Kontakt

Ob Sie lieber eine E-Mail senden oder zum Telefon greifen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
E-Mail an
kontakt@menoldbezler.de

Neue Anforderungen an die Informationssicherheit durch NIS-2-Umsetzungsgesetz - wer ist betroffen?

Öffentliche Hand, Fachbeiträge
Neue Anforderungen an die Informationssicherheit durch NIS-2-Umsetzungsgesetz - wer ist betroffen?

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 das neue BSI-Gesetz (BSIG) in Kraft getreten. Es setzt die europäische NIS-2-Richtlinie in deutsches Recht um und verschärft die Anforderungen an die Informationssicherheit in weiten Teilen erheblich. Zugleich wurde der Anwendungsbereich deutlich ausgeweitet. Für viele Organisationen stellt sich nun die zentrale Frage, ob sie von den neuen Regelungen erfasst sind und ob konkreter Handlungsbedarf besteht. 

„Wichtige“ und „besonders wichtige Einrichtungen“

Das BSIG unterscheidet im Ausgangspunkt zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ (§ 28 BSIG). Maßgeblich ist insbesondere die Zuordnung zu bestimmten Sektoren sowie die Unternehmensgröße. 

Als besonders wichtige Einrichtungen gelten zunächst Betreiber kritischer Anlagen. Darüber hinaus erfasst das Gesetz insbesondere Einrichtungen aus den in Anlage 1 abschließend aufgeführten Sektoren, namentlich Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur und Weltraum. Innerhalb dieser Sektoren werden jedoch nur Großunternehmen als besonders wichtige Einrichtungen eingestuft. Dies setzt voraus, dass die Einrichtung mindestens 250 Mitarbeitende beschäftigt oder einen Jahresumsatz von über 50 Mio. EUR und zugleich eine Jahresbilanzsumme von über 43 Mio. EUR aufweist.

Als wichtige Einrichtungen gelten Einrichtungen aus den Sektoren der Anlage 1 sowie Einrichtungen aus den zusätzlichen Sektoren der Anlage 2, darunter insbesondere Post- und Kurierdienste, Abfallbewirtschaftung, chemische Industrie, Lebensmittelproduktion, Warenherstellung in bestimmten Branchen (z. B. Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, Maschinen- oder Fahrzeugbau), Anbieter digitaler Dienste (insb. Online-Marktplätze und Suchmaschinen) und Forschung. Erforderlich ist weiterhin, dass die betreffende Einrichtung mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. EUR aufweist und – sofern sie unter einen Sektor der Anlage 1 fällt – kein Großunternehmen und somit nicht schon eine „besonders wichtige“ Einrichtung ist. Sofern einer der vorgenannten Sektoren einschlägig ist, ist weiterhin erforderlich, dass die Einrichtung mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. EUR aufweist. Gehört sie einem Sektor der Anlage 1 an, darf sie zudem nicht die Schwellenwerte eines Großunternehmens erfüllen, da sie andernfalls bereits als besonders wichtige Einrichtung gilt.

Folgen der Einordnung: Risikomanagement und flankierende Pflichten

Wichtige und besonders wichtige Einrichtungen sind verpflichtet, Risikomanagementmaßnahmen nach § 30 BSIG zu ergreifen. Ziel ist es, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Einen Mindestkatalog der umzusetzenden Maßnahmen enthält § 30 Abs. 2 BSIG. Art und Umfang der Maßnahmen richten sich u. a. nach der Risikoexposition, der Größe der Einrichtung und der potenziellen Schadensschwere; wichtige Einrichtungen unterliegen dabei regelmäßig weniger strengen Anforderungen als besonders wichtige Einrichtungen.

Das BSIG sieht dabei sektorale Besonderheiten vor. In bestimmten Bereichen werden die Anforderungen nicht unmittelbar nach §§ 30, 31 BSIG umgesetzt, sondern durch gleichwertige sektorspezifische Regelungen konkretisiert, etwa durch das Telekommunikationsgesetz (TKG) und Sicherheitskataloge der Bundesnetzagentur für Telekommunikationsunternehmen, durch das Energiewirtschaftsgesetz (EnWG) im Energiesektor oder durch die DORA-Verordnung für Teile des Finanzsektors.

Unabhängig vom jeweils einschlägigen Regelungsregime bestehen regelmäßig Dokumentationspflichten, Registrierungspflichten gegenüber dem BSI (§ 33 BSIG) sowie mehrstufige Meldepflichten bei erheblichen Sicherheitsvorfällen (§ 32 BSIG).

Keine Übergangsfrist – sofortiger Handlungsbedarf

Eine ausdrückliche Umsetzungsfrist sieht das Gesetz nicht vor. Die Pflichten gelten unmittelbar seit dem 6. Dezember 2025. Potenziell betroffene Einrichtungen müssen daher prüfen, ob sie unter den Anwendungsbereich fallen und ob bestehende Informationssicherheitsprozesse den neuen Anforderungen entsprechen.

Als erste Orientierung kann die NIS-2-Betroffenheitsprüfung des BSI dienen. Diese bietet auf Grundlage von Eigenangaben eine erste Einschätzung für die Frage der Betroffenheit; ihr Ergebnis ist rechtlich jedoch nicht bindend und ersetzt keine Einzelfallbewertung. Ergänzende praxisnahe Informationen stellt zudem OpenKRITIS, eine unabhängige Informationsplattform zur KRITIS- und NIS-2-Regulierung, zur Verfügung.

Ansprechpartner
Dr. Jessica Hawighorst
Hawighorst, Dr. Jessica Rechtsanwältin
Weitere relevante Bereiche zum Thema
IT- und Internetrecht
Branchen & Lösungen
Öffentliche Hand und ihre Unternehmen, Compliance
Zurück
Newsletter

Sie wollen regelmäßig Informationen zu aktuellen Entwicklungen erhalten? Hier können Sie sich für unseren Newsletter registrieren.

Jetzt anmelden

Telefon: +49 711 86040 00
kontakt@menoldbezler.de