BSIG — Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Ein Energieversorger entdeckt am Wochenende ungewöhnliche Aktivität auf einem Leitsystem-Server. Der Verdacht: Ransomware-Vorbereitung. Die BSIG-Meldepflicht greift, sobald die Erheblichkeitsschwelle erreicht ist — die Meldung ans BSI muss unverzüglich erfolgen, parallel zur eigenen Eindämmung. Wer hier zögert oder die Meldung an die Behörde am Montagmorgen verschiebt, verstößt gegen § 8b BSIG und riskiert Bußgelder bis 2 Mio. €.

Das BSI-Gesetz regelt Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und legt die Cybersicherheits-Pflichten für Betreiber kritischer Infrastrukturen, digitale Dienste und Bundesbehörden fest. Es ist die zentrale deutsche Norm für KRITIS-Compliance und wurde mehrfach erweitert — zuletzt durch das IT-Sicherheitsgesetz 2.0 und die Umsetzung der NIS2-Richtlinie.

Wer ist betroffen?

Das BSIG adressiert mehrere Zielgruppen mit unterschiedlichen Pflichtenkatalogen:

Bundesbehörden (§ 4 ff.) — das BSI ist ihr zentraler IT-Sicherheits-Dienstleister, Betreiber des Regierungsnetzes und Vorgaben-Setzer für Mindeststandards.
Betreiber kritischer Infrastrukturen (§ 8a, § 8b) — Sektoren Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz, Transport, Siedlungsabfall, Staat und Verwaltung. Schwellenwerte regelt die BSI-Kritisverordnung.
Unternehmen im besonderen öffentlichen Interesse (UBI) (§ 8f) — eingeführt durch das IT-SiG 2.0; betrifft u. a. Rüstungs-Hersteller, Top-Wertschöpfer und Betreiber mit Gefahrenpotenzial nach Störfall-Verordnung.
Anbieter digitaler Dienste (§ 8c, § 8d) — Online-Marktplätze, Online-Suchmaschinen, Cloud-Dienste — Pflichten aus der ursprünglichen NIS-1-Richtlinie.
Hersteller von IT-Produkten — über die zukünftige NIS2-Umsetzung und den Cyber Resilience Act zunehmend in der Pflicht.

Was verlangt das Gesetz?

Die KRITIS-Pflichten nach § 8a und § 8b BSIG sind das Herzstück:

Stand der Technik (§ 8a Abs. 1) — angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen, basierend auf branchenspezifischen Sicherheitsstandards (B3S) oder gleichwertigen Maßnahmen.
Nachweis alle zwei Jahre (§ 8a Abs. 3) — durch Audits, Prüfungen oder Zertifizierungen, eingereicht beim BSI.
Systeme zur Angriffserkennung (§ 8a Abs. 1a, eingeführt durch IT-SiG 2.0) — verpflichtende SIEM- und Log-Analyse-Lösungen seit Mai 2023.
Meldepflicht erheblicher Störungen (§ 8b Abs. 4) — unverzügliche Meldung über das BSI-Meldeportal, mit Folgemeldungen bei Erkenntnisfortschritt.
Kontaktstelle (§ 8b Abs. 3) — jederzeit erreichbar, mit Stellvertretung und klarer Eskalation.
Information durch das BSI (§ 8b Abs. 2) — Empfang von Warnungen, Lagebild-Informationen, Sicherheitsempfehlungen.
Anordnungsbefugnisse des BSI (§ 8a Abs. 4, § 7a, § 7b) — Untersagung gefährlicher Komponenten, Anordnung von Maßnahmen, Detektion von Sicherheitslücken in Systemen am Internet.

Für UBI gilt eine reduzierte Pflichtenliste mit Selbsterklärung (§ 8f) — Mindestmaß an IT-Sicherheit, Meldepflicht erheblicher Störungen, Registrierung beim BSI.

In der Praxis

KRITIS-Betroffenheit jährlich neu prüfen. Schwellenwerte der KritisV ändern sich, Geschäftsbereiche wachsen oder schrumpfen. Wer einmal unter der Schwelle liegt, fällt bei nächster Gelegenheit darüber — ohne Selbstprüfung bleibt das unentdeckt, bis eine Meldung ans BSI fehlt.

Branchenspezifischen Sicherheitsstandard (B3S) anwenden. Für die meisten Sektoren existieren vom BSI anerkannte B3S — von BDEW (Energie) über DVGW (Wasser) bis zur GMDS für Krankenhäuser. Wer einen B3S nutzt, hat einen klar definierten Prüfumfang und entlastet die nachweisende Stelle.

Meldekette üben — und protokollieren. Die Pflicht zur unverzüglichen Meldung verträgt keine Eskalation über mehrere Hierarchieebenen. Die SOC- oder CSIRT-Stelle muss die Meldung selbst auslösen können, mit klarem Mandat. Tabletop-Übungen mit echten Stoppuhren decken Lücken auf, bevor der Ernstfall kommt.

Mapping zu ISO 27001

Die BSIG-Anforderungen korrespondieren eng mit ISO 27001 — der Standard ist häufig die Basis für den B3S-konformen Nachweis. Besonders relevant sind die Annex-A-Kontrollen rund um Lieferanten, Vorfälle und Angriffserkennung.

Direkt relevante Kontrollen:

A.5.7 — Bedrohungsinformationen: Auswertung der BSI-Warnungen und Lagebilder.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die unverzügliche Meldepflicht.
A.5.25 — Bewertung und Entscheidung zu Informationssicherheitsereignissen: Klassifikation der Erheblichkeitsschwelle.
A.5.26 — Reaktion auf Informationssicherheitsvorfälle: strukturierte Eindämmung und Wiederherstellung.
A.5.27 — Lernen aus Informationssicherheitsvorfällen: Lessons Learned, die in den Folgenachweis einfließen.
A.5.29 — Informationssicherheit bei Störung: Betriebskontinuität nach BSIG-Logik.
A.5.30 — IKT-Bereitschaft für Geschäftskontinuität: Wiederanlaufkonzepte für kritische Anlagen.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung gegen den B3S.
A.5.37 — Dokumentierte Betriebsabläufe: Runbooks für Vorfallreaktion und BSI-Meldung.
A.8.7 — Schutz vor Schadsoftware: Kernbestandteil der Angriffserkennung.
A.8.8 — Umgang mit technischen Schwachstellen: Patch-Management und CVE-Watch.
A.8.16 — Aktivitätsüberwachung: technische Umsetzung der § 8a Abs. 1a-Pflicht zur Angriffserkennung.

Typische Audit-Befunde

Selbstprüfung der KRITIS-Schwellen veraltet — die Organisation ist seit zwei Jahren über der Schwelle, ohne es zu wissen.
Systeme zur Angriffserkennung nur in Teilbereichen — SIEM deckt Office-IT, OT-Bereiche und kritische Steuerungsebene fehlen.
Meldekette für § 8b BSIG nicht eingeübt — nur die Geschäftsleitung darf melden, ist aber am Wochenende nicht erreichbar.
B3S nicht oder unvollständig angewendet — Prüfung erfolgte gegen ISO 27001 ohne branchenspezifische Ergänzung.
Folgenachweis nicht beim BSI eingereicht — der Zwei-Jahres-Rhythmus wurde verpasst, das BSI fragt aktiv nach.
Anordnungen des BSI nicht umgesetzt — eine Aufforderung zur Komponenten-Untersagung blieb mangels klarer Zuständigkeit liegen.

Quellen

BSIG-Volltext (Gesetze im Internet) — amtliche Fassung
BSI-Kritisverordnung (BSI-KritisV) — Schwellenwerte für die KRITIS-Sektoren
BSI — Bundesamt für Sicherheit in der Informationstechnik — Lagebilder, B3S-Übersicht, Meldeportal
BSI-Lagebericht zur IT-Sicherheit in Deutschland — jährlicher Bericht zur Bedrohungslage

Häufig gestellte Fragen

Bin ich KRITIS-Betreiber im Sinne des BSIG?

Massgeblich ist die BSI-Kritisverordnung. Sie definiert Schwellenwerte für die neun KRITIS-Sektoren — Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz, Transport, Siedlungsabfall, Staat und Verwaltung. Wer den Schwellenwert erreicht, ist Betreiber einer kritischen Anlage und muss die Pflichten nach § 8a BSIG erfüllen. Die Selbstprüfung anhand der KritisV ist der erste Schritt.

Was muss ich ans BSI melden?

Erhebliche Störungen mit potenzieller Auswirkung auf die Funktionsfähigkeit der kritischen Anlage (§ 8b Abs. 4 BSIG). Dazu zählen Cyberangriffe, Ausfälle wesentlicher IT-Komponenten und Datenverluste. Die Meldung erfolgt unverzüglich über das BSI-Meldeportal. Was als erheblich gilt, regeln branchenspezifische Sicherheitsstandards (B3S).

Wie oft muss ich die Sicherheit nachweisen?

Alle zwei Jahre (§ 8a Abs. 3 BSIG). Der Nachweis erfolgt durch Audits, Prüfungen oder Zertifizierungen — typischerweise durch eine prüfende Stelle nach BSI-anerkanntem Verfahren. ISO 27001 mit branchenspezifischer Erweiterung (B3S) ist der häufigste Pfad. Der Nachweis wird beim BSI eingereicht und dort geprüft.