Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (am 06.12.2025) hat der deutsche Gesetzgeber die EU-Richtlinie 2022/2555 (NIS2) in nationales Recht überführt und damit die Anforderungen an die Cybersicherheit für Unternehmen und öffentliche Stellen deutlich verschärft und ausgeweitet. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union zu gewährleisten und die Resilienz kritischer und wichtiger Infrastrukturen zu stärken.
Entwicklung und Hintergründe
Die Digitalisierung und die zunehmende Vernetzung von Wirtschaft und Gesellschaft haben die Angriffsflächen für Cyberbedrohungen in den letzten Jahren massiv vergrößert. Geopolitische Konflikte, wie der russische Angriffskrieg gegen die Ukraine, haben die Bedrohungslage weiter verschärft. Ransomware, Supply-Chain-Angriffe und gezielte Sabotage sind längst Teil des unternehmerischen Alltags geworden. Die EU hat mit der NIS2-Richtlinie auf diese Entwicklungen reagiert und die Mitgliedstaaten verpflichtet, ihre nationalen Regelungen zu harmonisieren und zu verschärfen.
Deutschland setzt dies nun mit dem NIS2-Umsetzungsgesetz um, insbesondere das BSI-Gesetz (BSIG) wird grundlegend novelliert. Sektorspezifische Erneuerungen finden sich u.a. im Energiewirtschaftsgesetz (EnWG).
Neue Kategorien und erweiterter Anwendungsbereich
Das Gesetz unterscheidet künftig zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Der Anwendungsbereich wurde erheblich ausgeweitet: Neben den bisherigen Betreibern Kritischer Infrastrukturen (KRITIS) sind nun zahlreiche weitere Unternehmen aus Sektoren wie Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Produktion, Lebensmittel, Forschung und viele mehr erfasst. Entscheidend sind dabei Schwellenwerte für Beschäftigtenzahl, Umsatz und Bilanzsumme.
Zentrale Pflichten für Unternehmen
1. Risikomanagement und technische Maßnahmen (§ 30 BSIG)
Alle betroffenen Unternehmen müssen ein angemessenes Risikomanagement etablieren und dokumentieren. Dazu gehören insbesondere:
- Risikoanalyse und Sicherheitskonzepte
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Notfallmanagement und Backup-Strategien
- Sicherheit der Lieferkette
- Schwachstellenmanagement und Patch-Management
- Schulungen und Sensibilisierung der Mitarbeitenden
- Einsatz von Multi-Faktor-Authentifizierung und Angriffserkennungssystemen
Die Maßnahmen müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden. Für Betreiber kritischer Anlagen gelten noch weitergehende Anforderungen, insbesondere der verpflichtende Einsatz von Systemen zur Angriffserkennung, vgl. § 31 BSIG.
2. Meldepflichten (§ 32 BSIG, § 5d EnWG)
Bei erheblichen Sicherheitsvorfällen besteht eine gestufte Meldepflicht:
- Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntnisnahme
- Detailmeldung: Innerhalb von 72 Stunden mit weiteren Informationen und Bewertung
- Abschlussmeldung: Spätestens einen Monat nach der Detailmeldung
Die Meldungen erfolgen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und – im Energiesektor – zusätzlich an die Bundesnetzagentur. Die Meldepflichten gelten auch für Beinahevorfälle und können auf Anforderung durch Zwischenmeldungen ergänzt werden.
3. Registrierungspflicht (§ 33 BSIG)
Alle besonders wichtigen und wichtigen Einrichtungen müssen sich innerhalb von drei Monaten nach Erfüllung der Schwellenwerte beim BSI registrieren. Anzugeben sind u.a. Name, Rechtsform, Kontaktdaten, Sektor und zuständige Aufsichtsbehörden. Änderungen sind unverzüglich zu melden. Betreiber kritischer Anlagen müssen zusätzlich Angaben zu ihren Anlagen und Versorgungskennzahlen machen.
4. Nachweis- und Dokumentationspflichten (§ 39 BSIG)
Die Einhaltung der Sicherheitsanforderungen ist zu dokumentieren und auf Anforderung durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Betreiber kritischer Anlagen müssen dies regelmäßig, mindestens alle drei Jahre, tun.
5. Schulungspflichten
Geschäftsleitungen und Mitarbeitende müssen regelmäßig an Schulungen zur Cybersicherheit teilnehmen, um Risiken erkennen und bewerten zu können.
Haftung der Geschäftsleitung für Cybersicherheit (§ 38 BSIG)
Die Geschäftsleitung trägt die Gesamtverantwortung für die Implementierung und Überwachung angemessener Maßnahmen zur Cybersicherheit im Unternehmen. Sie ist verpflichtet, die gesetzlichen und regulatorischen Anforderungen im Bereich der IT-Sicherheit zu erfüllen und für die Einhaltung der unternehmensinternen Richtlinien zu sorgen, vgl. § 38 BSIG.
Eine Verletzung dieser Pflichten kann zu einer persönlichen Haftung der Mitglieder der Geschäftsleitung führen, insbesondere wenn nachweislich keine angemessenen organisatorischen, technischen oder personellen Maßnahmen zur Abwehr von Cyberrisiken getroffen wurden. Die Geschäftsleitung muss regelmäßig die Wirksamkeit der getroffenen Maßnahmen überprüfen und bei Bedarf anpassen. Zudem ist sie verpflichtet, das Bewusstsein und die Kompetenzen der Mitarbeitenden im Bereich Cybersicherheit durch geeignete Schulungen und Informationsmaßnahmen zu fördern.
Spezielle Regelungen für den Energiesektor (§§ 5c bis 5e EnWG)
Im Energiesektor werden die Anforderungen an die IT-Sicherheit in den neuen §§ 5c bis 5e EnWG konkretisiert:
- § 5c EnWG: Verpflichtet Betreiber von Energieversorgungsnetzen, Energieanlagen und digitalen Energiediensten zu einem angemessenen Schutz ihrer Systeme. Die Bundesnetzagentur legt die Anforderungen in einem IT-Sicherheitskatalog fest, der regelmäßig aktualisiert wird.
- § 5d EnWG: Regelt die Dokumentations-, Melde- und Registrierungspflichten analog zum BSIG. Die Bundesnetzagentur kann Mängelbeseitigungspläne verlangen und Vor-Ort-Kontrollen durchführen.
- § 5e EnWG: Stellt klar, dass die Geschäftsleitung für die Umsetzung und Überwachung der Maßnahmen verantwortlich ist und regelmäßig an Schulungen teilnehmen muss. Bei Pflichtverletzungen droht eine Haftung.
Sanktionen und Bußgelder (§ 65 BSIG, § 95 EnWG)
Verstöße gegen die Pflichten können mit empfindlichen Bußgeldern geahndet werden – bei besonders wichtigen Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
Fazit: Handlungsbedarf für Unternehmen
Das NIS2-Umsetzungsgesetz und die Änderungen im BSIG bzw. EnWG bringt für viele Unternehmen erstmals oder in deutlich erweitertem Umfang umfassende Pflichten im Bereich der Cybersicherheit. Die Anforderungen sind komplex und betreffen nicht nur die IT-Abteilung, sondern die gesamte Organisation – von der Geschäftsleitung bis zu den Mitarbeitenden.
Haben Sie Fragen?
nbs partners unterstützt Sie umfassend bei der Identifikation Ihrer Pflichten, der Umsetzung der gesetzlichen Anforderungen, der Erstellung von Sicherheitskonzepten und der Kommunikation mit den Behörden.
Sprechen Sie uns an!
