Was Unternehmen jetzt wissen und tun sollten
Bundestag und Bundesrat haben das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet. Der Kern ist die umfassende Neufassung des BSI-Gesetzes (BSIG). Seit dem 6. Dezember ist das Gesetz in Kraft. Übergangsfristen sind nicht vorgesehen.
Was ist das NIS-2-Umsetzungsgesetz?
- Mit dem NIS-2-Umsetzungsgesetz wird die NIS-2-Richtlinie in Deutschland umgesetzt. Die NIS-2-Richtlinie enthält Anforderungen an die Cybersicherheit wichtiger und wesentlicher Einrichtungen aus insgesamt 18 Sektoren. Durch NIS‑2 werden viele Unternehmen erstmals gesetzlich zu mehr Cybersicherheit verpflichtet.
- Der Schwerpunkt des NIS-2-Umsetzungsgesetzes liegt auf einer weitgehenden Neufassung des BSI-Gesetzes (BSIG). Darin werden der Anwendungsbereich, die Pflichten, die Aufsicht und die Sanktionen für den Großteil der etwa 30.000 bis 40.000 betroffenen Unternehmen in Deutschland geregelt.
- Am 5. Dezember 2025 wurde das Gesetz im Bundesgesetzblatt verkündet und ist seit dem 6. Dezember 2025 in Kraft. Übergangsfristen sind nicht vorgesehen.
Was sind vernachlässigbare Tätigkeiten?
Trotz erheblicher Kritik von Wirtschaftsverbänden und Experten hat es im Gesetzgebungsverfahren vergleichsweise wenige Änderungen für die Wirtschaft gegeben:
- Die für den Anwendungsbereich relevanten Definitionen der Einrichtungsarten in den Anlagen 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen) und 2 (Sektoren wichtiger Einrichtungen) haben sich nicht geändert.
- Die Ausnahmeregelung für vernachlässigbare Geschäftstätigkeiten in § 28 Abs. 3 BSIG ist allerdings erhalten geblieben. Unternehmen können bei der Prüfung des Anwendungsbereichs demnach geringfügige Tätigkeiten ausklammern, die zu einer unverhältnismäßigen Betroffenheit als wichtige oder besonders wichtige Einrichtung führen würden.
- Indikatoren für eine geringfügige Nebentätigkeit können die Anzahl der im relevanten Bereich eingesetzten Mitarbeiter sowie der dort erwirtschaftete Umsatz sein. Nicht vernachlässigbar sind Tätigkeiten, die in einem Gesellschaftervertrag, einer Satzung oder einem anderen Gründungsdokument des Unternehmens genannt werden.
Was sollten Unternehmen jetzt tun?
- Betroffenheitsanalyse aktualisieren: Die Unklarheiten bei der Bestimmung der Sektoren bleiben bis auf Weiteres bestehen, werden allerdings durch die Ausnahmeregelungen für vernachlässigbare Tätigkeiten abgemildert. Dadurch haben Unternehmen die Möglichkeit, ihre Betroffenheit von den NIS-2-Anforderungen bei Nebentätigkeiten weitgehend in Eigenregie festzulegen. Dabei sollten Unternehmen allerdings nicht übersehen, dass Cyberkriminelle ihre Angriffsziele nicht entlang des Gesetzes auswählen. Wer Tätigkeiten vorschnell ausklammert, riskiert ein Einfallstor für böswillige Hacker.
- Registrierung vorbereiten: Wichtige und besonders wichtige Einrichtungen müssen sich über ein Portal beim BSI registrieren und zukünftig erhebliche Sicherheitsvorfälle direkt an die Behörde melden.
- NIS-2-Anforderungen umsetzen: Darüber hinaus sollte spätestens jetzt damit begonnen werden, die NIS-2-Anforderungen auf technischer und organisatorischer Ebene umzusetzen. Als Teil des Risikomanagements ist hierbei insbesondere an die Lieferkette und den Umgang mit IT-Sicherheitsvorfällen zu denken. Bei der Umsetzung der Maßnahmen sollten Unternehmen auch den Cyber Resilience Act (CRA) im Blick behalten.
Wie reuschlaw bei der Umsetzung von NIS‑2 unterstützt
reuschlaw unterstützt Unternehmen bei der Umsetzung von NIS‑2 durch die rechtliche Prüfung der Betroffenheit, die Ableitung konkreter Pflichten sowie die Begleitung bei der Umsetzung und Dokumentation aller erforderlichen Maßnahmen. Zudem hilft reuschlaw beim Aufbau eines Cybersecurity-Compliance-Managements, um Governance‑, Risikomanagement- und Meldepflichten nachhaltig zu erfüllen. Für technische Umsetzungsmaßnahmen greifen wir auf erfahrene Partner zurück. Damit wird sichergestellt, dass Ihr Unternehmen die verschärften gesetzlichen Anforderungen rechtssicher erfüllt und Prüfungen von Kunden und Aufsichtsbehörden souverän besteht.
zurück