Mit Verspätung ist durch den deutschen Gesetzgeber die NIS2-Richtlinie in nationales Recht umgesetzt worden.
Die Richtlinie
Die NIS2-Richtlinie ist Bestandteil des neuen EU‑Rechtsrahmens für Cybersicherheit, der ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU schaffen soll. Sie ersetzt die bisherige NIS‑Richtlinie, erweitert den Anwendungsbereich deutlich und erfasst nun zahlreiche „besonders wichtige“ und „wichtige“ Einrichtungen in kritischen und sonstigen Sektoren.
Die Umsetzung
Die Umsetzung erfolgte durch Verabschiedung des NIS2-Umsetzungsgesetzes. Als sogenanntes Artikelgesetz ändert es eine Vielzahl von bestehenden Gesetzen. In der gleichen Art ist auch die NIS-Richtlinie aus dem Jahr 2016 umgesetzt worden, damals durch das IT-Sicherheitsgesetz.
Im Fokus wird das neue BSI-Gesetz stehen, das noch nicht in einer konsolidierten Fassung veröffentlicht ist. Darin sind im Wesentlichen die neuen Adressaten und die neuen Pflichten normiert.
Das NIS2-Umsetzungsgesetz wurde verkündet am 05.12.2025 und trat am 06.12.2025 in Kraft.
Die Konsequenzen
Die erheblichste Konsequenz ist die signifikante Erweiterung der Zahl betroffener Unternehmen. Während nach alter Rechtslage nur Betreiber kritischer Infrastrukturen den besonderen gesetzlichen Pflichten zur Ergreifung von Sicherheitsmaßnahmen unterlagen, ist der Kreis mit sogenannten „wichtigen“ und „besonders wichtigen“ Einrichtungen erheblich gewachsen. Nach alter Rechtslage galten nach Aussage des BSI am 30.09.2025 insgesamt 1.177 Einrichtungen als Betreiber kritischer Infrastrukturen. Nach neuer Rechtslage, so schätzt das BSI, werden knapp 30.000 Unternehmen den besonderen Sicherheitsanforderungen unterfallen.
Daneben sind die Sicherheitsanforderungen konkretisiert worden. Weiterhin gilt kein regelbasierter, sondern ein risikobasierter Ansatz. Jedes Unternehmen muss eine Risikoanalyse durchführen, um Art und Maß der erforderlichen technischen und organisatorischen Maßnahmen zu ermitteln. Neben Maßnahmen zur Verhinderung von Sicherheitsvorfällen müssen Maßnahmen zur Bewältigung von zukünftig eintretenden Sicherheitsvorfällen ergriffen, Backup-Management betrieben sowie Notfall- und Wiederherstellungspläne erstellt und ein Krisenmanagement vorgehalten werden, um die Betriebsfähigkeit zu sichern.
Eine völlig neue Regelung stellt die Schulungspflicht für Geschäftsführer und Vorstände dar. Diese Organe der wichtigen und besonders wichtigen Einrichtungen sind verpflichtet, Kenntnisse über Sicherheit in der IT zu erwerben, um die Einführung und Umsetzung von Sicherheitsmaßnahmen in der IT sachkundig veranlassen und überwachen zu können. Eine sogenannte Wissensdelegation ist nicht mehr ausreichend. Rechtsfolge ist eine gesteigerte Haftung der Organe für IT-Sicherheitsvorfälle.
Verstöße können mit Bußgeldern geahndet werden. Der Bußgeldrahmen entspricht den mittlerweile in der Compliance üblichen Beträgen. Konkret sind es bis zu 10.000.000,00 € bzw. bis zu 2 % des jährlichen Konzernumsatzes.
Allen Unternehmen mit mindestens 50 Mitarbeitern und allen Unternehmen mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR ist zu raten, zu prüfen oder prüfen zu lassen, ob sie NIS2-pflichtig sind.
