Die NIS-2-Richtlinie, die mit dem am 6. Dezember 2025 in Kraft getretenen NIS-2 Umsetzungsgesetz in deutsches Recht umgesetzt ist, verschärft die Cybersicherheitspflichten für Unternehmen. Das gilt auch für Unternehmen, deren Geschäftsmodelle weder digital noch datenintensiv sind. IT-Sicherheit wird damit zum Compliance-Thema und zur Pflicht für viele Unternehmen.
Der Bundestag hat am 13. November 2025 das Gesetze zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (kurz: „NIS-2 Umsetzungsgesetz“) verabschiedet. Nach Zustimmung durch den Bundesrat und Verkündung im Bundesgesetzblatt gilt es seit dem 6. Dezember 2025.
Das NIS-2 Umsetzungsgesetz ändert das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ab und führt neue, verschärfte Cybersicherheitspflichten ein. Der Kreis der Unternehmen, die Cybersicherheitsmaßnahmen treffen müssen, wird gegenüber dem bisherigen Adressatenkreis deutlich erweitert.
Nachdem der Gesetzgebungsprozess durch die Neuwahlen im Frühjahr 2025 unterbrochen war, ging es nun doch schneller als erwartet. Da die Umsetzungsfrist bis zum 17. Oktober 2024 längst abgelaufen war und die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet hatte, verabschiedete der deutsche Gesetzgeber im Jahresendspurt 2025 das NIS-2 Umsetzungsgesetz beschleunigt. Es überrascht daher nicht, dass das Gesetz bereits einen Tag nach seiner Verkündung im Bundesgesetzblatt und ohne jede Übergangsfristen in Kraft getreten ist. Für die betroffenen Unternehmen bedeutet dies, dass sie die neuen Cybersicherheitspflichten nun sehr kurzfristig umsetzen müssen. Sie sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu treffen, um die IT-Sicherheit im Unternehmen zu gewährleisten.
Die NIS-2-Richtlinie (NIS = Network Information Security), die am 10. November 2022 vom Europäischen Parlament verabschiedet worden ist, gehört zu einer Reihe von EU-Rechtsakten, die Bestandteil der Digitalstrategie der Europäischen Kommission sind. Eine Evaluation der Europäischen Kommission hatte gezeigt, dass die bisherige NIS-Richtlinie und ihre Umsetzung in den einzelnen EU-Mitgliedstaaten nicht zu einem hinreichenden Niveau an Cybersicherheit in der EU geführt hatte. Deshalb werden die Cybersicherheitspflichten durch NIS-2 verschärft.
Bisher differenzierte das BSIG zwischen drei Kategorien von Unternehmen: (1.) Betreiber Kritischer Infrastrukturen (§ 8a BSIG), (2.) Anbieter digitaler Dienste (§ 8c BSIG) und (3.) Unternehmen im besonderen öffentlichen Interesse (sog. „UBI“, § 8f BSIG).
Nun differenziert § 28 BSIG n.F. zwischen sog. besonders wichtigen Einrichtungen (§ 28 Abs. 1 BSIG) und wichtigen Einrichtungen (§ 28 Abs. 2 BSIG). Die Anlagen 1 und 2 zum BSIG definieren, wann ein Unternehmen – je nach Zugehörigkeit zu einem bestimmten Sektor / einer Branche – als besonders wichtige oder wichtige Einrichtung zu qualifizieren ist.
Für die Frage, ob ein Unternehmen in den Anwendungsbereich von NIS-2 fällt, sind folgende Kriterien maßgeblich: (1.) die Einstufung als KRITIS-Betreiber (d.h. als besonders wichtige oder wichtige Einrichtung), (2.) die Zugehörigkeit zu einem Sektor / einer Branche und (3.) die Größe des Unternehmens.
Besonders wichtige Einrichtungen sind neben Betreibern kritischer Anlagen, Anbietern von qualifizierten Vertrauensdiensten und Anbietern von Telekommunikationsdiensten oder Betreibern von Telekommunikationsnetzen auch Unternehmen, die mindestens 250 Mitarbeiter beschäftigen und einen Jahresumsatz von über 50 Mio. Euro oder eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen.
Wichtige Einrichtungen sind jedoch nicht nur Unternehmen der kritischen Infrastruktur, sondern gerade auch produzierende Industrieunternehmen, mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. Euro, sofern sie zu einem in Anlage 1 oder 2 des BSIG genannten Sektoren / Branchen gehören.
Der Anwendungsbereich wurde damit gegenüber der bisherigen NIS-Richtlinie von 2015 deutlich erweitert.
Von besonderer Bedeutung ist NIS-2 für den Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ (Manufacturing). Er wird erstmals von den neuen Cybersicherheitspflichten erfasst. Viele Unternehmen, deren Geschäftsmodelle weder digital sind noch einen besonderen Bezug zu Daten haben, werden sich somit erstmals vertiefter mit Cybersicherheits-Compliance auseinandersetzen müssen.
In Umsetzung der NIS-2 Richtlinie erweitert das BSIG den Anwendungsbereich der Cybersicherheitspflichten wesentlich. Im Vergleich zur NIS-Richtlinie enthält die NIS-2-Richtlinie außerdem einen deutlich umfassenderen Katalog von Cybersicherheitspflichten. Verstöße gegen Cybersicherheitspflichten sollen außerdem streng sanktioniert werden. Für Verstöße sind nach dem deutschen Umsetzungsgesetz (BSIG) Geldbußen von EUR 100.000 bis zu 10 Mio. vorgesehen. Zudem werden Registrierungs- und Meldepflichten im Fall eines Cybersicherheitsvorfalls für Unternehmen eingeführt.
Nach § 30 Abs. 1 S. 1 BSIG sind sog. besonders wichtige und sog. wichtige Einrichtungen dazu verpflichtet, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit informationstechnischer Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“
Dabei sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten, die Wahrscheinlichkeit des Eintritts und Schwere von Sicherheitsvorfällen sowie deren Auswirkungen zu berücksichtigen, vgl. § 30 Abs. 1 S. 2 BSIG.
Die Pflichten für das Risikomanagement umfassen u.a. folgende Maßnahmen, die § 30 Abs. 2 BSIG als Mindestanforderungen nennt:
Außerdem ist eine Registrierungspflicht eingeführt worden, vgl. § 33 BSIG. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor:
Zunächst sollten Unternehmen einen Account bei „Mein Unternehmenskonto“ (MUK) anlegen, um sich im zweiten Schritt mit dem MUK-Nutzerkonto bei einem für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal ist seit Januar 2026 freigeschaltet. Es dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle. Frist für die Erstregistrierung von Unternehmen beim BSI-Portal ist der 6. März 2026 bzw. drei Monate ab dem Zeitpunkt, ab dem ein Unternehmen in die Kategorie der wichtigen oder besonders wichtigen Einrichtung fällt.
Unternehmen, die in den Anwendungsbereich von NIS-2 fallen, ist daher zu empfehlen, sich bis spätestens zum 6. März 2026 über das BSI-Portal zu registrieren. Dies zum einen, um ihrer Verpflichtung zur Registrierung nachzukommen sowie zum anderen, um IT-Sicherheitsvorfälle binnen der vorgesehenen Fristen elektronisch melden zu können.
Verschärft worden sind auch die Pflichten zur Meldung von erheblichen Sicherheitsvorfällen, vgl. § 32 BSIG. Innerhalb von 24 Stunden (sog. frühe Erstmeldung) bzw. 72 Stunden (sog. Meldung) sind gestaffelt Meldungen über erhebliche Sicherheitsvorfälle zu machen. Nach spätestens einem Monat ist eine zusammenfassende Abschlussmeldung abzugeben. Damit ist ein erheblicher Verwaltungsaufwand für Unternehmen verbunden, da sie im Fall eines Cyberangriffs nicht nur Maßnahmen zur Aufrechterhaltung des Betriebs bzw. Wiederherstellung ihrer IT-Systeme betreiben, sondern über Art, Umfang und getroffene Maßnahmen gegenüber Behörden Bericht erstatten müssen.
Neu ist insbesondere die Überwachungspflicht der Geschäftsleitung nach § 38 BSIG. Vorstand bzw. Geschäftsführung müssen sicherstellen, dass im Unternehmen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Minimierung von Cyberrisiken getroffen werden. Außerdem sind Unternehmen verpflichtet, Schulungen zur IT-Sicherheit für Leitungspersonen und andere Mitarbeiter anzubieten.
Diese Pflichten können nicht vollständig delegiert werden. Es verbleibt stets eine Letztverantwortung auf der Leitungsebene. Verletzt die Geschäftsleitung diese Compliance-Pflichten, macht sie sich gegenüber dem Unternehmen schadensersatzpflichtig.
Die Verletzung von Cybersicherheitspflichten stellt damit ein nicht unerhebliches Risiko für die Geschäftsleitung dar. Dieses Risiko könnte ggf. durch eine D&O-Versicherung abgesichert werden. Betroffene Unternehmen sollten bestehende Versicherungsverträge überprüfen. Außerdem empfiehlt es sich zu evaluieren, ob sich der Abschluss einer Cyberversicherung lohnt.
Nach § 91 Abs. 3 AktG ist die Einrichtung eines Risikomanagementsystems bereits Bestandteil der Pflichten des Vorstands einer Aktiengesellschaft und damit Teil allgemeiner Compliance-Pflichten der Geschäftsleitung von Unternehmen. Neu ist allerdings die Erweiterung auf Cybersicherheitspflichten.
Nachdem das NIS-2-Umsetzungsgesetz ohne Übergangsfristen in Kraft getreten ist, wird es höchste Zeit für betroffene Unternehmen zu handeln. Die folgende Zusammenfassung soll betroffenen Unternehmen einen (nicht abschließenden) Leitfaden zu den wichtigsten, vorrangig zu klärenden Punkten bieten, um die neuen Cybersicherheitspflichten umzusetzen.
Klärung der Anwendbarkeit von NIS-2 und Registrierungspflichten: Zunächst sollte geklärt werden, ob und inwieweit NIS-2 für das jeweilige Unternehmen anwendbar ist und ob Registrierungspflichten beim BSI bestehen. Dies ist jeweils im Einzelfall anhand des Produkt-/Leistungs-Portfolios eines Unternehmens zu bestimmen.
Bestandsaufnahme und Dokumentation: Bereits existente Cybersicherheitskonzepte sollten überprüft, Risiken evaluiert und die erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne, etc. sollten gemeinsam mit technischen und rechtlichen Experten ausgearbeitet werden.
Prävention von Cyberangriffen: Investitionen in Cybersicherheit zahlen sich aus, da sie ein wichtiger Beitrag zum Schutz des Know-how von Unternehmen vor Industriespionage und zur Minimierung des Risikos von hohen Betriebsausfallschäden im Fall eines Cyberangriffs sind. Prävention und rechtzeitige Vorbereitung machen hier den entscheidenden Unterschied.
Compliance und Haftung: Im Zeitalter der Industrie 4.0 und mit Blick auf die gesetzlichen Neuerungen sollte IT-Sicherheit im Unternehmen zur „Chefsache“ werden. EDV und IT-Sicherheit sind als Leitungsaufgaben in einem Unternehmen zu verstehen. Zwar bedeutet das nicht, dass Geschäftsführer und Vorstände IT-Experten sein müssen. Vielmehr sollten sie IT-Sicherheitsexperten zuziehen. Eine vollständige Delegation der Verantwortung ist jedoch nicht möglich, denn die Letztverantwortung trägt der Vorstand bzw. Geschäftsführer.
IT-Sicherheit in der Lieferkette: Selbst wenn ein Unternehmen nicht in den Anwendungsbereich von NIS-2 fällt, wird es früher oder später für seine Kunden die NIS-2 Anforderungen erfüllen müssen. Unternehmen werden damit konfrontiert werden, dass deren Kunden ihre Cybersicherheitspflichten an ihre Lieferanten weitergeben.
Der faktische Anwendungsbereich von NIS-2 ist damit sogar noch weiter. Mittelbar sind zahlreiche Unternehmen betroffen, die an Unternehmen liefern, die die neuen Cybersicherheitsanforderungen nach NIS-2 erfüllen müssen. Dies gilt z.B. für Zulieferer der Medizintechnik- und Arzneimittelbranche, aber auch für die produzierende Industrie, die lediglich Teile zur Verwendung in der Automobilindustrie, diversen Bereichen des Maschinenbaus oder der Elektrotechnik herstellt.
De facto wird sich nahezu jedes Unternehmen früher oder später mit dem Thema IT-Sicherheit befassen müssen.
