Kontakt

Ob Sie lieber eine E-Mail senden oder zum Telefon greifen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
E-Mail an
kontakt@menoldbezler.de

NIS-2: Cybersicherheit ist nun Unternehmenspflicht

Fachbeiträge
NIS-2: Cybersicherheit ist nun Unternehmenspflicht

Seit Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz, die Registrierungsfrist zum 6. März 2026 ist gerade abgelaufen. Viele deutsche Unternehmen müssen nun erst recht dringend aktiv werden. 

Um was geht es bei NIS-2?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. In Deutschland wurde NIS-2 mit dem NIS-2-Umsetzungsgesetz in das BSI-Gesetz (BSIG) überführt. Während die erste NIS-Richtlinie  aus dem Jahr 2016 vor allem Betreiber kritischer Infrastrukturen im Blick hatte, ist NIS-2 deutlich umfangreicher, strenger und sanktionsbewehrt. Vor allem wurde der Anwendungsbereich auf Unternehmen erheblich ausgeweitet.

Welche Unternehmen unterliegen NIS-2?

Insbesondere die Branche und Unternehmensgröße sind entscheidend. Das BSIG unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Zu den besonders wichtigen Einrichtungen gehören neben Betreibern kritischer Anlagen unter anderem Unternehmen aus den Bereichen Energie, Verkehr, Finanzwesen, Gesundheitsversorgung, Wasserwirtschaft, digitale Infrastruktur sowie Einrichtungen der Bundesverwaltung. Als wichtige Einrichtungen gelten etwa Unternehmen aus der Lebensmittelproduktion, der chemischen Industrie, dem verarbeitenden Gewerbe, der Abfallwirtschaft, Post- und Kurierdienste sowie viele Anbieter digitaler Dienste.

Für viele Unternehmen besonders relevant ist das Größenkriterium. Schon Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz und einer Bilanzsumme von mehr als 10 Millionen Euro können in den Anwendungsbereich des BSIG fallen, wenn sie in einem der erfassten Sektoren tätig sind.

Was ist dringend zu tun?

Jedes Unternehmen muss prüfen, ob es etwa als besonders wichtige oder wichtige Einrichtung unter NIS-2 fällt. Das ist grundsätzlich der Fall, wenn das Unternehmen Leistungen erbringt, die den regulierten Sektoren nach § 28 BSIG bzw. dessen Anlagen 1 oder 2 zuzuordnen sind. Jedoch können dann Ausnahmen greifen, wenn die für NIS-2 relevanten Tätigkeiten des Unternehmens im Verhältnis zur Gesamtgeschäftstätigkeit vernachlässigbar sind. Neben der Sektorzuordnung bedarf es zudem einer Bestimmung der Kennzahlen (Mitarbeiter, Jahresumsatz und Bilanzsumme).

Bei Unternehmensgruppen ist grundsätzlich jede Gruppengesellschaft separat zu betrachten. Nach einer Empfehlung der EU-Kommission (2003/361/EG) werden für die Ermittlung der Kennzahlen jedoch auch Daten von Partner- und verbundenen Unternehmen hinzugerechnet.  Nur ausnahmsweise kann die Hinzurechnung unterbleiben, wenn informationstechnische Unabhängigkeit besteht.

Neue Pflichten

Fällt das Unternehmen unter NIS-2, muss es dem BSI spätestens drei Monate nach erstmaliger (oder erneuter) Betroffenheit zentrale Angaben übermitteln. Änderungen sind teils unverzüglich, spätestens binnen zwei Wochen nach Kenntnis zu aktualisieren. Unternehmen, die bereits seit Inkrafttreten betroffen sind, mussten die Registrierung bis zum 6. März 2026 abschließen. Wer dies versäumt hat, sollte dringend tätig werden. 

Wichtige und besonders wichtige Einrichtungen sind in der Pflicht, die eigenen Informationssicherheitsmaßnahmen zu überprüfen und ggf. anzupassen. Zudem gelten verschärfte Meldepflichten, für deren zuverlässige Erfüllung das Unternehmen sinnvollerweise einen Prozess wird definieren müssen.

Erforderlich ist auch ein Management von Lieferkettenrisiken. Das betrifft insbesondere Vertragsverhältnisse mit IT-Dienstleistern, Cloud bzw. Hosting Providern und Software-Lieferanten. Die diesbezüglichen Verträge sollten auf wesentliche Aspekte geprüft werden, z.B. ob Sicherheitsanforderungen eindeutig geregelt sind. Häufig besteht auf Vertragsebene dringender Nachbesserungsbedarf.

NIS-2 nimmt die Unternehmensleitung in die Pflicht

NIS-2 ist nun ausdrücklich „Chefsache“. Die Unternehmensleitung muss insbesondere die Risikomanagementmaßnahmen verantwortlich initiieren, deren Umsetzung überwachen und sich regelmäßig informieren und schulen lassen.

Bei Verstößen gegen zentrale NIS-2-Pflichten drohen dem Unternehmen Bußgelder in Höhe von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Zudem kann die Unternehmensführung persönlich haften. Das Risiko ist nicht nur Theorie, denn das BSI kann unter anderem Prüfungen durchführen.

Fazit und Empfehlung

Jedes Unternehmen sollte dringend prüfen, ob es unter NIS-2 fällt. Ist dies der Fall, sind weitere Maßnahmen zu veranlassen. Fällt das Unternehmen nicht darunter, so sollte dieses Ergebnis dokumentiert werden, um gegenüber Behörden argumentationsfähig zu sein.

Ansprechpartner
Jan Schneider
Schneider, Jan Rechtsanwalt
Weitere relevante Bereiche zum Thema
IT- und Internetrecht, Datenschutzrecht
Branchen & Lösungen
Digitalisierung, Compliance
Zurück
Newsletter

Sie wollen regelmäßig Informationen zu aktuellen Entwicklungen erhalten? Hier können Sie sich für unseren Newsletter registrieren.

Jetzt anmelden

Telefon: +49 711 86040 00
kontakt@menoldbezler.de