← Zurück zur Startseite

§30 BSIG: Was bedeutet das für Lieferanten?

§30 BSIG ist die deutsche Umsetzung von NIS-2. Direkt betrifft es 18 Sektoren — indirekt nahezu jeden Mittelständler über die Lieferkette.

Was ist §30 BSIG überhaupt?

§30 BSIG (BSI-Gesetz) ist die zentrale deutsche Vorschrift zur Umsetzung der EU-NIS-2-Richtlinie. Sie verpflichtet betroffene Unternehmen — sogenannte „besonders wichtige" und „wichtige" Einrichtungen — zu einem Mindeststandard an Risikomanagement in der IT-Sicherheit.

Wen betrifft §30 BSIG direkt?

Direkt verpflichtet sind Unternehmen aus 18 NIS-2-Sektoren (u. a. Energie, Verkehr, Bank- und Finanzwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung) oberhalb bestimmter Schwellenwerte. Für die meisten kleinen und mittleren Lieferanten gilt: §30 BSIG verpflichtet euch nicht direkt — aber eure Kunden zwingt es, euch zu prüfen.

Die Pflichtbereiche aus §30 Abs. 2 BSIG

Das Gesetz nennt 10 Maßnahmenbereiche, die abgedeckt sein müssen:

  1. Konzepte für Risikoanalyse und Sicherheit der Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen (Incident Response)
  3. Business Continuity — Backup, Wiederanlauf, Krisenmanagement
  4. Sicherheit der Lieferkette ← der für Lieferanten kritische Punkt
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT
  6. Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
  7. Schulungen und Cyberhygiene
  8. Konzepte für Kryptografie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle, Asset-Management
  10. MFA, sichere Sprach-/Video-/Textkommunikation, Notfallkommunikation

Was heißt das praktisch für dich als Lieferant?

Punkt 4 — „Sicherheit der Lieferkette" — bedeutet: Dein Kunde muss prüfen, ob du diese 10 Bereiche selbst ausreichend abdeckst. Daraus entstehen die typischen Lieferantenfragebögen. Je mehr Punkte du sauber beantworten kannst, desto weniger Aufwand entsteht für beide Seiten.

Sanktionsrahmen

Bei Verstößen drohen den direkt verpflichteten Unternehmen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen). Geschäftsführer haften persönlich. Diese Druckkette wird an Lieferanten weitergegeben — vertraglich, nicht gesetzlich.

Was du jetzt tun solltest

  1. Status quo dokumentieren — Wo stehst du in den 10 Bereichen?
  2. Lücken identifizieren — Was fehlt, was ist vorhanden?
  3. Roadmap erstellen — Realistischer 90-Tage-Plan zur Schließung der größten Lücken
  4. Antwortpaket vorbereiten — Sodass der nächste Kundenfragebogen in Stunden statt Wochen beantwortbar ist

Häufige Fragen

Gilt §30 BSIG für mich, wenn ich nur 20 Mitarbeitende habe?

Direkt nur, wenn ihr in einem NIS-2-Sektor seid und Schwellenwerte überschreitet. Sonst indirekt über Kundenanforderungen.

Wann ist §30 BSIG in Kraft getreten?

Die deutsche Umsetzung ist in Vorbereitung. Die EU-Frist war Oktober 2024 — viele Kunden handeln bereits vertraglich proaktiv.

Was passiert bei Nichterfüllung der Vorgaben?

Bußgelder bis 10 Mio. EUR oder 2 % Jahresumsatz für direkt Verpflichtete. Lieferanten haften vertraglich gegenüber Kunden.

Brauche ich eine Zertifizierung nach §30 BSIG?

Nein, §30 BSIG kennt keine Pflichtzertifizierung. Wirksame Maßnahmen müssen dokumentiert und nachweisbar sein.

Muss ich Vorfälle melden?

Nur direkt verpflichtete Unternehmen müssen ans BSI melden (24/72-Stunden-Fristen). Lieferanten melden vertraglich an Kunden.

Reicht ISO 27001 als Nachweis?

Eine ISO-27001-Zertifizierung deckt einen Großteil der §30-Punkte ab, ersetzt aber nicht die spezifische Beantwortung der Kundenfragen.

Wie unterscheidet sich §30 BSIG von DSGVO?

DSGVO schützt personenbezogene Daten; §30 BSIG fokussiert auf die Verfügbarkeit und Integrität kritischer IT-Systeme insgesamt.

Bereit für den nächsten Schritt?

Wir bereiten deine NIS-2-Antworten strukturiert vor — orientiert an §30 BSIG. Keine Floskeln, keine Rechtsberatung.