NIS-2 kommt: Bundestag verabschiedet über neues Cybersicherheitsgesetz

Mit dem gestrigen Beschluss des Bundestages ist endlich ein entscheidender Meilenstein in der überfälligen Umsetzung der NIS-2-Richtline (Richtlinie (EU) 2022/2555) erfolgt. Diese wird nun nach langem Warten in Deutschland durch eine neue Fassung des BSI-Gesetzes (BSIG) umgesetzt. Künftig werden nicht nur Betreiber kritischer Infrastrukturen (KRITIS), sondern auch mittelständische Unternehmen aus Sektoren wie Energie, Gesundheit, Verkehr, Postdienste, Lebensmittelversorgung und digitale Verwaltung zur Einhaltung strenger Sicherheitsstandards verpflichtet. Insgesamt sollen rund 30.000 Unternehmen in Deutschland betroffen sein.

Was sieht das deutsche Umsetzungsgesetz vor?

Erweiterter Anwendungsbereich

Der Anwendungsbereich des Gesetzes wird erheblich ausgeweitet. Das Gesetz unterscheidet dabei neben KRITS-Betreibern zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Dabei gelten für besonders wichtige Einrichtungen nochmals strengere Pflichten als für wichtige. Besonders wichtige Einrichtungen sind große Unternehmen aus Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur und öffentlicher Verwaltung. Wichtige Einrichtungen umfassen mittlere Unternehmen aus Bereichen wie Post- und Kurierdienste, Lebensmittelversorgung, Chemieindustrie und verarbeitendes Gewerbe. Die Einstufung erfolgt anhand von Unternehmensgröße und Sektorzugehörigkeit. 

Die Erweiterung des Anwendungsbereichs hat zur Folge, dass Unternehmen, die bisher nicht vom BSIG erfasst wurden, nun in dessen Anwendungsbereich fallen. Unternehmen sollten daher genau überprüfen, ob sie zukünftig vom Anwendungsbereich des neuen BSIG erfasst sind. Bei der Prüfung ist jeder Geschäftsbereich und jede Tochtergesellschaft zu berücksichtigen. Insbesondere im verarbeitenden Gewerbe werden durch das neue BSIG eine Vielzahl von Produkten erfasst, die auf den ersten Blick nicht kritisch erscheinen. Daneben können auch unternehmensintere IT Service Provider vom BISG erfasst werden. Dies macht eine umfangreiche Überprüfung der eigenen Tätigkeiten und Produkte erforderlich, um zu bestimmen, ob das BSIG anwendbar ist oder nicht. Anders als die NIS-2-Richtlinie selbst, gibt das neue BSIG die Kategorie der KRITS-Betreiber nicht auf. Wer ursprünglich bereits als solcher unter das BSIG fiel, wird diesem auch weiterhin unterfallen.

Strenge Pflichten im Bereich Cybersicherheit

Neben der Ausweitung des Anwendungsbereichs sieht das BSIG auch deutlich erhöhte Anforderungen an erfasste Unternehmen vor. Diese müssen sich künftig bei einer zentralen Registrierungsstelle anmelden und Sicherheitsvorfälle in einem dreistufigen Verfahren melden: eine Erstmeldung innerhalb von 24 Stunden, eine Nachmeldung nach 72 Stunden und eine Abschlussmeldung spätestens nach 30 Tagen. Darüber hinaus sind alle Einrichtungen verpflichtet, ein Informationssicherheits-Managementsystem einzuführen, das Risikoanalysen, technische Schutzmaßnahmen und regelmäßige Schulungen umfasst. Die Verantwortung für die Umsetzung liegt bei der Geschäftsleitung, die bei Verstößen persönlich haftbar gemacht werden kann.

Unterschiede zwischen den Einrichtungsarten unter dem BSIG bestehen bezüglich der Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders wichtige Einrichtungen unterliegen einer strengeren Aufsicht durch das BSI. Für sie sind umfassendere Prüfungen vorgesehen, einschließlich Vor-Ort-Kontrollen und detaillierter Nachweise zur Umsetzung der Sicherheitsmaßnahmen. Wichtige Einrichtungen werden hingegen primär anlassbezogen überwacht und unterliegen weniger intensiven Kontrollmechanismen.

Aufsichtsseitig wird das BSI insgesamt gestärkt und übernimmt eine koordinierende Rolle, während in der Bundesverwaltung ein zentraler CISO beim BSI etabliert wird, um die strategische Steuerung der Informationssicherheit sicherzustellen.

Nächste Schritte: Anwendbarkeitsprüfung und Umsetzung des neuen BSIG

Soweit nicht bereits geschehen, sollten Unternehmen schnellstmöglich mit der Anwendbarkeitsprüfung des BSIG und gegebenenfalls der Umsetzung der Anforderungen des BSIG beginnen. Insoweit sieht das BSIG keine allgemeinen Übergangsfristen vor. Das heißt, dass Unternehmen mit Beschluss des BSIG im Bundestag lediglich noch bis zu dessen Ausfertigung und Verkündung Zeit haben, dessen Anforderungen umzusetzen. Im Fall von Verstößen sieht das BSIG empfindliche Bußgelder vor.

Um potentiell betroffenen Unternehmen eine praxisnahe Orientierung zu bieten, veranstalten wir am 28.11.2025 ein Webinar zu den Anforderungen und der Umsetzung des neuen BSIG. Unter dem Titel „Neue Spielregeln für Cybersicherheit: Anwendbarkeit und Pflichten des deutschen NIS-2-Umsetzungsgesetzes“ geben wir einen kompakten Überblick über die neuen gesetzlichen Anforderungen, die sich daraus ergebenden Pflichten der Geschäftsleitung, und die Maßnahmen, die Unternehmen jetzt ergreifen müssen, um die neuen Anforderungen des BSIG zu erfüllen.