Die Lage der IT-Sicherheit ist weltweit angespannt. Direkte Cyberattacken auf Unternehmen, Supply-Chain-Angriffe wie zuletzt „Shai Hulud 2.0“ und veraltete IT-Infrastrukturen ohne stringente organisatorische Prozesse führen zu einer erheblichen Gefährdung der Wirtschaft. 

Im Rahmen unserer Beitragsreihe „NIS‑2 kompakt – Compliance-Roadmap für den Mittelstand“ werden wir Ihnen die Verpflichtungen, welche sich aus der NIS-2-Umsetzung ergeben, schrittweise erläutern. Am Ende der Beitragsreihe werden Sie in der Lage sein, die Regelungen der NIS-2-Umsetzung zu verstehen und die Verpflichtungen im Unternehmen mit Unterstützung Ihrer Partner umzusetzen. 

Hintergrund 

Bei der NIS-2-Richtlinie handelt es sich um eine europäische Richtlinie, die im Unterschied zu Verordnungen (etwa der Datenschutzgrundverordnung) von den einzelnen Mitgliedsstaaten zunächst in nationales Recht umgesetzt werden muss. Sie gilt folglich nicht unmittelbar.  

Mittels dieser Richtlinie beabsichtigt der Richtliniengeber, einen einheitlichen Mindeststandard im Bereich der IT-Sicherheit innerhalb der europäischen Union zu etablieren. Hierzu sieht sich der Richtliniengeber angesichts der steigenden Bedrohung durch Cyberkriminalität einerseits und der häufig unzureichenden IT-Ausstattung insbesondere im Mittelstand veranlasst.  

Während die ursprüngliche NIS-Richtlinie aus 2016 insbesondere auf KRITIS-Unternehmen, also auf kritische Infrastrukturen, abzielte, erweitert der Richtliniengeber mit der NIS-2-Richtlinie den Anwendungsbereich der Cybersicherheitsregelungen erheblich. Es werden nunmehr etwa zusätzliche 30.000 Unternehmen in Deutschland von der Regulierung erfasst. Die NIS-2-Richtlinie ist damit eine konsequente Weiterentwicklung der bestehenden gesetzlichen Regelungen, welche an die fortschreitende Digitalisierung und die damit verbundenen Cybersicherheitsrisiken angepasst wurden. 

Nachdem die Bundesrepublik Deutschland diese Richtlinie zunächst nicht fristgemäß in nationales Recht umgesetzt hat, trat das entsprechende Umsetzungsgesetz nunmehr am 06.12.2025 ohne Übergangsfristen in Kraft. Die Regulierung erfolgt dabei weit überwiegend über das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI-Gesetz. Damit geht eine grundlegende Modernisierung des bestehenden IT-Sicherheitsrechts, eine Anpassung an die dynamische Bedrohungslage und eine erhebliche Ausweitung des Anwendungsbereiches des BSI-Gesetzes einher. 

Im Rahmen unserer Beitragsreihe „NIS‑2 kompakt – Compliance-Roadmap für den Mittelstand“ werden wir Ihnen die Verpflichtungen, welche sich aus der NIS-2-Umsetzung ergeben, schrittweise erläutern. Am Ende der Beitragsreihe werden Sie in der Lage sein, die Regelungen der NIS-2-Umsetzung zu verstehen und die Verpflichtungen im Unternehmen mit Unterstützung Ihrer Partner umzusetzen. 

Betroffenheit 

Nachdem vom BSI-Gesetz in Deutschland rund 4.500 Unternehmen betroffen waren, sorgt die Umsetzung der NIS-2-Richtlinie für eine erhebliche Ausweitung des Anwendungsbereiches des BSI-Gesetzes. Es werden nunmehr nicht nur Betreiber kritischer Infrastrukturen (sog. KRITIS) erfasst, sondern auch Unternehmen verschiedenster Sektoren, die gesetzlich festgelegte Schwellenwerte hinsichtlich der Anzahl an Mitarbeitenden, des Umsatzes und der Bilanzsumme überschreiten.  

Die Betroffenheitsprüfung erfolgt hierbei durch die Unternehmen selbst in eigener Verantwortung. Abhängig von der konkreten Einordnung entweder als wichtige Einrichtung oder als besonders wichtige Einrichtung liegt es in der Pflicht der Verantwortlichen, die sich aus der Einstufung ergebenden Pflichten zu prüfen und im Unternehmen umzusetzen. 

Zentrale Pflichten 

Diese umzusetzenden Pflichten lassen sich in drei Kategorien wie folgt einteilen: 

Registrierungspflicht 

Für die Unternehmen besteht gem. § 33 BSIG zunächst eine Verpflichtung zur Registrierung als betroffenes Unternehmen spätestens binnen 3 Monaten ab erstmaliger Geltung als betroffenes Unternehmen. 

Dieser Registrierungsprozess ist zweistufig aufgebaut:  

Zunächst muss das Unternehmen bei dem Dienst „Mein Unternehmenskonto (MUK)“, dem zentralen Zugang zu digitalen Verwaltungsleistungen, welcher auf der bekannten ELSTER-Technologie basiert, registriert werden. Nach erfolgter Registrierung bei dem MUK kann mit diesem Zugang ab Januar 2026 die Registrierung im neu geschaffenen BSI-Portal, erreichbar unter https://portal.bsi.bund.de/ erfolgen. 

Die Registrierung war bis zum 06.03.2026 vorzunehmen. Ersten Zahlen des BSI zufolge wurden weitaus weniger Unternehmen als ursprünglich angenommen fristgemäß im Portal registriert. 

Meldepflicht bei erheblichen Sicherheitsvorfällen 

Eingeführt wurde über § 32 BSIG eine mehrstufige Meldepflicht im Falle eines erheblichen Sicherheitsvorfalles. 

Innerhalb des Unternehmens ist daher sicherzustellen, dass Sicherheitsverletzungen zeitnah erkannt und entsprechende Meldeketten unverzüglich in Gang gesetzt werden. Bestehende Meldewege und Meldeprozesse, etwa aus dem Datenschutzrecht, sind an die kürzeren Meldefristen des BSIG anzupassen. 

Etablierung von Risikomanagementmaßnahmen 

Dies führt zur weitreichendsten Kategorie, den Risikomanagementmaßnahmen. 

Betroffene Unternehmen sind dazu verpflichtet, geeignete Risikomanagementmaßnahmen umzusetzen und diese zu dokumentieren. Diese Maßnahmen unterteilen sich in technische Maßnahmen einerseits und organisatorische Maßnahmen andererseits. 

Eine Delegierung von Verantwortlichkeiten für einzelne Maßnahmen ist möglich, die Geschäftsführung des Unternehmens trifft allerdings weiterhin die Gesamtverantwortung.