Zum Inhalt springen

§ 39 BSIG - entdeckt, erklärt

§ 39 BSIG

In einer Welt, in der die Sicherheit kritischer Infrastrukturen von zentraler Bedeutung ist, müssen Betreiber Kritischer Infrastrukturen (KRITIS) gemäß § 39 BSIG mindestens alle drei Jahre belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Grundlage dieses Nachweises sind entsprechende Sicherheitsaudits, Prüfungen oder Zertifizierungen.

Individuelles Angebot anfordern

Seit dem 06.12.2025 ist das neue NIS-2-Umsetzungsgesetz in Kraft. Aktuell passen wir die entsprechenden Webseiteninhalte von TÜVIT sowie unser Whitepaper im Hinblick auf die neue Gesetzeslage an.

Frische Kartoffeln auf einem Feld

KRITIS – Was verbirgt sich dahinter?

In NIS-2 werden die bisherigen KRITIS-Betreiber als Betreiber kritischer Anlagen bezeichnet. Die bestehende KRITIS-Logik, die sich auf KRITIS-Sektoren, kritische Dienstleistungen und KRITIS-Anlagen mit festgelegten Schwellenwerten (mindestens 500.000 versorgte Personen) stützt, bleibt dabei unverändert. Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.

Als Kritische Infrastrukturen (KRITIS) werden in Deutschland Einrichtungen, Anlagen oder Organisationen bezeichnet, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. Rechtsgrundlage ist insbesondere das BSI-Gesetz (BSIG). Kritisch sind Infrastrukturen dann, wenn ihr Ausfall oder ihre Beeinträchtigung zu erheblichen Versorgungsengpässen, massiven Störungen der öffentlichen Sicherheit oder anderen gravierenden Folgen für Staat, Wirtschaft und Gesellschaft führen würde. Zu den klassischen KRITIS-Sektoren zählen:

  • Energie
  • Gesundheit
  • ITK & TK
  • Transport und Verkehr
  • Wasser
  • Finanz- & Versicherungswesen
  • Abfallwirtschaft
  • Ernährung
  • Staat & Verwaltung
  • Weltraum
  • Sozialversicherung

Ohne eine verlässliche Strom- und Gasversorgung können zentrale Leistungen nicht erbracht werden; ohne funktionierende IT- und Telekommunikationssysteme stehen Verwaltung, Wirtschaft und kritische Dienste still; und ohne die kontinuierliche Versorgung mit Lebensmitteln und Trinkwasser ist das öffentliche Leben kaum aufrechtzuerhalten.

Mit dem NIS-2-Umsetzungsgesetz wurde das deutsche IT-Sicherheitsrecht umfassend modernisiert. Es setzt die europäische NIS-2-Richtlinie in nationales Recht um und erweitert den Anwendungsbereich deutlich. Das bisherige KRITIS-Konzept bleibt bestehen, wird jedoch in ein deutlich breiteres Cybersicherheitsregime eingebettet. Neben den klassischen KRITIS-Betreibern werden nun auch zahlreiche weitere Unternehmen erfasst. Ziel ist es, die Resilienz zentraler wirtschaftlicher und gesellschaftlicher Bereiche insgesamt zu erhöhen.

KRITIS bezeichnet somit weiterhin die besonders schützenswerten Infrastrukturen Deutschlands. Durch das NIS-2-Umsetzungsgesetz wurde ihr Schutz jedoch systematisch ausgeweitet und verschärft, um den wachsenden Cyberbedrohungen wirksam zu begegnen und die Funktionsfähigkeit des Gemeinwesens nachhaltig zu sichern.

 

UnKRITISche IT-Sicherheit

Mit TÜVIT zum erfolgreichen Nachweis gemäß §39 BSIG

Mit uns erbringen Sie den geforderten Nachweis: Wir prüfen Ihre IT-Sicherheit nach den Anforderungen des IT-Sicherheitsgesetzes und begutachten, ob Sie in Bezug auf Ihre IT-Systeme, -Prozesse und -Komponenten angemessene Vorkehrungen nach dem Stand der Technik getroffen haben. 

Als zertifizierter IT-Sicherheitsdienstleister erfüllen wir die Voraussetzungen des BSI als prüfende Stelle für § 39 BSIG - Prüfungen von Kritischen Infrastrukturen und verfügen über die entsprechende Prüfverfahrenskompetenz. 

Darüber hinaus führen wir auch GAP-Analysen zur Ermittlung der geforderten Reife- und Umsetzungsgrade durch und prüfen auch nach branchenspezifischen Sicherheitsstandards (B3S).

Ihre Vorteile auf einen Blick

  • BSI-konformer Nachweis über IT-Sicherheit
    Sie erhalten einen objektiven Nachweis über die Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz.
  • Rechtssicherheit durch Erfüllung gesetzlicher Auflagen
    Mit der Einhaltung der Vorgaben kommen Sie den gesetzlichen Verpflichtungen ordnungsgemäß nach.
  • Verbesserte IT-Sicherheit nach Stand der Technik
    Durch die Absicherung nach Stand der Technik erhöhen Sie die Sicherheit Ihrer IT-Systeme, Prozesse & Komponenten.
  • Verhinderung von Geldbußen
    Durch die Umsetzung der Anforderungen minimieren Sie das Risiko von hohen Geldbußen in Folge von Verstößen.
  • Höhere Versorgungssicherheit
    Indem Sie das Mindestmaß an IT-Sicherheit umsetzen, verbessern Sie gleichzeitig die Versorgungssicherheit Ihrer kritischen Infrastruktur.
  • Sensibilisierung Ihrer Mitarbeitenden
    Eine KRITIS-Prüfung stärkt das Bewusstsein Ihrer Mitarbeitenden für IT-Sicherheitsthemen & neue Gefahren.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über § 39 BSIG wissen müssen

KRITIS-Betreiber (Betreiber kritischer Anlagen) sind dazu verpflichtet,

  • sich zu registrieren (§ 33 Absatz 1 BSIG),
  • eine jederzeit (24/7) erreichbare Kontaktstelle zu benennen,
  • erhebliche Sicherheitsvorfälle zu melden,
  • sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zur Vermeidung von Störungen und Reduktion von Auswirkungen von Sicherheitsvorfällen zu ergreifen (§ 30 BSIG)
  • in der Regel im Geltungsbereich der kritischen Anlage weitere Maßnahmen zu ergreifen, die über das Schutzniveau der Einrichtungen im Allgemeinen hinausgehen (§ 31 BSIG)
  • gemäß § 39 BSIG für die von ihnen betriebenen kritischen Anlagen regelmäßig Nachweise über die Umsetzung der Maßnahmen nach den §§ 30 und 31 BSIG (Risikomanagement und Einsatz von Systemen zur Angriffserkennung) zu erbringen.

Bei einer ISO 27001-Zertifizierung ist nicht automatisch der gesamte, für den Nachweis nach § 8a BSIG relevante Geltungsbereich (Scope) erfasst. Das bedeutet, dass ein ISO 27001-Zertifikat als Bestandteil eines Nachweises – nicht aber als Nachweis selbst – verwendbar ist, solange einige Rahmenbedingungen erfüllt sind. 

  • Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
  • Erweiterter Geltungsbereich: Der Geltungsbereich muss auf ausgelagerte Bereiche erweitert und eine umfassende Sicherheitsbetrachtung aus KRITIS-Sicht durchgeführt werden.
  • Berücksichtigung der KRITIS-Schutzziele: Die KRITIS-Schutzziele der betriebsrelevanten Teile sind geeignet festzulegen, in die Risikobetrachtung mit aufzunehmen durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten.
  • KRITIS-IT-Schutzbedarf: Im Rahmen des Risikomanagements die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten.
  • Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden.
  • Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. 

Der Nachweiszyklus für Betreiber Kritischer Infrastrukturen wurde mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025 von zwei auf drei Jahre verlängert.

Betreiber, die bereits vor dem Inkrafttreten des NIS-2-Umsetzungsgesetzes als Betreiber Kritischer Infrastrukturen registriert waren, haben vom BSI neue Nachweisfristen erhalten.

Sie können Ihren Nachweis entweder zum ursprünglichen Datum oder zum neuen, vom BSI mitgeteilten Datum einreichen. Wenn Sie sich für das ursprüngliche Datum entscheiden, ersetzt dies einmalig die Einreichung zum neuen Datum. Sollten Sie den Nachweis nicht zum ursprünglichen Datum erbringen, gilt automatisch das spätere, mitgeteilte Datum.

Neue Betreiber müssen ihren ersten Nachweis frühestens drei Jahre nach ihrer erstmaligen oder erneuten Registrierung erbringen. Nach dem ersten Nachweis sind alle drei Jahre Folge-Nachweise erforderlich.

Die NIS2-Richtlinie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive), die 2016 von der Europäischen Union eingeführt wurde. Ihr Hauptziel war es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu schaffen. Die ursprüngliche Richtlinie legte den Grundstein für die Verbesserung der Cybersicherheit in kritischen Sektoren, indem sie Mitgliedstaaten dazu verpflichtete, nationale Strategien zu entwickeln und Mindestanforderungen an die Sicherheit von Netz- und Informationssystemen festzulegen.

Mit der rasanten technologischen Entwicklung und der zunehmenden Digitalisierung stiegen auch die Bedrohungen im Cyberraum. Cyberangriffe wurden komplexer und zielgerichteter, was eine Anpassung und Verstärkung der bestehenden Sicherheitsmaßnahmen erforderlich machte. Die NIS2-Richtlinie wurde ins Leben gerufen, um diesen neuen Herausforderungen gerecht zu werden und die Sicherheitsstandards weiter zu erhöhen. Sie zielt darauf ab, die Schwächen der ursprünglichen NIS-Richtlinie zu adressieren und die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken.

Die Umsetzung der NIS2-Richtlinie in nationales Recht erfolgt durch das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz, die ab Ende 2025 in Kraft treten sollen. Ursprünglich war die Umsetzung für 2024 geplant, verzögert sich jedoch in Deutschland bis Ende 2025. Für Finanzunternehmen gilt die DORA-Verordnung (Digital Operational Resilience Act) als sektorspezifische Umsetzung der NIS2-Richtlinie.

Mehr zu NIS-2

Der bisherige Sektor "Finanz- und Versicherungswesen" wird in zwei separate Sektoren unterteilt: "Finanzwesen" und "Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende". Die Regulierung privater Versicherungen im Bereich der Versicherungsdienstleistungen entfällt.

Einige Betreiber kritischer Infrastrukturen sind von der Melde- und Nachweispflicht gemäß BSIG befreit, sofern sie unter die DORA-Verordnung (Digital Operational Resilience Act) fallen.

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes ergeben sich wichtige Änderungen für Betreiber von Anlagen der Kategorie "1.1.2 Anlage oder System zur Steuerung/Bündelung elektrischer Leistung". Diese Anlagen werden nun unter der neuen Bezeichnung "1.1.2 Digitaler Energiedienst" geführt. Der Geltungsbereich dieser Kategorie wird zudem erweitert, um den aktuellen Anforderungen besser gerecht zu werden.

Die Verantwortung für die Einhaltung der Informationssicherheitsanforderungen wechselt von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Bundesnetzagentur (BNetzA). Diese Änderung erfolgt aufgrund der Ausnahmeregelungen des § 28 Absatz 5 BSIG.

Betreiber, die bisher verpflichtet waren, Systeme zur Angriffserkennung gegenüber dem BSI nachzuweisen, müssen diese Nachweise nun nicht mehr beim BSI erbringen. Stattdessen sind sie in die reguläre Nachweispflicht gegenüber der BNetzA integriert. Bei Fragen zu diesen Änderungen steht die BNetzA als Ansprechpartner zur Verfügung.

Unabhängig von der Größe der betriebenen Anlage bleibt die Registrierungs- und Meldepflicht für alle Betreiber kritischer Anlagen bestehen. Dies gilt ebenso für Betreiber besonders wichtiger oder wichtiger Einrichtungen im Energiesektor sowie für Betreiber von Energieversorgungsnetzen.