I. Einleitung
Im Dezember 2025 hat die Bundesregierung ein Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie (EU) 2022/25551 verabschiedet und damit das deutsche IT-Sicherheitsrecht umfangreich überarbeitet. Die NIS-2-Richtlinie zielt auf einen europaweit einheitlichen Rechtsrahmen für Cybersicherheit in 18 als kritisch eingestuften Sektoren ab und hat einen deutlich größeren Adressatenkreis als die vorherige NIS-Richtlinie (EU) 2016/1148. In Deutschland wird im BSI-Gesetz (BSIG) geregelt, welche Unternehmen in den Anwendungsbereich der NIS-2-Regularien fallen und welche Pflichten sich daraus für die Gewährleistung von Sicherheit in ihrer IT-Infrastruktur ergeben. Im Grunde genommen erfordert dies zunächst eine Prüfung, ob ein Unternehmen überhaupt von NIS-2 betroffen ist, weil es unter die nach § 28 BSIG erfassten Einrichtungen fällt. Ist dies der Fall, muss sich das Unternehmen im nächsten Schritt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und die gesetzlich vorgeschriebenen Risikomanagementmaßnahmen implementieren. Zudem unterliegt das Unternehmen dann im Falle IT-Sicherheitsvorfällen Berichts- und Meldepflichten gegenüber dem BSI.
Die deutsche NIS-2-Umsetzung hat länger als erwartet gedauert und erfolgt ca. ein Jahr nach Ablauf der europäischen Frist. Dies dürfte vermutlich auch dazu beigetragen haben, dass das Gesetz unmittelbar in Kraft getreten ist und von NIS-2 regulierte Unternehmen sich bereits bis zum 06.03.2026 beim BSI registrieren müssen. Laut Angaben der BSI-Präsidentin Claudia Plattner haben sich Anfang Februar 2026 bereits 1.900 von NIS-2 betroffene Unternehmen und staatliche Stellen auf der Plattform registriert.2 Nach offiziellen Schätzungen gibt es in Deutschland aber mindestens 14.500 von NIS-2 erfasste Unternehmen.3 In vielen Unternehmen dürfte folglich noch Handlungsbedarf bestehen. Mit diesem Beitrag skizzieren wir, wie eine „Last-Minute“-Umsetzung in diesen Unternehmen gelingen kann.
II. Handlungsempfehlungen
1. Schritt: Betroffenheitsprüfung
In einem ersten Schritt müssen Unternehmen feststellen, ob sie überhaupt von den NIS-2-Regularien des BSIG betroffen sind. Dies ist der Fall, wenn das Unternehmen als wichtige oder besonders wichtige Einrichtung i.S.d. § 28 BSIG zu qualifizieren ist.
a) Wichtige Einrichtungen
Zur Feststellung, ob ein Unternehmen als wichtige Einrichtung einzustufen ist, verweist das Gesetz auf bestimmte Sektoren und Schwellenwerte für in diesen Sektoren tätige Unternehmen. Zu den relevanten Sektoren zählen insbesondere
- •
Betreiber von Telekommunikationsnetzen,
- •
Anbieter öffentlich zugänglicher Telekommunikationsdienste (inklusive Dienste für den Internetzugang oder die Signalübertragung zwischen Maschinen),
- •
Vertrauensdiensteanbieter (insbesondere Dienste für die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln und Zertifikaten)
4 sowie- •
Anbieter von Waren oder Dienstleistungen aus bestimmten Bereichen (Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum) bei in Anlage 1 und 2 näher spezifizierten Tätigkeiten, sofern sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro aufweisen.
Insbesondere bei Unternehmen aus der letzten Gruppe dürfte in der Praxis eine genauere Betrachtung erforderlich sein, ob das Unternehmen unter die NIS-2-Anforderungen fällt oder nicht. Dies betrifft zunächst die Frage, ob die für die einzelnen Bereiche vorgegebenen unterschiedlichen Schwellenwerte aus den Anlagen 1 und 2 überschritten sind. Hinzu kommt, dass bei einer Zuordnung zu einer der Einrichtungsarten nach Anlage 1 Geschäftstätigkeiten ausnahmsweise unberücksichtigt bleiben dürfen, wenn diese im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Bei der Einstufung einer Tätigkeit als vernachlässigbar kann neben dem Umfang und einer Abgrenzung zum Kerngeschäft des Unternehmens auch eine Rolle spielen, inwieweit – angelehnt an den Sinn und Zweck der NIS-2-Anforderungen – mit dieser Tätigkeit relevante IT-Sicherheitsrisiken einhergehen.5
b) Besonders wichtige Einrichtungen
Darüber hinaus werden Unternehmen als besonders wichtige Einrichtungen i.S.v. NIS-2 qualifiziert, wenn sie die Anforderungen des § 28 Abs. 1 BSIG erfüllen. Dazu zählen insbesondere
- •
Betreiber kritischer Anlagen; Kritische Anlagen sind Anlagen zur Erbringung einer kritischen Dienstleistung (insbesondere in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, IT und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung). Maßgeblich ist hier, ob die Beeinträchtigung oder der Ausfall der entsprechenden Versorgung zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen würde. Die Einzelheiten regelt die BSI-Kritisverordnung (BSI-KritisV),
- •
qualifizierte Vertrauensdiensteanbieter,
6 Top-Level-Domain-Name-Registry- oder DNS-Dienstanbieter,- •
Anbieter von Waren oder Dienstleistungen aus den Bereichen Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum bei in Anlage 1 und 2 näher spezifizierten Tätigkeiten, sofern sie mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. Euro und zudem eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen.
c) BSI-Tool erleichtert erste Orientierung bei der Betroffenheitsprüfung
Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat eine Orientierungshilfe bereitgestellt, mit der Unternehmen prüfen können, ob sie möglicherweise eine wichtige oder besonders wichtige Einrichtung im Sinne der NIS-2-Regularien sind.7
Das Tool stellt eine Reihe von Ja/Nein-Fragen und ermöglicht binnen weniger Minuten eine erste Einschätzung, ob ein Unternehmen in den Anwendungsbereich von NIS-2 fällt. Bejaht das Orientierungstool eine Betroffenheit, werden dort auch knapp die sich daraus ergebenden Pflichten aufgeführt. Die Bedienung des Tools ist einfach und intuitiv. Herausfordernder dürfte hingegen die Einordnung sein, ob das eigene Unternehmen unter die mit dem Tool abgefragten Tatbestände aus dem BSIG fällt oder nicht. Gerade in den Konstellationen, in denen Unternehmen zu der Einschätzung gelangen, dass sie nicht als wichtige Einrichtung i.S.v. NIS-2 einzuordnen sind, weil keiner der abgefragten Anwendungsfälle einschlägig ist, sollten die dahinterstehenden Erwägungen sorgfältig dokumentiert werden. Häufig dürfte es sich aus Compliance-Gesichtspunkten auch anbieten, diese Einschätzung noch einmal extern bestätigen zu lassen.
2. Schritt: Registrierung beim BSI
Das BSI stellt auf seiner Webseite einen zweistufigen Registrierungsprozess für die von NIS-2 betroffenen Unternehmen bereit.8 Zunächst bedarf es einer Anmeldung/Registrierung im Portal für das bundesweit einheitliche Unternehmenskonto „Mein Unternehmenskonto (MUK)“,9 das Unternehmen und Organisationen – auch außerhalb von NIS-2 – einen zentralen, digitalen Zugang zu Verwaltungsleistungen ermöglicht. Auf Basis des eingerichteten MUK-Zugangs erfolgt dann die eigentliche Registrierung über das BSI-Portal. Alle weiteren Informationen und Daten, die das BSI von einem Unternehmen zur Registrierung erfordert, werden dort aufgelistet. Die Registrierung beim BSI sollten Unternehmen nicht an externe Dienstleister auslagern. Denn eine Registrierung im BSI-Portal ist kein Selbstzweck und soll im Ernstfall auch eine schnelle Meldung von IT-Sicherheitsvorfällen gegenüber dem BSI ermöglichen. Dies funktioniert im Zweifel besser und schneller, wenn Mitarbeiter aus dem Unternehmen mit dem Portal vertraut sind.
3. Schritt: Implementierung der vorgeschriebenen IT-Sicherheitsmaßnahmen
Die von NIS-2 betroffenen Unternehmen unterliegen zukünftig einer Reihe von Vorgaben bezüglich ihrer IT-Sicherheit:
a) Risikomanagementmaßnahmen nach § 30 Abs. 2 Nr. 1 bis 10 BSIG
Sowohl wichtige als auch besonders wichtige Einrichtungen müssen zukünftig eine Reihe von Maßnahmen zum Management von Cybersicherheit treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (vgl. § 30 Abs. 2 Nr. 1 bis 10 BSIG). Dazu zählen etwa Maßnahmen zum Backup-Management (Nr. 3), Schulungen und Sensibilisierungsmaßnahmen (Nr. 7) sowie die Pflicht zur Verwendung von Multi-Faktor-Authentifizierung oder anderer sicherer Kommunikationswege (Nr. 10). Da nicht immer eindeutig aus der Auflistung in § 30 Abs. 2 Nr. 1 bis 10 BSIG hervorgeht, welche konkreten Maßnahmen von betroffenen Unternehmen erwartet werden, sollte eng im Blick behalten werden, was das BSI dazu auf seiner Webseite veröffentlicht. Dort finden sich Konkretisierungen zu den jeweiligen Risikomaßnahmen, die soweit möglich als Maßstab für deren Umsetzung herangezogen werden sollten.10
Die ordnungsgemäße Umsetzung der vorgeschriebenen Maßnahmen ist bußgeldbewehrt und liegt in der Letztverantwortung der Geschäftsleitung.11 Die Einhaltung der von NIS-2 vorgesehenen Risikomanagementmaßnahmen ist vom jeweiligen Unternehmen zu dokumentieren. Die allermeisten Unternehmen werden hier aber (hoffentlich) nicht bei null starten müssen und können auf bestehende Konzepte zur IT-Sicherheit aufbauen. Es bietet sich deshalb an, dass betroffene Unternehmen zunächst eine Auflistung mit den nach NIS-2 vorgesehenen Risikomanagementmaßnahmen und der dazu vom BSI veröffentlichten Orientierungshilfen erstellen. Auf dieser Basis sollten sie dann jeweils schriftlich festhalten, inwieweit diese eingehalten werden. Zum Teil enthalten die veröffentlichten Orientierungshilfen auch konkrete Angaben dazu, wie sich das BSI die Dokumentation vorstellt. Dort heißt es beispielsweise in Bezug auf die in § 30 Abs. 2 Nr. 9 BSIG vorgeschriebenen Maßnahmen zum Asset-Management, dass ein Asset-Inventar geführt werden soll, in dem alle relevanten Informationen wie Standort, Version, Lebenszyklus und Abhängigkeiten zentral dokumentiert und regelmäßig aktualisiert werden.
Sofern Unzulänglichkeiten bei einzelnen Risikoimplementierungsmaßnahmen identifiziert werden, sollte ebenfalls festgehalten werden, wie das Unternehmen diese adressiert und zukünftig ausräumen will. Denn bei etwaigen späteren Audits kann neben den harten Fakten auch eine Rolle spielen, inwieweit das Unternehmen glaubhaft vermitteln kann, das Thema IT-Sicherheit ernst zu nehmen und an etwaigen Defiziten zu arbeiten. Für die Dokumentation von IT-Sicherheitsmaßnahmen gilt daher im Zweifel „mehr ist mehr“.
b) Berichts- und Meldepflichten bei erheblichen IT-Sicherheitsvorfällen
Die von NIS-2 betroffenen Unternehmen müssen erhebliche IT-Sicherheitsvorfälle in einem dreistufigen Meldesystem melden.
- •
Eine frühe Erstmeldung muss innerhalb von 24 Stunden nach Kenntniserlangung vom erheblichen Sicherheitsvorfall erfolgen.
- •
Innerhalb von 72 Stunden ist dann eine Folgemeldung notwendig, in der die zuvor getätigten Angaben bestätigt oder aktualisiert werden.
- •
Spätestens einen Monat nach der Folgemeldung bedarf es dann einer Abschlussmeldung bzw. einer weiteren Folgemeldung, falls der IT-Sicherheitsvorfall noch andauert.
Das BSI-Portal fungiert hierbei als Meldestelle. Meldepflichtig sind erhebliche Sicherheitsvorfälle. In § 2 Nr. 40 BSIG werden Sicherheitsvorfälle als Ereignisse definiert, die die Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Systemen beeinträchtigen. Nach der Definition in § 2 Nr. 11 BSIG sind diese Sicherheitsvorfälle erheblich, wenn sie schwerwiegende Betriebsstörungen oder finanzielle Verluste für die betreffende Einrichtung verursacht haben oder verursachen können oder Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigen oder beeinträchtigen können. Das Gesetz sieht vor, dass das BMI diese noch eher allgemein gehaltene Definition durch Rechtsverordnung weiter konkretisieren kann. Bis dahin dürfte offen sein, ab welcher Intensität ein IT-Sicherheitsvorfall als so „erheblich“ oder „schwerwiegend“ zu qualifizieren ist, dass er eine Meldepflicht auslöst. Eine erste quantitative Orientierung könnten hier die oben genannten Schwellenwerte für eine Qualifizierung als wichtige oder besonders wichtige Einrichtung bieten. Ein IT-Sicherheitsvorfall, der Schäden in Höhe der dort genannten Umsatzschwellen verursacht oder Mitarbeiter in der dort genannten Anzahl betrifft, dürfte nicht mehr als unerheblich einzustufen sein.12 Denn der Gesetzgeber hat mit Vorgabe dieser Schwellenwerte zum Ausdruck gebracht, dass oberhalb dieser Geschäftsvolumina eine regulatorische Relevanz der IT-Sicherheit besteht. Ob und, wenn ja, ab welchem Ausmaß das BSI auch unterhalb dieser Schwellenwerte eine Erheblichkeit von IT-Sicherheitsvorfällen annehmen wird, erscheint hingegen noch offen.
Wird ein erheblicher Sicherheitsvorfall vom BSI bejaht, kann es den betroffenen Unternehmen per Anordnung aufgeben, die Empfänger ihrer Leistungen zu unterrichten. Einrichtungen in den Sektoren Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste müssen ihren Empfängern ggf. außerdem mitteilen, welche Maßnahmen oder Abhilfemaßnahmen als Reaktion auf die erhebliche Bedrohung ergriffen werden. Der genaue Umfang der Unterrichtungspflichten dürfte von den konkreten Anordnungen abhängen, die das BSI gegenüber dem betroffenen Unternehmen nach § 35 BSIG erlässt.
c) Für Betreiber kritischer Anlagen: Kritische Komponenten im Blick behalten!
Betreiber kritischer Anlagen sollten zudem aktuelle Entwicklungen zu Einschränkungen für IKT-Produkte beachten, die in kritischen Anlagen eingesetzt werden und eine kritische Funktion erfüllen (kritische Komponenten). Dabei handelt es sich um Produkte, deren Ausfall oder Manipulation den Betrieb lebenswichtiger Infrastrukturen gefährden könnte. Laut Gesetz hat das BMI die Möglichkeit die Unterlassung des Einsatzes bestimmter kritischer Komponenten anzuordnen, wenn der Einsatz die öffentliche Ordnung oder die Sicherheit der Bundesrepublik voraussichtlich beeinträchtigt. Die Liste der kritischen Komponenten wird vom BMI im Einvernehmen mit den zuständigen Ressorts festgelegt und laufend aktualisiert. Soweit ersichtlich, sind diese Liste und deren konkrete Handhabung durch das BMI derzeit noch in Bearbeitung. Es spricht aber viel dafür, dass hier ähnliche Kontrollmechanismen etabliert werden, wie sie bereits bei der Bundesnetzagentur für einzelne Sektoren wie die Telekommunikation bestehen. Betreiber kritischer Anlagen sollten deshalb nicht nur die Veröffentlichungen und Aktualisierungen der Liste kritischer Komponenten im Blick behalten, sondern auch die Möglichkeit zukünftiger Beschränkungen bei einzelnen Komponenten strategisch für die Organisation ihrer Lieferketten mitdenken.
III. Fazit
In Summe wird die NIS-2-Umsetzung die betroffenen Unternehmen nicht vor unlösbare Aufgaben stellen. Bei einem systematischen Vorgehen nach den oben skizzierten Schritten kann eine ordnungsgemäße Umsetzung daher auch jetzt noch auf den Weg gebracht werden. Einige der vorgeschriebenen IT-Sicherheitsmaßnahmen sind derzeit noch vergleichsweise offen formuliert. Hier wird es maßgeblich auf weitere Guidance des BSI und die Etablierung einer vorhersehbaren Verwaltungspraxis ankommen. Mit einer Klärung der noch offenen Tatbestandsmerkmale durch die Gerichte ist allenfalls langfristig im Kontext von etwaigen Bußgeldern zu rechnen. Von NIS-2 adressierte Unternehmen sollten es aber nicht so weit kommen lassen und bei Unklarheiten im Zweifel lieber auf Nummer sicher gehen. Denn die neuen IT-Sicherheitsanforderungen sind kein Selbstzweck, sondern dienen auch den eigenen Interessen der betroffenen Unternehmen. Die Kosten und Arbeitsaufwände möglicher Cyberangriffe auf Unternehmen sind um ein Vielfaches größer als eine Schaffung wirksamer Schutzmechanismen.13 Alles, was diese Risiken effektiv reduziert, ist im Zweifel gut investiertes Geld.
