NIS2-Umsetzungsgesetz verabschiedet: Check your status!

/in , , , /von

NIS2-Umsetzungsgesetz: Cybersicherheit wird zum Boardroom-Thema

Mit der Verkündung des Gesetzes zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) tritt am 6. Dezember 2025 eine tiefgreifende Reform des deutschen Cybersicherheitsrechts in Kraft. Das BSI‑Gesetz (BSIG) wird umfassend novelliert, der Kreis der regulierten Unternehmen vervielfacht und die Verantwortung der Geschäftsleitung ausdrücklich geschärft.

Bildmotiv:

NIS2-Umsetungsgesetz: wen trifft es, was ist zu tun?

NIS2 und Cybersicherheit: jetzt gesetzliche Pflicht.

Wer vom NIS2-Umsetzungsgesetz betroffen ist

Das neue BSIG knüpft – wie die NIS‑2‑Richtlinie – an das Konzept der „wichtigen“ und „besonders wichtigen Einrichtungen“ an. Erfasst werden künftig Unternehmen aus nahezu 20 Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Finanz‑ und Versicherungswesen, Abfallwirtschaft, Herstellung bestimmter Schlüsselprodukte, Lebensmittel, Post- und Kurierdienste sowie Teile der öffentlichen Verwaltung.

Grundsätzlich relevant sind Unternehmen ab 50 Beschäftigten oder ab 10 Mio. EUR Umsatz/Bilanzsumme („wichtige Einrichtungen“) sowie Großunternehmen ab 250 Beschäftigten und bestimmten Umsatz‑/Bilanzsummenschwellen („besonders wichtige Einrichtungen“). Betreiber kritischer Infrastrukturen (KRITIS) gelten unabhängig von diesen Schwellenwerten automatisch als besonders wichtige Einrichtungen.

Nach aktuellen Schätzungen werden damit rund 29.000 bis 29.500 Einrichtungen in Deutschland direkt von den neuen Vorgaben erfasst – ein Vielfaches der bislang regulierten KRITIS‑Betreiber.

Pflichten nach NIS2UmsuCG: Fünf Pflichtblöcke im Überblick

Das NIS2UmsuCG bündelt die Pflichten für regulierte Unternehmen in mehreren zentralen Themenblöcken, die auch für die Vertragsgestaltung und Compliance-Praxis relevant sind.

 

  • Informationssicherheits-Risikomanagement: Einführung eines dokumentierten Cyber‑Risikomanagements mit Policies, Asset‑Management, Schwachstellen‑Management, Notfallplanung, Business Continuity und Lieferketten-Security auf Stand der Technik.
  • Registrierung beim BSI: Betroffene Unternehmen müssen sich als „wichtige“ oder „besonders wichtige“ Einrichtung registrieren, ihre wesentlichen Dienste und Ansprechpersonen benennen und Daten aktuell halten.
  • Meldepflichten für IT-Sicherheitsvorfälle: Schwere Sicherheitsvorfälle sind in gestuften Fristen (Frühwarnung, Detail- und Abschlussbericht) an das BSI zu melden; verspätete oder unterlassene Meldungen sind bußgeldbewehrt.
  • Governance und Management-Verantwortung: Leitungsorgane müssen Maßnahmen billigen, Ressourcen bereitstellen, die Umsetzung überwachen und sich regelmäßig zu NIS2/Cybersicherheit fortbilden; bei grober Pflichtverletzung drohen individuelle Sanktionen.
  • Aufsicht und Nachweis: Das BSI kann Auskünfte und Dokumentation verlangen, Vor-Ort-Prüfungen durchführen und Anordnungen erlassen; KRITIS-Betreiber unterliegen periodischen Nachweisen, andere Einrichtungen mindestens anlassbezogenen Prüfungen

Geschäftsführer haften nach dem NIS2-Umsetzungsgesetz (NIS2UmsuCG, insb. über das geänderte BSIG) wie bisher nach allgemeinen Organhaftungsgrundsätzen, bekommen aber ausdrücklich normierte IT‑Sicherheits- und Governance-Pflichten, deren Verletzung zu persönlicher Innenhaftung, Bußgeldern und in Extremfällen auch strafrechtlichen Folgen führen kann. Kern ist, dass die Geschäftsleitung Cybersicherheit als Organpflicht behandeln, Maßnahmen billigen, Ressourcen bereitstellen und die Umsetzung überwachen muss; Delegation mindert die Letztverantwortung nicht.

Sanktionsrahmen: Bußgelder wie bei der DSGVO

Der Bußgeldrahmen des NIS2UmsuCG orientiert sich an der DSGVO und ist geeignet, das Thema Cybersicherheit auf Vorstands- und Aufsichtsratsebene zu verankern. Für besonders wichtige Einrichtungen sind Geldbußen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vorgesehen; für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Sanktionsauslöser sind insbesondere unzureichende technische und organisatorische Maßnahmen, fehlendes oder verspätetes Incident-Reporting, Defizite im Risikomanagement sowie Verstöße gegen Governance- und Schulungspflichten der Geschäftsleitung. Neben Bußgeldern kommen aufsichtsrechtliche Auflagen und in Extremfällen Tätigkeitsverbote für Leitungsorgane in Betracht.

NIS2 und KRITIS: Zusammenwachsen der Cybersicherheitsregulierung

Für Betreiber kritischer Infrastrukturen verschmelzen die Regelwerke faktisch: Bestehende KRITIS-Regelungen und Prüffristen werden in das neue BSIG-Regime integriert, gleichzeitig gelten die verschärften NIS‑2‑Pflichten und Governance-Anforderungen. KRITIS-Betreiber sind damit automatisch besonders wichtige Einrichtungen und müssen ein Sicherheitsniveau nachweisen, das sowohl den sektorspezifischen KRITIS-Vorgaben als auch den horizontalen NIS‑2‑Standards genügt.

Damit wird deutlich: Cybersicherheit für KRITIS ist kein isoliertes Sonderregime mehr, sondern Teil eines einheitlichen, europarechtlich geprägten Sicherheitsrahmens, in dem BSI, ENISA und sektorspezifische Regulatoren enger zusammenwirken.

Verhältnis von NIS2UmsuCG und DSGVO

Das NIS2UmsuCG ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO den Schutz personenbezogener Daten adressiert, zielt NIS‑2 auf die Verfügbarkeit, Integrität und Vertraulichkeit von Netz- und Informationssystemen kritischer und wichtiger Dienste. Dennoch bestehen zahlreiche Schnittmengen:

  • Security by Design: Beide Regime verlangen angemessene technische und organisatorische Maßnahmen (TOM), sodass ein integrierter ISMS/DSMS-Ansatz sinnvoll ist.
  • Incident-Management: Schwere IT‑Sicherheitsvorfälle können zugleich NIS‑2‑relevant und datenschutzrechtliche „Datenpannen“ sein; Unternehmen müssen Meldeprozesse so gestalten, dass sie sowohl BSI- als auch Aufsichtsbehördenanforderungen erfüllen.
  • Rollen der Geschäftsleitung: NIS‑2 betont die Verantwortung der Leitungsgremien für Cybersicherheit ähnlich stark wie die DSGVO für Datenschutz – beides sind heute zentrale Organpflichten.

In der Praxis spricht vieles für ein integriertes Governance-, Risk- und Compliance-Modell, das Datenschutz (DSGVO), Cybersicherheit (NIS2UmsuCG/BSIG) und KRITIS-Vorgaben in einem konsistenten Rahmen zusammenführt. Das fördert die Effizienz – und spart Kosten!

Warum sich auch Lieferanten auf NIS2 vorbereiten müssen

Viele kleinere oder spezialisierte Dienstleister und Lieferanten fallen formal nicht in den Anwendungsbereich des NIS2UmsuCG, werden aber faktisch von den Pflichten ihrer Kunden „mitgezogen“. Denn NIS‑2 verpflichtet wichtige und besonders wichtige Einrichtungen ausdrücklich dazu, Sicherheitsrisiken entlang der Lieferkette zu adressieren und geeignete vertragliche und organisatorische Maßnahmen gegenüber Dienstleistern zu etablieren.

In der Praxis bedeutet dies:

  • Schärfere Sicherheitsanforderungen in Verträgen: Kunden werden Lieferanten vermehrt zu Informationssicherheits-Policies, Mindeststandards, Zertifizierungen (z.B. ISO 27001) und Incident-Reporting verpflichten.
  • Audits und Nachweispflichten: Wichtige/besonders wichtige Einrichtungen müssen ihr Lieferkettenrisiko nachweisen; dazu gehören Auditrechte, Security-Assessments sowie Pflicht zur Mitwirkung bei Sicherheitsvorfällen.
  • Vendor-Risiko als Wettbewerbskriterium: Lieferanten mit schwacher IT-Sicherheit werden zunehmend als Risikofaktor eingestuft und können bei Ausschreibungen oder Vertragsverlängerungen ins Hintertreffen geraten.

NIS 2 und Cyvbersicherheit: Pflichten in der VertragsketteSelbst wenn ein Lieferant nicht direkt NIS‑2-reguliert ist, wird er damit mittelbar Teil des Compliance-Systems seiner Kunden. Wer heute in Informationssicherheit und belastbare Nachweise investiert, verbessert nicht nur die eigene Resilienz, sondern sichert auch die langfristige Lieferantenrolle in regulierten Sektoren.

Besondere Vorgaben für die Bundesverwaltung

Für Einrichtungen der Bundesverwaltung führt das Gesetz ein eigenständiges Informationssicherheitsregime ein. IT‑Risikomanagementmaßnahmen sind künftig verpflichtend auf Basis des IT‑Grundschutzes des BSI umzusetzen; zugleich werden die BSI‑Mindeststandards zum verbindlichen Sicherheitsniveau der Bundesbehörden. Das BSI erhält eine stärkere Koordinierungs- und Steuerungsrolle über die Bundes‑IT, um ein einheitliches Mindestsicherheitsniveau zu gewährleisten.

Was Unternehmen, KRITIS-Betreiber und Lieferanten jetzt tun sollten

Mit Inkrafttreten des NIS2UmsuCG endet die Übergangsphase; betroffene Einrichtungen müssen die wesentlichen Anforderungen ab dem 6. Dezember 2025 umsetzen. Aus anwaltlicher Sicht sind insbesondere folgende Schritte empfehlenswert:

  • Betroffenheit prüfen: Einordnung als „wichtige“ oder „besonders wichtige“ Einrichtung anhand von Sektor, Schwellenwerten und kritischen Funktionen; KRITIS-Betreiber sind automatisch besonders wichtig.
  • GAP-Analyse: Abgleich des bestehenden Informationssicherheits- und Datenschutz-Managements mit NIS‑2‑, KRITIS- und DSGVO-Anforderungen.
  • Governance anpassen: Verankerung von Cybersicherheit und NIS‑2‑Pflichten in Geschäftsordnung, Richtlinien, Reporting-Linien und Schulungskonzepten der Leitungsgremien.
  • Lieferkette überprüfen: Systematische Bewertung von Dienstleistern und Lieferanten (Vendor-Risk-Management), Anpassung von IT‑, Outsourcing‑ und Lieferverträgen um NIS‑2‑konforme Sicherheitsklauseln.
  • Incident- und Meldeprozesse harmonisieren: Verzahnung von NIS‑2‑Meldepflichten mit DSGVO‑Datenpannenprozessen und internen Krisenstrukturen.

Klar ist: NIS‑2 ist kein isoliertes IT-Projekt, sondern ein Organisations- und Haftungsregime, das tief in Governance, Compliance und Vertragsgestaltung hineinwirkt. Wer jetzt strukturiert vorgeht, reduziert nicht nur Bußgeld- und Haftungsrisiken, sondern verbessert nachhaltig die eigene Cyber-Resilienz und Wettbewerbsfähigkeit.

NIS2 trifft genau diejenigen besonders hart, die beim Datenschutz bisher „Mut zur Lücke“ hatten, weil es dieselbe Logik wie die DSGVO fährt (Pflichten + Rechenschaft + hohe Bußgelder), aber auf ein viel breiteres Feld von System‑ und Prozesssicherheit zielt. Wer dagegen schon eine ernsthafte DSGVO‑Compliance aufgebaut hat, kann viele Strukturen für NIS2 wiederverwenden – die erhoffte „Liberalisierung des Datenschutzes“ ändert an diesen sicherheitsrechtlichen Pflichten schlicht nichts.​

Warum „Mut zur Lücke“ jetzt teuer wird

NIS2 fordert ein systematisches Sicherheits‑ und Risikomanagement für Netz- und Informationssysteme, inklusive ISMS, regelmäßiger Risikobewertungen, Meldewegen, Schulungen und dokumentierten technischen und organisatorischen Maßnahmen. Wer bisher Datenschutz nur minimalistisch oder reaktiv umgesetzt hat, hat diese Governance‑Elemente meist nicht etabliert und steht nun vor einem Sprung von „Papier-DSGVO“ zu gelebter, revisionsfähiger Sicherheitsorganisation mit Management‑Einbindung und klaren Verantwortlichkeiten.​

Die Richtlinie bringt schärfere Sicherheitsanforderungen, engere Meldepflichten und empfindliche Sanktionen, was den Druck auf Unternehmen erheblich erhöht. Zugleich verweisen Praxisberichte darauf, dass NIS2‑konforme Strukturen (z.B. ISO‑27001‑basiertes ISMS) zu geringeren Ausfallkosten, weniger Audits durch Großkunden und sogar zu echten Wettbewerbs- und Vertrauensvorteilen führen können.​

NIS2 ergänzt die DSGVO, statt sie zu ersetzen: Datenschutz regelt den Umgang mit personenbezogenen Daten, NIS2 die Resilienz von Netzen und Informationssystemen – beide Regime laufen parallel. Selbst wenn der Gesetzgeber einzelne DSGVO‑Pflichten „entschärfen“ würde, bleiben NIS2‑risikobasierte Sicherheitsanforderungen, Meldepflichten und Bußgelder vollständig bestehen; politische Diskussionen über liberalere Datenschutzregeln ändern deshalb nichts an der Pflicht, eine belastbare Cybersicherheits‑Compliance aufzubauen.​

Für Organisationen, die Datenschutz bisher eher als lästige Formalie behandelt haben, ist NIS2 eine doppelte Zäsur: Es erhöht nicht nur das Sanktionsrisiko, sondern macht Sicherheits‑Versäumnisse der Geschäftsleitung zusätzlich explizit adressierbar. Wer die Gelegenheit nutzt, Datenschutz‑ und Sicherheits‑Compliance zusammenzudenken (DSGVO‑TOMs, Art. 32 DSGVO, Art. 25 DSGVO, ISMS, NIS2‑Pflichtenkatalog), kann aus dem vermeintlichen „Pflichtprogramm“ ein integriertes, haftungsentlastendes und marktseitig nutzbares Sicherheitsprofil machen.

Die Kanzlei BBS Rechtsanwälte ist seit fast 20 Jahren ein verlässlicher Unternehmenspartner in allen Fragen des Informationstechnologierechts. Als spezialisierte Experten für Datenschutz- und IT-Sicherheitsrecht stehen wir fest an der Seite unserer Unternehmensmandanten und unterstützen auch Sie gerne bei der Suche nach maßgeschneiderten Lösungen. Sprechen Sie uns an!