BSI-Prüfungsanordnung erhalten? Ihr Reaktionsplan für die ersten 72 Stunden

Ein BSI-Schreiben trifft per Einschreiben am Dienstagmorgen ein. Im Briefkopf steht §29 BSIG. Die Frist für die erste Rückäußerung beträgt 14 Werktage. Die meisten Geschäftsleitungen haben so etwas noch nie gesehen — und die ersten 72 Stunden entscheiden über den Verlauf der gesamten Prüfung.

Zwei Monate nach Ablauf der Registrierungsfrist am 6. März 2026 warnt das BSI nicht mehr. Es prüft. Wenn der Umschlag auf Ihrem Schreibtisch Auskunftsersuchen oder Prüfung nach §29 BSIG nennt, ist dies der Leitfaden für die ersten drei Tage. Die englische Fassung mit identischer Struktur: BSI Audit Letter Received? Your First 72-Hour Response Plan.

Dieser Artikel geht davon aus, dass das Schreiben heute eingegangen ist. Überspringen Sie, was nicht zutrifft.

Stunde 0 bis 24: Diese fünf Schritte, in dieser Reihenfolge

Die ersten 24 Stunden dienen der Steuerung der Reaktion — nicht ihrer Beantwortung. Eine voreilige Antwort bindet Sie an Positionen, die Sie später möglicherweise nicht halten können.

1. Umschlag und Schreiben fotografieren, Originale sicher ablegen. Der Datumsstempel auf dem Umschlag bestimmt den Fristbeginn. Der Einschreiben-Rückschein ist Ihr Nachweis. Beides bleibt unangetastet — Anwälte und Prüfer werden danach fragen.
2. Internen E-Mail-Verkehr zum Schreiben einschränken. Keine Weiterleitungen, keine Slack-Channels mit Namen wie #bsi-pruefung. Beschränkung auf einen festen Verteiler: Geschäftsführung, CTO/CISO, Inhouse-Justiziar oder externer NIS2-Anwalt, benannter NIS2-Ansprechpartner. Alle anderen werden mündlich nach dem Need-to-know-Prinzip informiert.
3. Externen Anwalt am ersten Tag mandatieren. Prüfungen nach §29 BSIG sind verwaltungsrechtliche Verfahren mit Rechtsbehelfen, Verweigerungsgründen und Fristen, die mit den Bußgeldbefugnissen aus §32 BSIG verzahnt sind. Inhouse-Teams ohne deutsche Cybersecurity-Regulierungserfahrung reichen nicht. Budget für die erste Phase: €5K bis €15K.
4. §38-BSIG-Verantwortliche identifizieren. Das ist die Geschäftsführerin oder der Vorstand mit persönlicher Haftung für die Reaktion. Briefing heute, nicht nächste Woche. Die Pflicht zur Billigung und Überwachung der Cybersecurity-Maßnahmen ist nicht delegierbar — die Antwortstrategie gehört in ihre Hand. Der §38-BSIG-Haftungsleitfaden erklärt, was das in der Praxis bedeutet.
5. Den im Schreiben genannten BSI-Kontakt noch nicht anrufen. Telefonate ohne dokumentierte Strategie schaffen unprotokollierte Risiken. Eine kurze schriftliche Empfangsbestätigung am zweiten oder dritten Tag ist der korrekte Erstkontakt.

Was in den ersten 24 Stunden zu unterlassen ist: keine inhaltliche Antwort vorbereiten, keine Panik-Remediation starten, kein Dokument an das BSI senden. Sie organisieren die Reaktion — Sie liefern sie noch nicht.

Stunde 24 bis 48: Was das BSI tatsächlich verlangt

Schreiben nach §29 BSIG fallen in drei Kategorien — jede mit anderen Folgen und Strategien. Briefkopf und genannte Rechtsgrundlagen verraten, welche Sie haben.

Schreiben-Typ	Genannte Grundlage	Was das BSI will	Typisches Risiko
Registrierungs-Enforcement	§33 BSIG (Registrierungspflicht)	Bestätigung der Betroffenheit + nachträgliche Registrierung	Bis €500K
Artikel-21-Nachweisanforderung	§29 BSIG + §30 BSIG (Risikomanagement)	Dokumentierte Nachweise der zehn Maßnahmen	Bis €10 Mio. / 2% Umsatz
Vorfallbezogene Prüfung	§29 BSIG + §32 BSIG (Aufsichtsmaßnahmen)	Untersuchung eines gemeldeten oder vermuteten Sicherheitsvorfalls	Identisch + Art.-32(6)-Tätigkeitsverbot

Die Kategorie bestimmt alles Weitere. Ein Registrierungs-Enforcement-Schreiben schließt sich meist innerhalb von 30 Tagen, sobald die Registrierung nachgereicht ist. Eine Artikel-21-Nachweisanforderung ist ein 60- bis 120-tägiger Prozess. Eine vorfallbezogene Prüfung kann sechs Monate laufen und löst die schärfsten Aufsichtsmaßnahmen aus.

Fristensprache aufmerksam lesen

Deutsche Verwaltungsschreiben unterscheiden zwischen Frist (verbindlich) und Bitte um Rückäußerung bis (verhandelbar). Die erste ist durchsetzbar. Die zweite ist schriftlich verlängerbar. Diese beiden zu verwechseln ist der häufigste Erstreaktions-Fehler.

Bei unangemessener Frist kann Ihr Anwalt eine Fristverlängerung beantragen — typischerweise einmalig um bis zu 14 Tage gewährt, sofern der Antrag vor Fristablauf eingeht. Eine zweite Verlängerung ist selten. Ein Antrag nach Fristablauf ist keine Verlängerung mehr, sondern Säumnis.

Stunde 48 bis 72: Nachweis-Inventur jetzt aufstellen

Was Prüfer in §29-BSIG-Verfahren verlangen, überrascht nicht. Es ist die immer gleiche Nachweisbasis. Der Vorteil eines Starts in Stunde 48: Sie haben Zeit, den Bestand zu erfassen, bevor das BSI Ihre Lieferung liest.

Die sieben Nachweisbereiche, die das BSI durchgängig anfordert:

1. Registrierungsbestätigung (BSI-Portal-Screenshot, Registrierungs-ID, benannter Ansprechpartner)
2. Risikoanalyse nach Artikel 21(2)(a) — Methodik, Geltungsbereich, letztes Aktualisierungsdatum
3. Vorfallbehandlungsverfahren nach Artikel 21(2)(b) — inklusive 24h/72h/1-Monats-Meldekette. Wer keine dokumentierten Verfahren hat, beginnt am schnellsten mit der kostenlosen 24-Stunden-Meldevorlage.
4. Business Continuity & Backup nach Artikel 21(2)(c) — RTO, RPO, letztes Testdatum
5. Lieferkettensicherheit nach Artikel 21(2)(d) — Lieferantenverzeichnis, kritische Lieferanten-Risikobewertungen
6. Schwachstellenbehandlung und externe Angriffsfläche nach Artikel 21(2)(e/f) — Scan-Ergebnisse, Patch-SLAs, Disclosure-Policy
7. Kryptographie, MFA und Zugriffskontrolle nach Artikel 21(2)(h/i/j) — TLS-Konfiguration, MFA-Abdeckung, Privileged-Access-Reviews

Die schnellste Bestandsaufnahme bei den Punkten 6 und 7 ist ein externer Scan. Beides ist von außen verifizierbar: TLS, Header, DMARC, exponierte Admin-Panels, JavaScript-CVEs. Prüfer ziehen diese Daten ohnehin selbst — sie vor der Behörde zu kennen, bestimmt die Antwortstrategie.

→ Kostenlosen SaaSFort-Scan starten — 66 deterministische Prüfungen über 25 Kategorien, ohne Anmeldung. Das Ergebnis bildet sich direkt auf Artikel-21(2)-Maßnahmen ab und exportiert als NIS2-PDF.

Eine strukturierte Begleitung aller sieben Nachweisbereiche bietet der NIS2-Audit-Vorbereitungsleitfaden. Für eine ausfüllbare Inventur deckt das NIS2-Artikel-21-Selbstaudit-Excel-Template alle zehn Maßnahmen mit Status, Priorität, Verantwortlichem und Fristspalte ab.

Was das BSI nicht verlangen kann

§29 BSIG gewährt dem BSI weitreichende Prüfungsrechte. Es gewährt keinen unbegrenzten Zugriff. Drei Grenzen zählen:

• Anwaltsgeheimnis für Rechtsrat zur Prüfung selbst bleibt geschützt. Interne Rechtsmemos zur Schreibensanalyse sind nicht herauszugeben.
• Bulk-Datenexfiltration über das hinaus, was zur Verifizierung von Artikel-21-Compliance erforderlich ist, ist anfechtbar. Das BSI darf Nachweise von Maßnahmen verlangen — keine Massendaten von Kunden.
• Selbstbelastungsfreiheit bei nicht gemeldeten Vorfällen nach Artikel 23 hat Grenzen. Wenn die Prüfung einen nicht gemeldeten erheblichen Vorfall offenlegt, gilt eine 24-Stunden-Frist ab Kenntnis — typischerweise ab BSI-Hinweis, mit anwaltlichem Auslegungsspielraum.

Verweigerungsgründe müssen schriftlich und mit Zitierung geltend gemacht werden. „Das geben wir nicht heraus” ohne Rechtsgrundlage verwandelt eine Routine-Prüfung in ein Aufsichtsverfahren nach §32 BSIG. Verweigerung sparsam und nur mit Anwalt einsetzen.

Was in die erste schriftliche Antwort gehört

Tag 3 bis 7 ist der Zeitpunkt, an dem die erste schriftliche Antwort das Haus verlässt. Der Inhalt richtet sich nach dem Schreiben-Typ, die Struktur nach den bürokratischen Erwartungen des BSI:

• Empfangsbestätigung mit Datum und Aktenzeichen
• Bestätigung des benannten Ansprechpartners (Name, Funktion, Direktkontakt)
• Status der Registrierungspflicht (bereits registriert → Registrierungs-ID; noch nicht → Nachholungstermin und BSI-Portal-Bestätigung)
• Stellungnahme zur Artikel-21-Reife — typischerweise „Umsetzung in Bearbeitung nach §30 BSIG mit erwartetem Abschluss bis [Datum]” statt absoluter Aussagen
• Bitte um verfahrensbezogene Klarstellungen bei mehrdeutigen Schreiben — schriftliche Rückfragen zwingen das BSI, den Umfang schriftlich festzulegen

Was nicht passieren darf: niemals vollständige Artikel-21-Compliance behaupten, solange die Nachweisbasis nicht audit-fertig ist — mit datierten Dokumenten, unterschriebenen Versionen und externer Validierung. Falsche Angaben in §29-BSIG-Korrespondenz sind ein eigenständiger Tatbestand nach §32 BSIG.

Was diese Woche zu tun ist

Sieben konkrete Schritte in der ersten Woche:

1. Reaktionsgruppe abriegeln und externen Anwalt mandatieren (Tag 1).
2. Schreiben-Typ und genannte Rechtsgrundlagen kategorisieren (Tag 2).
3. Bestand an Artikel-21-Nachweisen inventarisieren — was vorliegt, was fehlt (Tag 2–3).
4. Externen Scan zur Baseline der externen Maßnahmen durchführen (kostenloser Scan, Tag 3).
5. Erste schriftliche Antwort mit Anwalt entwerfen (Tag 4–5).
6. Registrierungsstatus klären (falls nicht registriert, in derselben Woche nachholen — siehe BSI-Registrierungsfrist verpasst).
7. Geschäftsleitung nach §38 BSIG dokumentiert briefen (Tag 5–7).

Wenn das Schreiben vorfallbezogene Grundlagen nennt (§32 BSIG, Artikel 32 NIS2), verkürzen sich die Zeitpläne. Der NIS2-Incident-Reporting-Setup-Leitfaden deckt die vollständige 24h/72h/1-Monats-Meldekette ab. Das kostenlose Incident-Readiness-Bundle — 24h/72h/1-Monats-Vorlagen (DE+EN), Awareness-Clock-Worksheet, Internal-Comms-Log, BSI-Meldeportal-Field-Map, Tabletop-Übung — ist der schnellste Weg, einen verteidigungsfähigen Workflow zu Papier zu bringen, bevor sich die Prüfung beschleunigt.

FAQ

Reicht es, jetzt zu registrieren, damit das Schreiben verschwindet?

Manchmal. Registrierungs-Enforcement-Schreiben schließen sich oft, sobald die Registrierung erfolgt und bestätigt ist. Artikel-21-Nachweisanforderungen tun das nicht — sie sind unabhängig vom Registrierungsstatus und laufen weiter.

Wie hoch sind die typischen Kosten einer §29-BSIG-Prüfung?

Externer Anwalt für eine Routine-Artikel-21-Prüfung: €15K bis €60K über 60 bis 120 Tage. Plus €10K bis €40K für externes Scanning, Nachweis-Konsolidierung und etwaige Remediation. Vorfallbezogene Prüfungen typischerweise 2- bis 3-mal teurer.

Sollte die Geschäftsführung direkt mit dem BSI korrespondieren?

Nein. Der benannte NIS2-Ansprechpartner antwortet. Die Geschäftsführung ist nach §38 BSIG verantwortliche Stelle, nicht operative Korrespondenzpartei. Direkte Geschäftsführer-Korrespondenz mit dem BSI ohne Anwalt ist ein häufiger Eskalations-Trigger.

Bedeutet ein §29-BSIG-Schreiben automatisch Bußgelder?

Nein. §29 BSIG ist eine Prüfungsbefugnis, kein Bußgeldbescheid. Bußgelder nach §32 BSIG folgen nur, wenn die Prüfung Maßnahmen- oder Registrierungs-Defizite aufdeckt. Eine saubere Prüfung schließt ohne Bußgeld.

Was, wenn mein Unternehmen Sub-50-Mitarbeiter-SaaS ist und das BSI das Schreiben an einen Enterprise-Kunden geschickt hat, der jetzt Nachweise von uns einfordert?

Das ist die Lieferketten-Kaskade. Sie sind nicht direkt geprüfte Einrichtung, aber die Artikel-21(2)(d)-Pflicht Ihres Kunden zieht Nachweise von Ihnen. Behandeln Sie die Kundenanfrage wie eine Soft-Prüfung — der NIS2-Lieferketten-Compliance-Leitfaden deckt das Standard-Nachweispaket ab.

Was ist der Unterschied zwischen Prüfung und Auskunftsersuchen?

Auskunftsersuchen ist eine Informationsanforderung — meist Registrierungs-Enforcement-Kategorie. Prüfung ist eine vollständige Untersuchung — meist Artikel-21-Nachweise oder vorfallbezogen. Das Wort im Briefkopf bestimmt Umfang und Strategie. Welches Sie haben, klären Sie an Tag 1.

---

Die schnellste Baseline für Anwalt und Geschäftsleitung am ersten Tag ist ein externer Scan. Kostenlosen SaaSFort-Scan starten — 66 Prüfungen über SSL, DNS, Header, OWASP und E-Mail-Authentifizierung, abgebildet auf Artikel-21(2)-Maßnahmen. NIS2-PDF-Export inklusive. Neue Konten erhalten automatisch eine 14-tägige Growth-Testphase. Für die interne Vorbereitung deckt das NIS2-Artikel-21-Selbstaudit-Template alle zehn Maßnahmen in einer Tabelle ab. Das vollständige Framework liefert das kostenlose SaaS Security Playbook 2026.