ARENDT – Data & Law

Umsetzung der NIS2-Richtlinie in Deutschland: Regierungsentwurf verabschiedet

Kostenloses Erstgespräch

Leistungen

Datenschutzberatung

externer Datenschutzbeauftragter (DSB)

Informationssicherheit

IT-Recht

NIS2 Umsetzung Deutschland

You agree to receive email communication from us by submitting this form and understand that your contact information will be stored with us.

Was bedeutet NIS2 für Unternehmen in Deutschland?

Die EU hat mit der NIS-2-Richtlinie (EU) 2022/2555 einen neuen, deutlich erweiterten Rechtsrahmen für die Cybersicherheit geschaffen. Ziel ist es, die Widerstandsfähigkeit kritischer und wichtiger Einrichtungen gegenüber Cyberbedrohungen zu stärken – europaweit und sektorübergreifend.

Deutschland ist mit der Umsetzung der Richtlinie in nationales Recht im Verzug. Die Umsetzung soll nun durch das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (kurz: NIS2UmsuCG) erfolgen, das eine umfassende Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz – BSIG) und anderer Gesetze mit sich bringt.

Mit dem Regierungsentwurf vom 25. Juli 2025, den das Bundeskabinett verabschiedet hat, beginnt nun das parlamentarische Verfahren. Das Inkrafttreten ist für Dezember 2025 oder Januar 2026 geplant. Betroffene Unternehmen sollten spätestens jetzt die Entwicklungen ernsthaft aufmerksam verfolgen – und sich frühzeitig auf die neuen Anforderungen vorbereiten.

Ziel des Gesetzes: Mehr Cybersicherheit und digitale Resilienz

Das Gesetz dient der Umsetzung der europäischen NIS2-Richtlinie und verfolgt das Ziel, das Cybersicherheitsniveau in Deutschland deutlich zu erhöhen. Es erweitert den Anwendungsbereich über klassische KRITIS-Betreiber hinaus und verpflichtet nun auch zahlreiche weitere Unternehmen und Organisationen zur Einhaltung verbindlicher IT-Sicherheitsstandards. Schätzungen zufolge werden rund 30.000 Unternehmen in Deutschland künftig von den neuen Vorgaben erfasst.

Neben der Wirtschaft betrifft das Gesetz auch die Bundesverwaltung. Dort werden erstmals gesetzlich geregelte Mindeststandards für das Informationssicherheitsmanagement eingeführt. Insgesamt soll die digitale Resilienz staatlicher und wirtschaftlicher Strukturen angesichts wachsender Cyberbedrohungen gestärkt werden.

Wer fällt unter das neue BSIG-E?

Die NIS2-Richtlinie und der deutsche Umsetzungsentwurf weiten den Kreis betroffener Unternehmen massiv aus. Der Anwendungsbereich ergibt sich aus § 28 BSIG-E, der zwischen besonders wichtigen und wichtigen Einrichtungen differenziert.

Was sind besonders wichtige Einrichtungen?

Als besonders wichtige Einrichtungen im Sinne des § 28 Abs. 1 BSIG-E gelten Unternehmen mit hoher Relevanz für das Gemeinwesen, die besonderen Aufsichts- und Nachweispflichten unterliegen. Dazu zählen unter anderem Betreiber kritischer Anlagen, qualifizierte Vertrauensdiensteanbieter, Telekommunikationsunternehmen sowie DNS- und Top-Level-Domain-Anbieter – sofern sie mindestens 50 Mitarbeitende beschäftigen oder wirtschaftlich eine gewisse Größe überschreiten (jeweils über 10 Mio. € Umsatz und Bilanzsumme).

Darüber hinaus werden auch andere Unternehmen erfasst, die in besonders sensiblen Sektoren tätig sind und eine erhebliche Größe erreichen. Maßgeblich ist, ob sie einer der in Anlage 1 des BSIG-E genannten Einrichtungsarten zuzuordnen sind – etwa aus den Bereichen Energie, Gesundheit, Verkehr, digitale Infrastruktur oder Produktion kritischer Güter. Diese Unternehmen gelten dann als besonders wichtig, wenn sie entweder mindestens 250 Beschäftigte haben oder bestimmte Umsatz- und Bilanzsummen überschreiten (über 50 Mio. € Umsatz und über 43 Mio. € Bilanzsumme).

Die Einstufung bringt eine intensivere Aufsicht durch das BSI sowie deutlich erweiterte Pflichten in den Bereichen Cybersicherheitsmanagement, Meldewesen und Governance mit sich.

Einstufung als „wichtige Einrichtung“: Kriterien und Pflichten

Wichtige Einrichtungen unterliegen grundsätzlich denselben Pflichten hinsichtlich Cybersicherheitsmaßnahmen, Registrierung und Meldewesen – jedoch mit einem etwas reduzierten aufsichtsrechtlichen Eingriffsrahmen.

Als wichtige Einrichtungen gelten zunächst kleinere Anbieter aus dem Bereich der Telekommunikation sowie Vertrauensdiensteanbieter, die nicht bereits als besonders wichtig eingestuft werden. Auch Unternehmen aus den in Anlagen 1 und 2 des Gesetzes genannten Sektoren können als wichtige Einrichtung gelten – etwa aus Bereichen wie Abfallentsorgung, Lebensmittelwirtschaft, Forschung, verarbeitende Industrie oder der Herstellung kritischer Güter – sofern sie eine gewisse wirtschaftliche Schwelle überschreiten.

Konkret müssen diese Unternehmen entweder mindestens 50 Mitarbeitende beschäftigen oder sowohl beim Jahresumsatz als auch bei der Bilanzsumme über 10 Millionen Euro liegen. Damit werden insbesondere mittelständische Unternehmen mit systemischer Bedeutung erfasst, die jedoch nicht die Größe oder Kritikalität besonders wichtiger Einrichtungen erreichen.

Auch wichtige Einrichtungen sind verpflichtet, angemessene Sicherheitsmaßnahmen zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Sie unterliegen zudem einer nachträglichen Kontrolle, können aber grundsätzlich mit weniger intensiven aufsichtsrechtlichen Eingriffen rechnen – etwa durch ein abgestuftes Prüfrecht des BSI und geringere Nachweisanforderungen.

Ausnahmebestimmung: Vernachlässigbare Geschäftstätigkeit (§ 28 BSIG-E)

Der Gesetzentwurf erlaubt Ausnahmen bei „vernachlässigbarer Geschäftstätigkeit“ (§ 28 BSIG-E), was in der Praxis jedoch für Kritik sorgt: Der Begriff ist unklar definiert und schafft Interpretationsspielraum, der zu Rechtsunsicherheit und potenziellen Regelungslücken führen kann. Ob diese Ausnahmeregelung im Gesetz verbleibt, bleibt abzuwarten.

Anforderungen an das Risikomanagement: §§ 30–31 BSIG-E

Wichtige und besonders wichtige Einrichtungen sind gemäß § 30 BSIG-E verpflichtet, geeignete, wirksame und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zu ergreifen, um Sicherheitsvorfälle zu verhindern oder deren Auswirkungen zu begrenzen. Die Maßnahmen müssen verhältnismäßig sein und Risikoexposition, Unternehmensgröße und Umsetzungskosten berücksichtigen.

Inhalte des Mindestkatalogs für NIS2-Sicherheitsmaßnahmen

§ 30 Abs. 2 BSIG-E enthält einen Mindestkatalog an Themen, die durch das Risikomanagement abgedeckt werden müssen. Dazu zählen insbesondere:

  • Risikoanalysen und IT-Sicherheitskonzepte
  • Vorfallmanagement, Wiederherstellung und Krisenbewältigung
  • Lieferkettensicherheit und Dienstleisterkontrolle
  • Schwachstellenmanagement und sichere Softwareentwicklung
  • Zugriffskontrollen, Multi-Faktor-Authentisierung, Verschlüsselung
  • Mitarbeiterschulungen und Maßnahmen zur Cyberhygiene

Für bestimmte digitale Dienste – etwa Rechenzentren, Cloud-Anbieter, Online-Marktplätze, soziale Netzwerke oder Vertrauensdienste – sieht § 30 Abs. 3–4 BSIG-E vor, dass EU-weite Durchführungsrechtsakte Vorrang genießen können. Diese konkretisieren die Anforderungen auf europäischer Ebene und gehen dem nationalen Recht dann vor.

Besondere Anforderungen gelten gemäß § 31 BSIG-E für Betreiber kritischer Anlagen. Für sie kann auch ein höherer Umsetzungsaufwand noch als verhältnismäßig gelten. Zudem sind sie verpflichtend zum Einsatz von Systemen zur Angriffserkennung verpflichtet, die kontinuierlich Bedrohungen erfassen und automatisierte Reaktionen auf Sicherheitsvorfälle ermöglichen.

Sicherheitsvorfälle: Meldepflichten und Fristen (§ 32 BSIG‑E)

Mit dem neuen § 32 BSIG‑E wird die bisherige einstufige Meldepflicht durch ein differenziertes Drei-Stufen-Modell ersetzt. Dieses richtet sich an wichtige und besonders wichtige Einrichtungen und betrifft alle erheblichen Sicherheitsvorfälle – also Ereignisse, die zu wesentlichen Störungen der Dienste führen oder potenziell erhebliche Schäden verursachen können.

Drei-Stufen-Modell zur Vorfallmeldung

  1. Frühwarnung: Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls ist eine erste Kurzmeldung beim BSI einzureichen. Sie soll u. a. Art und Schwere des Vorfalls, erste Gegenmaßnahmen sowie mögliche grenzüberschreitende Auswirkungen skizzieren.
  2. Folgebericht: Spätestens 72 Stunden nach der Erstmeldung muss ein ausführlicher Bericht folgen – mit detaillierten Informationen zur Ursache, zur aktuellen Lagebewertung und zu eingeleiteten Maßnahmen.
  3. Abschlussbericht: Sobald der Vorfall abschließend bewertet und behandelt wurde, ist ein abschließender Bericht an das BSI zu übermitteln. Dieser enthält u. a. eine Nachanalyse sowie etwaige Lehren oder strukturelle Verbesserungen.

Was gilt erheblicher Sicherheitsvorfall?

Ein Sicherheitsvorfall ist nach §2 Nr. 11 BSIG-E erheblich und damit meldepflichtig, wenn er:

  • schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder 
  • andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Achtung: Die Meldefristen beginnen mit dem Zeitpunkt der Kenntnis – auch bei einem bloßen Verdacht. Zögerliches Verhalten kann als Verstoß gewertet und bußgeldbewehrt sein.

Registrierungspflicht und Informationspflichten (§§ 33–36 BSIG-E)

Registrierung beim BSI

Gemäß § 33 Abs. 1 BSIG-E müssen sich betroffene Unternehmen innerhalb von drei Monaten nach Feststellung ihrer Einstufung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Dabei sind grundlegende Angaben wie Unternehmensdaten, Tätigkeitsbereich und Kontaktstelle zu übermitteln. Änderungen dieser Informationen müssen nach § 34 BSIG-E unverzüglich mitgeteilt werden.

Eine unterlassene, fehlerhafte oder verspätete Registrierung stellt gemäß § 65 Abs. 1 Nr. 1 BSIG-E eine Ordnungswidrigkeit dar und kann mit einem Bußgeld geahndet werden.

Laufende Informationspflichten und Nachweise

Zusätzlich verpflichtet § 35 BSIG-E die registrierten Einrichtungen, das BSI über sicherheitsrelevante Entwicklungen und organisatorische Änderungen zu informieren. Nach § 36 BSIG-E ist das BSI wiederum verpflichtet, auf Meldungen – etwa zur Einstufung oder zu Sicherheitsvorfällen – strukturiert zu reagieren.

Für Betreiber kritischer Anlagen sieht § 39 BSIG-E eine regelmäßige Nachweispflicht im Dreijahresrhythmus vor. Für andere Einrichtungen entfällt diese Pflicht, jedoch kann das BSI gemäß §§ 64 und 65 BSIG-E jederzeit Nachweise oder Prüfungen verlangen – etwa bei Vorfällen oder Verdachtsmomenten.

Pflichten der Geschäftsleitung und persönliche Haftung (§ 38 BSIG-E)

Mit dem neuen § 38 des BSIG-E wird die Verantwortung der Geschäftsleitung erstmals ausdrücklich geregelt. Demnach ist die Leitungsebene von besonders wichtigen Einrichtungen, wichtigen Einrichtungen und Betreibern kritischer Anlagen verpflichtet, die Einhaltung sämtlicher Anforderungen aus den §§ 30 bis 37 BSIG-E sicherzustellen und zu überwachen. Das umfasst unter anderem die Implementierung geeigneter Risikomanagementmaßnahmen, die ordnungsgemäße Registrierung beim BSI, die Erfüllung der Melde- und Informationspflichten sowie – sofern zutreffend – die regelmäßige Vorlage von Nachweisen gegenüber der Aufsichtsbehörde.

Die Verantwortung kann zwar organisatorisch innerhalb des Unternehmens delegiert werden, verbleibt rechtlich jedoch bei der Geschäftsleitung. Sie ist verpflichtet, die Umsetzung zu kontrollieren und etwaige Mängel zu erkennen und abzustellen. Versäumnisse in diesem Bereich können nicht nur aufsichtsrechtliche Konsequenzen nach sich ziehen, sondern unter Umständen auch zivilrechtliche Haftungsrisiken begründen – etwa im Rahmen der organschaftlichen Sorgfaltspflichten nach § 43 GmbHG bzw. § 93 AktG.

Praxistipp: Geschäftsleitungen sollten IT- und Cybersicherheit aktiv steuern – nicht nur reaktiv abnicken. Es empfiehlt sich, Zuständigkeiten formal festzulegen, regelmäßige Berichte einzufordern und alle Entscheidungen im Kontext der NIS2-Pflichten nachvollziehbar zu dokumentieren.

Schulungspflichten für Mitarbeitende und Geschäftsleitung

Nach § 30 Abs. 2 Nr. 7 BSIG-E sind wichtige und besonders wichtige Einrichtungen verpflichtet, geeignete Schulungen und Sensibilisierungsmaßnahmen für ihre Beschäftigten umzusetzen. Ziel ist es, grundlegende „Cyberhygiene“ zu fördern und ein Bewusstsein für Cyberbedrohungen zu schaffen – etwa durch Trainings zu Phishing, Passwortsicherheit, Meldeprozessen oder dem sicheren Umgang mit IT-Systemen. Diese Pflicht betrifft nicht nur das IT-Fachpersonal, sondern alle Mitarbeitenden mit Systemzugang oder sicherheitsrelevanten Aufgaben.

Ergänzend verpflichtet § 38 Abs. 3 BSIG-E auch die Geschäftsleitung selbst ausdrücklich zur Teilnahme an Schulungen.

Die Mitglieder der Geschäftsleitung haben an Schulungen teilzunehmen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen.“

Damit unterstreicht der Gesetzgeber, dass die Cybersicherheitsverantwortung nicht delegiert werden kann – die Leitungsebene muss in der Lage sein, Risiken zu verstehen, Maßnahmen einzuordnen und Entscheidungen fundiert zu treffen.

Praxistipp: Schulungen zur Cybersicherheit sollten regelmäßig und zielgruppengerecht durchgeführt werden – sowohl für Mitarbeitende als auch für Führungskräfte. Für die Geschäftsleitung empfiehlt sich mindestens ein jährliches Briefing zu aktuellen Bedrohungslagen, rechtlichen Pflichten und interner Governance. Die Teilnahme sollte dokumentiert und in das Risikomanagement eingebettet sein.

Sanktionen und Bußgelder bei Verstößen gegen das BSIG-E

Das BSIG-E sieht bei Verstößen gegen zentrale Pflichten des Gesetzes deutliche Sanktionen vor. Laut § 65 BSIG-E gelten insbesondere folgende Pflichtverletzungen als Ordnungswidrigkeit: eine fehlende, verspätete oder fehlerhafte Registrierung (§ 33), unzureichende Sicherheitsmaßnahmen (§ 30), Verstöße gegen Melde- und Informationspflichten (§§ 33–36), die Nichtteilnahme der Geschäftsleitung an verpflichtenden Schulungen (§ 38 Abs. 3) sowie die Missachtung behördlicher Anordnungen oder Geheimhaltungspflichten (§ 43).

Die Höhe möglicher Bußgelder richtet sich nach dem Status der Einrichtung:

  • Für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Zusätzlich erhält das BSI weitreichende Eingriffsrechte: Es darf Nachweise anfordern, Anordnungen erlassen, Vor-Ort-Kontrollen durchführen oder – bei schwerwiegenden Fällen – Verstöße öffentlich machen (§§ 61–64 BSIG-E).

Praxistipp: Unternehmen sollten ihre Pflichten aktiv umsetzen, Zuständigkeiten klar regeln und Schulungen sowie Meldeprozesse dokumentieren. Denn nicht nur hohe Bußgelder, sondern auch aufsichtsrechtliche Maßnahmen können erhebliche wirtschaftliche Folgen haben.

Empfehlungen für Unternehmen: So gelingt die Umsetzung

Mit dem NIS2-Umsetzungsgesetz setzt der Gesetzgeber die Vorgaben der EU-Richtlinie ohne Übergangsfristen in deutsches Recht um. Die Pflichten gelten unmittelbar ab Inkrafttreten – eine Schonfrist ist nicht vorgesehen. Das bedeutet: Unternehmen, die in den Anwendungsbereich fallen, müssen ihre Prozesse zur Cybersicherheit, Meldung und Governance jetzt umstellen.

Checkliste zur Vorbereitung auf das NIS2

  1. Status feststellen: Sektor und Schwellenwerte prüfen
  2. Verantwortlichkeiten klären: Geschäftsleitung einbinden, Rollen definieren
  3. Risikomanagement implementieren: IT-Sicherheitskonzepte und Schutzmaßnahmen umsetzen
  4. Meldeprozesse einrichten: inklusive Frühwarnung, Fristenmanagement, Eskalationen
  5. Registrierung vorbereiten: vollständige Angaben und Fristen im Blick behalten
  6. Schulungen durchführen: für alle Mitarbeitenden, inkl. Geschäftsleitung
  7. Dokumentation sicherstellen: Maßnahmen, Zuständigkeiten, Nachweise strukturiert erfassen

Weiterführende Umsetzungshilfe: Die ENISA-Guidance „Technical Implementation Guidance“ bietet praxisnahe Unterstützung für die Umsetzung von NIS2 für digitale Dienste und kritische Infrastrukturen.

Fazit: Die NIS2-Umsetzung als Chance

Die Umsetzung der NIS2-Richtlinie markiert einen bedeutenden Wendepunkt in der deutschen Cybersicherheitsregulierung. Mit dem erweiterten Anwendungsbereich, konkreten Pflichten für Geschäftsleitung und Organisation sowie strengen Melde- und Nachweisanforderungen steigt der Handlungsdruck auf Unternehmen aller Größen und Branchen.

Die Regelungen greifen unmittelbar nach Inkrafttreten, ohne Übergangsfristen. Wer betroffen ist, muss bereits jetzt mit der Umsetzung beginnen – nicht zuletzt, um Bußgelder, Reputationsschäden und aufsichtsrechtliche Eingriffe zu vermeiden.

Zugleich bietet das neue Gesetz die Chance, IT-Sicherheit strategisch im Unternehmen zu verankern. Wer frühzeitig in Governance, Schulung, Meldewesen und Risikomanagement investiert, erfüllt nicht nur regulatorische Anforderungen, sondern stärkt die Resilienz seines Geschäftsmodells in einer zunehmend digitalisierten Welt.

FAQ

Was ist das NIS2-Umsetzungsgesetz?

Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG) ist der deutsche Gesetzentwurf zur Umsetzung der EU-Richtlinie 2022/2555.

Welche Unternehmen betrifft das NIS2-Umsetzungsgesetz?

Das NIS2UmsuCG betrifft Unternehmen aus zahlreichen Sektoren – etwa Energie, Gesundheit, digitale Infrastruktur, Verkehr, Industrie, Abfallwirtschaft, Lebensmittelwirtschaft oder Forschung. Entscheidend ist, ob ein Unternehmen zu einer in Anlage 1 oder 2 des BSIG-E genannten Einrichtungsart gehört und bestimmte Schwellenwerte überschreitet (z. B. 50 oder 250 Mitarbeitende, Umsatz- und Bilanzsummen ab 10 Mio. € bzw. 50 Mio. €). Insgesamt werden in Deutschland voraussichtlich rund 30.000 Unternehmen vom Gesetz erfasst – weit mehr als bisher unter die KRITIS-Regelung fielen.

Welche Maßnahmen müssen betroffene Unternehmen nach NIS2 umsetzen?

Betroffene Unternehmen sind verpflichtet, ein umfassendes Cybersicherheits-Risikomanagement aufzubauen. Dazu gehören u. a. Risikoanalysen, Sicherheitskonzepte, Vorfallmanagement, Maßnahmen zur Lieferkettensicherheit, Zugangskontrollen, Verschlüsselung, Schwachstellenmanagement und Schulungen zur Cyberhygiene. Für besonders wichtige Einrichtungen sind zusätzlich Systeme zur Angriffserkennung verpflichtend. Die Anforderungen ergeben sich insbesondere aus den §§ 30–31 BSIG-E und müssen dem Stand der Technik entsprechen.

Rechtsanwalt Arendt, Datenschutzbeauftragter und Experte Datenschutz, Cybersecurity

Boris Arendt
Rechtsanwalt Boris Arendt berät StartUps, mittelständische Unternehmen, Konzerne und NGOs in den Bereichen Datenschutz, Cybersecurity, Compliance und IT-Recht sowie bei der Realisierung von digitalen Geschäftsmodellen.

Kostenloses Erstgespräch
de_DEDeutsch
en_USEnglish de_DEDeutsch