NIS2 für KRITIS-Betreiber: Personelle Sicherheit nach Art. 21 Abs. 2 — Deep Dive
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Betreiber kritischer und wichtiger Infrastrukturen erstmals europaweit zu einem umfassenden Cybersicherheits-Risikomanagement, das explizit auch die personelle Sicherheit umfasst. Während der allgemeine Überblick zur Mitarbeiter-Hintergrundprüfung nach NIS2 bereits an anderer Stelle behandelt wurde, widmet sich dieser Deep Dive den sektor-spezifischen Anforderungen an KRITIS-Betreiber sowie der konkreten Ausgestaltung von Art. 21 Abs. 2 lit. i (Sicherheit des Personals) und lit. d (Supply-Chain-Security). Für Geschäftsleitungen ist dabei eine Entwicklung zentral: Die persönliche Haftung nach § 30 NIS2UmsuCG geht weiter als bei allen bisherigen IT-Sicherheitsgesetzen.
Wesentliche versus wichtige Einrichtungen: Die neue KRITIS-Systematik
NIS2 unterscheidet erstmals trennscharf zwischen wesentlichen Einrichtungen (Annex I) und wichtigen Einrichtungen (Annex II). Diese Kategorisierung determiniert nicht nur den Pflichtenumfang, sondern auch Aufsichtsintensität, Bußgeldhöhe und die Frequenz externer Audits.
Kriterium | Wesentliche Einrichtungen (Annex I) | Wichtige Einrichtungen (Annex II) |
|---|---|---|
Sektoren | Energie, Transport, Banken, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Management B2B, Öffentliche Verwaltung, Weltraum | Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Hersteller kritischer Produkte, Digitale Anbieter, Forschung |
Schwellwerte | Ab 250 Mitarbeitern oder 50 Mio. EUR Umsatz | Ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz |
Aufsicht | Proaktiv, regelmäßige Audits | Reaktiv (ex post nach Vorfällen) |
Bußgeldrahmen | Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes | Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes |
Für Unternehmen in der Grauzone gilt: Die Einstufung erfolgt durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) bzw. die zuständige Sektor-Aufsicht. Eine Fehl-Selbsteinstufung wird nicht als Entschuldigung akzeptiert — die Pflicht zur korrekten Zuordnung obliegt der Geschäftsleitung. Wer die eigene Kategorisierung heute noch nicht geprüft hat, handelt fahrlässig.
Sektor-Specifics: Was Background Checks konkret bedeuten
Die personelle Sicherheit nach NIS2 ist kein monolithischer Standard. Je nach Sektor variieren die Anforderungen erheblich — sowohl hinsichtlich der zu prüfenden Mitarbeitergruppen als auch bezüglich Prüftiefe und Wiederholungsintervallen.
Energie (Strom, Gas, Öl, Fernwärme)
Netzbetreiber und Erzeuger unterliegen zusätzlich dem Energiewirtschaftsgesetz (EnWG) und dem IT-Sicherheitskatalog der Bundesnetzagentur. Bei Mitarbeitern mit Zugang zu Leitsystemen (SCADA, ICS) ist eine erweiterte Zuverlässigkeitsprüfung erforderlich, die neben der Identitätsverifikation insbesondere Strafregisterauszüge, Sanktionslistenabgleiche (EU, UN, OFAC) und — je nach Position — auch Wirtschaftsauskünfte umfasst. Für Leitstellenpersonal in Übertragungsnetzen wird de facto ein Niveau analog zur Sicherheitsüberprüfung nach SÜG verlangt.
Transport (Schiene, Luft, Wasser, Straße)
Flughafenbetreiber und Luftsicherheitsunternehmen prüfen bereits heute nach § 7 LuftSiG; NIS2 ergänzt dies um den IT-Bereich. Bei Bahn- und Hafenbetreibern mit vernetzter Steuerungstechnik reichen Selbstauskünfte nicht mehr aus. Konkret: Jeder Mitarbeiter eines Containerterminals mit Zugang zu TOS-Systemen (Terminal Operating Systems) fällt unter die Prüfpflicht.
Gesundheit (Kliniken, Labore, Arzneimittelhersteller)
Der Gesundheitssektor ist besonders sensibel, da die Prüfung von Mitarbeitern mit Patientendatenzugang mit Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) in Einklang zu bringen ist. Hier gilt das Prinzip: Je höher die Datenzugriffsberechtigung (z. B. Administratoren der KIS/PACS-Systeme), desto intensiver die Prüftiefe. Für Labore mit meldepflichtigen Krankheitserregern ist zusätzlich das Biostoffverordnungs-Regime zu beachten.
Finanz (Banken, Zahlungsdienstleister, Marktinfrastruktur)
Hier greifen DORA, MaRisk AT 5 und § 25c KWG parallel zu NIS2. Der faktisch höchste Standard gilt — was bedeutet: lückenlose Erstprüfung bei Einstellung, Wiederholung alle drei Jahre, erweiterte Prüfung für Schlüsselfunktionen. NIS2 fügt dem hinzu, dass auch IT-Spezialisten ohne klassische Bank-Kernfunktion, aber mit Zugang zu Kern-Banksystemen, einbezogen werden müssen.
Digitale Infrastruktur (DNS, IXP, Rechenzentren, Cloud)
Rechenzentren und Cloud-Anbieter müssen sämtliche Mitarbeiter mit physischem oder logischem Zugang zu Kundendaten prüfen. Für DNS-Provider und IXPs (Internet Exchange Points) gilt eine besondere Sorgfaltspflicht, da diese zentrale Vertrauensanker des Internets darstellen. Das BSI erwartet hier Prüfprozesse, die den Standards von Tier-III/Tier-IV-Rechenzentren entsprechen.
Trinkwasser und Abwasser
Oft unterschätzt: Wasserversorger und Abwasserentsorger betreiben hochgradig vernetzte OT-Systeme. Mitarbeiter mit Zugriff auf Pumpwerk-Steuerungen, Chlorierungsanlagen oder Leitzentralen fallen unter die erweiterte Prüfpflicht. Die Trinkwasserverordnung verlangt ohnehin bestimmte Qualifikations- und Zuverlässigkeitsnachweise — NIS2 ergänzt dies um den Cyber-Aspekt.
Art. 21 Abs. 2 lit. i: „Sicherheit des Personals" im Klartext
Der Wortlaut der Richtlinie ist bewusst offen: Betreiber müssen Maßnahmen zur „Sicherheit des Personals, Konzepte zur Zugriffskontrolle und Management von Anlagen" ergreifen. Die Konkretisierung erfolgt durch den NIS2 Durchführungsrechtsakt (DRA) 2024/2690 der Kommission vom 17. Oktober 2024 sowie durch nationale Umsetzungsakte.
Konkret verlangt die Norm:
Background Screening vor Einstellung: Identitätsverifikation, Strafregisterauszug (nicht älter als 3 Monate), Sanktionslistenabgleich, Verifizierung beruflicher Qualifikationen. Bei Schlüsselpositionen zusätzlich Bonitätsprüfung.
Need-to-Know-Prinzip: Zugriffsrechte sind auf das fachlich erforderliche Minimum zu beschränken. Die Prüfung muss dieser Zugriffshöhe entsprechen.
Kontinuierliche Überwachung: Re-Screening bei Rollenwechsel, bei signifikanten Lebensereignissen (Insolvenz, Strafverfahren) und in festen Intervallen (typischerweise 2–3 Jahre).
Off-Boarding-Disziplin: Bei Austritt oder Rollenänderung unverzügliche Deaktivierung aller Zugänge, Dokumentation der Rückgabe von Hardware und Credentials.
Awareness-Training: Regelmäßige Schulungen zu Social Engineering, Insider Threats und Meldewegen.
Die datenschutzrechtliche Grundlage ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der NIS2-Umsetzung — es handelt sich also nicht um eine freiwillige Maßnahme, sondern um eine rechtliche Verpflichtung.
Art. 21 Abs. 2 lit. d: Supply-Chain-Security einschließlich externer Dienstleister
Die vielleicht größte Neuerung von NIS2 liegt in der expliziten Einbeziehung der Lieferkette. Art. 21 Abs. 2 lit. d fordert Maßnahmen zur „Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte bezüglich der Beziehungen zu direkten Anbietern und Dienstleistern". Für die personelle Sicherheit bedeutet das: Wer als KRITIS-Betreiber externen Dienstleistern Zugang zu Systemen gewährt — sei es für Wartung, Consulting, Cloud-Hosting oder Outsourcing — muss sicherstellen, dass auch deren Mitarbeiter einem äquivalenten Prüfstandard unterliegen.
Praktisch umzusetzen ist das durch:
Vertragsklauseln im Rahmen von Art. 28 DSGVO-Auftragsverarbeitungsverträgen: Verpflichtung des Dienstleisters zum Screening seiner Mitarbeiter nach definiertem Standard.
Nachweispflicht: Vorlage anonymisierter Prüfprotokolle oder Auditberichte eines unabhängigen Dritten.
Audit-Rechte: Jährliche Vor-Ort- oder Remote-Audits beim Dienstleister.
Sub-Auftragsverarbeitung: Die Verpflichtungen gelten durchgängig bis zum letzten Sub-Dienstleister.
In der Praxis scheitern viele Unternehmen an diesem Punkt — nicht, weil die eigene Organisation unzureichend ist, sondern weil bei Bestandsdienstleistern die Nachprüfung personeller Sicherheit historisch vernachlässigt wurde.
Geschäftsleitungs-Haftung nach § 30 NIS2UmsuCG
Das deutsche Umsetzungsgesetz (NIS2UmsuCG) geht in einem Punkt sogar über die Richtlinie hinaus: § 30 etabliert eine persönliche Haftung der Geschäftsleitungsmitglieder. Diese Haftung greift, wenn die Geschäftsleitung die ihr obliegenden Überwachungs- und Genehmigungspflichten verletzt hat. Wichtig: Die Haftung ist nicht auf D&O-Versicherungen abwälzbar, soweit vorsätzliches oder grob fahrlässiges Handeln vorliegt — und sie kann rückwirkend greifen, sobald ein Vorfall aufgedeckt wird.
Konkret bedeutet das für Vorstände und Geschäftsführer:
Genehmigungspflicht: Risikomanagement-Maßnahmen müssen formal genehmigt werden. Ein Beschluss „zur Kenntnis genommen" genügt nicht.
Überwachungspflicht: Die Umsetzung ist kontinuierlich zu überwachen; regelmäßige Berichte des CISO/Information Security Officer sind einzufordern.
Schulungspflicht: Geschäftsleitungsmitglieder müssen selbst an Cybersicherheits-Schulungen teilnehmen — das BSI hat dazu Mindestanforderungen veröffentlicht.
Der Pflichtenkreis ist nicht delegierbar. Wer diese Aufgabe an den CISO „delegiert", bleibt haftbar, wenn er die Überwachung nicht nachweislich vollzogen hat.
Registrierung und Meldepflichten
Bis zum 17. Januar 2025 hätten sich KRITIS-Betreiber formal bei der zuständigen nationalen Behörde registrieren müssen — in Deutschland beim BSI über das Melde- und Informationsportal. Die Frist ist inzwischen verstrichen, doch eine Nachregistrierung ist nach wie vor erforderlich. Registrieren müssen Unternehmen sich in jedem Mitgliedstaat, in dem sie wesentliche Dienste erbringen.
Die Meldepflichten bei Sicherheitsvorfällen sind europaweit einheitlich gestaffelt:
Frist | Inhalt |
|---|---|
24 Stunden | Frühwarnung („Early Warning"): Grob-Beschreibung, Verdacht auf böswillige Handlung, grenzüberschreitende Auswirkungen |
72 Stunden | Meldung („Incident Notification"): Erste Beurteilung, Schweregrad, IOCs |
1 Monat | Abschlussbericht: Detaillierte Beschreibung, Ursachenanalyse, ergriffene Gegenmaßnahmen |
Die Meldungen erfolgen in DE über das BSI-Portal, in AT über das GovCERT.at-Portal. Wer diese Fristen verpasst, riskiert nicht nur Bußgelder, sondern auch den Verlust der Haftungsprivilegierung gegenüber geschädigten Dritten.
Schnittstellen zu KRITIS-Dachgesetz und CER-Richtlinie
NIS2 steht nicht isoliert. In Deutschland ergänzt das KRITIS-Dachgesetz (in Umsetzung der CER-Richtlinie 2022/2557) die physischen Resilienz-Anforderungen. Während NIS2 den Cyber-Raum adressiert, regelt das KRITIS-Dachgesetz die physische Sicherheit — beide Regime überschneiden sich bei der personellen Sicherheit vollständig. Ein einheitliches Background-Screening-Programm deckt in der Regel beide ab. Unternehmen, die für beide Regime qualifizieren, müssen beide Registrierungen durchlaufen und beide Aufsichtsregime bedienen.
Was gilt in der Schweiz, Österreich und EU-weit?
Schweiz
Die Schweiz hat NIS2 nicht übernommen, da sie nicht EU-Mitglied ist. Stattdessen greifen das Informationssicherheitsgesetz (ISG) vom 18. Dezember 2020 sowie das Regime des NCSC (Nationales Zentrum für Cybersicherheit, seit 2024 ausgegliedert in ein eigenes Bundesamt). Seit dem 1. April 2024 gilt eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Die inhaltlichen Anforderungen entsprechen weitgehend NIS2 — personelle Sicherheit ist integraler Bestandteil des ISG-Regimes. Für Schweizer Unternehmen mit EU-Niederlassungen gilt: Die NIS2-Pflichten greifen für die jeweilige EU-Einheit direkt. Umgekehrt müssen EU-Unternehmen mit Schweizer Töchtern die Schweizer Standards erfüllen.
Österreich
Österreich hat NIS2 durch das NIS-Gesetz 2024 (NIS-G 2024) umgesetzt, in Kraft getreten am 1. März 2025. Zuständige Behörde ist das Innenministerium mit dem BMI-CERT; die Meldeplattform ist GovCERT.at. Die Bußgeldhöhen entsprechen der Richtlinie; personelle Sicherheit wird analog zur deutschen Umsetzung behandelt. Österreich hat zusätzlich strengere Vorgaben für den öffentlichen Sektor gesetzt.
EU-weit
Bis zum 17. Oktober 2024 mussten alle 27 EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen. Der faktische Umsetzungsstand variiert — einige Staaten sind verspätet. Für paneuropäische Konzerne gilt: Die Pflichten bestehen in jedem Mitgliedstaat, in dem das Unternehmen eine Niederlassung betreibt oder wesentliche Dienste erbringt. Eine zentrale Steuerung über die Konzernmutter ist möglich, entbindet aber nicht von der lokalen Registrierungs- und Meldepflicht.
90-Tage-Programm für neu eingeordnete wesentliche Einrichtungen
Für Unternehmen, die erstmals als wesentliche Einrichtung eingestuft werden, empfiehlt sich ein strukturiertes 90-Tage-Programm.
Tage 1–30: Assessment und Governance
Formale Einstufung bestätigen lassen (BSI-Dialog, externe Rechtsprüfung).
Geschäftsleitungs-Beschluss zu Verantwortlichkeiten und Budget.
Gap-Analyse: Ist-Zustand vs. NIS2-Anforderungen nach Art. 21.
Personal-Mapping: Welche Mitarbeiter haben welche Zugriffshöhen?
Registrierung beim BSI (falls noch nicht erfolgt).
Tage 31–60: Implementierung der Kernprozesse
Background-Screening-Prozess aufsetzen: Identitätsverifikation, Strafregister, Sanktionslisten.
Mitarbeiter-Einwilligungen einholen (DSGVO-konform, mit Belehrung).
Dienstleister-Verträge nachziehen: Art. 28 DSGVO + NIS2-Annex.
Incident-Response-Plan mit 24/72h/1m-Meldefristen erstellen.
Awareness-Training rollout über alle Hierarchieebenen.
Tage 61–90: Dokumentation und Prüffähigkeit
Revisionssichere Dokumentation aller Prüfungen.
Interne Testläufe des Incident-Response-Prozesses.
CSIRT-Audit-Readiness-Check durch externe Prüfer.
Berichterstattung an Geschäftsleitung und Aufsichtsrat.
Wie Indicium KRITIS-Betreiber unterstützt
Indicium Technologies stellt KRITIS-Betreibern eine revisionssichere, DSGVO-konforme Plattform für Background Checks zur Verfügung. Konkret decken wir ab:
Identitätsverifikation nach eIDAS-Standard (SOF High).
Strafregisterauszüge für DE, AT, CH und 40+ weitere Länder.
Sanktionslistenabgleich gegen EU-, UN-, OFAC- und nationale Listen.
Bonitätsprüfungen für Schlüsselpositionen.
Verifizierung von Qualifikationen (Diplome, Zertifikate, Vorbeschäftigungen).
Audit-Trail, der den Anforderungen von BSI, GovCERT und NCSC genügt.
Lieferketten-Modul für das Screening externer Dienstleister.
Damit erfüllen Sie Art. 21 Abs. 2 lit. i und lit. d vollständig — ohne eigene juristische Detailarbeit, ohne Vendor-Management-Overhead und mit einer Dokumentation, die jedem Audit standhält.
Buche eine Demo und lass dir zeigen, wie sich dein KRITIS-Compliance-Programm in 90 Tagen aufsetzen lässt.
Weiterlesen — verwandte Artikel
Nabil El Berr
