Ab wann gilt ein Rechenzentrum als NIS2-pflichtig?

Rechenzentren fallen als Anbieter von Rechenzentrumsdiensten unter NIS2 Anhang I Nr. 8 (Digitale Infrastruktur), unabhängig von Mitarbeiterzahl oder Umsatz, sofern sie Dienstleistungen für NIS2-pflichtige Sektoren erbringen. Ab einer installierten IT-Leistung von 3 MW und Versorgung kritischer Nutzer können sie zudem KRITIS-pflichtig nach BSI-KritisV § 5 Anhang 4 werden. Die genaue Einstufung hängt von Kundenprofil und Kapazität ab.

Was ist der Unterschied zwischen NIS2 und KRITIS für Rechenzentren?

NIS2 Anhang I Nr. 8 gilt für Rechenzentren als digitale Infrastruktur ab dem Zeitpunkt, da sie kritische Dienste für NIS2-pflichtige Betreiber erbringen. KRITIS nach BSI-KritisV § 5 Anhang 4 greift ab einer installierten IT-Leistung von 3 MW. KRITIS-Rechenzentren haben zusätzliche Pflichten: BSI-Nachweis alle zwei Jahre, 24/7-Kontaktstelle und strengere Audits. Beide Regime können gleichzeitig gelten.

Welche Bußgelder drohen Rechenzentrumsbetreibern bei NIS2-Verstößen?

Als Wesentliche Einrichtungen nach Anhang I riskieren Rechenzentrumsbetreiber nach § 65 BSIG-neu Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Persönliche Haftung der Geschäftsleitung ist nach § 38 BSIG-neu möglich. Bei KRITIS-Einstufung kommen behördliche Anordnungen und Zwangsgelder nach § 53 BSIG-neu hinzu.

Welche physischen und logischen Sicherheitspflichten gelten für Rechenzentren nach NIS2?

§ 30 BSIG-neu verlangt technische und organisatorische Maßnahmen für Netzwerksicherheit, physische Zutrittskontrolle, Redundanzsysteme (Strom, Kühlung, Konnektivität), Datenverschlüsselung und Backup-Konzepte. Für Rechenzentren besonders relevant sind: Segmentierung von Kundennetzwerken, Patch-Management für Hypervisor-Plattformen und regelmäßige Penetrationstests der Perimeterschutzmaßnahmen.

Wann müssen Rechenzentrumsbetreiber beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Da Rechenzentren als Wesentliche Einrichtungen nach Anhang I eingestuft sind, besteht die Registrierungspflicht i. d. R. unmittelbar ab Inkrafttreten des BSIG-neu. KRITIS-Rechenzentren müssen sich zusätzlich nach § 8a BSIG beim BSI als kritische Infrastruktur registrieren.

Was bedeuten NIS2-Lieferkettenpflichten für Rechenzentrumsbetreiber?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Absicherung der gesamten Lieferkette. Für Rechenzentren betrifft das Hardware-Lieferanten (Server, Switches, USV), Facility-Dienstleister (Kühlung, Strom), Software-Anbieter (Hypervisoren, Monitoring) und Netzprovider. Lieferantenverträge müssen Sicherheitsanforderungen und regelmäßige Auditrechte enthalten.

Haften Rechenzentrums-Geschäftsführer persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Bei schuldhafter Vernachlässigung kann persönliche Haftung entstehen. Rechenzentrumsbetreiber sollten ein ISMS nach ISO/IEC 27001 oder DIN EN 50600 aufbauen, das explizit die NIS2-Anforderungen und die BSI-Grundschutz-Bausteine für Rechenzentren abdeckt.

Branchengenauer Self-Check

Ist mein Rechenzentrum von NIS2 betroffen?

Colo, Enterprise-RZ, Cloud-Node, Hyperscale: Digitale Infrastruktur greift unter Anhang I - KRITIS ab 3,5 MW durchschnittliche Stromaufnahme.

Schritt 1 / 2

Betriebsstruktur und Diensteportfolio

NIS2 Anhang I Nr. 8 erfasst Betreiber digitaler Infrastruktur. Kreuze an, was auf dein Rechenzentrum zutrifft.

Betrieb eines zentralisierten RechenzentrumsDedizierte Serverräume mit redundanter Stromversorgung, Klimatisierung, ZugangsschutzBereitstellung von IT-Ressourcen an externe KundenColo-Kunden, Hosting, dedizierte Server, Cloud-InstanzenRedundante Anbindung und GeoredundanzMulti-Carrier-Internetanbindung, georedundante Zwillingsstandorte, SLA > 99,9%Durchschnittliche IT-Leistung über 1 MWIndikator für überregionale Relevanz - bei 3,5 MW greift KRITIS

Schritt 2 / 2

Unternehmensgröße

Rechenzentrum: Der vollständige NIS2-Leitfaden

Rechenzentrumsbetreiber sind nach NIS2-Anhang II Nr. 6 lit. d als Anbieter digitaler Infrastruktur direkt betroffen - unabhängig von Umsatz, sobald die technische Schwelle von 3,5 MW durchschnittlicher Stromaufnahme erreicht wird oder allgemeine KMU-Schwellen überschritten werden. Als Betreiber kritischer Infrastruktur für zahlreiche NIS2-pflichtige Kunden sind Rechenzentren eine Schlüsselposition in der digitalen Lieferkette. Dieser Leitfaden richtet sich an RZ-Betreiber, technische Leiter und Compliance-Verantwortliche.

Wer ist betroffen?

Rechenzentrumsbetreiber fallen unter NIS2-Anhang II Nr. 6 lit. d (Rechenzentrumsdienstleister) wenn sie mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz haben. Sie sind dann Wichtige Einrichtung.

Darüber hinaus: Wer die Schwelle von 3,5 MW durchschnittlicher IT-Stromaufnahme überschreitet, kann je nach Einordnung in die KRITIS-Kategorien fallen und Wesentliche Einrichtung nach Anhang I sein.

Colocation-Anbieter, Cloud-Infrastruktur-Betreiber und Hyperscaler sind in der Regel direkt betroffen. Auch Unternehmens-Rechenzentren, die Dienste für Dritte erbringen, fallen in den Scope.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben Pflichtbereiche, die für Rechenzentrumsbetreiber durch die Kritikalität der Hosting-Infrastruktur besonders bedeutsam sind:

Risikoanalyse und -management: Stromversorgung (USV, Netzanbindung), Kühlung, Netzwerkinfrastruktur, physischer Zugang und alle Managed Services müssen bewertet werden.
Incident Handling: Ausfälle, die Kundensysteme betreffen, sind meldepflichtige Vorfälle. Incident Response muss Kunden-Kommunikation und BSI-Meldung koordinieren.
Business Continuity: Redundanz-Konzepte (N+1, 2N) müssen dokumentiert und regelmäßig getestet sein. RTO und RPO müssen für alle kritischen Dienste definiert sein.
Supply-Chain-Sicherheit: Strom-Lieferanten, Kühltechnik-Hersteller und Netzwerk-Carrier müssen auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Physischer Zugang (biometrisch, Karte) und logischer Zugang (MFA) müssen für alle Zonen dokumentiert und durchgesetzt sein.
Verschlüsselung: Kundendaten auf Speicher-Systemen müssen at-rest verschlüsselt sein. Übertragungen zwischen RZ und Kunden sind zu verschlüsseln.
Schulung und Awareness: RZ-Techniker, NOC-Personal und Verwaltung müssen regelmäßig geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Stromausfall oder Kühlungsausfall, der Kundensysteme für mehr als eine Stunde beeinträchtigt und NIS2-pflichtige Einrichtungen betrifft, ist meldepflichtiger Vorfall. Auch Cyberangriffe auf RZ-Management-Systeme ohne nachgewiesenen Datenverlust sind meldepflichtig.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. Dazu kommt vertragliche Haftung gegenüber Kunden bei SLA-Verletzungen durch Sicherheitsvorfälle.

3,5-MW-Schwelle: Berechnung der durchschnittlichen IT-Stromaufnahme und EN 50600

Die 3,5-MW-Schwelle für die direkte KRITIS-Einstufung bezieht sich auf die durchschnittliche IT-Stromaufnahme (IT Load) des Rechenzentrums, nicht auf den Gesamtstrombedarf. Die Berechnung erfolgt nach EN 50600-4-9 (Energieeffizienz-Kennzahlen für Rechenzentren).

Berechnungsformel: Durchschnittliche IT-Stromaufnahme = Gesamtstromaufnahme / PUE (Power Usage Effectiveness). Beispiel: Ein RZ mit einem PUE von 1,5 und einer Gesamtstromaufnahme von 6 MW hat eine IT-Stromaufnahme von 4 MW - und überschreitet damit die 3,5-MW-Schwelle.

Für die Einstufung relevant: Nicht einzelne Racks oder Hallen, sondern das gesamte Rechenzentrum am Standort. Wer mehrere kleinere Standorte betreibt, muss jeden Standort separat bewerten. Die EN 50600 liefert auch die Methodik für die Dokumentation, die gegenüber BSI und Behörden nachzuweisen ist.

Erste Schritte

Berechne die durchschnittliche IT-Stromaufnahme deines RZ nach EN 50600-4-9.
Prüfe Mitarbeiterzahl und Umsatz gegen die KMU-Schwellen.
Führe eine vollständige Risikoanalyse für Strom, Kühlung, Konnektivität und physische Sicherheit durch.
Inventarisiere alle Kundensysteme und klassifiziere, welche NIS2-pflichtig sind.
Erstelle einen Incident-Response-Plan mit Kunden-Eskalations-Matrix.
Prüfe alle Wartungsverträge (Kühlung, USV, Netzwerk) auf Sicherheitsklauseln.
Registriere dich beim BSI.

Typische Fehler vermeiden

PUE-Wert nicht in der KRITIS-Berechnung berücksichtigt: Die Schwelle bezieht sich auf IT-Lastleistung, nicht auf Gesamtstrom. Ein fehlerhafte Berechnung kann zur falschen Einstufung führen.

Physische Sicherheit nicht als IT-Sicherheitsthema: Tailgating-Risiken, unzureichende Zonentrennung und fehlende CCTV-Protokollierung sind NIS2-relevante Risiken.

Kunden-Sicherheitsanforderungen nicht vertraglich geregelt: NIS2-pflichtige Kunden werden Audit-Rechte, Incident-Notification und Sicherheitsnachweise verlangen. Wer das vertraglich nicht vorbereitet hat, steht unter Druck.

Redundanz-Tests nur auf dem Papier: Geplante Redundanz die nicht getestet wurde, ist keine verlässliche Redundanz. Regelmäßige Tests sind NIS2-Pflicht.

Nutze den branchengenauen NIS2-Rechner für Rechenzentren, um deine Einstufung zu ermitteln.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Rechenzentrum von NIS2 betroffen?

Rechenzentrum: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

3,5-MW-Schwelle: Berechnung der durchschnittlichen IT-Stromaufnahme und EN 50600

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Rechenzentrum als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Rechenzentren?

03Welche Bußgelder drohen Rechenzentrumsbetreibern bei NIS2-Verstößen?

04Welche physischen und logischen Sicherheitspflichten gelten für Rechenzentren nach NIS2?

05Wann müssen Rechenzentrumsbetreiber beim BSI registrieren?

06Was bedeuten NIS2-Lieferkettenpflichten für Rechenzentrumsbetreiber?

07Haften Rechenzentrums-Geschäftsführer persönlich für NIS2-Compliance?