Author Rechtsanwalt Dr. Tobias Beltle

NIS-2 im BSIG: Wer verpflichtet ist und was jetzt gilt

Veröffentlicht am Categories Blog Tags · · · · · ·

Die Umsetzung der NIS-2-Richtlinie ist mit Verkündung des NIS2UmsuCG im Bundesgesetzblatt am 5. Dezember 2025 und dessen Inkrafttreten am 6. Dezember 2025 in das deutsche Recht überführt. Mit dem Inkrafttreten des NIS2UmsuCG und der vollständigen Neufassung des BSI-Gesetzes gelten die neuen materiellen Anforderungen an die Informationssicherheit unmittelbar, ohne Übergangsfrist. Einzelne Pflichten sind jedoch fristgebunden, insbesondere die Registrierung nach § 33 BSIG, die spätestens innerhalb von drei Monaten nach Eintritt der Registrierungspflicht zu erfolgen hat. Für bereits seit Inkrafttreten betroffene Einrichtungen läuft diese Frist regelmäßig bis zum 6. März 2026. Dennoch bleibt für viele Unternehmen unklar, ob sie künftig unter das neue Cybersicherheitsrecht fallen. Besonders der Begriff der „Vernachlässigbarkeit“ in § 28 Abs. 3 BSIG wirft grundlegende Auslegungsfragen auf.

Für betroffene Einrichtungen stellt dies eine erhebliche Herausforderung dar, denn NIS 2 bringt erhebliche organisatorische, technische und melderechtliche Pflichten sowie umfassende Sicherheitsmaßnahmen mit sich. Diese dienen der Reaktion auf eine stetig wachsende Bedrohung durch komplexe Cyberangriffe und adressieren die Abhängigkeit moderner Geschäftsmodelle von zuverlässigen Informationssystemen.

Dieser Beitrag zeigt, wie der Anwendungsbereich jetzt bestimmt wird, warum der Begriff der Vernachlässigbarkeit juristisch so problematisch bleibt und welche Schritte Unternehmen nun zwingend einleiten sollten.

Das Wichtigste in Kürze

Lesezeit: ca. 20 Minuten

  • Die NIS-2-Richtlinie gilt seit dem 6. Dezember 2025 verbindlich im deutschen Recht; das neue BSIG ist ohne Übergangsfrist in Kraft getreten.
  • Die NIS-2-Richtlinie schafft einen neuen europäischen Rechtsrahmen für Cybersicherheit und erweitert den Kreis der verpflichteten Unternehmen erheblich.
  • Auch mittelständische Unternehmen können nun als „wesentliche“ oder „wichtige“ Einrichtungen eingestuft werden und unterliegen damit strengen Anforderungen an Informationssicherheit und Meldewesen.
  • Art. 21 NIS-2 verpflichtet zu einem risikobasierten Informationssicherheitsmanagement, das Prävention, Reaktion und Lieferkettensicherheit umfasst.
  • Art. 23 NIS-2 verlangt die unverzügliche Meldung erheblicher Sicherheitsvorfälle im Rahmen eines mehrstufigen Meldeverfahrens.
  • Das neue BSIG erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik und verschärft die Aufsichts- und Sanktionsbefugnisse.
  • Unternehmen müssen jetzt prüfen, ob sie künftig in den Anwendungsbereich fallen und ihre IT-Compliance, Prozesse und technischen Maßnahmen entsprechend anpassen.
  • Eine rechtliche Begleitung hilft bei der Einordnung, der Umsetzung der Pflichten und Sicherheitsmaßnahmen und der Vorbereitung auf behördliche Kontrollen.
  • Das BSI-Portal für Registrierung und Vorfallmeldungen ist seit 6. Januar 2026 freigeschaltet.

Überblick: Die NIS-2-Richtlinie und ihre Zielsetzung

Die NIS-2-Richtlinie (EU) 2022/2555 schafft europaweit einheitliche Mindeststandards für die Cybersicherheit. Sie erweitert den Kreis der verpflichteten Einrichtungen erheblich und erfasst nun nicht mehr nur klassische Betreiber kritischer Infrastrukturen, sondern auch zahlreiche weitere Bereiche wie Abfallwirtschaft, Postdienste, Herstellung bestimmter Produkte, Verwaltung digitaler Dienste oder Forschung. Sie gilt insbesondere zur Abwehr zunehmender Cyberangriffe, zur Stabilisierung kritischer Dienstleistungen und zur Harmonisierung des Sicherheitsniveaus innerhalb der EU.

Die Ziele sind klar:

  • Stärkung der Cyberresilienz essenzieller Dienstleistungen und der darunter liegenden Informationssysteme
  • Schaffung einheitlicher Mindestvorgaben für Unternehmen in der EU
  • Verbesserung der Früherkennung und Reaktionsfähigkeit auf Cybervorfälle und zunehmend komplexe Cyberangriffe
  • Ausbau des europäischen Informations- und Meldeverbunds

Für viele bislang nicht regulierte Unternehmen markiert NIS 2 damit einen tiefgreifenden regulatorischen Paradigmenwechsel.

NIS2UmsuCG: Aktueller Stand der Umsetzung und zeitliche Einordnung

Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Es enthält die vollständige Neufassung des BSIG und setzt die Richtlinie damit verbindlich in deutsches Recht um

Materielle Übergangsfristen gibt es nicht. Unternehmen, die unter das BSIG fallen, müssen die neuen Vorgaben ab sofort erfüllen.

Die Neuregelung betrifft Schätzungen zufolge rund 30.000 Unternehmen in Deutschland, darunter auch viele mittelständische Betriebe, die bisher keine Berührung mit KRITIS-Regulierung hatten.

Bestimmung des Anwendungsbereichs nach § 28 BSIG

Ob ein Unternehmen unter das NIS2UmsuCG fällt, entscheidet sich anhand des mehrstufigen Prüfprogramms des § 28 BSIG. Die Vorschrift setzt die Vorgaben des Art. 3 der NIS-2-Richtlinie in nationales Recht um und definiert, welche Einrichtungen als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Grundlage sind die Art der Geschäftstätigkeit, bestimmte Schwellenwerte und branchenspezifische Besonderheiten.

Hervorzuheben ist, dass „Betreiber kritischer Anlagen“ nach § 28 Abs. 1 S. 1 Nr. 1 BSIG als „besonders wichtige Einrichtungen“ gelten, unabhängig von ihrer Größe.

1. Einordnung der Geschäftstätigkeit in Anlage 1 oder 2 BSIG

Zunächst ist zu bestimmen:

  • Unter welcher Kategorie der Anlagen 1 (besonders wichtige) oder 2 (wichtige Einrichtungen) die Tätigkeit fällt
  • Ob das Unternehmen in mehreren Sektoren oder Untersektoren tätig ist
  • Ob Sondertatbestände – etwa für digitale Dienste, industrielle Produktion, Entsorgung oder Versorgung – einschlägig sind

Die Zuordnung kann insbesondere bei hybriden Geschäftsmodellen anspruchsvoll sein und erfordert eine präzise Analyse und Dokumentation, da unterschiedliche Anforderungen der Anlagen 1 und 2 gleichzeitig zu berücksichtigen sind

2. Prüfung der Schwellenwerte nach § 28 BSIG

Für die zweite Prüfungsstufe sind die Größenkriterien des Unternehmens maßgeblich.

a) Schwellenwerte für besonders wichtige Einrichtungen (Anlage 1)

Einrichtungen der Anlage 1 gelten als besonders wichtig, wenn sie:

  • mindestens 250 Beschäftigte haben oder
  • einen Jahresumsatz über 50 Mio. € und eine Bilanzsumme über 43 Mio. € erreichen.

Hinzu kommt: Betreiber kritischer Anlagen im Sinne des Gesetzes gelten immer als besonders wichtig, unabhängig von ihrer Größe.

b) Schwellenwerte für wichtige Einrichtungen (Anlage 1 und 2)

Einrichtungen der Anlagen 1 und 2 gelten als wichtige Einrichtungen, wenn sie:

  • mindestens 50 Beschäftigte haben oder
  • einen Jahresumsatz über 10 Mio. € und eine Bilanzsumme über 10 Mio. € aufweisen.

c) Größenunabhängig verpflichtete Einrichtungen

Bestimmte Einrichtungen gelten immer als besonders wichtig, unabhängig von ihrer Größe:

  • qualifizierte Vertrauensdienste (qTSP)
  • Betreiber von Top-Level-Domain-Registrys (TLD)
  • DNS-Dienstleister
  • Anbieter öffentlicher Telekommunikationsnetze oder -dienste
  • Betreiber kritischer Anlagen

Diese Einrichtungen werden immer als besonders wichtig eingestuft, unabhängig von Beschäftigtenzahl oder Umsatz. Grund hierfür ist die erhebliche Systemrelevanz dieser Dienste für das Funktionieren digitaler und gesellschaftlicher Grundstrukturen.

3. Zusammenspiel der Kriterien

Unternehmen müssen daher folgende Fragen beantworten:

  • Fällt die Geschäftstätigkeit unter eine Kategorie der Anlagen 1 oder 2 BSIG?
  • Greifen größenunabhängige Einstufungen?
  • Werden die Schwellenwerte für besonders wichtige oder wichtige Einrichtungen erreicht?
  • Werden KRITIS-Schwellen der KritisVO überschritten?
  • Müssen einzelne Unternehmensbereiche gesondert betrachtet werden?

Erst die Gesamtschau ermöglicht eine rechtssichere Bewertung und bildet die Grundlage für geeignete Risikomanagementmaßnahmen.

Die „Vernachlässigbarkeit“ nach § 28 Abs. 3 BSIG: Ein Unbestimmter Rechtsbegriff mit hohem Auslegungsspielraum

Der Begriff der „Vernachlässigbarkeit“ nach § 28 Abs. 3 BSIG fügt der Einstufungsprüfung eine zusätzliche Dimension der Unklarheit hinzu. Die Vorschrift bestimmt, dass bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 solche Geschäftstätigkeiten unberücksichtigt bleiben können, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.“

Damit eröffnet der Gesetzgeber einen Ausnahmetatbestand, dessen konkrete Reichweite bislang unbestimmt ist.

Diese Regelung wirft grundlegende Fragen auf:

  • Nach welchen Kriterien lässt sich bestimmen, wann ein Tätigkeitsbereich vernachlässigbar ist – technisch, wirtschaftlich, organisatorisch oder gesellschaftlich?
  • Trägt die Einrichtung die Darlegungs- und Nachweislast?
  • Wie werden kleinere Zulieferer eingeordnet, deren Tätigkeit zwar gering erscheint, die aber kritische Wertschöpfungsketten beeinflussen?
  • Wie lässt sich der nationale Ausnahmetatbestand mit der unionsweiten Harmonisierung vereinbaren?
  • Ist die Bewertung einmalig oder fortlaufend zu aktualisieren?

Nach der Gesetzesbegründung soll der Ausnahmetatbestand verhindern, dass Unternehmen allein aufgrund einer untergeordneten Nebentätigkeit in den Anwendungsbereich fallen. Die Regulierung soll nicht überdehnt werden, wenn ein Geschäftssegment nur einen geringen Anteil an der Gesamttätigkeit besitzt.

Als mögliche Anhaltspunkte für die Bewertung der Relevanz eines Segments nennt die Gesetzesbegründung u. a.:

  • die dem Geschäftsbereich zugeordneten Beschäftigtenzahlen
  • das wirtschaftliche Gewicht des Segments, etwa anhand von Umsatz oder bilanzrelevanten Kennzahlen

Die Kriterien bieten jedoch lediglich grobe Orientierung. Durch die Verwendung eines unbestimmten Rechtsbegriffs verbleibt ein erheblicher Auslegungsspielraum, der erst durch behördliche oder gerichtliche Entscheidungen konturiert werden dürfte.

Ausblick: Was Unternehmen nach Inkrafttreten erwartet

Unternehmen müssen ab sofort mit einem spürbaren Anstieg von Prüf-, Umsetzungs- und Nachweispflichten rechnen. Das Bundesamt wird seine Aufsicht deutlich ausbauen, und Cybersicherheit wird sich in Verträgen, Audits und der Unternehmenssteuerung fest verankern, auch bei nicht unmittelbar regulierten Unternehmen. Die zunehmende Bedrohung durch komplexe Cyberangriffe verstärkt diesen Druck zusätzlich.

Kurzfristig: Registrierung und Sofortmaßnahmen

In den kommenden Monaten steht für betroffene Unternehmen die formale Registrierung an. Parallel müssen sie klären, ob sie als „wichtige“ oder „besonders wichtige“ Einrichtung gelten, interne Verantwortlichkeiten festlegen und erste Projekte aufsetzen. Viele Organisationen werden kurzfristig Gap-Analysen durchführen und zentrale Sofortmaßnahmen umsetzen müssen, etwa Meldeprozesse, Basisschutz der Informationssysteme, stärkere Authentifizierung und erste Schulungen, um Haftungsrisiken zu reduzieren.

Praktisch entscheidend ist, dass die Pflichten nicht nur auf dem Papier stehen: Das BSI hat das BSI-Portal zur Registrierung und zur Meldung erheblicher Sicherheitsvorfälle seit 6. Januar 2026 freigeschaltet. Spätestens ab jetzt müssen betroffene Unternehmen ihre internen Prozesse so aufsetzen, dass Meldungen fristgerecht und in der erwarteten Qualität abgegeben werden können.

Die technische Freischaltung des BSI-Portals ersetzt dabei nicht die rechtliche Pflicht: Entscheidend ist, dass Registrierung, Rollen- und Vertretungsmodell sowie Meldefähigkeit innerhalb der gesetzlichen Fristen organisatorisch abgesichert sind. Die Registrierung ist daher nicht als reine IT-Maßnahme, sondern als Compliance- und Governance-Thema zu behandeln. Empfehlenswert ist ein dokumentierter Managementbeschluss zur Betroffenheit, zur Zuordnung der Verantwortlichkeiten und zur Benennung eines registrierungs- und meldeverantwortlichen Teams.

Die Registrierung ist nach den aktuell bereitgestellten Abläufen zweistufig organisiert: Zunächst erfolgt die Anmeldung über den staatlichen Dienst ‚Mein Unternehmenskonto‘, anschließend die eigentliche Registrierung im BSI-Portal. Unternehmen sollten deshalb frühzeitig klären, wer im Haus die erforderlichen Organisationsrechte und die technischen Voraussetzungen (Zugänge/Identitäten, Vertretungsregelungen, Verantwortlichkeiten) bereitstellt. Andernfalls scheitert die Registrierung in der Praxis weniger an der Rechtsfrage als an fehlenden Zugriffs- und Rollenkonzepten. Aus Compliance-Sicht sollte die Registrierung als eigener, dokumentierter Management-Beschlussprozess behandelt werden, nicht als reine IT-Aufgabe.

Erste Orientierung: BSI-Materialien

Zur praktischen Umsetzung stellt das BSI inzwischen Einstiegsunterlagen bereit, die insbesondere die Registrierung und die Meldelogik im Portal erläutern. Für Unternehmen ist das hilfreich, ersetzt aber nicht die rechtliche Einordnung und die organisationsinterne Ausgestaltung: Entscheidend ist, dass Zuständigkeiten, Eskalationswege, Vorfallklassifizierung und die technische Informationslage (Logging/Monitoring/Forensik) so vorbereitet sind, dass Meldefristen realistisch eingehalten werden.

Mittelfristig: Ausbau der Sicherheitsstrukturen

Ab 2026 ist mit umfangreichen Maßnahmen zum Ausbau von ISMS-Strukturen, Notfall- und Krisenmanagement, Lieferkettensicherheit sowie standardisiertem Incident- und Schwachstellenmanagement zu rechnen. Die Geschäftsleitung muss Cyberrisiken regelmäßiger behandeln und Entscheidungen nachvollziehbar dokumentieren, was zu mehr Governance- und Reportingpflichten führt.

Aufsicht und Nachweise

Das Bundesamt und die Länderbehörden werden verstärkt prüfen, über Selbstauskünfte, vertiefte Kontrollen und regelmäßige Wirksamkeitsnachweise. Die mehrstufigen Meldepflichten bei Sicherheitsvorfällen verlangen professionelles Monitoring, klare Kommunikationswege und belastbare forensische Abläufe.

Einfluss auf Lieferketten

Viele nicht direkt betroffene Unternehmen werden mittelbar verpflichtet, weil regulierte Kunden höhere Sicherheitsniveaus in Verträge und Audits integrieren. Zertifizierungen, zusätzliche Nachweise und strengere SLA-Vorgaben werden zum Regelfall, was die Wettbewerbsfähigkeit stark vom nachweisbaren Sicherheitsniveau abhängig macht.

Strategische Perspektive

Langfristig kann NIS-2 die Resilienz und Reputation eines Unternehmens stärken. Wer früh investiert, verbessert Compliance, Versicherbarkeit und Kundenvertrauen. Wer nur Mindeststandards erfüllt, muss mit erhöhten Aufwänden, häufigen Nachforderungen der Aufsicht und deutlichen Wettbewerbsnachteilen rechnen.

NIS-2-Compliance: Welche Maßnahmen Unternehmen frühzeitig ergreifen sollten

Da das Gesetz ohne Übergangsfrist gilt, sollten Unternehmen frühzeitig aktiv werden:

  • Durchführung einer Sektor- und Tätigkeitsanalyse
  • Prüfung und Dokumentation der allgemeinen und sektoralen Schwellenwerte
  • Bewertung der eigenen systemischen Relevanz
  • Aufbau oder Anpassung eines Cybersicherheits- und Risikomanagementsystems
  • Etablierung verlässlicher Melde- und Incident-Response-Strukturen
  • Anpassung interner Richtlinien und Verantwortlichkeiten klären

Eine vorausschauende Planung schafft Handlungssicherheit und mindert Compliance-Risiken erheblich. Parallel zur Betroffenheitsprüfung sollte die Organisation die Registrierung prozessual vorbereiten und die Vorfallmeldung praktisch „trocken“ durchspielen (Table-Top-Test).

Fazit

Mit dem Inkrafttreten des BSIG gilt NIS-2 jetzt verbindlich und ohne Übergangsfrist. Der Anwendungsbereich wurde erheblich ausgeweitet und betrifft zahlreiche Unternehmen, die erstmals umfassende Pflichten zur Informationssicherheit, zu Sicherheitsmaßnahmen und zu Risikomanagementmaßnahmen erfüllen müssen.

Zur Vermeidung von rechtlichen und finanziellen Nachteilen sollten Unternehmen und Institutionen im ersten Scrhitt prüfen, ob sie durch NIS-2 betroffen sind bzw. ob für sie die Möglichkeit besteht, Geschäftstätigkeiten, die für das Gesamtunternehmen vermachlässigbar sind, bei der Einstufung als wesentliche oder wichtige Einrichtung unberücksichtigt zu lassen

Die Vorschrift des § 28 BSIG übernimmt insoweit die Einstufungssystematik der Richtlinie, verlangt jedoch eine sorgfältige Analyse und Dokumentation von Sektorzugehörigkeit, Schwellenwerten und möglichen größenunabhängigen Tatbeständen. Besonders herausfordernd bleibt dabei der unbestimmte Rechtsbegriff der Vernachlässigbarkeit, der weiterhin erheblichen Auslegungsspielraum bietet und in der Praxis zu Unsicherheiten führen dürfte.

Unternehmen sollten daher frühzeitig handeln und eine belastbare Compliance-Struktur aufbauen und die NIS-2-Anforderungen rechtlich prüfen.

Dabei empfiehlt sich, im ersten Schritt zu prüfen, ob Sie von NIS-2 überhaupt betroffen sind und die Regelungen beachten müssen oder, ob Sie die NIS-Regelungen unberücksichtigt lassen können.

Wenn Sie und Ihr Unternehmen, Ihre Organisation oder Ihre Einrichtung wissen wollen, ob Sie von NIS-2-Regelungen betroffen sind oder wenn Sie eine belastbare Einstufung vornehmen oder ein praxisorientiertes NIS-2-Compliance-Konzept entwickeln möchten oder müssen, unterstützen wir Sie als Fachanwalt für IT und Spezialisten im Datenschutzrecht sowie im Bereich des IT-Sicherheitsrechts gerne. Kontaktieren Sie unsere Kanzlei gerne für eine individuelle Beratung.

Häufig gestellte Fragen (FAQ)

 

Welche Unternehmen fallen unter die NIS-2-Richtlinie?

Die Richtlinie erfasst „wesentliche“ und „wichtige“ Einrichtungen. Entscheidend sind Sektorzugehörigkeit und Unternehmensgröße. Viele Unternehmen, die bisher nicht unter die KRITIS-Regulierung fielen, werden nun erfasst. Betroffen sind unter anderem Energie, Transport, digitale Infrastruktur, Entsorgung, Produktion, Verwaltung, Post- und Kurierdienste sowie Forschung.

Ab wann gelten die neuen Pflichten?

Seit Inkrafttreten des deutschen Umsetzungsgesetzes am 06.12.2025 werden die Vorgaben der NIS-2 verbindlich. Es existieren keine Übergangsfristen. Unternehmen sollten die notwendigen Maßnahmen frühzeitig vorbereiten.

Welche Pflichten bestehen nach Art. 21 NIS-2?

Art. 21 verpflichtet zu einem umfassenden Informationssicherheitsmanagement. Dazu gehören Risikoanalysen, Schutz der Lieferkette, Sicherheit technischer Systeme, Vorfallmanagement, Systemüberwachung, Nutzung aktueller Verschlüsselungs- und Authentifizierungsverfahren sowie Maßnahmen zur Aufrechterhaltung der Geschäftsprozesse.

Welche Meldepflichten bestehen bei Sicherheitsvorfällen?

Art. 23 NIS-2 sieht eine unverzügliche Meldung erheblicher Sicherheitsvorfälle vor. Das Meldeverfahren ist mehrstufig und umfasst eine Frühwarnung, eine Zwischenmeldung sowie einen abschließenden Bericht. Ziel ist eine schnelle Reaktion und die Verhinderung weiterer Schäden.

Welche Sanktionen drohen bei Verstößen?

Nach dem BSIG drohen bei Verstößen erhebliche, am weltweiten Jahresumsatz orientierte Bußgelder, bis zu 10 Mio. Euro bzw. 2 % des Umsatzes für besonders wichtige und bis zu 7 Mio. Euro bzw. 1,4 % für wichtige Einrichtungen, wobei jeweils der höhere Wert gilt. Typische Pflichtverstöße sind insbesondere fehlende oder verspätete Registrierung, Verstöße gegen Meldepflichten und unzureichende oder nicht dokumentierte Sicherheits- und Risikomanagementmaßnahmen. Neben Geldbußen kann das Bundesamt verbindliche Sicherheitsmaßnahmen anordnen, den Einsatz kritischer Komponenten beschränken oder in Managementverantwortung eingreifen.

Welche konkreten Schritte sollten Unternehmen jetzt einleiten?

Unternehmen müssen ihre Betroffenheit prüfen, das bestehende Informationssicherheitsniveau bewerten, interne Prozesse anpassen und ein belastbares Meldesystem schaffen. Auch die Lieferkettensicherheit muss überprüft und dokumentiert werden.

Wie kann eine rechtliche Beratung unterstützen?

Die Einordnung nach NIS-2, die Umsetzung der Maßnahmen nach Art. 21 und Art. 23, die Dokumentation sowie die Vorbereitung auf Prüfungen erfordern juristische Expertise. Eine spezialisierte rechtliche Begleitung minimiert Haftungsrisiken und stellt die Compliance sicher.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen