NIS2 wesentliche vs wichtige Einrichtungen — Personnel-Sicherheit nach § 30 BSIG für Stadtwerke, Krankenhäuser und MSPs konkret

Antwort vorab: Die NIS2-Richtlinie (EU) 2022/2555 und ihre nationale Umsetzung im modernisierten BSIG erweitern den Kreis der cybersicherheits-pflichtigen Organisationen in Deutschland von circa 4.500 KRITIS-Betreibern unter der alten KRITIS-Verordnung auf rund 30.000 Einrichtungen — gegliedert in wesentliche und wichtige Einrichtungen mit abgestuften Pflichten. Im Personnel-Bereich konvergieren beide Klassen auf einen identischen Mindestmaßnahmenkatalog (§ 30 Abs. 2 BSIG-neu): Risikomanagement-Maßnahmen für Personalsicherheit, Zugriffskontrolle, Schulung und Awareness. Der Unterschied liegt nicht im "Was", sondern im "Wie" — Aufsichtsintensität, Bußgeldhöhe und Geschäftsleitungs-Haftung divergieren erheblich. Wer sich in der Praxis mit Stadtwerken, Krankenhäusern oder Managed Service Providern (MSPs) befasst, muss verstehen: Die operative Personnel-Compliance ist für beide Klassen ähnlich, die Konsequenzen ihrer Vernachlässigung sind es nicht.

Die Situation: Die NIS2-Richtlinie sollte bis 17. Oktober 2024 in nationales Recht umgesetzt sein. In Deutschland verzögerte sich die Umsetzung — der Entwurf des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) durchlief mehrere Iterationen, mit Inkrafttreten der Hauptregelungen ab 2025/2026. Die Komplikation: Viele Organisationen, die bislang nicht KRITIS-pflichtig waren, müssen jetzt in vergleichbar kurzer Zeit Compliance-Strukturen aufbauen, die im klassischen KRITIS-Sektor über zehn Jahre gewachsen sind. Die Resolution: § 30 BSIG-neu schafft einen konkreten Mindestmaßnahmen-Katalog mit zehn Domänen, von denen drei (Personalsicherheit, Zugriffskontrolle, Schulung/Awareness) die Personnel-Säule bilden. Wer diese drei Säulen sauber implementiert, hat die operative Hauptpflicht erfüllt — und nimmt der Geschäftsleitungs-Haftung des § 38 BSIG-neu ihre Schärfe.

H2.1 Klassifikation entschlüsselt — wann eine Einrichtung wesentlich, wann wichtig ist

Die Klassifikation in NIS2 folgt zwei Dimensionen: Sektor-Zugehörigkeit (Anhang I oder Anhang II der NIS2-Richtlinie, in Deutschland in der Anlage 1 und Anlage 2 BSIG-neu detailliert) und Größenkriterien (Schwellenwerte basierend auf KMU-Empfehlung der Kommission, also Mitarbeiterzahl und Umsatz/Bilanzsumme).

Wesentliche Einrichtungen (Annex I, mittlere und große Unternehmen): Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur (DNS, TLD, Cloud, Datacenters, Content Delivery, etc.), ICT-Service-Management (z.B. MSPs), öffentliche Verwaltung, Raumfahrt. Diese Einrichtungen unterliegen der proaktiven, ex-ante-Aufsicht — sie können vom BSI von sich aus geprüft werden, ohne konkreten Anlass. Wichtige Einrichtungen (Annex II, mittlere und große Unternehmen): Post- und Kurierdienste, Abfallwirtschaft, Chemikalienherstellung und -vertrieb, Lebensmittelproduktion und -vertrieb, Fertigung (Medizinprodukte, Computer, Elektronik, Maschinenbau, Fahrzeugbau, sonstige Fertigung mit definierten NACE-Codes), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung. Diese Einrichtungen unterliegen der reaktiven, ex-post-Aufsicht — Prüfungen erfolgen typischerweise nach einem konkreten Anlass (Vorfall, Hinweis, Verdacht).

Drei klassifikationsrelevante Praxisfragen treten regelmäßig auf. Erstens, Stadtwerke: Sind sie als Energie-Versorger (Strom, Gas, Fernwärme, ggf. Wasser) regelmäßig wesentliche Einrichtung — selbst kleine kommunale Werke werden über die Sektor-Spezifik in die Pflicht genommen, wenn sie definierte Schwellen überschreiten. Zweitens, Krankenhäuser: Sind als Gesundheitsdiensteanbieter wesentliche Einrichtung, sofern sie die Größenschwellen überschreiten — was bei Kliniken mit mehr als 50 Mitarbeitern und 10 Mio. Euro Umsatz regelmäßig der Fall ist. Drittens, MSPs (Managed Service Provider): Sind als ICT-Service-Management-Anbieter wesentliche Einrichtung, sobald sie die Größenschwellen überschreiten — eine Ausweitung gegenüber der alten KRITIS-Logik, in der MSPs nur indirekt über ihre Kunden in die Pflicht kamen.

Quantitativ: Nach Schätzungen des BSI fallen circa 30.000 Einrichtungen in Deutschland unter NIS2 — davon rund 11.000 als wesentliche Einrichtung. Maßgebliche Quellen: NIS2-Richtlinie (EU) 2022/2555, BSI Informationen zu NIS2.

H2.2 § 30 BSIG-neu Personalsicherheit — der konkrete Mindestmaßnahmenkatalog

§ 30 BSIG-neu listet zehn Mindestmaßnahmen-Domänen, die wesentliche und wichtige Einrichtungen identisch erfüllen müssen. Drei davon bilden die Personnel-Säule: Personalsicherheit, Zugriffskontrolle und Schulung/Awareness. Die operative Tiefe dieser Pflichten geht weiter als der Wortlaut nahelegt.

Personalsicherheit umfasst nach der Begründung des Gesetzgebers und der ergänzenden Auslegungspraxis des BSI: Erstens, Mitarbeiter-Verifikation vor Aufnahme der Tätigkeit — Identitätsprüfung, Verifikation der angegebenen Qualifikationen, ggf. erweiterte Sicherheitsüberprüfungen für sicherheitskritische Funktionen. Zweitens, Vertragliche Sicherheitsverpflichtungen — Vertraulichkeit, Compliance mit Sicherheitsrichtlinien, Meldepflichten bei Sicherheitsvorfällen. Drittens, Off-Boarding-Prozesse — kontrollierte Beendigung des Beschäftigungsverhältnisses mit dokumentiertem Asset-Return, Zugriffsentzug, Fortwirkung der Vertraulichkeitspflicht. Zugriffskontrolle umfasst auf Personnel-Ebene: Need-to-know-basierte Zugriffsrechte mit dokumentierter Berechtigungsentscheidung, regelmäßige Re-Zertifizierung von Zugriffen (typischerweise quartalsweise oder halbjährlich für privilegierte Zugriffe), automatisierte Zugriffsentzüge bei Rollenwechseln und Beendigungen sowie Privileged-Access-Management für administrative Funktionen. Schulung und Awareness verlangt: Strukturierte Sicherheitsschulung beim Onboarding, regelmäßige Auffrischungs-Schulungen (mindestens jährlich), zielgruppen-spezifische Schulungen für besondere Funktionen (Administratoren, Geschäftsleitung, Personen mit Zugriff auf besonders schutzbedürftige Daten) sowie Wirksamkeitsmessungen über Phishing-Tests und Compliance-KPIs.

Die quantitative Konsequenz: Eine wesentliche Einrichtung mit 500 Mitarbeitern und 50 privilegierten Administrator-Accounts muss pro Quartal mindestens 50 Re-Zertifizierungen, pro Jahr mindestens 500 Awareness-Schulungs-Bestätigungen und kontinuierliches Monitoring von Onboarding/Off-Boarding leisten. Manuelle Lösungen scheitern an dieser Frequenz; eine strukturierte Plattform für Personnel-Compliance mit Workflow-Integration ist die einzige operativ tragfähige Antwort.

H2.3 Stadtwerke-Praxis — die KRITIS-Erweiterung in der kommunalen Realität

Für Stadtwerke ist NIS2 eine doppelte Herausforderung. Erstens, die meisten kommunalen Versorger waren entweder bereits KRITIS-Betreiber (über die alte Schwellenwertlogik der KritisV) oder sie waren knapp darunter. NIS2 zieht die Schwellen in vielen Sektoren niedriger und erfasst damit Einrichtungen, die bisher nicht reguliert waren. Zweitens, die kommunale Trägerstruktur erzeugt operativ-organisatorische Eigenheiten: Personalverwaltungen sind häufig zentralisiert auf Stadtebene, IT-Services teilweise an kommunale IT-Dienstleister ausgelagert, Sicherheitsverantwortlichkeiten verteilt zwischen Stadtwerken und Trägerkommune.

Drei spezifische Personnel-Praxis-Herausforderungen treten in Stadtwerken regelmäßig auf. Erstens, Querschnittspersonal: Mitarbeiter, die formell bei der Trägerkommune angestellt sind, aber operativ in den Stadtwerken arbeiten — die Frage, wer hier für die NIS2-Personnel-Compliance verantwortlich ist, muss vertraglich geklärt sein. Zweitens, Externe Dienstleister: Stadtwerke nutzen häufig regionale Dienstleister für Wartung der Netzinfrastruktur, Leitwarten-Bedienung, Field-Services. Diese Dienstleister müssen entweder selbst NIS2-konform sein (wenn sie als MSP qualifizieren) oder die NIS2-Anforderungen über vertragliche Erstreckung mit auditierbarer Personnel-Compliance erfüllen. Drittens, Notfall-Personal: Stadtwerke unterhalten Bereitschaftsdienste und externe Notfall-Pools — auch deren Personal muss NIS2-konform geprüft, geschult und zugriffskontrolliert sein, was in der Praxis häufig unzureichend dokumentiert ist.

Cross-Reference zur fortbestehenden KRITIS-Logik: Wesentliche Stadtwerke unterliegen parallel zu NIS2 weiterhin den sektor-spezifischen KRITIS-Verordnungen und ggf. den B3S (Branchenspezifische Sicherheitsstandards). Die Personnel-Anforderungen aus den B3S Energie und B3S Wasser überlappen mit § 30 BSIG-neu — eine integrierte Compliance-Architektur mit gemeinsamem Personnel-Stamm und differenzierten Berichtsformaten reduziert den Mehraufwand erheblich.

H2.4 Krankenhaus-Praxis — Personnel-Compliance unter doppelter Aufsichtslogik

Krankenhäuser stehen unter NIS2 in einer besonderen Konfiguration. Sie sind wesentliche Einrichtung, sobald sie definierte Schwellen überschreiten, und unterliegen gleichzeitig den sektor-spezifischen Vorgaben des Patientendatenschutzgesetzes der Länder, der DSGVO und in vielen Häusern bereits den B3S Gesundheit. Die Personnel-Compliance muss diese Layer in einer einheitlichen Architektur tragen.

Drei krankenhausspezifische Personnel-Komplikationen sind operativ relevant. Erstens, medizinisches Personal mit Sonderzugriffsrechten: Ärzte, Pflegekräfte und medizinische Assistenten haben aus medizinischen Gründen privilegierten Zugriff auf Patientendaten und Klinikinformationssysteme. Die NIS2-Zugriffskontrolle muss diesen Zugriff auf das medizinisch notwendige Maß begrenzen und re-zertifizieren — eine Aufgabe, die in der klinischen Praxis Reibungen mit etablierten Workflows erzeugt. Zweitens, Ehrenamtliche, Praktikanten, Studierende: Krankenhäuser beschäftigen Personenkreise mit zeitlich begrenztem oder informellem Status. Auch deren NIS2-konforme Verifikation und Schulung muss strukturiert dokumentiert werden — ein Punkt, der in der heutigen Krankenhauspraxis häufig unzureichend erfasst ist. Drittens, IT-Dienstleister mit Zugriff auf Klinikinformationssysteme: Externe IT-Dienstleister, Hersteller-Wartungspersonal, Cloud-Anbieter — die NIS2-Pflicht zur Personnel-Compliance erstreckt sich auch auf deren Mitarbeiter, soweit sie Zugriff auf NIS2-relevante Systeme haben.

Die haftungsrechtliche Dimension ist im Krankenhausbereich besonders scharf. § 38 BSIG-neu macht die Geschäftsleitung — bei Krankenhäusern typischerweise den Krankenhausträger und/oder die Geschäftsführung — persönlich für die Genehmigung und Überwachung der NIS2-Risikomanagement-Maßnahmen verantwortlich. Bei groben Verstößen können nicht nur Bußgelder bis 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) verhängt werden — auch persönliche Haftung der Geschäftsleitung gegenüber der Einrichtung selbst (Innenhaftung) wird in der Begründung des BSIG-neu explizit adressiert.

H2.5 MSP-Praxis — die unterschätzte Hebel-Wirkung der NIS2-Erweiterung

Managed Service Provider sind unter NIS2 selbst wesentliche Einrichtung — eine Klassifikation, die die operative und kommerzielle Logik vieler MSPs grundlegend verändert. Während sie unter der alten KRITIS-Logik nur indirekt in der Pflicht standen (über Anforderungen ihrer KRITIS-Kunden), müssen sie nun NIS2-Compliance als direkte gesetzliche Pflicht tragen — mit eigenen Aufsichts- und Bußgeld-Risiken.

Drei NIS2-spezifische MSP-Herausforderungen sind unmittelbar geschäftsrelevant. Erstens, eigene NIS2-Compliance: Der MSP muss § 30 BSIG-neu in vollem Umfang umsetzen — Personalsicherheit, Zugriffskontrolle, Schulung und Awareness für seine eigenen Mitarbeiter, mit allen oben genannten operativen Implikationen. Zweitens, Lieferanten-Hebel: NIS2 verlangt in § 30 Abs. 2 Nr. 4 BSIG-neu die "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern". MSPs müssen damit die Personnel-Compliance ihrer eigenen Lieferanten kontrollieren, soweit diese sicherheitsrelevant sind. Drittens, Compliance-Nachweise gegenüber Kunden: Wesentliche und wichtige Einrichtungen, die einen MSP nutzen, brauchen NIS2-konforme Nachweise von ihren Dienstleistern — was den MSP zwingt, strukturierte Reporting-Artefakte (Personnel-Compliance-Berichte, Audit-Ergebnisse, Zertifikatslandschaften) systematisch bereitzustellen.

Quantitativ: In Deutschland sind nach Branchen-Schätzungen rund 5.000 bis 7.000 MSPs unter NIS2 erfasst — von hochspezialisierten regionalen Anbietern bis zu großen IT-Outsourcing-Konzernen. Die Bandbreite der Personnel-Compliance-Reife ist erheblich. Wer als MSP frühzeitig eine strukturierte Personnel-Compliance-Plattform implementiert, gewinnt einen kommerziellen Hebel: NIS2-konforme Compliance-Nachweise werden zum Wettbewerbsdifferenzial gegenüber wesentlichen und wichtigen Einrichtungen, die einen NIS2-konformen Dienstleister suchen.

Die Geschäftsleitungs-Haftung nach § 38 BSIG-neu trifft auch MSP-Geschäftsführer. Persönliche Haftung für unzureichende Personnel-Compliance ist im MSP-Kontext besonders unmittelbar — sie betrifft die Kerntätigkeit des Unternehmens, nicht eine Nebenfunktion.

Cross-Reference zu DORA und C5: MSPs, die Finanzdienstleister bedienen (DORA-Subkontraktor-Logik), oder Public-Sector-Kunden adressieren (C5-Testat-Erwartung), haben mit NIS2 eine dritte Compliance-Schicht zu tragen. Die Personnel-Anforderungen der drei Regimes überlappen erheblich, sind aber nicht deckungsgleich. Eine integrierte Architektur, die alle drei Regimes auf einer gemeinsamen Personnel-Compliance-Datenbasis trägt, ist die einzig skalierbare Antwort.

H2.6 Geschäftsleitungs-Haftung nach § 38 BSIG-neu — die persönliche Dimension der NIS2-Compliance

§ 38 BSIG-neu setzt die NIS2-Vorgabe einer "verstärkten Geschäftsleitungs-Verantwortung" in deutsches Recht um. Die Norm verlangt, dass die Geschäftsleitung einer wesentlichen oder wichtigen Einrichtung die Risikomanagement-Maßnahmen nach § 30 BSIG-neu billigt, ihre Umsetzung überwacht und sich für ihre Wirksamkeit verantwortet. Diese drei Verben — billigen, überwachen, verantworten — schaffen eine persönliche Verantwortungskette, die in der deutschen Aufsichtsrechts-Praxis bislang nur in wenigen Sektoren (Banken nach KWG, Versicherungen nach VAG) ausgeprägt ist.

Drei haftungsrechtliche Konsequenzen sind operativ relevant. Erstens, Bußgelder gegen Geschäftsleiter persönlich: Bei groben Verstößen kann das BSI nach den NIS2UmsuCG-Vorgaben Bußgelder unmittelbar gegen Geschäftsleiter festsetzen — typischerweise zusätzlich zu den Bußgeldern gegen die Einrichtung. Zweitens, Innenhaftung gegenüber der Einrichtung: Wenn eine Einrichtung NIS2-Bußgelder zahlt, kann sie nach Aktien- und GmbH-Gesetz Regress gegenüber den verantwortlichen Geschäftsleitern nehmen — eine im D&O-Versicherungs-Kontext zunehmend relevante Konstellation. Drittens, strafrechtliche Verantwortung: Bei vorsätzlichen oder grob fahrlässigen Verstößen mit Folgen für die Versorgungssicherheit (etwa bei Ausfall einer kritischen Stadtwerke-Funktion) können strafrechtliche Tatbestände (insbesondere § 130 OWiG, ggf. § 202d StGB) tangiert sein.

Die operative Antwort: Geschäftsleitungs-Schulungs-Pflicht. § 38 Abs. 3 BSIG-neu verlangt, dass die Geschäftsleitung sich regelmäßig schult, um die NIS2-Risiken angemessen einschätzen zu können. Diese Schulungspflicht ist in der Personnel-Compliance-Architektur zu dokumentieren — mit Schulungsinhalten, Teilnahmebestätigungen und Wirksamkeits-Evidenz. Wer diese Dokumentation nicht führt, riskiert im Haftungsfall den Vorwurf, die Geschäftsleitung sei nicht hinreichend qualifiziert gewesen — was die persönliche Haftung verschärft.

Quantitativ: Bußgelder nach § 30 i.V.m. § 60 BSIG-neu erreichen für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes — je nachdem, was höher ist. Für wichtige Einrichtungen sind die Sätze niedriger angesetzt (bis 7 Mio. Euro oder 1,4% des Umsatzes), bleiben aber in einer Größenordnung, die für mittelständische Unternehmen existenzkritisch sein kann.

H2.7 Implementierungs-Roadmap 2026 — die ersten 180 Tage für eine bislang nicht KRITIS-pflichtige Einrichtung

Eine erhebliche Mehrheit der neu erfassten 30.000 NIS2-pflichtigen Einrichtungen war bislang nicht KRITIS-pflichtig — und steht damit vor der Aufgabe, Cybersicherheits-Compliance-Strukturen aufzubauen, die in klassischen KRITIS-Sektoren über zehn Jahre gewachsen sind. Eine pragmatische 180-Tage-Roadmap ist daher zentral.

Tage 1 bis 30 — Klassifikation und Verantwortlichkeits-Festlegung: Erster Schritt ist die belastbare Selbst-Klassifikation: Ist die Einrichtung wesentlich oder wichtig? In welchem Sektor und unter welchen Schwellenwerten? Die Klassifikation muss dokumentiert sein — sie ist die Grundlage für die nachfolgende Aufsichts-Anbindung. Parallel werden die Verantwortlichkeiten festgelegt: Welcher Geschäftsleiter ist NIS2-Verantwortlicher? Wer übernimmt die Rolle des Informationssicherheits-Beauftragten (ISB)? Wie wird die Trennung zwischen Datenschutzbeauftragtem (DSB) und ISB organisiert? Tage 31 bis 90 — Status-Analyse und Gap-Identifikation: Auf Basis des § 30-Mindestmaßnahmen-Katalogs wird eine systematische Gap-Analyse durchgeführt: Welche der zehn Domänen sind heute wirksam umgesetzt? Wo bestehen Lücken? Im Personnel-Bereich sind die typischen Lücken: Fehlende Identitätsverifikation bei Bestandsmitarbeitern, unvollständige Zugriffs-Re-Zertifizierungen, fehlende Schulungs-Wirksamkeitsmessung, unzureichende Off-Boarding-Prozesse. Tage 91 bis 150 — Roll-out der priorisierten Maßnahmen: Die identifizierten Lücken werden priorisiert nach Risiko und Aufwand bearbeitet. Im Personnel-Bereich starten die meisten Einrichtungen mit der Implementierung einer Mitarbeiter-Risiko-Klassifikations-Matrix, der Einführung einer strukturierten Awareness-Schulung mit Wirksamkeitsmessung und der Etablierung eines Off-Boarding-Workflows mit dokumentierter Asset-Rückgabe und Zugriffs-Entzug. Tage 151 bis 180 — Aufsichts-Anbindung etablieren: Schließlich wird die Aufsichts-Anbindung etabliert: Registrierung als NIS2-pflichtige Einrichtung beim BSI (verpflichtend nach § 32 BSIG-neu), Implementierung des Vorfalls-Meldeverfahrens (§ 32 Abs. 2 BSIG-neu mit Frühwarnung innerhalb 24 Stunden, Zwischenmeldung innerhalb 72 Stunden, Abschlussbericht innerhalb 30 Tagen), Aufbau der laufenden Compliance-Berichts-Workflows.

Quantitativ: Erfahrungswerte aus den ersten Implementierungs-Wellen 2025 zeigen, dass mittelständische Einrichtungen (250 bis 2.500 Mitarbeiter) für die initiale NIS2-Compliance-Implementierung typischerweise 9 bis 18 Monate benötigen — mit Investitions-Volumen zwischen 200.000 und 1,5 Mio. Euro je nach Reife der bestehenden Strukturen. Wer das mit einer integrierten Personnel-Compliance-Plattform unterlegt, reduziert die laufenden Betriebs-Aufwände um 30% bis 50% gegenüber rein manuellen Lösungen.

Cross-Reference zu IT-Grundschutz und ISO 27001: NIS2 verlangt keine spezifische Zertifizierung. In der Praxis hat sich aber etabliert, dass Einrichtungen ihre § 30-Mindestmaßnahmen über etablierte Frameworks umsetzen — IT-Grundschutz nach BSI-Standards 200-1 bis 200-3 für deutsche Einrichtungen, ISO 27001 für international operierende Organisationen. Diese Frameworks decken die Personnel-Anforderungen aus § 30 weitgehend ab — mit dokumentierten Mappings, die im Aufsichtsfall die Erfüllung der Pflichten belegen.

Weiterführende offizielle Quellen: NIS2-Richtlinie (EU) 2022/2555 — EUR-Lex, BSI NIS-2-Regulierung Übersicht, ENISA NIS Directive Guidance, Bundestags-Drucksachen zum NIS2UmsuCG, BSI B3S Branchenspezifische Sicherheitsstandards, BSI-Standard 200-2 IT-Grundschutz-Methodik.

---

Indicium dokumentiert NIS2-konforme Personen-Prüfungen automatisch und auditfest — mit § 30-BSIG-Mindestmaßnahmen-Mapping und Geschäftsleitungs-Haftungs-Trail. Discovery-Call buchen.