NIS-2 für Kommunen und öffentliche Einrichtungen: Was nach der neuen BSI-FAQ jetzt konkret zu tun ist

Gleichzeitig bleibt ein zentraler Punkt: Nicht jede Kommune ist automatisch betroffen. Trotzdem sollten Verwaltungen das Thema jetzt strukturiert prüfen. Entscheidend ist nicht nur die Frage, ob NIS-2 formal greift, sondern wie die Kommune ihre Betroffenheit, Verantwortlichkeiten, Ressourcen und nächsten Schritte nachvollziehbar klärt. Denn genau an diesem Punkt beginnt in vielen Verwaltungen die eigentliche Herausforderung.

• Ist unsere Organisation oder eine kommunale Beteiligung betroffen?
• Welche Aufgaben, Einrichtungen oder Dienstleistungen sind relevant?
• Wer trägt die Gesamtverantwortung und wer setzt operativ um?
• Welche Nachweise, Prozesse und Meldewege sind bereits vorhanden?
• Welche Maßnahmen sind mit den verfügbaren Ressourcen realistisch umsetzbar?

Gerade in gewachsenen kommunalen Strukturen entsteht dabei Unsicherheit. Häufig ist es nicht sofort ersichtlich, welche Organisationseinheiten tatsächlich unter die neuen Anforderungen fallen 

wo bestehende Verantwortlichkeiten beginnen oder enden. Kommunale Eigenbetriebe, Schulträger, Zweckverbände oder ausgelagerte IT-Dienstleister sind organisatorisch oft getrennt, arbeiten technisch und fachlich 

jedoch eng zusammen. Deshalb reicht eine rein formale Betrachtung der Kernverwaltung in vielen Fällen nicht aus.

Fest steht jedoch: Wer jetzt strukturiert startet, schafft frühzeitig Orientierung und reduziert spätere Umsetzungsaufwände deutlich.

Lange Zeit war NIS-2 für viele Kommunen ein abstraktes Thema. Zwar war bekannt, dass die Richtlinie Auswirkungen auf kritische und wichtige Einrichtungen haben kann, doch gerade im kommunalen Umfeld fehlte eine eindeutige Einordnung. Die Entscheidung, welche Organisationen betroffen sind, wird nicht zentral getroffen, sondern liegt bei den Bundesländern.

Für Kommunen bedeutet das: Es gibt keine bundesweit einheitliche Checkliste, die jede Einzelfrage beantwortet. Je nach Bundesland können Zuständigkeiten, Prüfmaßstäbe und Nachweiserwartungen unterschiedlich ausfallen. Umso wichtiger ist eine eigene, dokumentierte Vorprüfung.

In vielen Verwaltungen landet NIS-2 zunächst bei der IT-Abteilung. Das ist nachvollziehbar, greift aber zu kurz. NIS-2 betrifft technische Schutzmaßnahmen, aber ebenso Governance, Verantwortung, Meldeprozesse, Dienstleistersteuerung und Nachweisfähigkeit.

Beteiligt werden sollten daher mindestens IT-Leitung, Verwaltungsleitung, Hauptamt, Datenschutz, Informationssicherheit, Beteiligungsmanagement, Vergabe beziehungsweise Einkauf sowie die Verantwortlichen relevanter Eigenbetriebe oder Dienstleister. Gerade in Kommunen überschneiden sich diese Bereiche oft. Zuständigkeiten sind historisch gewachsen, Prozesse unterschiedlich dokumentiert und technische Abhängigkeiten nicht immer vollständig transparent.

Ein typisches Beispiel:
Die Kernverwaltung arbeitet mit einem kommunalen IT-Dienstleister zusammen, während Schulen, Stadtwerke oder Eigenbetriebe teilweise eigene Systeme und externe Anbieter nutzen. Kommt es dort zu Sicherheitsvorfällen oder Ausfällen, betrifft das schnell die gesamte Verwaltungsfähigkeit. Deshalb reicht es nicht aus, einzelne technische Maßnahmen umzusetzen. Entscheidend ist eine koordinierte Gesamtstruktur.

Damit NIS-2 nicht zwischen Fachbereichen, IT und Leitungsebene hängen bleibt, braucht es ein klares Rollenmodell. Eine Kommune kann dafür zunächst mit einer einfachen Arbeitsstruktur starten:

• Verwaltungsleitung: übernimmt die Gesamtverantwortung, trifft Priorisierungsentscheidungen und schafft Mandat für die Umsetzung.
• Projektkoordination oder Informationssicherheitsbeauftragte: bündelt die Aktivitäten, pflegt den Maßnahmenplan und berichtet an die Leitung.
• IT-Leitung: bewertet technische Risiken, Schutzmaßnahmen, Betrieb, Backup, Monitoring und Incident-Response-Fähigkeit.
• Fachbereiche und Eigenbetriebe: benennen kritische Prozesse, Fachverfahren, Ausfallfolgen und fachliche Anforderungen.
• Datenschutz und Recht: prüfen Schnittstellen zu Datenschutz, Verträgen, Meldepflichten und landesspezifischen Vorgaben.
• Einkauf, Vergabe und Beteiligungsmanagement: binden Dienstleister, Beteiligungen und vertragliche Sicherheitsanforderungen ein.

Praktisch bewährt sich ein kleiner Steuerungskreis, der alle zwei bis vier Wochen tagt. Er sollte Entscheidungen protokollieren, offene Punkte nachhalten und die Verwaltungsspitze regelmäßig über Risiken, Ressourcenbedarf und Prioritäten informieren.

Mit der neuen BSI FAQ wird für viele Kommunen deutlicher, dass sich die Bewertung der eigenen Betroffenheit nicht allein auf die Kernverwaltung beschränkt. Entscheidend ist nicht allein die Organisationsform, sondern die Rolle einer Einrichtung bei der Erbringung relevanter Dienstleistungen oder kritischer Infrastruktur. Dadurch geraten deutlich mehr Bereiche in den Fokus, als viele zunächst erwarten. Besonders zu prüfen sind daher:

• kommunale Eigenbetriebe und Beteiligungen,
• Stadtwerke, Wasser- und Abwasserbetriebe,
• kommunale IT-Dienstleister und Rechenzentren,
• Zweckverbände und interkommunale Kooperationen,
• Bildungseinrichtungen in kommunaler Trägerschaft,
• ausgelagerte Servicegesellschaften und kritische Fachverfahrensanbieter.

Ein kommunaler IT-Dienstleister beispielsweise betreut oft mehrere Gemeinden gleichzeitig. Fällt dort ein zentrales System aus, betrifft das nicht nur einzelne Arbeitsplätze, sondern möglicherweise komplette Verwaltungsprozesse. Ähnlich sieht es bei Stadtwerken oder Wasserversorgern aus. Auch dort entstehen hohe Anforderungen an Ausfallsicherheit, Dokumentation und Incident-Management. Genau deshalb sollten Kommunen ihre Strukturen nicht nur organisatorisch, sondern vor allem funktional betrachten. 

Die einhaltliche Frage lautet: Welche Leistungen sind für die Aufrechterhaltung kommunaler Aufgaben besonders wichtig?

Dazu zählen insbesondere Leistungen, deren Ausfall direkte Auswirkungen auf den Verwaltungsbetrieb, die öffentliche Versorgung oder wichtige kommunale Dienstleistungen hätte. 

Ein realistischer Einstieg kann in sechs Arbeitspaketen erfolgen.

Verantwortlichkeiten festlegen 

Ohne klare Verantwortlichkeiten entsteht schnell Stillstand. Der erste Schritt ist eine klare Zuständigkeit. Bevor einzelne Maßnahmen zu planen, legen Sie fest, wer das Thema koordiniert. Idealerweise wird eine kleine Steuerungsgruppe gebildet, bestehend aus Verwaltungsleitung, IT, Informationssicherheit oder ISB, Datenschutz und relevanten Fachbereichen. Bei ausgelagerten IT-Strukturen sollten auch zentrale Dienstleister früh eingebunden werden.

Kritische Leistungen identifizieren

Danach folgt die Bestandsaufnahme. Erfassen Sie, welche Leistungen für den laufenden Betrieb besonders wichtig sind. Dazu gehören zum Beispiel Bürgerdienste, Fachverfahren, E-Mail- und Kommunikationssysteme, Schulplattformen, Stadtwerke, Wasserversorgung oder externe IT-Services. Entscheidend ist die Frage: Welche Leistung darf nicht ausfallen, ohne dass Verwaltung, Bürger oder Versorgung spürbar betroffen sind?

Kritische Assets und Abhängigkeiten erfassen 

Im nächsten Schritt werden diesen Leistungen die dazugehörigen Systeme, Dienstleister und Abhängigkeiten zugeordnet. So wird sichtbar, welche Fachverfahren genutzt werden, welche Dienstleister zentrale Aufgaben übernehmen, welche Schnittstellen bestehen und welche Prozesse voneinander abhängen. Genau dieser Überblick fehlt in vielen Kommunen zu Beginn.

Priorisieren Sie zunächst die Systeme, deren Ausfall die Verwaltung unmittelbar beeinträchtigen würde: zentrale Fachverfahren, E-Mail, Netzwerk, Identitätsmanagement, Backup, Archivierung, Cloud-Dienste, Schul- oder Verwaltungsplattformen sowie externe Betriebsdienstleister. Erstellen Sie eine Übersicht über Organisationseinheiten, kritische Dienstleistungen, Fachverfahren und Dienstleister. Markieren Sie Bereiche als betroffen, wahrscheinlich betroffen, unklar oder derzeit nicht relevant. Offene Fragen sollten mit Zuständigkeit und Frist versehen werden.

Anschließend sollten Sie prüfen, welche Bereiche potenziell unter NIS-2 fallen können. Dabei sollten nicht nur die Kernverwaltung, sondern auch Eigenbetriebe, Zweckverbände, kommunale Beteiligungen, IT-Dienstleister und ausgelagerte Servicegesellschaften betrachtet werden. Entscheidend ist nicht allein die Organisationsform, sondern die Bedeutung der jeweiligen Leistung für Verwaltung, Versorgung und öffentliche Handlungsfähigkeit.

Risiken bewerten und priorisieren

Auf Basis dieser Bestandaufnahme sollten Sie die ersten Risiken strukturiert bewerten. Dabei geht es zunächst nicht um komplexe Audits, sondern um eine realistische Einschätzung der größten organisatorischen und technischen Schwachstellen. Die Risiken sollten priorisiert und mit Verantwortlichkeiten sowie die ersten Maßnahmen versehen werden. Dadurch besteht eine belastbare Grundlage für Budget-, Ressourcen und Investitionsentscheidungen. 

Notfall- und Meldewege prüfen

1. Darauf aufbauend sammeln Sie vorhandene Unterlagen. Dazu gehören Notfallpläne, Backup-Konzepte, Sicherheitsrichtlinien, Datenschutzdokumentationen, Dienstleisterverträge, Risikoanalysen und bestehende Prozessbeschreibungen. Ziel ist zunächst nicht Perfektion, sondern ein belastbarer Überblick darüber, was bereits vorhanden ist und wo Lücken bestehen.
2. Prüfen Sie, wie Sicherheitsvorfälle erkannt, bewertet, eskaliert und dokumentiert werden. Wichtig ist, dass die Abläufe auch außerhalb der IT funktionieren und externe Dienstleister verbindlich eingebunden sind.

Dienstleister aktiv einbeziehen

Klären Sie, welche Dienstleister für kritische Leistungen relevant sind, welche Sicherheitsanforderungen vertraglich geregelt sind und welche Nachweise oder Reaktionszeiten erwartet werden. Offene Punkte sollten in Vertragsmanagement, Vergabe oder Dienstleistergespräche übernommen werden.

Nachweise bündeln

Sammeln Sie vorhandene Richtlinien, Verfahrensdokumentationen, Notfallkonzepte, Verträge, Risikoanalysen, Asset-Übersichten, Organigramme und Sicherheitsprozesse an einer zentralen Stelle. Daraus entsteht die Grundlage für spätere Prüfungen und interne Berichte. 

Am Ende sollte daraus eine realistische Roadmap entstehen. Kurzfristig geht es um Zuständigkeiten, Transparenz, kritische Lücken und Meldewege. Mittelfristig sollten technische und organisatorische Maßnahmen verbessert werden. Langfristig entsteht daraus eine belastbare Sicherheits- und Governance-Struktur. So wird NIS-2 nicht zu einem unüberschaubaren Großprojekt, sondern zu einem kontrollierten Umsetzungsprozess mit klaren Verantwortlichkeiten, sichtbaren Risiken und realistischen Prioritäten.

So wird NIS-2 nicht zu einem unüberschaubaren Großprojekt, sondern zu einem kontrollierten Umsetzungsprozess mit klaren Verantwortlichkeiten, sichtbaren Risiken und realistischen Prioritäten.

In vielen Kommunen treffen die Anforderungen von NIS-2 auf gewachsene Organisationsstrukturen, verteilte Zuständigkeiten und unterschiedliche Betriebsmodelle. Sicherheitsmaßnahmen und Prozesse bestehen häufig bereits, wurden jedoch nicht immer zentral dokumentiert oder einheitlich strukturiert.

• Abwarten auf vollständige Klarheit: Landesrechtliche Details können sich weiterentwickeln, aber die interne Bestandsaufnahme kann bereits beginnen.
• NIS-2 nur als IT-Projekt behandeln: Ohne Leitung, Fachbereiche und Dienstleister bleiben zentrale Entscheidungen offen.
• Zu groß starten: Ein überdimensioniertes Projekt blockiert oft die ersten sinnvollen Schritte.
• Leitung zu spät einbinden: Ressourcen, Prioritäten und Verantwortlichkeiten brauchen ein klares Mandat.
• Dokumentation unterschätzen: Was nicht nachvollziehbar dokumentiert ist, lässt sich später schwer belegen.

Die neue BSI-FAQ schafft mehr Orientierung, ersetzt aber nicht die individuelle Prüfung vor Ort. Kommunen sollten deshalb jetzt ihre Betroffenheit bewerten, Verantwortlichkeiten verbindlich festlegen und eine realistische Maßnahmenplanung aufbauen.

Der wichtigste Schritt ist kein perfektes Sicherheitsprogramm, sondern ein belastbarer Startpunkt: klare Zuständigkeiten, eine dokumentierte Betroffenheitsanalyse, priorisierte Maßnahmen und ein regelmäßiger Bericht an die Leitungsebene. So wird aus NIS-2 kein abstraktes Compliance-Thema, sondern ein konkreter Fahrplan für mehr Resilienz und Handlungsfähigkeit.