Deutschland setzt NIS-2 um – umfangreiche Cybersicherheitsregeln für Unternehmen ab 50 Mitarbeitenden
Die Bundesregierung hat das NIS-2-Umsetzungsgesetz verabschiedet, mit dem die EU-weit geltende NIS-2-Richtlinie in deutsches Recht übertragen wurde. Das Gesetz ist seit dem 6. Dezember 2025 in Kraft und zielt auf ein deutlich höheres Niveau der Cybersicherheit in Wirtschaft und Verwaltung ab.
Ein zentraler Punkt des Gesetzes ist die Ausweitung des Geltungsbereichs auf zahlreiche Unternehmen, die zuvor nicht betroffen waren. So gelten die neuen Anforderungen für Unternehmen aus rund 18 Sektoren, die mindestens 50 Mitarbeitende beschäftigen oder bestimmte Umsatz- und Bilanzkennzahlen überschreiten. Dadurch gelten für viele mittelständische Unternehmen erstmals Cyber-Compliance-Pflichten.
Wichtigste Anforderungen für mittelständische Unternehmen
Betroffene Unternehmen, insbesondere solche mit rund 50 oder mehr Mitarbeitenden, müssen künftig eine Reihe verpflichtender Maßnahmen umsetzen, darunter:
- Registrierungspflicht:
Betroffene Unternehmen unterliegen einer Registrierungspflicht im BSI-Portal beim Bundesamt für Sicherheit in der Informationstechnik (BSI). - Risikomanagement und Informationssicherheit:
Systematische Einführung eines Cyber-Risikomanagements, inklusive technischer und organisatorischer Sicherheitsmaßnahmen zur Sicherung der Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen. - Meldepflichten bei Sicherheitsvorfällen:
Sicherheitsvorfälle müssen zeitnah an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, in der Regel innerhalb kurzer Fristen, oft Erstmeldung binnen 24 Stunden, gefolgt von Detailmeldungen. - Kontinuierliche Überwachung und Incident Response:
Einrichtung von Prozessen zur Überwachung cyberbezogener Ereignisse, zur Erkennung von Schwachstellen und zur schnellen Behebung von Vorfällen sowie Dokumentation und Nachweisführung über getroffene Maßnahmen. - Stärkung der Governance:
Verantwortung der Geschäftsleitung für Cyber-Compliance; Sicherheitsprozesse müssen an der Spitze der Organisation verankert werden, inklusive regelmäßiger Schulungen und Sensibilisierung. - Lieferketten-Sicherheit und mittelbare Betroffenheit kleinerer Unternehmen:
Nicht nur eigene Systeme müssen gesichert werden; Unternehmen sind auch verpflichtet, cybersichere Praktiken entlang ihrer Lieferketten sicherzustellen. Das bedeutet: Lieferanten und Dienstleister, die weniger als 50 Mitarbeitende haben und an ein NIS-2-pflichtiges Unternehmen liefern, können mittelbar betroffen sein, etwa durch Anforderungen, Nachweise über Sicherheitsstandards zu erbringen oder bei Vorfällen schnell zu reagieren. Kleine Unternehmen, die Teile, Software oder Services für größere Unternehmen bereitstellen, stehen damit in der Verantwortung, angemessene Sicherheitsmaßnahmen einzuführen, auch wenn sie formal nicht selbst unter die NIS-2-Pflichten fallen.
Unternehmen, die diese Anforderungen nicht erfüllen, müssen mit Bußgeldern, Sanktionen und einer erhöhten Haftung für die Geschäftsleitung rechnen, da in Art. 20 der NIS-2-Richtlinie (EU 2022/2555) eine Durchgriffshaftung definiert ist.
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes stärkt Deutschland seine digitale Widerstandsfähigkeit und fordert besonders mittelständische Unternehmen dazu auf, ihre Cyber-Sicherheitsstrategien nachhaltig zu professionalisieren, während gleichzeitig auch kleinere Lieferanten in die Verantwortung genommen werden können.
Wenn Sie Fragen zu den Anforderungen und zur Umsetzung in Ihrem Unternehmen haben oder mehr zu Informationssicherheitssystemen wie ISO 27001 oder TISAX wissen möchten, wenden Sie sich gerne an Dr. Michael Zöller.
Weitere Informationen finden Sie hier.