Jetzt kommen hohe Cybersicherheitsanforderungen an deutsche Unternehmen

Die sicherheitspolitische Lage in Europa und darüber hinaus hat sich in den letzten Jahren deutlich verschärft. Der russische Angriffskrieg auf die Ukraine und der Terrorangriff der Hamas auf Israel zeigen, wie anfällig die Gesellschaft ist – auch im digitalen Raum. Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt. Besonders kritische Infrastrukturen sind potentielle Anschlagsziele. Die Europäische Kommission sieht in potenziellen Cyberangriffen auf kritische Infrastruktur als eines von vier Hauptrisiken für die europäische Volkswirtschaft. Denn ihr Ausfall kann das öffentliche Leben und zentrale gesellschaftliche Funktionen empfindlich verletzen.

Dem gegenüber steht – Stand jetzt – eine „angespannte Cybersicherheitslage“ in Deutschland, so BSI-Präsidentin Claudia Plattner: „Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar.“ Das gelte auch für die IT-Sicherheit in der Bundesverwaltung. 

Das soll sich nun aber ändern. Bereits mit der NIS-2-Richtlinie will die EU hier bessere Sicherheitsstandards schaffen. Nun ist am 6. Dezember 2025 ist auch in Deutschland – mit einem Jahr Verspätung – das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft getreten.   

Die NIS 2-Richtlinie

Bereits am 16. Januar 2023 trat die neue EU-Richtlinie NIS 2 zur Stärkung der Cybersicherheit in Kraft. NIS 2 steht dabei als Abkürzung für die „zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Als Teil der europäischen Cybersecurity-Strategie strebt die NIS-Richtlinie an, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und in der gesamten EU „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Die NIS-2-Richtlinie verpflichtet mehr Unternehmen – insbesondere Betreiber von kritischen Infrastrukturen (KRITIS), etwa in den Bereichen Gesundheit, Energie und Infrastruktur – und Branchen zu einheitlich europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus. Unternehmen werden dazu verpflichtet, Mindeststandards zu erfüllen und proaktiv Maßnahmen zur Risikominimierung zu ergreifen. Die Richtlinie sieht zudem umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Außerdem soll die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen verbessert werden.

NIS 2 ersetzt die im Jahr 2016 verabschiedete NIS-Richtlinie, die erste EU-weite Richtlinie zum Schutz von Netzwerk- und Informationssystemen. Dabei weist die NIS-2-Richtlinie wesentliche Unterschiede zur vorherigen Version auf. Die Sektoren wurden erweitert und neu definiert, wobei nun elf „wesentliche“ und sieben „wichtige“ Sektoren existieren. Die Strafen für Nichteinhaltung wurden drastisch verschärft, mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.

Umsetzung in Deutschland

Die NIS 2-Richtlinie ist allerdings in Deutschland nicht direkt anwendbar, sondern musste erst noch in nationales Recht umgesetzt werden. Bereits NIS 1 wurde in Deutschland u.a. im bereits seit 2015 existierenden IT-Sicherheitsgesetz und dem BSI-Gesetz umgesetzt. Betroffen waren sog. kritische Infrastrukturen (KRITIS). Kritische Infrastrukturen sind alle Einrichtungen, Anlagen und Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. 

Die EU-Mitgliedsstaaten hatten seit Inkrafttreten der NIS 2-Richtlinie nun 21 Monate Zeit für die Umsetzung – eigentlich also nur bis zum 17. Oktober 2024. Das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde nun allerdings erst über ein Jahr später im deutschen Bundestag beschlossen, am 13. November. Grund dafür waren unter anderem die Neuwahlen im vergangenen Jahr. Am 6. Dezember 2025 ist das Gesetz nun in Kraft getreten und gilt direkt, ohne Umsetzungsfristen für Unternehmen.

Die nationale Umsetzung erfolgte insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG), außerdem in Spezialgesetzen wie dem Energiewirtschaftsgesetz (EnWG) oder dem Telekommunikationsgesetz (TKG). Die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen wurden massiv erhöht.

Betroffene Unternehmen  

Bislang waren etwa 4.500 Organisationen durch das BSI-Gesetz reguliert – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI). Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des BSIG deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“.Künftig werden rund 30.000 durch das BSI beaufsichtigte Einrichtungen die neuen gesetzliche Pflichten in der IT-Sicherheit beachten müssen.

Besonders wichtige Einrichtungen, § 28 Abs. 1 BSIG:

• KRITIS 
• „qualifizierte Vertrauensdiensteanbieter“
• Top Level Domain Name Registries oder DNS-Diensteanbieter
• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen
• [Unternehmen], die entgeltlich Waren oder Dienstleistungen anbieten und die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen sind, und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Wichtige Einrichtungen, § 28 Abs. 2 BSIG:

• Vertrauensdiensteanbieter
• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen,
• [Unternehmen], die entgeltlich Waren oder Dienstleistungen anbieten, in bestimmten Sektoren tätig sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Erfasste Sektoren sind z.B. Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, Abfall, digitale Infrastruktur, Weltraum, Produktion bzw. Handel mit chemischen Stoffen, Lebensmitteln, das verarbeitende Gewerbe bzw. die Herstellung von Waren, Forschung.

Ob ein Unternehmen unter die Vorgaben fällt, lässt sich mit dem vom BSI zur Verfügung gestellten NIS2-Checker vorab ermitteln. Allerdings ist die dortige Auskunft nicht rechtsverbindlich.

Auch Bundesverwaltung ist erfasst

Auch die Behörden der Bundesverwaltung müssen künftig gem. § 29 BSIG verbindliche IT-Sicherheitsstandards erfüllen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dabei wesentlich unterstützen. Einrichtungen der Bundesverwaltung müssen künftig unter der Aufsicht des BSI weitreichende Anforderungen zur IT-Sicherheit erfüllen. Die Behörden müssen unter anderem auf Vorfälle fristgerecht reagieren, Meldepflichten einhalten und Maßnahmen entsprechend dem IT-Grundschutz umsetzen.

Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Von den Einrichtungen der Bundesverwaltung verlangt das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis. Zusätzlich muss die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, die das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der Website des BSI abrufbar.

Maßnahmen, die Unternehmen nun ergreifen müssen

Die NIS-2-Richtlinie verlangt von Unternehmen, umfassende Maßnahmen zum Risikomanagement für Cybersicherheit zu ergreifen. Das deutsche Gesetz hebt hervor, dass Betreiber kritischer Infrastrukturen höheren Anforderungen unterliegen werden als bisher. Die betroffenen Unternehmen müssen drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren. 

Registrierungspflicht

Unternehmen müssen sich zunächst innerhalb von drei Monaten registrieren. Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit. Das BSI empfiehlt, den Account bei „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren.

Cybersicherheits-Maßnahmen

Wer vom Gesetz betroffen und registriert ist, muss im Folgenden den Mindestkatalog an Risikomanagementmaßnahmen aus § 30 Abs. 2 Satz 2 BSIG erfüllen. In § 30 Abs. 1 BSIG heißt es dazu allgemein vorab: Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, konkret aufgelistete „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“ „Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“

Konkret müssen die Maßnahmen zumindest Folgendes umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT- Systemen, -Produkten und -Prozessen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. und Vertrauensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.

Sofern die Europäische Kommission einen Durchführungsrechtsakt zur NIS-2-Richtlinie erlässt und dort konkretere Maßnahmen festlegt, so gehen diese Anforderungen den gerade genannten im Zweifel vor.

Besonders wichtige Einrichtungen und ihre Branchenverbände sowie Betreiber kritischer Anlagen können darüber hinaus branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen vorschlagen. Das BSI stellt auf Antrag fest, ob die vorgeschlagenen Sicherheitsstandards branchenspezifisch und geeignet sind, die Anforderungen zu gewährleisten und veröffentlicht diese auf seiner Internetseite.

Die Einrichtungen müssen dann dokumentieren, dass und wie genau sie ihre Pflichten erfüllt haben. Wie genau diese abstrakten Vorgaben in der Praxis umgesetzt werden müssen, hängt vom individuellen Risiko des Unternehmens ab. Die konkreten Maßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Der Nachweis kann anschließend etwa auch durch Audits und Zertifizierungen erbracht werden.

Meldepflicht bei Sicherheitsvorfällen

Zudem wird die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime beim BSI ersetzt. Bei „erheblichen Sicherheitsvorfälle“ erfordert der dreistufige Meldeprozess einen vorläufigen Bericht innerhalb von 24 Stunden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.  

Unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle wird hierzu das BSI-Portal am 6. Januar 2026 freigeschaltet. Bis dahin können meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, diesen dem BSI über ein Online-Formular melden; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.

Befugnisse von Aufsichtsbehörden, Sanktionen und Haftung

Die deutsche Aufsichtsbehörde ist das BSI. Es darf u.a. von allen relevanten Einrichtungen gezielte Nachweise und Informationen anfordern und bei Verstößen Bußgelder verhängen. Die Sanktionen werden beträchtlich verschärft: Besonders wichtigen Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – als Obergrenze gilt der jeweils höhere Betrag. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes rechnen.

Der vorherige Gesetzesentwurf der letzten Bundesregierung sah außerdem vor, dass Geschäftsführer und Leitungsorgane für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Diese strenge Haftung findet sich im aktuellen Gesetz nicht wieder. Hier gelten weiterhin die allgemeinen Regeln zur Geschäftsführerhaftung. Allerdings trifft Geschäftsleitungen von Unternehmen künftig die Pflicht, die Maßnahmen selbst umzusetzen zu überwachen. Außerdem müssen sie regelmäßig an Schulungen zur Cybersicherheit teilnehmen.

Fazit und Handlungsempfehlungen

Die NIS-2-Richtlinie stellt deutsche Unternehmen vor erhebliche Herausforderungen. Die Umsetzung in Deutschland verdeutlicht die strikten Vorgaben der Richtlinie noch einmal. Betroffene Unternehmen müssen sich nun schnellstmöglich registrieren, die geforderten Sicherheitsmaßnahmen umsetzen und effektive Meldeprozesse etablieren. Dies bietet aber – neben Compliance – auch die Möglichkeit, Risiken zu identifizieren und proaktiv zu handeln, was entscheidend für den langfristigen Erfolg des Unternehmens ist. Eine umfassende Umsetzung erfordert Ressourcen und eine sorgfältige Abwägung der notwendigen Maßnahmen. Daher sollten Unternehmen auf externe rechtliche Fachkompetenz bauen, um sich bei der Umsetzung unterstützen zu lassen. Die IT-Rechtsexperten von WBS.LEGAL haben bereits viele Unternehmen in IT-Sicherheitsfragen beraten und ihnen erfolgreich bei der Umsetzung gesetzlicher Vorgaben geholfen. Wenden Sie sich an unser Expertenteam!

ahe