Die Einführung der NIS‑2‑Richtlinie stellt einen grundlegenden Einschnitt in der europäischen Cyber‑Sicherheitsregulierung dar. Durch deutlich verschärfte Anforderungen an Schutzmaßnahmen und Meldepflichten sollen kritische Infrastrukturen und besonders wichtige Einrichtungen besser gegen Cyberangriffe geschützt werden. Ziel ist es, durch die Einführung und Umsetzung der Richtlinie in der Europäischen Union die Widerstandsfähigkeit von Unternehmen und Behörden zu erhöhen, die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern und einheitliche Mindeststandards für Cyber‑Sicherheit zu etablieren.

NIS-2 gilt seit dem 6. Dezember 2025 in Deutschland

Mit dem in Deutschland am 6. Dezember 2025 in Kraft getretenen NIS‑2‑Umsetzungsgesetz wurden die Regelungen der Richtlinie nun in nationales Recht umgesetzt. Das Gesetz verschärft nicht nur Sicherheits‑ und Compliance‑Pflichten, sondern erweitert auch erheblich den Kreis der betroffenen Unternehmen im Gegensatz zur bisherigen deutschen KRITIS‑Regelung. NIS‑2 umfasst nun eine deutlich größere Unternehmenslandschaft einschließlich vieler Organisationen, die bislang nicht unter Aufsicht standen - nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es künftig rund 29.000 Betroffene. Das entspricht einer mehr als versechsfachten Ausweitung gegenüber der früheren KRITIS‑Regulierung.

Erschwerend kommt hinzu, dass das Umsetzungsgesetz keine Übergangsfristen vorsieht. Die gesetzlichen Pflichten gelten unmittelbar mit dem Inkrafttreten am 6. Dezember 2025, sodass betroffene Unternehmen unverzüglich Maßnahmen ergreifen müssen. Vor diesem Hintergrund steht für viele Unternehmen und Organisationen eine dringliche und unmittelbare Frage im Raum: Fallen auch wir unter die Regelungen von NIS-2 – und wenn ja, welche konkreten Pflichten resultieren hieraus? 

Betroffenheitsanalyse

Unsere Empfehlung: Als unverzichtbarer erster Schritt sollte eine Betroffenheitsanalyse durchgeführt werden, denn die Folgen einer Missachtung der neuen Regelungen sind hart – sie reichen von erheblichen Bußgeldern bis hin zu persönlichen Haftungsrisiken für die Geschäftsleitung bzw. andere Verantwortliche. Ziel einer individuellen Betroffenheitsanalyse ist es, eine klare Aussage dazu zu erhalten, ob Ihr Unternehmen oder Ihre Organisation als „besonders wichtige“ oder „wichtige“ Einrichtung nach NIS-2 einzustufen ist und welche organisatorischen Pflichten daraus resultierend unmittelbar gelten. 

Eine solche Analyse bietet auch das BSI selbst an – allerdings versehen mit dem klaren Hinweis, dass die Antworten der dort vorgenommenen „NIS-2-Betroffenheitsprüfung“ automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Für komplexere Fälle oder immer dann, wenn Sie Wert auf eine verbindliche und rechtssichere Betroffenheitsanalyse legen, empfehlen wir eine individuelle Analyse mit juristischer Expertise, wie wir diese für unsere Mandantendurchführen.

In diesem Kontext berücksichtigen wir alle relevanten Prüfbausteine, wie etwa die Sektor-Zuordnung nach Anlage 1/2 BSIG (NIS‑2), eine Prüfung der Schwellenwerte in den Bereichen Mitarbeiterzahl und Umsatz, die Berücksichtigung von Sonderfällen und Ausnahmen (z. B. Vernachlässigbarkeit bestimmter Geschäftstätigkeiten, Konzernzugehörigkeit) sowie die Anforderungen an Registrierung und Mitteilungspflichten.

Integrierter Beratungsansatz zu NIS-2 bei BDO

Kommt unsere Betroffenheitsanalyse zu dem Schluss, dass Sie mit Ihrem Unternehmen bzw. Ihrer Organisation zum Kreise der von NIS-2 Betroffenen gehören, berät und begleitet BDO Sie gerne bei allen relevanten Maßnahmen. Die Expertinnen und Experten unserer Kooperationspartner BDO AG Wirtschaftsprüfungsgesellschaft, BDO DIGITAL GmbH und BDO Cyber Security GmbH bieten hierfür einen integrierten Ansatz, bei dem Fachleute aus den unterschiedlichsten Bereichen eng verzahnt zusammenarbeiten und so eine umfassende Betreuung aus einer Hand gewährleisten. 

Weitere Informationen hierzu finden Sie auf unserer Übersichtsseite.

NIS-2 Themenseite

Dieser Artikel wurde verfasst von