Am 5. Dezember 2025 ist das Gesetz zur Umsetzung der EU-NIS-2-Richtlinie veröffentlicht worden. Kernstück der deutschen Umsetzung ist das neu gefasste BSI-Gesetz (BSIG), das die sicherheitsrechtlichen Vorgaben für Unternehmen und Behörden bundesweit neu definiert und den regulatorischen Rahmen für IT-Sicherheit grundlegend modernisiert. Die Zahl der regulierten Einrichtungen wird damit von bislang etwa 4.500 auf rund 29.000 steigen. Für diese Einrichtungen gelten die neuen Anforderungen grundsätzlich ab dem Tag nach der Verkündung im Bundesgesetzblatt; eine generelle Übergangsfrist ist nicht vorgesehen. Das bedeutet, dass Cybersicherheit nicht länger primär als technische Aufgabe der IT-Abteilung verstanden werden kann, sondern zur unmittelbaren, haftungsbewehrten Führungsverantwortung der Geschäftsleitung avanciert.
1. Hintergrund: Von NIS zu NIS2 – und nun zum neuen BSIG
Die NIS-2-Richtlinie (EU) 2022/2555 soll das Cybersicherheitsniveau innerhalb der EU harmonisieren und die digitale Resilienz kritischer Sektoren stärken (weitere Informationen finden Sie in unserem vorherigen GT Alert zur EU-NIS2-Richtlinie.)
Im Vergleich zur ursprünglichen NIS-Richtlinie von 2016 erweitert sie den Anwendungsbereich erheblich, sowohl hinsichtlich der adressierten Sektoren als auch hinsichtlich der Zahl betroffener Unternehmen. Deutschland hat die unionsrechtliche Umsetzungsfrist vom 17. Oktober 2024 – wie zahlreiche andere EU-Mitgliedstaaten – nicht eingehalten. Mit dem nun verabschiedeten NIS2UmsG und der damit verbundenen Neufassung des BSIG – aber auch entsprechenden Änderungen in spezialgesetzlichen Regelungen – wird diese Lücke geschlossen. Die Pflichten im neuen BSIG sind unmittelbar verbindlich und bilden die konkrete Rechtsgrundlage für Aufsicht, Meldewege und Sanktionen in Deutschland.
Das deutsche Umsetzungsgesetz prägt den unionsrechtlichen Rahmen in zweifacher Hinsicht: Zum einen präzisiert es sektorspezifische Zuständigkeiten und Aufsichtskompetenzen, etwa bei Telekommunikationsunternehmen und Betreibern kritischer Anlagen. Zum anderen schafft es eine organisatorische Neuordnung für die Bundesverwaltung, indem das Bundesamt für Sicherheit in der Informationstechnik künftig als CISO Bund" fungiert und Mindestanforderungen für Bundesbehörden vorgibt. Diese behördliche Komponente der IT-Sicherheit besteht parallel zur wirtschaftsbezogenen Regulierung und betrifft insbesondere Behörden, die bislang nicht im Geltungsbereich des BSIG erfasst waren.
2. Anwendungsbereich: Wer ist betroffen?
Bei privaten Unternehmen gilt das neue BSIG für sog. besonders wichtige Einrichtungen" und wichtige Einrichtungen". Die Einstufung erfolgt anhand eines kombinierten Systems aus Sektorzugehörigkeit und Unternehmensgröße . Erfasst sind zahlreiche Sektoren wie Energie, Transport und Verkehr, Finanzwesen, Gesundheit oder Digitale Infrastrukturen, aber auch Bereiche wie Abfallbewirtschaftung, Maschinenbau oder Forschung. Sofern die Tätigkeit eines Unternehmens einer oder mehreren der in Anlagen 1 und 2 BSIG aufgeführten Einrichtungsarten" zuzurechnen ist, kommt es nach der sog. Size-Cap-Rule auf die Mitarbeiterzahl sowie den Umsatz und die Bilanzsumme des Unternehmens an. Zusätzlich unterfallen bestimmte Akteure unabhängig von ihrer Größe dem Regime, etwa Betreiber kritischer Anlagen, Anbieter qualifizierter Vertrauensdienste, DNS-Dienste und Registerstellen oder auch Telekommunikationsdiensteanbieter und -netzbetreiber.
Damit werden zahlreiche Unternehmen erstmals reguliert — insbesondere IT-Dienstleister, Hersteller aus dem Maschinen- und Elektronikbereich sowie Forschungseinrichtungen. Eine behördliche Benachrichtigung erfolgt nicht; die Betroffenheit ist eigenständig festzustellen und zu dokumentieren. Für die Geschäftsleitung wird diese Einstufung damit zur Leitungsaufgabe und nicht lediglich zur formalen Compliance-Voraussetzung.
Für die Size-Cap Rule kommt es nicht nur auf die Tätigkeit in der jeweiligen Einrichtungsart, sondern auf die Gesamtumsätze bzw. Bilanzsummen an, so dass auch Unternehmen, deren primäre Geschäftstätigkeit in nicht als sicherheitskritisch aufgeführten Bereichen liegt, dem Anwendungsbereich des Gesetzes unterfallen können. Ein Beispiel sind Immobilienunternehmen, die in ihren eigenen Beständen PV-Anlagen betreiben und über diese ihren Mietern Mieterstrom anbieten. Das BSIG enthält vor diesem Hintergrund eine Regelung, dass Tätigkeiten bei der Einstufung ausgenommen werden können, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar" sind. Eine Konkretisierung, wann dies der Fall ist, enthält das Gesetz indes nicht. Unklar ist auch, ob bei Konzernen, bei denen eine Überschreitung der relevanten Schwellenwerte durch die Zurechnung zum Gesamtunternehmen erfolgt, für die Beurteilung der Vernachlässigbarkeit auch auf die Relevanz für die Konzerntätigkeiten oder auf die jeweilige Einzelgesellschaft abzustellen ist, die in der jeweiligen Einrichtungsart tätig ist. Unternehmen sollten daher begründen und dokumentieren, warum eine potenziell kritische Tätigkeit als vernachlässigbar anzusehen sein sollte.
Neben dem BSIG bleiben sektorspezifische sicherheitsrechtliche Pflichten - etwa aus dem Telekommunikations- oder Energiewirtschaftsrecht – bestehen und werden um NIS-2-Verpflichtungen ergänzt. Das BSIG n.F. verdrängt diese Vorgaben nicht, sondern etabliert einen übergeordneten, horizontalen Sicherheitsrahmen, stellt aber zur Vermeidung von Doppelregulierung klar, dass die spezialgesetzlichen Vorgaben Regelungsvorrang haben. Die praktische Umsetzung wird dennoch häufig eine parallele Compliance erfordern.
3. Kernpflichten nach BSIG n.F.: Risikomanagement, Lieferkette, Dokumentation
Zentraler materieller Anknüpfungspunkt ist § 30 BSIG, der von betroffenen Einrichtungen die Umsetzung geeigneter, wirksamer und verhältnismäßiger technischer und organisatorischer Maßnahmen verlangt, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme abzusichern. Diese Verpflichtung zielt faktisch auf den Aufbau eines systematisch gesteuerten Informationssicherheits-Managementsystems, das Risiken kontinuierlich bewertet, Maßnahmen implementiert und deren Wirksamkeit regelmäßig überprüft.
Bereits auf dieser Ebene wird deutlich, dass das Gesetz das Blickfeld deutlich erweitert: Im Mittelpunkt steht nicht ein einzelnes Sicherheitsprodukt oder eine technische Lösung, sondern ein ganzheitlicher Steuerungsansatz, der Governance, Betriebsabläufe und technische Infrastruktur gleichermaßen umfasst.
Besondere regulatorische Aufmerksamkeit gilt der Lieferkette. Unternehmen müssen nicht nur Maßnahmen im eigenen Haus treffen, sondern auch sicherstellen, dass wesentliche Dienstleister und Zulieferer über hinreichende Sicherheitsstandards verfügen. Dies betrifft insbesondere die sorgfältige Auswahl und Kontrolle externer Anbieter, die Vereinbarung vertraglicher Pflichten, die Abstimmung von Incident-Response-Mechanismen sowie die regelmäßige Überprüfung der Leistungsbeziehung. Damit wird die Lieferkette zu einem eigenständigen Risikofaktor, dessen Bewertung und Steuerung integraler Bestandteil des Compliance-Regimes wird.
Darüber hinaus spielt Dokumentation eine zentrale Rolle. Unternehmen müssen Entscheidungen, Risikoanalysen, Maßnahmenumsetzungen und Wirksamkeitsbewertungen nachvollziehbar dokumentieren, um im Prüfungsfall belastbare Nachweise gegenüber dem BSI erbringen zu können. Dokumentation ist damit kein rein organisatorisches Begleitprodukt, sondern die Grundlage regulatorischer Nachweisführung.
Neben den allgemeinen Maßnahmen nach § 30 BSIG werden bestimmte technische Mindeststandards durch unionsrechtliche Vorgaben weiter konkretisiert. Die NIS-2-Durchführungsverordnung enthält hierzu detaillierte Anforderungen, die mittelbar auch für deutsche Einrichtungen maßgeblich werden, soweit sie unionsweit als Maßstab für die Auslegung herangezogen werden. Dies betrifft insbesondere die Pflicht zur Implementierung von Erkennungssystemen für Angriffe sowie zur Sicherstellung kryptographischer Schutzmechanismen. Für Betreiber kritischer Anlagen gilt zusätzlich, dass der Einsatz bestimmter Komponenten technischen Beschränkungen unterliegen kann, wenn deren Nutzung sicherheitspolitische Risiken birgt.
4. Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat
Erhebliche Sicherheitsvorfälle unterliegen künftig einem strukturierten und zeitkritischen Meldeprozess an das BSI. Innerhalb von 24 Stunden nach Kenntniserlangung muss eine Erstmeldung erfolgen, die der Behörde eine schnelle Lageeinschätzung ermöglicht. Innerhalb von 72 Stunden muss diese Meldung um detaillierte Informationen ergänzt werden, wie eine erste Ursachenanalyse, betroffene Systeme und potenzielle Auswirkungen. Spätestens nach einem Monat ist ein Abschlussbericht vorzulegen, der Maßnahmen zur Schadensbegrenzung, eine vertiefte Analyse des Vorfalls und daraus abgeleitete Präventionsmaßnahmen dokumentiert. Das BSI kann zudem Zwischenberichte verlangen.
Diese Vorgehensweise geht über die aus der DSGVO bekannten Meldepflichten hinaus, weil sie nicht primär auf personenbezogene Daten fokussiert ist, sondern auf die Funktionsfähigkeit und Integrität kritischer Systeme. Um die Fristen einhalten zu können, müssen Unternehmen nicht nur über technische Detektionsmechanismen verfügen, sondern interne Eskalationswege definieren, Verantwortlichkeiten klären, Entscheidungsbefugnisse festlegen und ein konsistentes Zusammenspiel zwischen IT, CISO-Funktion, Rechtsabteilung, Compliance und Unternehmenskommunikation sicherstellen.
Bei Einrichtungen, die bereits Meldepflichten nach sektorspezifischen Regelungen wie der DSGVO oder dem Telekommunikationsrecht unterliegen, entsteht künftig ein Mehr-Ebenen-Meldewesen. Das BSIG enthält insoweit keine umfassende Harmonisierung, sondern verlangt eine parallele Erfüllung dieser Meldepflichten. In der Praxis wird daher die Ausgestaltung einheitlicher Meldeprozesse erforderlich sein, um redundante Meldungen und Verzögerungen zu vermeiden.
5. Geschäftsleitung im Fokus: Persönliche Verantwortung und Haftung
Eine der deutlichsten Akzentverschiebungen gegenüber dem bisherigen Rechtsrahmen betrifft die Geschäftsleitung. Das BSIG normiert die Verantwortlichkeit ausdrücklich und stellt nicht auf die formale Organstellung ab, sondern auf die tatsächliche Leitungsfunktion im Unternehmen. Damit können auch CFOs, Komplementäre oder andere Führungskräfte mit strategischer Entscheidungsbefugnis in die Verantwortung fallen.
Nach § 38 BSIG muss die Geschäftsleitung nicht nur die erforderlichen Sicherheitsmaßnahmen genehmigen, sondern deren Umsetzung aktiv überwachen und sich fortlaufend so qualifizieren, dass sie die damit verbundenen Risiken sachgerecht beurteilen kann. Die Gesetzesbegründung sieht Schulungen mindestens alle drei Jahre vor; nach Auffassung des BSI genügt eine bloße Teilnahmebescheinigung nicht. Erforderlich ist eine detaillierte Dokumentation einschließlich Teilnehmender, Inhalte, Referenten und Dauer.
Besondere Bedeutung kommt der Frage der persönlichen Haftung zu. Das Gesetz knüpft an individuelle Pflichten einzelner Leitungsmitglieder an und macht deutlich, dass die Verantwortung nicht vollständig delegierbar ist. Auch wenn operative Aufgaben delegiert werden können, bleibt die leitende Verantwortung für die wesentlichen sicherheitsbezogenen Entscheidungen grundsätzlich bei der Geschäftsleitung. Wie weit Delegationen im Innenverhältnis haftungsbefreiend wirken können, wird sich aus der konkreten Organisationsstruktur und der weiteren Aufsichtspraxis ergeben. Versäumnisse können zu persönlicher Haftung führen, insbesondere wenn mangelhafte Risikoanalysen, unzureichende Steuerung der Lieferkette oder verspätete Meldungen zu Schäden führen.
Für Unternehmen bedeutet dies, dass Geschäftsverteilungspläne, Ressortzuschnitte, Organhaftungsregelungen und Berichtspflichten überprüft und gegebenenfalls angepasst werden müssen. Governance-Dokumente wie Geschäftsführerverträge, Satzungen und Organisationsrichtlinien sollten klar definieren, welche Rollen Sicherheitsentscheidungen treffen, wie Risiken bewertet werden und wie interne Kontrollsysteme ausgestaltet sind. Auch die Überarbeitung bestehender D&O-Deckungen gewinnt an Bedeutung, insbesondere im Hinblick auf Ausschlüsse bei Pflichtverletzungen in Leitungsfunktionen.
Die Regelung wirkt damit in zwei Richtungen: Sie erhöht den persönlichen Haftungsdruck für Leitungsorgane und zwingt Unternehmen gleichzeitig zu einer klaren, dokumentierten und überprüfbaren Sicherheitsarchitektur, die Risikoanalysen, Auswahlentscheidungen, Incident-Response-Prozesse und Lieferkettensteuerung miteinander verzahnt.
6. Sanktionen: Bußgelder mit konzernweitem Bezug
Das BSIG sieht ein deutlich verschärftes Sanktionsregime vor. Die Bußgelder orientieren sich am weltweiten Konzernumsatz des vorangegangenen Geschäftsjahres, wobei jeweils der höhere Betrag aus fester Summe und Umsatzanteil maßgeblich ist. Für besonders wichtige Einrichtungen liegt die Obergrenze bei zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bei sieben Millionen Euro oder 1,4 Prozent des Umsatzes. Dadurch können auch mittelständische Unternehmen erhebliche Bußgelder riskieren, sofern sie in den Anwendungsbereich fallen.
Parallel erhält das BSI weitreichende Prüf- und Eingriffsbefugnisse, die von der Anordnung konkreter Sicherheitsmaßnahmen über die Bewertung organisatorischer und technischer Strukturen bis hin zur Untersagung bestimmter Komponenten reichen können. Dies erhöht die Bedeutung belastbarer Compliance-Nachweise und konsistenter Governance-Strukturen erheblich.
Neben den Bußgeldern enthält das BSIG behördliche Eingriffsbefugnisse, die sich auf den Einsatz bestimmter IT-Komponenten beziehen. Das Bundesministerium des Innern kann den Einsatz kritischer Komponenten untersagen, wenn deren Nutzung die öffentliche Sicherheit beeinträchtigt. Dies gilt auch rückwirkend und betrifft insbesondere Komponenten, die von Herstellern stammen, die staatlicher Einflussnahme ausgesetzt sind. Für betroffene Unternehmen kann dies den Austausch zentraler Infrastrukturkomponenten erforderlich machen.
7. Sofortige Geltung ohne Übergangsfrist
Die Pflichten des BSIG gelten grundsätzlich ab dem Tag nach der Verkündung im Bundesgesetzblatt. Eine generelle Übergangsfrist ist nicht vorgesehen. Das BSI hat allerdings deutlich gemacht, dass es nicht unmittelbar mit flächendeckenden repressiven Maßnahmen beginnen wird. Erwartet wird jedoch ein nachweisbarer Umsetzungsfortschritt ab Inkrafttreten. Unternehmen, die mit Hinweis auf den bisherigen Entwurfscharakter oder die Komplexität der Materie abwarten, riskieren damit nicht nur aufsichtsrechtliche Kritik, sondern im Haftungsfall auch eine erschwerte Verteidigungslage.
8. Handlungsbedarf: Was Unternehmen jetzt tun sollten
Unternehmen sollten zunächst klären, ob sie als wichtige oder besonders wichtige Einrichtung eingestuft werden. Diese Bewertung sollte nachvollziehbar dokumentiert und regelmäßig überprüft werden, insbesondere bei veränderten Geschäftsmodellen oder Umstrukturierungen. Parallel dazu sollten Governance-Strukturen und Ressortzuschnitte überprüft und gegebenenfalls angepasst werden, sodass Verantwortlichkeiten für Risikomanagement, Lieferkette, Meldewesen, technische Sicherheit und Schulungen klar zugeordnet sind und transparenter Berichtspflichten unterliegen.
Ebenfalls erforderlich ist eine Bestandsaufnahme der bestehenden technischen und organisatorischen Sicherheitsmaßnahmen sowie die darauf aufbauende Konzeption eines konkreten Umsetzungsplans für ein Informationssicherheits-Managementsystem nach § 30 BSIG. Ein besonderer Schwerpunkt sollte dabei auf der Bewertung der Lieferkette liegen, da externe Dienstleister und Zulieferer häufig kritische Systemkomponenten beitragen. Die hierfür notwendigen Maßnahmen können von einer Risikoanalyse über die Anpassung von Verträgen bis hin zum Wechsel zentraler Dienstleister reichen.
Schließlich müssen Meldewege und Incident-Response-Prozesse so gestaltet werden, dass erhebliche Sicherheitsvorfälle innerhalb der im Gesetz vorgesehenen Fristen erkannt, bewertet und gemeldet werden können. Ergänzend sollten Unternehmen ein strukturiertes Schulungskonzept für Geschäftsleitung und Schlüsselpersonen entwickeln, das sowohl auf die rechtlichen Pflichten als auch auf die praktische Entscheidungsbefähigung abzielt und entsprechend dokumentiert wird.
Bei grenzüberschreitenden Konzernstrukturen entsteht zusätzlicher Abstimmungsbedarf, sofern Tochtergesellschaften in verschiedenen Mitgliedstaaten unterschiedlichen nationalen Umsetzungsakten unterliegen. Die NIS-2-Richtlinie enthält keine Vollharmonisierung, sodass mit divergierenden Anforderungen zu rechnen ist, insbesondere hinsichtlich Meldefristen, Registrierungsverfahren und Aufsichtspraxis. Die Etablierung konzernweit einheitlicher Maßnahmen bedarf daher eines Abgleichs mit lokalen Anforderungen.
Neben den materiellen Sicherheitsanforderungen enthält das BSIG eine verbindliche Verpflichtung zur Registrierung beim BSI (§§ 33 ff. BSIG). Das BSI hat hierzu einen zweistufigen Prozess angekündigt: Zunächst ist ein Unternehmenskonto (Mein Unternehmenskonto" – MUK) einzurichten, das als Authentifizierungsebene dient und auf ELSTER-Organisationszertifikaten basiert. Das BSI empfiehlt, dieses Unternehmenskonto spätestens bis Ende 2025 anzulegen. Ab dem 6. Januar 2026 erfolgt sodann die Registrierung im neuen BSI-Portal, das künftig sowohl der Erfüllung der Registrierungspflichten als auch als Meldestelle für erhebliche Sicherheitsvorfälle dient. Einrichtungen, die vor ihrer Registrierung einen erheblichen Sicherheitsvorfall erleiden, nutzen bis zur Aktivierung des Portals die Übergangsmeldwege des BSI.
Nicht jede Einrichtung muss sämtliche technisch denkbaren Sicherheitsmaßnahmen umsetzen. Der Gesetzgeber verlangt keinen maximalen, sondern einen angemessenen und verhältnismäßigen Sicherheitsstandard. Entscheidend ist, dass die Geschäftsleitung eine nachvollziehbare Auseinandersetzung mit den Anforderungen dokumentiert, Risiko- und Aufwandsüberlegungen anstellt und bewusst entscheidet, welche Maßnahmen erforderlich sind — und warum bestimmte Maßnahmen aus Gründen der Verhältnismäßigkeit oder fehlender Relevanz nicht umgesetzt werden. Eine solche reflektierte, dokumentierte Entscheidungsgrundlage ist zentral, um Aufsichtserwartungen zu erfüllen und im Haftungsfall belastbar argumentieren zu können.
9. Fazit: Regulierung als Belastung oder strategische Chance?
Mit dem NIS2UmsG und dem BSIG etabliert Deutschland einen breiten und anspruchsvollen Cybersicherheitsrahmen, der nicht mehr nur kritische Infrastrukturen adressiert, sondern wesentliche Teile der Wirtschaft. Die Regelungen sind umfassend, teils komplex und mit erheblichen Aufsichts- und Haftungsrisiken verbunden. Zugleich bieten sie Unternehmen die Möglichkeit, Cybersicherheit strukturiert als Führungsaufgabe zu etablieren, interne Sicherheitsstandards zu professionalisieren und sich gegenüber Kunden, Partnern und Behörden als resilienter Marktteilnehmer zu positionieren.
Für viele Unternehmen stellt die Umsetzung daher nicht nur einen regulatorischen Zwang dar, sondern auch eine Gelegenheit, Governance-Strukturen zu modernisieren und Sicherheitsprozesse nachhaltig zu verankern. Wer früh beginnt, wird nicht nur Risiken reduzieren, sondern auch strategische Vorteile realisieren können – insbesondere in Branchen, in denen Lieferkettensicherheit und Compliance zunehmend geschäftsentscheidend werden.
Das Zusammenspiel zwischen unionsrechtlicher Richtlinie, nationalem Umsetzungsgesetz und sektorspezifischen Vorgaben stellt einen mehrschichtigen Regulierungsrahmen dar, der auf unterschiedliche Normebenen verteilt ist und daher systematisch adressiert werden muss. Das BSIG bildet in diesem Gefüge die zentrale Rechtsgrundlage für Deutschland, ersetzt jedoch weder andere unionsrechtlichen Vorgaben – bspw. zur Sicherheit bestimmter Geräte nach dem Cyber Security Act – noch sektorspezifische Sicherheitsanforderungen, sondern ergänzt diese.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
