Aktuelles
01. Dezember 2025
HFK Update: Informationssicherheit - Bundestag verabschiedet NIS-2-Umsetzungsgesetz
Am 13.11.2025 hat der Bundestag das NIS-2-Umsetzungsgesetz verabschiedet, mit dem die Bundesregierung beabsichtigt, einheitliche europäische Sicherheitsstandards in deutsches Recht umzusetzen. Ziel ist es, angesichts der angespannten Cybersicherheitslage den europäischen Binnenmarkt zu schützen und deren Abwehrfähigkeit zu stärken. Auch der Bundesrat hat dem Gesetz zwischenzeitlich zugestimmt.
Die Vernetzung der Wirtschaft in Deutschland und der Europäischen Union führt zu Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, sollen mit der zugrundeliegenden Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen werden. Daher sollen gemäß der NIS-2-Richtlinie mehr Unternehmen und Branchen zu einheitlichen europäischen Sicherheitsstandards verpflichtet und strengere Sicherheitsanforderungen vorausgesetzt werden. Zudem sind umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vorgesehen.
Entsprechend der vorgenannten unionsrechtlichen Vorgaben wird der bisherige nationale Ordnungsrahmen durch das NIS-2-Umsetzungsgesetz deutlich erweitert. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
- Erweiterung des Adressatenkreises: Während das vorherige BSI-Gesetz (BSIG) vor allem Betreiber kritischer Infrastrukturen in die Pflicht nahm, richten sich die künftigen Regelungen auch an weite Teile des Mittelstandes. So fallen Unternehmen bereits in den Anwendungsbereich, wenn ihre Tätigkeit in den Sektoren des BSIG n. F. – beispielsweise Energie, Transport und Verkehr oder Wasser – genannt ist und sie mindestens als „mittleres Unternehmen“ gelten.
Registrierungspflicht: Unternehmen müssen sich nunmehr innerhalb von drei Monaten bei einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) einzurichtenden Meldestelle registrieren, nachdem sie in den Anwendungsbereich der künftigen Regelungen des BSIG n. F. fallen.
- Risikomanagement: Das BSIG n. F. regelt einen Mindestkatalog an
Risikomanagementmaßnahmen, den die verpflichteten Unternehmen umzusetzen haben. Der Katalog beinhaltet die maßgeblichen Grundsatzanforderungen, z. B. Konzepte zur Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, Krisenmanagement, Sicherheit der Lieferkette, Sicherheitsmaßnahmen für die informationstechnischen Systeme, etc.
- Geschäftsleitung:
- Ausdrückliche Verantwortung der Geschäftsleitung für IT-Sicherheit: Leitungsorgane müssen die konkret zu ergreifenden Sicherheitsmaßnahmen als geeignet billigen und deren Umsetzung kontinuierlich überwachen, § 38 Abs. 1 BSIG n. F.
- Haftung: Die Geschäftsleitung haftet bei Verletzung von Pflichten nach dem BSIG grundsätzlich gemäß der allgemeinen Grundsätze (z. B. AktG, GmbHG); bei Rechtsformen, für die keine solche Haftung besteht, sieht die Vorschrift aber einen Auffangtatbestand vor, § 38 Abs. 2 BSIG n. F.
- Verpflichtende Schulungen für Geschäftsleitungen: diese müssen regelmäßig an Schulungen zur IT-Sicherheit teilnehmen, § 38 Abs. 3 BSIG n. F.
- Meldepflichten: Das bislang einstufige Meldesystem wird durch ein dreistufiges Meldesystem ersetzt. Für „erhebliche Sicherheitsvorfälle“ gilt: eine Erstmeldung innerhalb von 24 Stunden, eine vertiefte Meldung innerhalb von 72 Stunden und eine Abschlussmeldung spätestens nach einem Monat.
- Erweiterte Aufsichtsbefugnisse: Aufsichtsbehörden erhalten weitreichende Möglichkeiten zur Kontrolle und Durchsetzung, z. B. mit Prüfungen, Anordnungen und Bußgeldverfahren.
- Verschärftes Bußgeldsystem: Unterscheidung nach den Einrichtungskategorien: für Besonders wichtige Einrichtungen bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes; für wichtige Einrichtungen bis zu 7 Mio. EUR oder bis zu 1,4 % des weltweiten Jahresumsatzes.
Das BSIG n. F. differenziert zwischen den „wichtigen“ und den „besonders wichtigen Einrichtungen“. Bestimmte Unternehmen sind hierbei auch unabhängig von ihrer Größe erfasst. Dies gilt besonders in den Bereichen Digitales und Telekommunikation.
Nach Angaben des BSI waren vom BSIG bislang ca. 4.500 Einrichtungen des Wirtschaftraums erfasst: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit dem bevorstehenden Inkrafttreten des NIS-2-Umsetzungsgesetzes wird dieser Kreis um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ erweitert, so dass vom BSI nach eigenen Angaben künftig rund 29.500 Einrichtungen beaufsichtigen werden, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten.
Unternehmen sollten sehr zeitnah prüfen, ob sie in den Anwendungsbereich der neuen Regelungen fallen, die bestehende IT den erhöhten Anforderungen standhält oder möglicherweise technische und organisatorische Risikomanagement-Maßnahmen implementiert werden müssten. Schließlich werden die neuen Pflichten unmittelbar mit dem Inkrafttreten des Gesetzes gelten.
Für weitere Informationen zu den Auswirkungen des NIS-2-Umsetzungsgesetzes auf Ihr Unternehmen steht Ihnen RA Patrick Thomas, Fachanwalt für Vergaberecht, HFK Frankfurt a.M. (thomas@hfk.de) gerne zur Verfügung.