Das deutsche NIS2-Gesetz: Neue Cybersicherheitspflichten für Unternehmen

1. Hintergrund der Regulierung

Mit der Verabschiedung der NIS2-Richtlinie zielt der europäische Richtliniengeber darauf ab, ein hohes Cybersicherheitsniveau in der EU herzustellen. Hintergrund ist die zunehmend angespannte sicherheitspolitische Lage: Wirtschaft und Verwaltung sehen sich vermehrt Angriffen durch Desinformation, Hacking, Spionage und Sabotage ausgesetzt. Nicht nur besonders kritische Infrastrukturen, sondern auch sämtliche Leistungserbringer, die im Bereich des öffentlichen Lebens tätig sind und zentrale gesellschaftliche Funktionen erbringen, sind mittlerweile vermehrt im Visier von Cyberkriminellen. Ziel des NIS2-Gesetzes ist es, die informationstechno-logische Robustheit solcher Einrichtungen und damit auch der deutschen Wirtschaft insgesamt zu stärken.

2. Adressaten der neuen Regelungen

Anders als bei der NIS1-Richtlinie, die sich besonders auf die Regulierung von Betreibern kritischer Infrastrukturen (KRITIS) fokussierte, wurde die „Kritikalitätsschwelle“ für den Anwendungsbereich der NIS2-Richtlinie und des NIS2-Gesetzes abgesenkt. Dies hat zur Folge, dass sich der Kreis der regulierten Einrichtungen erheblich erweitert und künftig auch viele Einrichtungen, die in der Vergangenheit keine Cybersicherheitspflichten trafen, nun in den Anwendungsbereich des BSIG fallen. Vor diesem Hintergrund sollten Unternehmen dringend prüfen, ob für sie die Regelungen des NIS2-Gesetzes gelten.

Einrichtungen unterteilt das NIS2-Gesetz in besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG) und wichtige Einrichtungen (§ 28 Abs. 2 BSIG).

Als besonders wichtige Einrichtungen gelten:

• Betreiber kritischer Anlagen (KRITIS),
• Qualifizierte Vertrauensdiensteanbieter (z.B. bestimmte Anbieter elektronischer Signaturen oder Siegel), Top Level Domain Name Registries oder DNS-Diensteanbieter (unabhängig von ihrer Größe),
• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro und
• Sonstige Unternehmen in Anlage 1 des BSIG mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro (vorausgesetzt sie führen keine vernachlässigbare Geschäftstätigkeit i.S.d. Art. 28 Abs. 3 BSIG aus).

Als wichtige Einrichtungen gelten alle Einrichtungen, die

• mindestens 50 Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Millionen Euro haben,
• einem der Sektoren in Anlage 1 oder Anlage 2 angehören,
• keine vernachlässigbare Geschäftstätigkeit i.S.d. Art. 28 Abs. 3 BSIG ausführen und
• keine besonders wichtigen Einrichtungen sind.

3. Wesentliche Pflichten für betroffene Unternehmen

Das BSIG enthält sowohl Pflichten, die sich direkt an das Unternehmen richten, als auch Pflichten, die spezifisch die Entscheidungsträger des Unternehmens adressieren. Zu den wesentlichen BSIG-Pflichten gehören insbesondere:

• Registrierungspflicht: Besonders wichtige und wichtige Einrichtungen müssen sich binnen drei Monaten beim BSI registrieren (§ 33 BSIG). Die Registrierung erfolgt zweistufig über „Mein Unternehmenskonto" (MUK) und seit dem 06.01.2026 über das BSI-Portal.
• Risikomanagementmaßnahmen: Betroffene Unternehmen müssen (dokumentierte) technische und organisatorische Maßnahmen für die IT-Sicherheit treffen (§ 30 BSIG). Dazu gehören zumindest die Durchführung einer Risikoanalyse, Sicherheitsvorfallma-nagement, Backup-Management und Notfallwiederherstellung, Lieferkettensicherheit, Schwachstellenmanagement, Mitarbeiterschulungen, kryptographische Verfahren, Zu-griffskontrolle sowie Multi-Faktor-Authentifizierung.
  Bei der Umsetzung ist zu beachten, dass eine bestehende ISO/IEC 27001-Zertifizierung zwar einen gewissen Teil der Anforderungen abdeckt, aber allein nicht ausreicht.
• Meldepflichten bei Sicherheitsvorfällen: Besonders wichtige und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle (über das BSI-Portal) melden (§ 32 BSIG).
• Verantwortlichkeit der Geschäftsleitung: Die Geschäftsleitung ist verpflichtet, die Risikomanagementmaßnahmen umzusetzen und zu überwachen (§ 38 Abs. 1 BSIG). Bei schuldhafter Pflichtverletzung droht eine persönliche Haftung. Außerdem muss die Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teilnehmen (§ 38 Abs. 3 BSIG).

4. Bußgelder bei Verstößen gegen das BSIG

Verstöße gegen das BSIG, wie unzureichende Risikomanagementmaßnahmen, verspätete Meldungen von Sicherheitsvorfällen oder die versäumte Registrierung im BSI-Portal, kann das BSI mit einem Bußgeld sanktionieren. Besonders wichtigen Einrichtungen drohen je nach der Art des Verstoßes Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Wichtige Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes rechnen.

5. Was müssen Unternehmen jetzt tun?

Da das neue BSIG bereits in Kraft getreten ist und keine Umsetzungsfristen vorsieht, müssen Unternehmen jetzt mit einer klaren Roadmap zur NIS2-Umsetzung arbeiten. Dazu gehören insbesondere die folgenden Maßnahmen:

• Betroffenheit prüfen: Sektorenzugehörigkeit, Schwellenwerte (Mitarbeiter, Umsatz, Bilanzsumme)
• Registrierung vorbereiten: MUK-Konto einrichten; erforderliche Informationen sammeln; Registrierung beim BSI binnen drei Monaten nach Betroffenheit durchführen
• Gap-Analyse durchführen/ Risikomanagementmaßnahmen Maßnahmen umsetzen: Aktuellen Ist-Zustand der Cybersicherheit ermitteln und mit Anforderungen des § 30 BSIG abgleichen; Lücken identifizieren, priorisieren und schließen
• Meldeprozesse etablieren: Interne Meldewege definieren; Verantwortlichkeiten festle-gen; Vorlagen für 24h-/72h-/Monatsmeldungen erstellen
• Geschäftsleitung einbinden und schulen: Überwachung der Umsetzung sicherstellen; regelmäßige Cybersicherheitsschulungen durchführen; klare Zuständigkeiten definieren.