Ab wann gilt ein IT-Dienstleister als NIS2-pflichtig?

IT-Dienstleister fallen je nach Tätigkeit unter verschiedene NIS2-Kategorien: Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) sind nach Anhang I Nr. 8 als Wesentliche Einrichtungen eingestuft, unabhängig von der Größe, wenn sie kritische Dienste für NIS2-pflichtige Kunden erbringen. Allgemeine IT-Dienstleister ohne MSP-Charakter fallen erst ab mittlerer Unternehmensgröße (50 MA oder 10 Mio. EUR Umsatz) unter NIS2 Anhang II Nr. 9. Die Einstufung ist einzelfallabhängig und sollte rechtlich geprüft werden.

Welche besonderen Pflichten gelten für MSP und MSSP unter NIS2?

MSP und MSSP sind nach Anhang I Nr. 8 Wesentliche Einrichtungen mit den schärfsten NIS2-Pflichten: Risikomanagement nach § 30 BSIG-neu, Meldepflichten innerhalb 24/72 Stunden nach § 32 BSIG-neu, BSI-Registrierung innerhalb drei Monate nach § 33 BSIG-neu und Geschäftsleiterhaftung nach § 38 BSIG-neu. Besonders relevant ist die Pflicht, Sicherheitsvorfälle zu melden, die Kundensysteme betreffen, da der MSP als verlängerte Angriffsfläche für kritische Sektoren gilt.

Was ist der Unterschied zwischen NIS2 Anhang I und Anhang II für IT-Dienstleister?

Anhang I (Wesentliche Einrichtungen) erfasst kritische IT-Anbieter wie MSP, MSSP, DNS-Dienste, TLD-Registries und Vertrauensdiensteanbieter unabhängig von der Unternehmensgröße. Anhang II (Wichtige Einrichtungen) erfasst allgemeine digitale Dienste und IT-Dienstleister erst ab mittlerer Unternehmensgröße. Wesentliche Einrichtungen unterliegen proaktiver BSI-Aufsicht und höheren Bußgeldsätzen; Wichtige Einrichtungen werden überwiegend reaktiv beaufsichtigt.

Welche Bußgelder drohen IT-Dienstleistern bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wesentliche Einrichtungen (Anhang I, z. B. MSP) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Für Wichtige Einrichtungen (Anhang II) gelten dieselben Obergrenzen. Hinzu kommt persönliche Geschäftsführerhaftung nach § 38 BSIG-neu. Bei Vorfällen, die Kundendaten betreffen, können zudem DSGVO-Bußgelder nach Art. 83 DSGVO anfallen.

Was bedeuten NIS2-Lieferkettenpflichten für IT-Dienstleister?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet IT-Dienstleister zur Sicherheit ihrer eigenen Lieferkette: Rechenzentrumsanbieter, Cloud-Plattformen, Open-Source-Komponenten und Subunternehmer müssen auf Cybersicherheitsanforderungen verpflichtet werden. Gleichzeitig kann der IT-Dienstleister selbst Zulieferer seiner NIS2-pflichtigen Kunden sein und muss deren Lieferkettensicherheitsanforderungen erfüllen.

Wann müssen sich IT-Dienstleister beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der Betroffenheit. MSP und MSSP sind aufgrund ihrer Einstufung als Wesentliche Einrichtungen nach Anhang I i. d. R. direkt ab Inkrafttreten des BSIG-neu registrierungspflichtig. Die Registrierung erfolgt über das BSI-Meldeportal und umfasst Angaben zu Einrichtungskategorie, erbrachten Diensten und Kontaktstelle.

Haften IT-Dienstleister-Geschäftsführer persönlich für NIS2-Verstöße?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen von Wesentlichen und Wichtigen Einrichtungen explizit zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Nachgewiesene Vernachlässigung kann persönliche Haftung auslösen. IT-Dienstleister mit mehreren Geschäftsführern sollten Verantwortlichkeiten schriftlich zuweisen und in regelmäßigen Beschlüssen dokumentieren.

Branchengenauer Self-Check

Ist mein IT-Dienstleister von NIS2 betroffen?

MSP, MSSP, Systemhaus, Consultant: Als ICT-Diensteverwaltung B2B greift NIS2 bereits ab 50 Mitarbeitenden. Gleichzeitig: hohe Verantwortung durch Lieferkettensicherheit bei Kunden.

Schritt 1 / 2

Dienstleistungsstruktur und Kundenzugang

NIS2 Anhang I Nr. 8 erfasst ICT-Diensteverwaltung B2B. Kreuze an, was auf deinen Betrieb zutrifft.

Verwaltete IT-Dienste für externe Geschäftskunden (B2B)MSP/Managed Services, MSSP/Managed Security, Outsourcing, Betrieb fremder InfrastrukturPrivilegierter Zugriff auf KundensystemeAdmin-Zugänge, Remote-Access, Agenten auf Kundensystemen, Backup-ZugriffCybersecurity- oder Incident-Response-Dienste im PortfolioSOC, SIEM, EDR-Betrieb, Vulnerability Management, Incident ResponseÜber 10 B2B-Managed-Kunden im aktiven BetriebIndikator für Multiplikator-Relevanz in der Lieferkette

Schritt 2 / 2

Unternehmensgröße

IT-Dienstleister: Der vollständige NIS2-Leitfaden

IT-Dienstleister sind unter NIS2 in einer Doppelrolle: Viele sind als Managed Service Provider (MSP) oder Cloud-Anbieter selbst Wichtige oder Wesentliche Einrichtung nach NIS2-Anhang II Nr. 6 (IKT-Dienste). Gleichzeitig sind sie als Lieferanten für andere NIS2-pflichtige Unternehmen nach § 30 Abs. 2 Nr. 4 BSIG-neu in der Lieferkettenpflicht. Dieser Leitfaden richtet sich an Geschäftsführer und CISOs von IT-Dienstleistern, MSPs und Cloud-Anbietern.

Wer ist betroffen?

IT-Dienstleister fallen direkt unter NIS2-Anhang II Nr. 6 (Anbieter digitaler Infrastrukturen) oder Anhang II Nr. 7 (IKT-Dienste im B2B-Bereich), wenn sie die KMU-Schwellen überschreiten: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Große Cloud-Anbieter, DNS-Resolver, TLD-Registries und Internet Exchange Points fallen unter NIS2-Anhang I Nr. 7-8 als Wesentliche Einrichtung - unabhängig von Umsatzschwellen.

Außerdem: IT-Dienstleister, die andere NIS2-pflichtige Einrichtungen betreuen (z.B. Krankenhäuser, Energieversorger, Behörden), werden von diesen Kunden als kritische Zulieferer nach § 30 Abs. 2 Nr. 4 BSIG-neu behandelt. Das bedeutet: Auch wer selbst nicht direkt betroffen ist, kann durch Kundenanforderungen de facto NIS2-konform sein müssen.

Ein MSP mit 60 Mitarbeitenden, der Krankenhäuser, Kommunen und Energieversorger betreut, ist sowohl direkt als auch indirekt von NIS2 betroffen.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben technisch-organisatorische Maßnahmenbereiche, die für IT-Dienstleister als kritische Lieferanten besonders bedeutsam sind:

Risikoanalyse und -management: IT-Dienstleister müssen ihre eigene Sicherheitsarchitektur bewerten, aber auch die Risiken, die von ihrem Service für ihre Kunden ausgehen.
Incident Handling: Ein Sicherheitsvorfall beim MSP kann simultan viele NIS2-pflichtige Kunden betreffen. Der Incident-Response-Plan muss Kunden-Notifizierung und koordinierte Reaktion umfassen.
Business Continuity: IT-Dienstleister müssen für ihre eigene Infrastruktur und für die Dienste ihrer Kunden BCP-Pläne vorhalten.
Supply-Chain-Sicherheit: IT-Dienstleister sind selbst Teil der Lieferkette ihrer Kunden. Sie müssen ihren Kunden gegenüber nachweisen, dass sie die Anforderungen des § 30 Abs. 2 Nr. 4 BSIG-neu erfüllen.
Zugangskontrolle und MFA: Privileged Access Management (PAM) und MFA für alle privilegierten Zugänge zu Kundensystemen sind absolute Pflicht.
Verschlüsselung: Kundendaten, Konfigurationsdaten und Kommunikation müssen durchgängig verschlüsselt sein.
Schulung und Awareness: IT-Personal, das Kundensysteme verwaltet, muss regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Besonderheit für IT-Dienstleister: Ein Vorfall beim MSP, der NIS2-pflichtige Kunden betrifft, muss sowohl der eigenen NIS2-Meldepflicht genügen als auch den Kunden gemeldet werden. Die Kunden haben ihrerseits eigene Meldepflichten gegenüber dem BSI.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. Bei IT-Dienstleistern kommt hinzu: Vertragliche Haftung gegenüber Kunden bei Sicherheitsvorfällen. NIS2-Bußgeld plus Schadensersatz an Kunden kann existenzbedrohend sein.

Lieferkettenpflicht § 30 Abs. 2 Nr. 4: MSPs als kritische Zulieferer und Vertragsgestaltung

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet alle NIS2-Einrichtungen, "Sicherheitsaspekte in Bezug auf die Beziehungen zwischen der Einrichtung und ihren unmittelbaren Zulieferern" zu regeln. Für IT-Dienstleister als häufige Zulieferer bedeutet das: NIS2-pflichtige Kunden werden ihr in Sicherheitsanforderungen stellen.

Konkret wird das in Verträgen: SLA-Klauseln zur Sicherheit, Audit-Rechte des Kunden, Pflicht zur Meldung von Sicherheitsvorfällen an den Kunden, Nachweis von Sicherheitszertifizierungen (ISO 27001, SOC 2). Viele NIS2-Einrichtungen beginnen bereits, Bestandslieferanten-Verträge entsprechend nachzuverhandeln.

MSPs können die Lieferkettenpflicht als Marktchance nutzen: Wer frühzeitig NIS2-konform ist und das zertifizieren lässt, differenziert sich von Mitbewerbern. ISO 27001 oder SOC 2 Type II sind die Standard-Nachweise, die NIS2-pflichtige Kunden verlangen werden.

Erste Schritte

Kläre deine direkte NIS2-Betroffenheit: Anhang I, Anhang II oder kein direkter Scope?
Identifiziere, welche deiner Kunden NIS2-pflichtig sind. Diese werden Sicherheitsanforderungen an dich stellen.
Prüfe deine aktuellen Verträge: Sind Sicherheits-SLAs, Audit-Rechte und Incident-Notification enthalten?
Baue ein Privileged Access Management (PAM) System auf, wenn noch nicht vorhanden.
Erstelle einen MSP-spezifischen Incident-Response-Plan, der Kunden-Notifizierung einschließt.
Evaluiere ISO 27001 oder SOC 2 Type II als Zertifizierungsgrundlage für Kundenanfragen.
Registriere dich beim BSI, wenn direkter NIS2-Scope vorliegt.

Typische Fehler vermeiden

"Wir sind nicht direkt betroffen" als Ausrede: Auch ohne direkten NIS2-Scope werden Kunden Sicherheitsanforderungen nach § 30 Abs. 2 Nr. 4 BSIG-neu stellen. Wer nicht vorbereitet ist, verliert Kunden.

Fehlendes Privileged Access Management: MSPs, die Kundensysteme mit geteilten Passwörtern verwalten, erfüllen NIS2-Anforderungen nicht. PAM ist kein optionales Add-on.

Kundenvorfälle nur intern behandelt: Wenn ein Sicherheitsvorfall beim MSP NIS2-pflichtige Kunden betrifft, müssen diese informiert werden. Wer das nicht tut, bricht Vertragspflichten und NIS2-Anforderungen.

Zertifizierung als Zukunftsprojekt: NIS2-pflichtige Kunden werden Sicherheitsnachweise zeitnah verlangen. Wer erst mit dem Prozess beginnt, wenn Kunden anfragen, ist zu spät.

Nutze den branchengenauen NIS2-Rechner für IT-Dienstleister, um deine Betroffenheit zu klären.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein IT-Dienstleister von NIS2 betroffen?

IT-Dienstleister: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Lieferkettenpflicht § 30 Abs. 2 Nr. 4: MSPs als kritische Zulieferer und Vertragsgestaltung

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein IT-Dienstleister als NIS2-pflichtig?

02Welche besonderen Pflichten gelten für MSP und MSSP unter NIS2?

03Was ist der Unterschied zwischen NIS2 Anhang I und Anhang II für IT-Dienstleister?

04Welche Bußgelder drohen IT-Dienstleistern bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für IT-Dienstleister?

06Wann müssen sich IT-Dienstleister beim BSI registrieren?

07Haften IT-Dienstleister-Geschäftsführer persönlich für NIS2-Verstöße?