Anforderungen der Informationssicherheit, neue Pflichten, praktische Auswirkungen und konkrete Handlungsempfehlungen

Das Inkrafttreten des NIS2-Umsetzungsgesetzes im Dezember 2025 kann öffentliche Auftraggeber vor große Umsetzungsherausforderungen stellen. Informationssicherheit ist für die dem Anwendungsbereich unterfallenden öffentlichen Auftraggeber verpflichtend. Der Fokus des Gesetzes liegt auf umfangreicheren, verbindlichen und europaweit einheitlichen Vorgaben samt Verantwortung auf Management-Ebene.

Nächster Termin:

Aktuell sind keine neuen Termine geplant.

Carla Kripke, Senior Associate Public Procurement, Deloitte Legal Rechtsanwaltsgesellschaft mbH, Hamburg

Tarik Karrakchou, Director Beratung öffentliche Beschaffung, BearingPoint GmbH

Matthias Hinrichs, Manager, Informationssicherheit Public Sektor, BearingPoint GmbH

„NIS2“ – Was bedeutet das für öffentliche Auftraggeber

Q: Was bedeutet NIS2 für öffentliche Auftraggeber?

NIS2 führt für öffentliche Auftraggeber, die in den Anwendungsbereich fallen, verbindliche Anforderungen an die Informationssicherheit ein. Dazu gehören insbesondere technische und organisatorische Maßnahmen, Dokumentations- und Nachweispflichten sowie Meldepflichten bei Sicherheitsvorfällen an das BSI. Der Fokus liegt zudem auf einer Verantwortung der Leitungsebene.

Q: Wie werden die NIS2-Anforderungen in der Praxis umgesetzt?

Die Umsetzung umfasst zunächst eine Analyse des Anwendungsbereichs und der bestehenden Prozesse. Danach folgen Priorisierung, Anpassungen von Organisations- und Sicherheitsmaßnahmen sowie die Dokumentation der Umsetzung. Auch Beschaffungsvorhaben, Lieferketten und IT-Dienstleister müssen dabei berücksichtigt werden.

Q: Wann müssen Sicherheitsvorfälle an das BSI gemeldet werden?

Bei IT-Sicherheitsvorfällen gelten unter NIS2 Meldepflichten direkt an das BSI. Der konkrete Meldeprozess richtet sich nach den jeweils geltenden Fristen und Formaten. Maßgeblich ist, dass Vorfälle rechtzeitig erkannt, bewertet und entsprechend gemeldet werden.

Q: Für wen ist das Thema NIS2 besonders relevant?

Besonders relevant ist NIS2 für Mitarbeitende öffentlicher Auftraggeber, die an Beschaffung, Betrieb oder rechtlicher Steuerung von IT- und Informationssicherheitsleistungen beteiligt sind. Dazu zählen auch Personen, die Umsetzungsentscheidungen vorbereiten oder für die Einhaltung der Anforderungen verantwortlich sind. Betroffen sind vor allem Rollen mit Bezug zu Governance, Vergabe und IT-Sicherheit.

Q: Worin unterscheidet sich NIS2 von allgemeinen Informationssicherheitsstandards wie ISO 27001 oder BSI IT-Grundschutz?

NIS2 ist ein rechtlicher Rahmen mit verbindlichen Pflichten, Meldeanforderungen und Verantwortlichkeiten, insbesondere für den öffentlichen Sektor. ISO 27001 und BSI IT-Grundschutz sind dagegen Standards bzw. Referenzrahmen für die organisatorische und technische Ausgestaltung von Informationssicherheit. Sie können bei der Umsetzung helfen, ersetzen aber nicht die gesetzlichen Anforderungen von NIS2.

Hinweis: Aktuell gibt es noch keinen neuen Termin für dieses Seminar.

Falls Sie informiert werden möchten, wann dieses Seminar wieder angeboten wird, melden Sie sich bitte bei uns. Alternativ bieten wir das Seminar jederzeit auch gerne als Inhouse-Schulung an.

Weitere Informationen finden Sie hier:

Inhouse-Schulungen

Seminarinhalte

Die aktuellen „NIS 2“ Anforderungen haben eine lange Historie. Mittlerweile ist das deutsche Umsetzungsgesetz – NIS2UmsuCG – am 6. Dezember 2025 in Kraft getreten. Zudem hat die EU-Kommission einen Vorschlag zu Änderungen der dieser zugrundeliegenden NIS 2-Richtlinie zusammen mit einer Überarbeitung des Cybersecurity Acts veröffentlicht.

Spätestens jetzt dürfte „NIS2“ daher auf der prioritären Umsetzungsagenda vieler öffentlicher Auftraggeber stehen und die Herausforderung mitbringen, die umfassenden und teils auslegungsbedürftigen rechtlichen und technischen resp. organisatorischen Anforderungen vollständig und nachweisbar in der Institution zu implementieren.

Dies betrifft sowohl die Absicherung von eigener Infrastruktur und Geschäftsprozesse als auch die Gestaltung von Lieferketten und IT-Beschaffungsvorhaben sowie die Einhaltung nunmehr geltender Meldepflichten bei Sicherheitsvorfällen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Nach einer kurzen Herleitung sowie Darstellung des aktuellen Stands rechtlicher Implikationen durch die EU, wird auf den konkreten Anwendungsbereich für öffentliche Auftraggeber und die daraus resultierenden technischen und organisatorischen Anforderungen eingegangen. Zudem werden konkrete Handlungsmöglichkeiten für eine „NIS 2“-konforme Änderung resp. Neugestaltung von Unternehmensprozessen aufgezeigt.

Abschließend werden die Implikationen von „NIS 2“ auf Beschaffungen, insb. „Outsourcing Vorhaben“ beleuchten und mögliche Informationssicherheitsmaßnahmen für Verantwortliche dargestellt. Über das gesamte Seminar werden zudem praxisnahe Ansätze zum Umgang mit Meldepflichten diskutiert.

Agenda

Einleitung

Rechtlicher Rahmen und Einordnung
- Status Quo („NIS 1“, „NIS 2“, Vorschlag der EU-Kommission)
- NIS 2 Umsetzungsgesetz / BSIG
- Eröffnung des Anwendungsbereichs für öffentliche Auftraggeber (§§ 28, 29 BSIG)

Die Pflichten öffentlicher Auftraggeber nach „NIS 2“

Registrierungspflichten
Risikomanagement und Organisationspflichten
Cyber-Sicherheit: Angriffserkennung, Incident Response und Lieferkettensicherheit
Meldepflichten bei IT-Sicherheitsvorfällen (BSI)
Dokumentations- und Nachweisanforderungen
Rolle der Leitungsebene und Verantwortlichkeiten

NIS 2 und öffentliche Beschaffung

Auswirkungen auf Vergabekonzeption, Vergabe- und Vertragsunterlagen
Anforderungen an IT-Dienstleister
Kontrollpflichten und Governance extern vergebener Leistungen

Technische & organisatorische Anforderungen:

Die „Top“ Sicherheitsmaßnahmen nach Artikel 21 und deren Umsetzung in der Praxis
Allgemeine Anforderungen der Informationssicherheit (ISO27001, BSI IT-Grundschutz) mit Bezug zur Beschaffung
Besonderheit: Die Umsetzungsmöglichkeiten/-pflichten bei öffentlichen Ausschreibungen.

Meldewesen & Aufsicht:

Audits, Zertifikate, SLAs – was kann und muss ich wann, wie verlangen oder durchführen?
Was muss wann an das BSI gemeldet werden? (Fristen und Formate).
Befugnisse der Aufsichtsbehörden.

Praxis-Fahrplan (How-to):

Die ersten Schritte: Analyse und Priorisierung.
Quick Wins zur „NIS 2“ Compliance
Checkliste zur Umsetzung

Zielgruppe

Das Seminar richtet sich an Mitarbeitende öffentlicher Auftraggeber, die an der Beschaffung, dem Betrieb oder der rechtlichen Steuerung von IZ-Leistungen beteiligt sind und für die Umsetzung von „NIS 2“ Anforderungen verantwortlich sind oder Entscheidungen vorbereiten.