbstständige Regiebetriebe unterliegen grundsätzlich der Rechts- und Fachaufsicht der Gemeindevertretung beziehungsweise der zuständigen Verwaltungsgremien der Rechtsträger und fallen damit zunächst aus dem Anwendungsbereich des NIS-2-Umsetzungsgesetzes heraus. […] Wenn jedoch kommunale Eigenbetriebe oder Regiebetriebe Betreiber kritischer Anlagen sind oder sie die Schwellenwerte für wichtige Einrichtungen (wE) bzw. besonders wichtige Einrichtungen (bwE) überschreiten, handelt es sich bei diesen, ungeachtet ihrer Einbindung in die kommunale Struktur, gleichzeitig um Einheiten, die in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes bzw. des BSIG und damit unter die Aufsicht des BSI fallen.“

Diese Überlegung warf außerdem die Frage auf, ob die Betroffenheit kommunaler Eigenbetriebe sich auch auf die kommunalen Verwaltungen auswirken könnte. Hierzu macht das BSI deutlich, dass sich eine Ausweitung der NIS-2-Regelungen auf die gesamte Kommunalverwaltung nicht allein aus der Betroffenheit einzelner Betriebe ergeben kann. Vielmehr ist die lokale Verwaltungsebene durch den IT-Planungsrat ausdrücklich von der Anwendung ausgenommen.

Anmerkung des StGB NRW

Die neuen Hinweise des BSI unterstützen die Einschätzung des DStGB und des StGB NRW, dass die Kommunalverwaltungen grundsätzlich nicht vom NIS-2-Anwendungsbereich erfasst sind. Dies hilft Kommunen mit Eigenbetrieben, deren Betrieb (nicht: die Kommune als Ganzes) den Schwellenwert für eine wE oder bwE erreicht, jedoch nur bedingt weiter, wenn kein von der sonstigen Verwaltung getrenntes IT-System besteht. Zweifelsohne ist der Schutz der kommunalen IT-Systeme und der Infrastrukturen vor Cyberangriffen und Bedrohungen von hoher Relevanz. Nicht nur die kritischen Infrastrukturen, sondern auch die Kernverwaltungen sind von besonderer Bedeutung und müssen bestmöglich vor Cyberangriffen geschützt werden. Die gesetzliche Verpflichtung verbessert das Schutzniveau aber noch nicht, sondern verlagert lediglich Verantwortung. Kernproblem ist die fehlende Finanzierung der kommunalen Ebene in diesem Bereich. Notwendig wäre eine mit allen Ebenen abgestimmte föderale Cybersicherheitsarchitektur unter Einbeziehung der kommunalen Ebene, die aus Mitteln des Bundes finanziert werden sollte. Durch die Änderungen der Schuldenbremse stehen Finanzmittel ausdrücklich auch für den Bereich der Cybersicherheit zur Verfügung, die genutzt werden sollten.

Weiterführende Informationen

•NIS-2-Hinweise des BSI für die Landes und Kommunalverwaltung: https://www.bsi.bund.de/DE/Themen/Oeff ... _node.html
•Betroffenheitsprüfung: https://www.bsi.bund.de/DE/Themen/Regul ... _node.html
•Grundlagen zur NIS-2-Richtlinie: https://www.bsi.bund.de/DE/Das-BSI/Auft ... _node.html
•BSI-Portal zur Registrierung bei Betroffenheit: https://portal.bsi.bund.de/