Vorsprung durch Wissen und Erfahrung
NIS2 / BSIG § 30

Technischer Anwendungsbereich von NIS2

Welche IT-Systeme, Komponenten und Prozesse Ihres Unternehmens unter NIS2 und BSIG fallen — und wie Sie den Scope sauber abgrenzen.

Gap-Analyse anfragen Zurück zur NIS2-Übersicht
Technische & rechtliche Expertise Erfahrung aus zahlreichen NIS2-Projekten Standort Sindelfingen
§ 30 BSIG

Was fällt unter den technischen Anwendungsbereich?

Der technische Anwendungsbereich von NIS2 erstreckt sich auf alle Systeme, Komponenten und Prozesse, die Ihre Einrichtung zur Erbringung ihrer Dienste nutzt und die Informationen technisch verarbeiten. Vier Kriterien müssen gleichzeitig erfüllt sein.

Die vier Kriterien nach § 30 BSIG

  1. Ein System, eine Komponente oder ein Prozess — Hardware, Software, logische Module oder automatisierte Abläufe
  2. Informationen werden verarbeitet — Art der Daten ist irrelevant: Textdaten, Transaktionsdaten, IoT-Telemetrie, Zugangsdaten etc.
  3. Die Verarbeitung erfolgt technisch — digitale, automatisierte oder teilautomatisierte Verarbeitung
  4. Genutzt zur Diensterbringung — direkter Bezug zu den Diensten, für die die Einrichtung unter NIS2 eingestuft wurde

IT-Systeme

Funktionale Gesamtheit aus technischen und softwarebasierten Teilen

  • ERP-System (Warenwirtschaft, Buchhaltung)
  • Webanwendung mit Server, Datenbank, UI
  • E-Mail-System inkl. Spamfilter
  • Industrie- / IoT-Systeme

IT-Komponenten

Einzelne Bauteile als Teil eines größeren Systems

  • Hardware: Server, Router, Firewall, Sensor
  • Software: Betriebssystem, Datenbank, App
  • Logisch: Authentifizierung, Verschlüsselung, API-Gateway
  • Kommunikation: VPN, TLS, Message Queue

IT-Prozesse

Abläufe, bei denen IT eingesetzt wird, um Daten zu bearbeiten

  • Daten erfassen, validieren, verarbeiten
  • Daten speichern, übertragen, archivieren
  • Logs sammeln → korrelieren → Alarm auslösen
  • Kundenregistrierung → E-Mail-Verifikation → Kontoanlage
Praxisfrage

Was gehört rein — was bleibt draußen?

Die häufigste Fehlannahme in der Praxis: Unternehmen begrenzen den Scope auf die IT-Abteilung. NIS2 meint jedoch alle Systeme, die zur Erbringung des regulierten Dienstes genutzt werden — unabhängig davon, wo sie betrieben werden.

Fallen auch Cloud-Dienste und SaaS-Anwendungen in den Scope?
Ja. Wenn ein Cloud- oder SaaS-Dienst zur Erbringung Ihrer NIS2-regulierten Dienste genutzt wird, fällt er in den technischen Anwendungsbereich. Das hat direkte Konsequenzen für die Lieferkettensicherheit: Verträge mit Cloud-Anbietern müssen auf NIS2-konforme Sicherheitsklauseln geprüft werden.
Müssen OT-Systeme (Operational Technology) berücksichtigt werden?
In der Regel ja, wenn die OT-Umgebung Teil der Diensterbringung ist — etwa in der Energieversorgung, im Gesundheitswesen oder in der Wasserversorgung. Industrielle Steuerungssysteme (ICS), SCADA-Systeme und deren Netzwerkverbindungen fallen dann explizit in den Scope.
Was ist mit Systemen, die nur indirekt genutzt werden (z. B. Buchhaltungssoftware)?
Hier kommt es auf den konkreten Bezug zur Diensterbringung an. Eine Buchhaltungssoftware, die ausschließlich interne Verwaltungszwecke erfüllt und keinen Einfluss auf die regulierten Dienste hat, muss nicht zwingend in den NIS2-Scope einbezogen werden. Die Abgrenzung sollte dokumentiert und begründet werden.
Gelten auch Systeme von externen Dienstleistern?
Soweit externe Dienstleister Systeme betreiben, die Ihre Diensterbringung direkt unterstützen, sind Sie als betroffene Einrichtung verpflichtet, die Sicherheit dieser Systeme im Rahmen des Lieferketten-Risikomanagements zu prüfen und vertraglich abzusichern.
Wie dokumentiert man den technischen Anwendungsbereich am besten?
Bewährt hat sich eine Asset-Inventarliste mit Klassifizierung: System/Komponente/Prozess → Informationstyp → Bezug zur Diensterbringung → Schutzbedarf. Diese Liste ist gleichzeitig Grundlage für die Risikoanalyse nach § 30 BSIG und Pflichtdokument im Rahmen eines internen Audits.
Empfohlenes Vorgehen

Scope-Definition in drei Schritten

Eine sauber definierte Scope-Grenze ist die Voraussetzung für eine belastbare Gap-Analyse und effiziente Ressourcenplanung. Wer den Scope zu weit zieht, verschwendet Budget — wer ihn zu eng zieht, riskiert Compliance-Lücken.

1. Dienste identifizieren

Welche Dienste Ihrer Einrichtung sind NIS2-relevant? Ausgangspunkt ist die Einstufung als wichtige oder besonders wichtige Einrichtung nach BSIG.

2. Systeme & Prozesse kartieren

Alle IT-Systeme, Komponenten und Prozesse erfassen, die direkt oder indirekt zur Erbringung dieser Dienste beitragen — inklusive Cloud und externe Dienstleister.

3. Schutzbedarf bewerten

Für jedes Element im Scope: Verfügbarkeit, Integrität und Vertraulichkeit bewerten. Das Ergebnis fließt direkt in die Risikoanalyse nach § 30 Abs. 1 BSIG.

Verwandte Themen

Weiterführende NIS2-Themen

Organisation
ISMS aufbauen & erweitern

Wie Sie ein NIS2-konformes Informationssicherheits-Managementsystem aufbauen

Normen
NIS2 vs. ISO 27001

Was ISO 27001 bereits abdeckt — und wo NIS2 darüber hinausgeht

Lieferkette
Lieferkettensicherheit

Externe Dienstleister und Lieferanten im NIS2-Scope absichern

Audit
Internes Audit

Scope-Definition als erster Schritt im internen NIS2-Audit

Scope-Definition und Gap-Analyse aus einer Hand

Wir helfen Ihnen, den technischen Anwendungsbereich rechtssicher abzugrenzen und unmittelbar mit der Risikoanalyse zu verknüpfen.

Jetzt Beratung anfragen
Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com