Aktuelles
Datum: 

Die Uhr tickt: NIS‑2‑Richtlinie – Regierungsentwurf des Cybersicherheitsgesetzes liegt vor


Deutschland hat die EU‑Frist zur Umsetzung der NIS‑2‑Richtlinie (RL EU 2022/2555) bereits im Oktober 2024 verpasst.

Mit dem Regierungsentwurf des NIS‑2‑Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), den das Bundeskabinett am 30. Juli 2025 beschlossen hat, nimmt das Gesetzgebungsverfahren nun wieder Fahrt auf. Die NIS2 Richtlinie/das NIS2UmsuCG entwickeln die mit der NIS‑1‑Richtlinie formulierten Anforderungen zur Cybersicherheit deutlich weiter. Die wesentlichen Anforderungen an die betroffenen Unternehmen werden sich - wie bisher - aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ergeben.

Während das geltende Recht vor allem ‚kritische Infrastrukturen‘ wie Energieversorgung, Gesundheitswesen oder Transport erfasste, werden durch NIS‑2 künftig deutlich mehr Unternehmen aus verschiedensten Bereichen erfasst. Maßgeblich sind die Tätigkeiten des Unternehmens und die Unternehmensgröße. Es wird damit gerechnet, dass NIS-2 ca. 30.000 Unternehmen in Deutschland treffen wird. 

Ziel der Richtlinie ist es, Unternehmen dazu zu bringen, ihre Sicherheit und Resilienz zu verbessern und ein unionsweit einheitliches System zur Meldung erheblicher Sicherheitsvorfälle zu etablieren. Damit soll eine schnellere und koordinierte Reaktion auf Cyberbedrohungen über Staatsgrenzen hinweg ermöglicht werden.

Für Unternehmen bedeutet dies: neue Sicherheitsanforderungen, erweiterte Meldepflichten, aber auch deutlich höhere Bußgelder.
  

Anwendungsbereich nach Unternehmensgröße

Ob ein Unternehmen die NIS‑2‑Vorgaben erfüllen muss, richtet sich zunächst nach seiner Tätigkeit. Der Entwurf des BSIG enthält einen umfassenden Katalog relevanter Sektoren. Neben beispielsweise Energie, Verkehr, Gesundheitswesen, Wasser und Abfall oder produzierender Industrie sind auch IT-Leistungen genannt. Aber auch Größe und Umsatz spielen eine Rolle. Erfasst sind in der Regel Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. Euro. U.a. für KRITIS-Unternehmen entfällt diese Schwelle, sodass auch kleinere Unternehmen unmittelbar in den Anwendungsbereich fallen können.

Ob ein Unternehmen den neuen Anforderungen unterfällt, kann dabei durchaus schwierig sein. So kann zum Beispiel ein Immobilienunternehmen, das Blockheizkraftwerke oder Ladestationen betreibt, hierdurch in den Anwendungsbereich der neuen Anforderungen fallen.
 

Konkrete Umsetzungspflichten

Der BSIG-Entwurf verpflichtet betroffene Einrichtungen zur Einführung eines umfassenden, dokumentierten Cyber‑ und Risikomanagementsystems, das sowohl technische als auch organisatorische Sicherheitsmaßnahmen umfasst. Hierzu zählen verbindliche interne Sicherheitsrichtlinien, klar definierte Verantwortlichkeiten bis auf Ebene der Geschäftsleitung sowie der Einsatz angemessener technischer Schutzmaßnahmen – beispielsweise mehrstufige Zugriffskontrollen, Verschlüsselung, Netzsegmentierung und Intrusion‑Detection‑Systeme. Ebenso sind Business‑Continuity‑ und Disaster‑Recovery‑Pläne vorzuhalten, um den Geschäftsbetrieb im Störungsfall aufrechtzuerhalten oder zeitnah wiederherzustellen.

Besondere Bedeutung kommt der Absicherung der Liefer‑ und Dienstleistungsketten zu: Kritische IT‑Dienstleister und wesentliche Zulieferer sind zu prüfen, vertraglich auf definierte Sicherheitsstandards zu verpflichten und regelmäßig zu überwachen. Vorgeschrieben sind zudem kontinuierliche Sicherheitsüberwachung, wiederkehrende Schwachstellenanalysen sowie Penetrationstests.

Für erhebliche Sicherheitsvorfälle ist ein dreistufiges Meldeverfahren einzuhalten: Erstmeldung binnen 24 Stunden, Zwischenmeldung spätestens nach 72 Stunden und Abschlussbericht mit Ursachenanalyse und dokumentierten Gegenmaßnahmen. Sämtliche Maßnahmen, Prüfungen und Vorfälle sind revisionssicher zu dokumentieren, um die Erfüllung der gesetzlichen Pflichten gegenüber den zuständigen Aufsichtsbehörden belegen zu können. Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.
 

Unternehmen sollten jetzt prüfen:

  • Fallen unsere Tätigkeiten unter den sachlichen und sektoralen Anwendungsbereich der BSIG?
  • Sind unsere technischen und organisatorischen Strukturen so ausgestaltet, dass eine gesetzeskonforme 24‑Stunden‑Meldung erheblicher Sicherheitsvorfälle gewährleistet ist?
  • Entsprechen unsere bestehenden Cybersicherheitsmaßnahmen den in der NIS‑2‑Richtlinie verankerten Mindestanforderungen?
Frühzeitiges Handeln ermöglicht es, notwendige Strukturen geordnet und effizient aufzubauen, bevor die Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) greift. Die NIS‑2‑Umsetzung wird kommen – und sie betrifft deutlich mehr Unternehmen als bisher.

Wir unterstützen Sie bei der Analyse Ihrer Betroffenheit, der Entwicklung und Implementierung gesetzeskonformer Sicherheits‑ und Meldeprozesse sowie bei der Schulung von Führungskräften und IT‑Teams. Zudem sorgen wir für eine lückenlose Dokumentation, um Haftungsrisiken zu vermeiden.

Dieser Artikel wurde verfasst von