- Bedeutung
- Nationale Aufsichts-/Meldestelle
- In Deutschland
- BSI (sektorübergreifend)
- Aufgabe
- Aufsicht, Meldungen, Durchsetzung
- Verwandt
- BSI, SPOC
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist die zuständige Behörde?
Die zuständige Behörde (Competent Authority) überwacht die Einhaltung von NIS2 und nimmt Meldungen entgegen. Je nach Land und Sektor kann das eine andere Stelle sein – NIS2 schreibt jedem Mitgliedstaat vor, eine oder mehrere zuständige Behörden zu benennen. Der Begriff beschreibt damit eine gesetzliche Funktion (Aufsicht und Durchsetzung), die in Deutschland überwiegend von einer konkreten Institution wahrgenommen wird: dem BSI.
Zuständigkeit in Deutschland
In Deutschland ist für NIS2 vor allem das BSI zuständig. Es führt Aufsicht, betreibt das BSI-Portal und arbeitet mit dem SPOC und der ENISA zusammen. Während die zuständige Behörde die Aufsichts- und Durchsetzungsfunktion bezeichnet, beschreibt der SPOC die grenzüberschreitende Koordinationsrolle und das CSIRT die operative Vorfallsbearbeitung – in Deutschland sind diese Rollen weitgehend beim BSI gebündelt.
Welche Befugnisse sie hat
- Registrierungen und Meldungen entgegennehmen
- Prüfungen und Audits durchführen
- Anordnungen treffen und Bußgelder verhängen – bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei wesentlichen, bis zu 7 Mio. Euro oder 1,4 % bei wichtigen Einrichtungen
Was das für Unternehmen heißt
Die zuständige Behörde ist Ansprechpartner und Kontrollinstanz zugleich. Seit dem Inkrafttreten von NIS2 am 6. Dezember 2025 müssen betroffene Unternehmen die Meldekette einhalten – Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Eine saubere Dokumentation der eigenen Maßnahmen ist der beste Weg, einer Prüfung gelassen entgegenzusehen.
Ein typischer Fall
Nach einem Datenabfluss bei einem Wasserversorger fordert die zuständige Behörde – das BSI – die Vorlage der Risikoanalyse und der getroffenen technischen Maßnahmen an. Weil das Unternehmen seine Maßnahmen laufend dokumentiert hat, kann es die Unterlagen innerhalb weniger Tage bereitstellen. Die Prüfung endet mit Auflagen statt mit einem Bußgeld – ein Beispiel dafür, wie belastbare Nachweise das Verfahren entschärfen.
Weiterführende Quelle: BSI – NIS-2-regulierte Unternehmen
Häufige Fragen
Was ist die zuständige Behörde bei NIS2?
Die zuständige Behörde (Competent Authority) ist die nationale Aufsichts- oder Meldestelle, die die Einhaltung von NIS2 überwacht und Meldungen entgegennimmt. NIS2 schreibt jedem EU-Mitgliedstaat vor, eine oder mehrere zuständige Behörden zu benennen. Welche Stelle verantwortlich ist, hängt vom jeweiligen Land und teils vom Sektor ab. Seit dem Inkrafttreten von NIS2 am 6. Dezember 2025 müssen betroffene Einrichtungen mit dieser Behörde zusammenarbeiten und die Meldekette einhalten.
Wer ist in Deutschland die zuständige Behörde?
In Deutschland ist für NIS2 vor allem das BSI als sektorübergreifende zuständige Behörde verantwortlich. Es führt die Aufsicht, betreibt das BSI-Portal für Registrierung und Meldungen und kann verbindliche Anordnungen treffen sowie Bußgelder verhängen. Die Erstfrist für die Registrierung lief am 6. März 2026 ab, eine Nachregistrierung ist weiterhin möglich. Beim BSI sind zudem die Rollen als SPOC und als CSIRT weitgehend gebündelt.
Welche Befugnisse hat die zuständige Behörde?
Die zuständige Behörde nimmt Registrierungen und Meldungen entgegen, führt Prüfungen und Audits durch, kann verbindliche Anordnungen treffen und bei Verstößen empfindliche Bußgelder verhängen. Diese betragen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen und bis zu 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen. Zugleich ist sie Ansprechpartner für die Meldekette aus 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Ein-Monats-Abschlussbericht.