Mit der Umsetzung der europäischen NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gelten in Deutschland seit 6. Dezember 2025 deutlich strengere Anforderungen an die Cyber- und Informationssicherheit. Kern der Umsetzung ist die umfassende Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das den regulatorischen Rahmen erheblich erweitert und erstmals auch zahlreiche mittelständische Unternehmen erfasst – insgesamt rund 29.000 Unternehmen in Deutschland nach Schätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Mit der Ausweitung des Anwendungsbereichs und der Verschärfung der zu treffenden Maßnahmen rückt zugleich die Verantwortung der Unternehmensleitung stärker in den Fokus. Geschäftsleitungen sind verpflichtet, sich mit den gesetzlichen Anforderungen auseinanderzusetzen und deren Umsetzung im Unternehmen sicherzustellen. Die Nichteinhaltung der gesetzlichen Vorgaben kann mit erheblichen Compliance- und Haftungsrisiken (auch für die Geschäftsleitung selbst) einhergehen.
Viele Unternehmen sind sich noch nicht bewusst, dass sie unter den Anwendungsbereich des BSIG fallen. Dies müssen sie eigenverantwortlich prüfen und gegebenenfalls entsprechende Maßnahmen ergreifen. Eine proaktive Information durch das BSI oder andere Behörden erfolgt nicht.
Unternehmen müssen deshalb dringend ihre mögliche Betroffenheit rechtssicher einordnen und die erforderlichen Maßnahmen zur Umsetzung der neuen Anforderungen einleiten.
Welche Unternehmen sind betroffen? – Anwendungsbereich des NIS-2
Das BSIG unterscheidet grundsätzlich zwischen zwei Kategorien von regulierten Unternehmen und zwar „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.
Die Einordnung erfolgt nach einem kombinierten Ansatz aus Unternehmensgröße (sog. Size-Cap-Rule) und Zugehörigkeit zu einem bestimmten Sektor (Anlage 1 und 2 des BSIG).
Übersicht der relevanten Sektoren
Die betroffenen Unternehmen ergeben sich aus den in Anlage 1 und 2 des BSIG definierten Sektoren. Anlage 1 umfasst besonders kritische Bereiche, während Anlage 2 weitere wirtschaftlich relevante Sektoren einbezieht.
Welche Maßnahmen müssen Unternehmen umsetzen?
Unternehmen, die unter den Anwendungsbereich des BSIG fallen, sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Cyber- und Informationssicherheit umzusetzen. Ziel ist es, Risiken für Netz- und Informationssysteme zu identifizieren, zu bewerten und auf ein angemessenes Niveau zu reduzieren. In der Praxis erfolgt die Umsetzung häufig über den Aufbau oder die Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS), etwa auf Basis etablierter Standards, wie ISO/IEC 27001.
Zu den zentralen Anforderungen gehören insbesondere:
- Einführung eines strukturierten Risikomanagements für IT- und Informationssicherheit
- Implementierung technischer Schutzmaßnahmen, z. B. Zugriffskontrollen, Authentifizierungsverfahren, Verschlüsselung und sichere Netzarchitekturen
- Konzepte zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen (Incident-Response-Management)
- Business-Continuity- und Backup-Konzepte, um den Betrieb im Falle von Störungen oder Cyberangriffen aufrechterhalten zu können
- Sicherheitsanforderungen entlang der Lieferkette, insbesondere gegenüber IT-Dienstleistern und externen Anbietern
- Schulungen und Sensibilisierung von Mitarbeitenden im Bereich Cyber- und Informationssicherheit
Darüber hinaus bestehen Meldepflichten gegenüber dem BSI bei erheblichen Sicherheitsvorfällen (erste Meldung innerhalb von 24 Stunden, detaillierte Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von einem Monat).
Sofern nicht bereits erfolgt, müssen sich betroffene Unternehmen außerdem kurzfristig beim BSI registrieren und grundlegende Informationen zu ihrer Organisation und ihren Sicherheitsstrukturen übermitteln.
Haftung und Bußgelder
Verstöße gegen die Anforderungen des BSIG können zu erheblichen Bußgeldern sowie zu aufsichtsrechtlichen Maßnahmen durch das BSI führen. Je nach Einstufung des Unternehmens sind Geldbußen von bis zu 10 Mio. EUR beziehungsweise bis zu 2 % des weltweiten Jahresumsatzes möglich; für andere betroffene Einrichtungen können Bußgelder von bis zu 7 Mio. EUR beziehungsweise bis zu 1,4 % des weltweiten Jahresumsatzes verhängt werden.
Das Gesetz betont zudem die persönliche Verantwortung der Geschäftsleitung, die für die Umsetzung und Überwachung der Anforderungen im Unternehmen verantwortlich ist. Eine vollständige Delegation dieser Verantwortung ist nicht vorgesehen, so dass bei Pflichtverletzungen auch persönliche Haftungsrisiken für Mitglieder der Unternehmensleitung bestehen können.
FAZIT
Mit dem BSIG wird Cyber- und Informationssicherheit zur Aufgabe der Geschäftsleitung und betrifft nicht mehr primär nur die IT-Abteilung. Die Verantwortung ist persönlich und haftungsrelevant, so dass die Geschäftsleitung die Umsetzung der gesetzlichen Vorgaben aktiv überwachen muss. Unternehmen, die bislang noch keine Schritte eingeleitet haben, sollten zeitnah prüfen, ob sie unter den Anwendungsbereich von NIS-2 fallen und anschließend die erforderlichen organisatorischen und technischen Maßnahmen einleiten.
Laurent Meister
Laurent Meister, LL.M. ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei RSM Ebner Stolz in Stuttgart. Seine Tätigkeitsschwerpunkte liegen in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen.
Mark Butzke
Mark Alexander Butzke ist Wirtschaftsprüfer, Steuerberater, Certified Data Privacy Solutions Engineer, Certified Information Systems Auditor, Certified in Risk and Information Systems Control, ISO/IEC 27001 Senior Lead Auditor und Partner bei RSM Ebner Stolz in München.
Sabine Riederer
Sabine Riederer ist Certified Data Privacy Solutions Engineer, ISO/IEC 27001 Lead Auditor, Zertifizierte Datenschutzbeauftrage und Director bei RSM Ebner Stolz in München.
