Ab wann gilt ein SaaS-Anbieter als Cloud-Computing-Dienst nach NIS2?

NIS2 Anhang I Nr. 8 erfasst Cloud-Computing-Dienste nach der Definition in Verordnung (EU) 2018/1807: On-demand-Bereitstellung skalierbarer Ressourcen über ein Netz für mehrere Mandanten. Entscheidend sind On-demand-Self-Service, Mandantenfähigkeit und ein eigener Service-Stack. Wer lediglich White-Label-Software weiterverkauft oder keinen eigenen Infrastrukturbetrieb hat, fällt ggf. nur unter Anhang II als sonstiger digitaler Dienst. Die Einstufung ist einzelfallabhängig und sollte anwaltlich geprüft werden.

Was ist der Unterschied zwischen SaaS-Anbietern und IT-Dienstleistern (MSP/MSSP) unter NIS2?

Beide Kategorien fallen unter NIS2 Anhang I Nr. 8, aber mit unterschiedlichem Schwerpunkt. MSP/MSSP verwalten aktiv fremde IT-Infrastruktur mit privilegiertem Zugriff auf Kundensysteme. SaaS-Anbieter betreiben eigene mandantenfähige Dienste, die Kunden selbst nutzen. Bei MSPs ist die Lieferkettengefährdung durch privilegierten Zugriff zentral; bei SaaS-Anbietern stehen Verfügbarkeit des Dienstes und Datenschutz im Vordergrund. In der Praxis können Dienste beide Merkmale aufweisen - dann greifen beide Anforderungen kumulativ.

Was ändert sich durch Finanzkunden (DORA)?

Die Verordnung (EU) 2022/2554 (DORA) ist seit 17. Januar 2025 in Kraft. Als IKT-Drittdienstleister von Finanzunternehmen bist du verpflichtet, Verträge nach Art. 28 DORA zu gestalten: Exit-Strategie, Audit-Rechte des Finanzunternehmens, Offenlegung von Sub-Outsourcing-Ketten. Kritische IKT-Drittdienstleister (CTPP) werden von ESA-Behörden direkt beaufsichtigt, was in der Praxis nur Hyperscaler betrifft. Für typische SaaS-Anbieter reicht ein DORA-konformer Vertragsnachtrag (Addendum) zum Hauptvertrag.

Bin ich als SaaS-Anbieter DSGVO-Auftragsverarbeiter?

Ja, sobald du personenbezogene Daten deiner Kunden im Rahmen des Dienstes verarbeitest, bist du Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Dann ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit jedem Kunden Pflicht. Dieser muss Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen sowie deine Sub-Processor-Liste umfassen. Die Sub-Processor-Liste ist aktuell zu halten - sowohl für DSGVO als auch für DORA Art. 28, falls Finanzkunden betroffen sind.

Gilt NIS2 auch für US-Anbieter mit deutschen Kunden?

NIS2 gilt für Einrichtungen, die ihre Dienste in der EU erbringen oder dort niedergelassen sind. Ein US-Anbieter ohne EU-Niederlassung, der aber deutschen Kunden Cloud-Dienste anbietet, kann unter NIS2 fallen, wenn er wesentliche Auswirkungen auf die EU-Versorgung hat. Nach § 29 BSIG-neu müssen Einrichtungen ohne EU-Sitz einen Bevollmächtigten in Deutschland benennen. Die praktische Aufsicht ist komplex, aber die rechtliche Pflicht besteht.

Welche Cloud-Provider-Abhängigkeiten muss ich in der Risikoanalyse abbilden?

§ 30 Abs. 2 Nr. 4 BSIG-neu verlangt Supply-Chain-Sicherheitsmanagement. Das bedeutet für SaaS-Anbieter: AWS, Azure, GCP oder sonstige Infrastruktur-Provider sind kritische Zulieferer und müssen in der Risikoanalyse dokumentiert sein. Relevante Aspekte sind Ausfallszenarien (Verfügbarkeit, Regionen), Exit-Optionen, Datenlokalisierung sowie Sicherheitszertifizierungen der Provider (ISO 27001, SOC 2). Subunternehmer für Zahlungsabwicklung, E-Mail-Delivery oder Authentifizierung gehören ebenfalls zur Lieferkette.

Welche Meldefristen gelten bei Datenpannen (NIS2 vs DSGVO)?

NIS2 und DSGVO haben unterschiedliche Meldestränge. Nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage - gegenüber dem BSI als NIS2-Behörde. Nach Art. 33 DSGVO: Meldung an die Datenschutzbehörde binnen 72 Stunden bei Verletzung des Schutzes personenbezogener Daten, bei hohem Risiko zusätzlich Betroffenenbenachrichtigung nach Art. 34 DSGVO. Beide Pflichten können parallel greifen. Ein interner Incident-Response-Plan muss beide Meldestränge koordinieren.

Haften Geschäftsführer persönlich bei NIS2-Verstößen?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen von Wesentlichen und Wichtigen Einrichtungen explizit zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Nachgewiesene Vernachlässigung kann persönliche Haftung auslösen - unabhängig von der gesellschaftsrechtlichen Haftungsbeschränkung der GmbH. SaaS-Anbieter mit mehreren Geschäftsführern sollten Cybersicherheits-Verantwortlichkeiten schriftlich zuweisen und in regelmäßigen Beschlüssen dokumentieren.

Branchengenauer Self-Check

Ist mein SaaS- oder Cloud-Dienst von NIS2 betroffen?

Cloud-Computing-Dienste fallen unter Anhang I der NIS2-Richtlinie. Ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz greift die Pflicht - unabhängig von Finanzkunden, DSGVO oder DORA-Layern.

Schritt 1 / 2

Cloud-Service-Kriterien und Betriebsmodell

NIS2 Anhang I Nr. 8 erfasst Cloud-Computing-Dienste nach VO (EU) 2018/1807. Kreuze an, was auf deinen Dienst zutrifft.

On-demand Self-Service für GeschäftskundenKunden können eigenständig Accounts erstellen, Ressourcen skalieren, ohne manuellen VertriebsschrittMulti-Tenancy und elastische Ressourcen-ZuteilungMehrere Mandanten teilen sich eine logische Infrastruktur, Ressourcen werden automatisch angepasstSLA-basierter Betrieb mit Verfügbarkeits-ZusageSchriftlich dokumentierte Uptime-Ziele (z.B. 99,9 Prozent), Incident-Response-Verpflichtungen, Support-KanäleEigene Infrastruktur oder Managed-Hosting für den ServiceBetrieb in selbstverwalteter Cloud (AWS, Azure, GCP, Hetzner, eigene RZ) mit eigenem Service-Stack - nicht White-Label-Resale

Schritt 2 / 2

Unternehmensgröße

SaaS-Anbieter und B2B-Cloud: Der vollständige NIS2-Leitfaden

Cloud-Computing-Dienste stehen in einer besonderen Verantwortung unter NIS2: Sie sind nach Anhang I Nr. 8 der NIS2-Richtlinie (EU) 2022/2555 als Wesentliche Einrichtungen eingestuft und unterliegen damit den strengsten Anforderungen. Dieser Leitfaden richtet sich an Gründer, Geschäftsführer und CTOs von SaaS-Unternehmen und B2B-Cloud-Diensten, die verstehen wollen, welche Pflichten auf sie zukommen.

Wer ist betroffen?

NIS2 Anhang I Nr. 8 erfasst Cloud-Computing-Dienste nach der Definition in Verordnung (EU) 2018/1807. Drei Merkmale sind entscheidend: On-demand-Bereitstellung skalierbarer Ressourcen für mehrere Mandanten über ein Netz. Konkret bedeutet das: SaaS-Anbieter, die Geschäftskunden eigenständig provisionierbare Dienste anbieten, Multi-Tenancy betreiben und eigene Infrastruktur oder Managed-Hosting betreiben.

Die Größenschwelle folgt der KMU-Empfehlung 2003/361/EG Art. 2: mindestens 50 Mitarbeitende (Vollzeitäquivalente) oder mindestens 10 Mio. Euro Jahresumsatz. Beide Schwellen müssen zwei Geschäftsjahre in Folge überschritten sein, um Betroffenheit auszulösen. Das heißt: Ein SaaS-Unternehmen im schnellen Wachstum sollte die Betroffenheit prospektiv prüfen.

Wer lediglich White-Label-Software eines anderen Anbieters weiterverkauft oder keinen eigenen Service-Stack betreibt, fällt nicht unter Anhang I Nr. 8, kann aber unter Anhang II als sonstiger digitaler Dienst eingestuft werden.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert ein umfassendes Risikomanagement-System mit technisch-organisatorischen Maßnahmen (TOMs). Für SaaS-Anbieter besonders relevant:

Risikoanalyse und -management: Regelmäßige Bewertung der eigenen Sicherheitsarchitektur - Cloud-Infrastruktur, Authentifizierungssysteme, Datenbankzugriffe, API-Sicherheit.
Incident Handling: Ein dokumentierter Incident-Response-Plan mit klaren Eskalationsstufen und Kommunikationswegen gegenüber dem BSI und betroffenen Kunden.
Business Continuity: Backup-Konzepte, Disaster-Recovery-Pläne und Wiederherstellungsziele (RTO/RPO) müssen dokumentiert und getestet sein.
Supply-Chain-Sicherheit: AWS, Azure, GCP, Stripe, Auth0 und andere kritische Zulieferer müssen in der Risikoanalyse dokumentiert sein (§ 30 Abs. 2 Nr. 4 BSIG-neu).
Zugangskontrolle und MFA: Multi-Faktor-Authentifizierung für alle privilegierten Zugriffe auf Produktionssysteme ist Pflicht.
Verschlüsselung: Kundendaten müssen sowohl at-rest als auch in-transit verschlüsselt sein.
Schulung: Technisches Personal muss regelmäßig zu Cybersicherheitsthemen geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu innerhalb von drei Monaten nach Feststellung der Betroffenheit. Für Sicherheitsvorfälle nach § 32 BSIG-neu gilt eine dreistufige Meldekette: Erstmeldung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb von 30 Tagen nach dem Vorfall.

Bei einem Sicherheitsvorfall, der Kundendaten betrifft, laufen parallel zwei Meldestränge: Die NIS2-Meldepflicht gegenüber dem BSI und die DSGVO-Meldepflicht gegenüber der Datenschutzbehörde nach Art. 33 DSGVO (ebenfalls 72 Stunden). Betroffene Kunden müssen zusätzlich nach Art. 34 DSGVO informiert werden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Ein interner Incident-Response-Plan muss beide Meldestränge koordinieren und sollte vor dem ersten Vorfall fertiggestellt sein.

Bußgelder und persönliche Haftung

Wichtige Einrichtungen nach Anhang I: bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (§ 65 BSIG-neu). Hinzu kommt persönliche Geschäftsleiterhaftung nach § 38 BSIG-neu: Geschäftsführer und Vorstände müssen Cybersicherheitsmaßnahmen billigen, überwachen und regelmäßig schulen. Nachgewiesene Vernachlässigung kann zu persönlicher Haftung führen, unabhängig von der gesellschaftsrechtlichen Haftungsbeschränkung einer GmbH.

Für SaaS-Anbieter kommt vertragliche Haftung gegenüber Kunden hinzu: Verletzt ein Anbieter seine NIS2-Pflichten und verursacht dadurch einen Schaden beim Kunden, können DSGVO-Bußgelder und Schadensersatzansprüche gleichzeitig anfallen.

DORA: Was für Finanzkunden zusätzlich gilt

Die Verordnung (EU) 2022/2554 (Digital Operational Resilience Act, kurz DORA) ist seit 17. Januar 2025 in Kraft und gilt für alle IKT-Drittdienstleister, die Finanzunternehmen wie Banken, Versicherungen oder Kapitalverwaltungsgesellschaften bedienen.

Als IKT-Drittdienstleister mit Finanzkunden bist du nach Art. 28 DORA verpflichtet, bestimmte Vertragsbestandteile aufzunehmen: eine dokumentierte Exit-Strategie, die dem Finanzunternehmen einen geordneten Wechsel ermöglicht; Audit-Rechte des Finanzunternehmens und dessen Aufsichtsbehörde; sowie eine vollständige Offenlegung der Sub-Outsourcing-Kette, inklusive aller Sub-Processor, die sicherheitsrelevante Funktionen übernehmen.

Kritische IKT-Drittdienstleister (Critical Third-Party Providers, CTPP) werden direkt von den europäischen Aufsichtsbehörden (ESA) beaufsichtigt. In der Praxis betrifft das nur Hyperscaler wie AWS, Azure oder Google Cloud, nicht typische SaaS-Anbieter. Für SaaS-Anbieter mit Finanzkunden im Portfolio ist ein DORA-konformer Vertragsnachtrag (Addendum) zum bestehenden Hauptvertrag in den meisten Fällen ausreichend, um die Art. 28 Pflichten zu erfüllen.

Typische Fehler vermeiden

"Wir sind nur Software, kein IT-Betrieb": Dieser Irrtum ist weit verbreitet. NIS2 Anhang I Nr. 8 stellt nicht auf die interne Selbstwahrnehmung ab, sondern auf die Merkmale des Dienstes. Wer mandantenfähige Software auf eigener Infrastruktur betreibt und Kunden On-demand-Zugang bietet, ist Cloud-Computing-Dienst nach NIS2 - unabhängig davon, ob das Unternehmen sich als Softwarehaus oder Plattformanbieter bezeichnet.

Sub-Processor-Liste nicht gepflegt: Sowohl DORA Art. 28 als auch DSGVO Art. 28 verlangen eine aktuelle Liste aller Sub-Processor. Viele SaaS-Anbieter haben AWS oder Stripe in der AVV stehen, vergessen aber CDN-Anbieter, E-Mail-Dienstleister oder Authentifizierungsdienste. Eine unvollständige Sub-Processor-Liste ist ein Compliance-Risiko gegenüber Kunden und Aufsichtsbehörden.

Incident-Meldekette nur intern geregelt: NIS2 verlangt eine 24-Stunden-Erstmeldung an das BSI bei erheblichen Vorfällen (§ 32 BSIG-neu). Wer nur einen internen Eskalationsprozess hat, aber keinen dokumentierten Weg zum BSI-Meldeportal, wird im Ernstfall zu langsam sein. Zusätzlich sind betroffene Kunden zu informieren - ein Schritt, der im Incident-Response-Plan explizit vorgesehen sein muss.

Erste Schritte

Prüfe die NIS2-Betroffenheit anhand der vier Cloud-Service-Kriterien und der Größenschwellen.
Starte eine Gap-Analyse deiner aktuellen Sicherheitsarchitektur gegen die TOMs des § 30 BSIG-neu.
Dokumentiere deine Supply Chain: alle Cloud-Provider, Sub-Processor und kritischen Drittdienste.
Erstelle einen Incident-Response-Plan mit explizitem BSI-Meldepfad und Kunden-Notifizierungsschritt.
Prüfe alle Kunden-AVVs auf DSGVO-Konformität und aktualisiere die Sub-Processor-Liste.
Falls Finanzkunden im Portfolio: DORA-Addendum zu bestehenden Verträgen erstellen.
Plane die BSI-Registrierung binnen drei Monaten nach Feststellung der Betroffenheit.

Nutze den branchengenauen NIS2-Rechner für SaaS-Anbieter, um deine Betroffenheit zu klären.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein SaaS- oder Cloud-Dienst von NIS2 betroffen?

SaaS-Anbieter und B2B-Cloud: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

DORA: Was für Finanzkunden zusätzlich gilt

Typische Fehler vermeiden

Erste Schritte

Häufig gestellte Fragen

01Ab wann gilt ein SaaS-Anbieter als Cloud-Computing-Dienst nach NIS2?

02Was ist der Unterschied zwischen SaaS-Anbietern und IT-Dienstleistern (MSP/MSSP) unter NIS2?

03Was ändert sich durch Finanzkunden (DORA)?

04Bin ich als SaaS-Anbieter DSGVO-Auftragsverarbeiter?

05Gilt NIS2 auch für US-Anbieter mit deutschen Kunden?

06Welche Cloud-Provider-Abhängigkeiten muss ich in der Risikoanalyse abbilden?

07Welche Meldefristen gelten bei Datenpannen (NIS2 vs DSGVO)?

08Haften Geschäftsführer persönlich bei NIS2-Verstößen?