Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Informationen zur Umsetzung der NIS-2-Richtlinie für Länder und Kommunen veröffentlicht. Ziel der NIS-2-Richtlinie ist es, ein höheres und einheitlicheres Cybersicherheitsniveau in allen EU-Mitgliedstaaten sicherzustellen. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ ist am 06.12.2025 in Deutschland in Kraft getreten. Im Beschluss 2023/39 des IT-Planungsrats aus dem Jahr 2023 wurde entschieden, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene zu erstrecken, keinen Gebrauch zu machen. Im Rahmen der Registrierungsphase, die bis zum 06.03.2026 befristet war, haben sich die Unsicherheiten über die Betroffenheit kommunaler Eigenbetriebe gehäuft. Mit den neuen Hinweisen des BSI für Landes- und Kommunalverwaltung wird versucht, mehr Klarheit zu schaffen. Die Verantwortung dafür, ob ein Betrieb unter den Anwendungsbereich von NIS-2 fällt, bleibt bei den Betrieben selbst.

Das BSI macht in seinen Hinweisen zur NIS-2-Betroffenheit von Landes- und Kommunalverwaltungen deutlich, dass die Länder in eigener Verantwortung und Zuständigkeit die NIS-2-Richtlinie hinsichtlich der kritischen Teile ihrer Landesverwaltungen umzusetzen und zu entscheiden haben, ob die Umsetzung auch die Ebene der Landkreise bzw. Kommunen erfassen wird. Der IT-Planungsrat hatte im Jahr 2023 den Beschluss gefasst, dass die kommunalen Verwaltungen nicht direkt unter die NIS-2-Regulierungen zu fassen sind. Tatsächlich steht es aber den Ländern offen, eigene Regelungen zu erlassen.

Kurz vor Ablauf der Registrierungspflicht am 6. März häuften sich die Unsicherheiten dahingehend, ob die Betroffenheit kommunaler Eigenbetriebe sich auch auf die kommunalen Verwaltungen auswirken könnte. Hierzu macht das BSI deutlich, dass kommunale Eigenbetriebe oder Regiebetriebe als Betreiber kritischer Anlagen, bzw. das Überschreiten der Schwellenwerte für wichtige Einrichtungen (wE) bzw. besonders wichtige Einrichtungen (bwE), ungeachtet ihrer Einbindung in die kommunale Struktur, in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fallen. Zugleich stellt das BSI fest, dass sich durch die Betroffenheit einzelner Betriebe keine Ausweitung der NIS-2-Regelungen auf die gesamte Kommunalverwaltung ergeben kann.

Damit stützen die neuen Hinweise des BSI die Einschätzung des Deutschen Städte- und Gemeindebundes (DStGB). Der kommunale Spitzenverband vertritt die Einschätzung dahingehend, dass die Kommunalverwaltungen entsprechend des IT-Planungsratsbeschlusses von 2023 grundsätzlich nicht vom NIS-2-Anwendungsbereich erfasst sind. Der Bund und die Länder haben keinen Gebrauch davon gemacht, die Kommunen ausdrücklich in den Geltungsbereich einzubeziehen. Jegliche Argumentation über die „Hintertür“ der Eigenbetriebe auch die Kommunalverwaltungen zu verpflichten, wären nicht tragfähig. Diese Einschätzung unterstreicht nun auch das BSI mit den veröffentlichten Hinweisen für Landes- und Kommunalverwaltungen.

Anmerkung:

Ungeachtet dessen ist der Schutz der kommunalen IT-Systeme und der Infrastrukturen vor Cyberangriffen und Bedrohungen aus Sicht des DStGB von hoher Relevanz. Nicht nur die kritischen Infrastrukturen, sondern auch die Kernverwaltungen sind von besonderer Bedeutung und müssen bestmöglich vor Cyberangriffen geschützt werden. Eine Verpflichtung der Kommunen allein würde das Schutzniveau noch nicht verbessern, sondern nur Verantwortung verlagern. Notwendig ist vielmehr eine mit allen Ebenen abgestimmte föderale Cybersicherheitsarchitektur unter Einbeziehung der kommunalen Ebene, die aus Mitteln des Bundes finanziert werden sollte. Durch die Änderungen der Schuldenbremse stehen Finanzmittel ausdrücklich auch für den Bereich der Cybersicherheit zur Verfügung, die genutzt werden sollten.

Mit dem FAQ des BSI sind einige Unsicherheiten im Hinblick auf die Betroffenheit kommunaler Verwaltungen und kommunaler Betriebe ausgeräumt; es bleibt allerdings das vorläufige Fazit, dass sich nur knapp die Hälfte der vorrausichtlich unter die NIS-2-Richtlinie fallenden Betriebe aktuell beim BSI registriert haben. Der Bedarf an Klarstellung und eindeutigen Hinweisen scheint noch nicht gedeckt; die Verantwortung zur Einschätzung der Betroffenheit allein in die Hände auch der kommunalen Betriebe zu legen, bleibt unbefriedigend.

Weitere Informationen:

• NIS-2-Hinweise des BSI für die Landes und Kommunalverwaltung: www.bsi.bund.de
• Betroffenheitsprüfung: www.bsi.bund.de
• Grundlagen zur NIS-2-Richtlinie: www.bsi.bund.de/
• BSI-Portal zur Registrierung bei Betroffenheit: portal.bsi.bund.de