NIS2 ohne eigene IT-Abteilung: Geht das pragmatisch?

Der Outsourcing-Pfad für IT-Sicherheit ist regulatorisch zulässig, entbindet die Leitungsorgane aber nicht von Verantwortung und Aufsichtspflicht (Art. 20 NIS2). Dieser Beitrag beschreibt den verbreiteten Rahmen und seine Grenzen — nicht jede Konstellation passt in dieses Modell.

Welche regulatorischen Vorgaben sind einschlägig?

Art. 20 NIS2 verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen, die Risikomanagement-Maßnahmen nach Art. 21 NIS2 zu billigen, ihre Umsetzung zu überwachen und für etwaige Verstöße zu haften. Die Vorschrift normiert zusätzlich eine Schulungspflicht der Leitungsorgane und verpflichtet diese, ihren Beschäftigten regelmäßige Cybersicherheits-Schulungen zu ermöglichen.

Detail

Die in Art. 21 NIS2 aufgeführten Mindestmaßnahmen umfassen unter anderem Risikoanalyse-Konzepte, Vorfall-Behandlung, Geschäftskontinuität, Lieferketten-Sicherheit, Sicherheit beim Erwerb und der Wartung von Netzwerk- und Informationssystemen, sowie Verschlüsselung und Multi-Faktor-Authentifizierung. Die konkrete Ausgestaltung folgt einem risikobasierten Ansatz.

Für die Auslagerung gibt der BSI-Grundschutz-Baustein OPS.2.1 (Outsourcing-Nutzung) strukturelle Anforderungen vor: Eignungsprüfung des Dienstleisters, vertragliche Festlegung von Sicherheitsanforderungen, regelmäßige Überwachung und definierte Eskalationsmechanismen. Eine reine Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO bildet diese Anforderungen typischerweise nicht vollständig ab.

Welche Konstellation passt zu deinem Unternehmen?

Die Eignung eines vollständigen Outsourcing-Modells hängt von mehreren Faktoren ab:

• Sektor und regulatorische Tiefe: In hochkritischen Sektoren (Anhang I NIS2, KRITIS) sind die Anforderungen an Steuerungs- und Aufsichtskompetenz im Haus regelmäßig höher; ein vollständiges Outsourcing ohne interne Kompetenz ist hier häufig nicht tragfähig.
• Vorhandene interne Governance-Strukturen: Auch bei voller operativer Auslagerung muss intern eine Stelle die Steuerung, Berichterstattung und Audit-Vorbereitung verantworten — diese Rolle ist nicht delegierbar.

Detail

• Komplexität der IT-Landschaft: Bei stark heterogenen oder branchenspezifischen Systemen (z.B. industrielle Steuerungstechnik, medizinische Informationssysteme) kann eine reine externe Steuerung an Grenzen stoßen.
• Vertragliches Sicherheitsniveau bestehender Dienstleister: Bestehende Service-Verträge bilden die NIS2-Mindestmaßnahmen nicht zwingend ab. Eine Vertragsrevision ist im Regelfall erforderlich.

Bei qualifizierten MSSP nach Anhang I NIS2 ist zu beachten, dass diese selbst NIS2-pflichtig sein können (unabhängig von ihrer Größe). Eine entsprechende Anbieter-Selbstauskunft, inklusive Registrierungs-Nachweis bei der zuständigen Aufsicht, ist ein verwertbares Eignungs-Indiz.

Welcher Aufbau-Rahmen ist verbreitet?

Bei nicht vorhandener interner IT-Funktion strukturieren viele KMU ihren NIS2-Rahmen in drei vertraglich abgesicherten Ebenen:

Detail

• Interne Compliance-Owner-Funktion: Eine intern benannte Person auf Geschäftsleitungs- oder Prokurist-Ebene fungiert als NIS2-Schnittstelle, dokumentiert Berichte, koordiniert Meldungen an die zuständige Aufsichtsbehörde und nimmt an den Schulungen nach Art. 20 Abs. 2 NIS2 teil.

• Vertragliche Verpflichtung externer Dienstleister auf die einschlägigen Mindestmaßnahmen (Art. 21 NIS2): Sicherheitsniveau (Verschlüsselung, MFA, Backup), Meldepflichten bei Sicherheitsvorfällen mit definierten Eskalationszeiten zur Geschäftsleitung, Audit- und Nachweisrechte (z.B. ISO-27001-Berichte, BSI IT-Grundschutz-Testate oder eigene Audits).

• Dokumentierte Meldekette: Vom Erkennenden (Helpdesk des externen Dienstleisters) über die interne Compliance-Owner-Funktion bis zur Geschäftsleitung; einschließlich Eskalationspfaden für Wochenend- und Urlaubsphasen.

Diese Struktur ist in vielen KMU verbreitet und entspricht dem BSI-Grundschutz-Baustein OPS.2.1. Sie schützt nicht automatisch vor Bußgeldern; sie schafft jedoch die für eine Aufsichtsprüfung erforderliche Nachweis-Grundlage.

Welche Konstellationen erfordern abweichendes Vorgehen?

Der hier skizzierte Outsourcing-Rahmen ist nicht ausreichend, sofern eine der folgenden Konstellationen vorliegt:

• KRITIS-Betreiber nach BSI-Kritisverordnung: Die Audit-Pflichten nach § 8a BSIG und die Anforderungen an die interne Steuerungs- und Nachweisfähigkeit sind durch reine Auslagerung regelmäßig nicht erfüllbar.
• Hochkritische Sektoren mit branchenspezifischen Vorgaben (Energie nach EnWG, Finanzwesen nach DORA, Gesundheitswesen nach § 75c SGB V): Die sektoralen Vorgaben überlagern und verschärfen die NIS2-Anforderungen; eine sektorspezifische Beratung ist regelmäßig zwingend.

Detail

• Verarbeitung großer Mengen besonderer Datenkategorien nach Art. 9 DSGVO: Die Anforderungen aus Art. 32 DSGVO und sektorspezifische Vorgaben können eine vollständige interne Verantwortlichkeit für bestimmte Verarbeitungen erforderlich machen.
• Vorhandene Konzern-Compliance-Struktur: Bei Konzern-Töchtern ist die Einbindung in das Konzern-ISMS regelmäßig vorrangig und in der Wirkung anders als ein eigenständiges Outsourcing-Modell.
• Komplexe, eigene Systementwicklung oder kritische Produktionssteuerungs-Systeme: Reine Auslagerung ohne intern verfügbare technische Steuerungs-Kompetenz ist im Regelfall nicht tragfähig.

Nächster Schritt

Eine erste strukturierte Einordnung der Pflichtenlage liefert der NIS2-Scope-Check. Er ist Ausgangspunkt für die anschließende Vertragsprüfung und für die Strukturierung der internen Compliance-Owner-Funktion.

Bei nicht vorhandener interner IT-Funktion ist eine begleitende Beratung durch eine spezialisierte IT-Sicherheits- oder Rechtsberatung — insbesondere für die initiale Vertragsrevision und die Bestimmung der konkreten Mindestmaßnahmen — regelmäßig sinnvoll. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung im Einzelfall.

Welche Maßnahmen Art. 21 NIS2 konkret umfasst, ist Gegenstand des Hintergrund-Artikels: Die 11 Mindestmaßnahmen kompakt.