16.04.2026

Cybersicherheit/NIS-2-Richtlinie: Betroffenheit kommunaler Betriebe

Sind kommunale Eigenbetriebe von den Vorgaben des NIS-2-Umsetzungsgesetzes betroffen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt dazu auf seiner Website:
„Kommunale Eigen- und Regiebetriebe unterliegen regulär der Aufsicht ihrer Gemeindevertretung oder der zuständigen Verwaltung. Da für sie vorrangig Landesrecht gilt, fallen sie normalerweise nicht unter das NIS-2-Umsetzungsgesetz und damit auch nicht unter die Aufsicht des BSI. Anders verhält es sich jedoch, wenn diese Betriebe kritische Anlagen betreiben oder die Schwellenwerte für wichtige (wE) beziehungsweise besonders wichtige Einrichtungen (bwE) überschreiten. In diesem Fall fallen sie trotz ihrer kommunalen Einbindung in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes bzw. des BSIG. Damit wird das BSI zur zuständigen Aufsichtsbehörde. Das Gesetz sieht in § 28 BSIG ausdrücklich vor, dass auch rechtlich unselbstständige Organisationseinheiten als Betreiber gewertet werden können.“