Bundestag verabschiedet NIS-2-Umsetzungsgesetz

Was regelt das NIS-2-Umsetzungsgesetz?

Mit dem NIS-2-Umsetzungsgesetz wird das BSI-Gesetz grundlegend überarbeitet („BSIG n.F.“). Zugleich werden bereichsspezifische Fachgesetze, wie etwa das Energiewirtschaftsgesetz („EnWG“) oder das Telekommunikationsgesetz („TKG“), angepasst.

1. Erweiterter Adressatenkreis:

Der Anwendungsbereich der neuen NIS-2-Cybersicherheitspflichten ist sehr weit. Während die Vorgängerregeln vor allem Betreiber kritischer Infrastrukturen in die Pflicht nahmen, richten sich die NIS-2-Regeln auch an große Teile der mittelständischen Industrie. Der Gesetzgeber will damit die Resilienz digitaler Prozesse erhöhen – unabhängig davon, ob ein Unternehmen physische Versorgungsleistungen erbringt oder nicht.

Unternehmen fallen schon dann in den Anwendungsbereich, wenn ihre Tätigkeit in den sog. Sektoren des BSIG n.F. genannt ist und sie mindestens als „mittleres Unternehmen“ gelten.

• Ein „mittleres Unternehmen“ ist man schon, wenn man mehr als 50 Mitarbeiter hat, oder der Jahresumsatz und die Jahresbilanzsumme jeweils 10 Mio. € übersteigen. Bei der Bestimmung dieser Grenzwerte können „vernachlässigbare“ Tätigkeiten unberücksichtigt bleiben (§ 28 Abs. 3 BSIG n.F.).
• Die Sektoren erfassen eine große Bandbereite an Tätigkeiten: z.B. Energie, Verkehr, digitale Infrastruktur sowie das verarbeitende Gewerbe und die Herstellung von Waren. Hinzu kommen alle relevanten Teile des Digitalsektors, darunter die Nachrichtenübertragung sowie Dienste, die der Datenverarbeitung und -speicherung dienen. Auch sog. Managed Services sind umfasst.
• Das BSIG n.F. unterscheidet zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“. Es gilt die Faustregel: Je größer ein Unternehmen und je gesellschaftlich relevanter ein Sektor, in dem das Unternehmen tätig ist, desto mehr Pflichten.Bestimmte Unternehmen sind allerdings unabhängig von ihrer Größe erfasst – vor allem in den Bereichen Digitales und Telekommunikation.

2. Registrierungspflicht

Unternehmen müssen sich innerhalb von drei Monaten bei einer vom BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“ einzurichtenden Meldestelle registrieren, nachdem sie in den Anwendungsbereich der NIS-2-Pflichten fallen.

Diese Registrierung sollte behutsam bedacht werden: Mit der Registrierung bringt ein Unternehmen zum Ausdruck, dass es nach eigener Bewertung NIS-2-pflichtig ist.

3. Pflichten zum Risikomanagement:

Das neue BSI-Gesetz gibt den verpflichteten Unternehmen einen Mindestkatalog an Risikomanagementmaßnahmen vor (§ 30 Abs. 2 Satz 2 BSIG n.F.).

Dieser Katalog hält das „Einmaleins“ der Cybersicherheit fest, gibt also branchenübergreifend gültige Grundsatzanforderungen vor, z.B.: Risikoanalysen, Verfahren zur Behandlung von Sicherheitsvorfällen, Vorgaben zur Betriebskontinuität (inkl. Backups und Wiederherstellungsprozesse), Anforderungen an sichere Softwareentwicklung, strukturiertes Schwachstellenmanagement, starke Authentifizierungsverfahren, kryptografische Absicherung, Maßnahmen zur Lieferkettensicherheit sowie regelmäßige Wirksamkeitsprüfungen.

Wie diese abstrakten Vorgaben in der Praxis konkret umgesetzt werden müssen, hängt vom individuellen Risikoprofil des betroffenen Unternehmens ab. Je größer das Risiko, desto umfassender müssen die Cybersicherheitsmaßnahmen ausfallen. Unternehmen müssen daher ihre spezifischen Cybersicherheitsrisiken präventiv bewerten („Bestandsaufnahme“) und anschließend auf dieser Grundlage bestimmen, welche Schutzmaßnahmen sie umsetzen müssen.

4. Pflichten für die Geschäftsleitung

Das neue BSIG ist nicht nur wegen seiner drohenden Bußgelder (s. unten) ein „Boardroom Issue“. Die Geschäftsleitungen von Unternehmen trifft künftig die Pflicht, die Risikomanagementmaßnahmen umzusetzen und die Umsetzung zu überwachen. Etwaige Verstöße gegen diese Pflicht können zu einer Haftung des Geschäftsführers führen. Zudem müssen Mitglieder der Geschäftsleitung regelmäßig an Schulungen zur Cybersicherheit teilnehmen.

5. Meldepflichten:

Das bisherige einstufige Meldesystem wird durch ein dreistufiges Meldesystem ersetzt. Für „erhebliche Sicherheitsvorfälle“ gilt: eine erste Meldung innerhalb von 24 Stunden, ein vertiefter Bericht innerhalb von 72 Stunden und ein Abschlussbericht spätestens nach einem Monat.

6. Erweiterte Aufsichtsbefugnisse:

Die Aufsichtsbehörden, insbesondere das BSI, erhalten weitreichende Möglichkeiten zur Kontrolle und Durchsetzung. Dazu zählen Anordnungen, Prüfungen, Nachweisanforderungen und Bußgeldverfahren.

7. Verschärftes Bußgeldsystem

Das Bußgeldsystem orientiert sich am weltweiten Konzernumsatz:

• „Besonders wichtige Einrichtungen“: bis zu 10 Mio. € oder bis zu 2 % des weltweiten Jahresumsatzes.
• „Wichtige Einrichtungen“: bis zu 7 Mio. € oder bis zu 1,4 % des weltweiten Jahresumsatzes.

Neben den finanziellen Sanktionen sind Anordnungen, weitergehende Aufsichtsmaßnahmen und persönliche Verantwortlichkeit der Leitung möglich. Wie bei der DSGVO sind verspätete oder unvollständige Meldungen sowie unzureichende Sicherheitsmaßnahmen typische Auslöser.

Was ist jetzt zu tun?

Unternehmen sollten prüfen, ob sie als „wichtige" oder „besonders wichtige" Einrichtung in den erweiterten Anwendungsbereich des BSIG n. F. fallen. Unternehmen, die bereits dem „alten Regime“ als „kritische Anlagen“ galten, sollten ihr Cybersicherheits-Framework überprüfen und aktualisieren, um die neuen Anforderungen zu erfüllen.

Erster Schritt:

Analysieren Sie, ob Ihr Unternehmen unter Berücksichtigung branchenspezifischer Besonderheiten in den Anwendungsbereich des BSIG n. F. fällt. Wenn Sie betroffen sind, bereiten Sie die Registrierung bei der gemeinsamen Registrierungsstelle von BSI und BBK vor und legen Sie eine Kontaktstelle im Unternehmen fest.

Zweiter Schritt:

Führen Sie eine Gap-Analyse durch. Gleichen Sie dabei bestehende Sicherheitsmaßnahmen mit den neuen gesetzlichen Anforderungen ab, insbesondere in den Bereichen: Risikomanagement, Incident Response, Business Continuity, Patch- und Schwachstellenmanagement, Berechtigungsmanagement, sichere Entwicklung, Kryptographie, Lieferkettensicherheit sowie Schulungen und Kontrollmechanismen.

Sodann sollten Unternehmen mit der Implementierung der noch nicht vorhandenen Maßnahmen starten, insbesondere:

• IT-Sicherheitsorganisation ausbauen

  Empfehlenswert ist der Aufbau oder die Weiterentwicklung eines formalen Informationssicherheitsmanagementsystems, z. B. nach ISO/IEC 27001 oder BSI-Grundschutz.

• Melde- und Kommunikationswege operationalisieren

  Zudem müssen belastbare Meldeketten etabliert werden. Dies umfasst 24/7-Erreichbarkeit, die Bereitstellung von Meldevorlagen und klare Zuständigkeiten. NIS-2- und DSGVO-Meldungen müssen koordiniert werden.

• Notfallmanagement und Krisenorganisation stärken

  Unternehmen sollten überdies ihr Notfallmanagement stärken und zu diesem Zweck ihre Notfallpläne aktualisieren, regelmäßige Übungen und Penetrationstests durchführen, ihre Kommunikationswege reformieren und Krisenstäbe definieren.

• Lieferkettensicherheit professionalisieren

  Vertragliche Anforderungen hinsichtlich Sicherheit, Prüfrechten, Nachweisen und Unterauftragnehmern müssen etabliert werden. Zudem sollte ein Drittrisikomanagement eingeführt und ein systematisches Lieferantenregister geführt werden.

• Einbindung und Schulung der Geschäftsleitung

  Die Geschäftsleitung trägt ausdrücklich Verantwortung. Schulungskonzepte, Reporting-Linien und Wirksamkeitskontrollen müssen etabliert werden. Für „besonders wichtige“ Einrichtungen gelten strengere Nachweis- und Berichtspflichten gegenüber dem BSI.

Ab wann gilt das Gesetz?

Nachdem das NIS-2 Umsetzungsgesetz am 13. November 2025 vom Bundestag beschlossen wurde, wird sich im nächsten Schritt der Bundesrat mit dem Gesetz befassen (Änderungen werden nicht erwartet). Das Gesetz wird unmittelbar mit Veröffentlichung im Bundesgesetzblatt in Kraft treten – Übergangsfristen sind nicht vorgesehen. Mit dem Inkrafttreten des Gesetzes ist spätestens Anfang 2026 zu rechnen.

Zusammenfassung und Ausblick

Das neue NIS-2-Umsetzungsgesetz erweitert die Cybersicherheitspflichten erheblich. Die neuen NIS-2-Regelungen erfassen einen deutlich größeren Kreis von Unternehmen als das bisherige Regime, darunter mittlere und große Unternehmen in kritischen Sektoren, basierend auf Größen- und Umsatzschwellenwerten. Das Gesetz gilt nicht nur für deutsche Unternehmen, sondern auch für Unternehmen aus anderen Ländern, die in Deutschland tätig sind oder Dienstleistungen für den deutschen Markt erbringen.

Unternehmen sollten unverzüglich: (i) die Anwendbarkeit unter dem erweiterten Anwendungsbereich prüfen, (ii) bestehende Frameworks aktualisieren (auch wenn sie bereits dem bisherigen Regime unterlagen); und (iii) Governance- und Berichtsstrukturen etablieren, um die strengeren Fristen und Aufsichtsanforderungen zu erfüllen.

Die Einhaltung der neuen Regelungen ist wichtig, sowohl für Unternehmen als auch deren Geschäftsleitung. Die neuen NIS-2-Regelungen erheben Cybersicherheit zu einer strategischen Managementverantwortung und signalisieren einen Trend zu EU-weiter Harmonisierung und stärkerer Durchsetzung.

Unternehmen, die frühzeitig handeln, können Compliance-Risiken reduzieren und ihre Resilienz gegenüber wachsenden Cyberbedrohungen stärken. Lieferanten, die mit deutschen Unternehmen Verträge schließen, müssen ihre Kunden bei der Einhaltung anerkannter IT-Sicherheitsstandards und vertraglicher Bestimmungen unterstützen. Sie müssen zudem die erforderliche Dokumentation vorbereiten und sich auf strengere Verpflichtungen einstellen.