Gesetz zur Umsetzung der NIS-2-Richtlinie

Einführung | Ziele | Anwendungsbereich | Kernpflichten | Weitere Informationen

Einführung

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz bildet den rechtlichen Rahmen für die Cybersicherheit in Deutschland. Es überführt die EU-Richtlinie 2022/2555 (NIS-2) in nationales Recht und ist seit dem 6. Dezember 2025 in Kraft. Das Gesetz legt verbindliche Mindeststandards für das Risikomanagement und die Meldung von Sicherheitsvorfällen fest, um die Widerstandsfähigkeit gegenüber Cyberbedrohungen sektorenübergreifend zu erhöhen.

Ziele

• Harmonisierung von Cybersicherheitsstandards in der EU
• Erhöhung der Widerstandsfähigkeit gegenüber Cyberbedrohungen
• Stärkere Aufsicht und Durchsetzung mit klareren Melde- und Risikomanagementpflichten

Anwendungsbereich

Der Anwendungsbereich definiert, welche Organisationen gesetzlich zur Umsetzung verpflichtet sind. Die Identifikation erfolgt primär über die Sektorenzugehörigkeit und die Unternehmensgröße.

Unternehmen werden basierend auf ihrer Bedeutung für das Gemeinwesen in zwei Kategorien eingeteilt:

1. Besonders wichtige Einrichtungen

• Sektoren mit hoher Kritikalität (z. B. Energie, Gesundheit, Trinkwasser, digitale Infrastruktur)
• Unternehmen mit mehr als 250 Mitarbeitern oder mehr als 50 Mio. € Jahresumsatz / 43 Mio. € Bilanzsumme

2. Wichtige Einrichtungen

• Sonstige kritische Sektoren (z. B. Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe)
• Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. € Jahresumsatz / Bilanzsumme.

Kernpflichten

Die betroffenen Unternehmen müssen eine Reihe von gesetzlich definierten Pflichten erfüllen, die sich in vier Hauptbereiche unterteilen lassen:

A. Risikomanagement-Maßnahmen (§ 30 BSIG)
Unternehmen sind verpflichtet, technische, operative und organisatorische Maßnahmen zum Schutz ihrer IT umzusetzen. Dazu gehören:

• Business Continuity: Erstellung von Backup-Konzepten und Notfallplänen
• Lieferantensicherheit: Prüfung der IT-Sicherheit bei direkten Zulieferern
• Cyber-Hygiene: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung
• Schwachstellenmanagement: Regelmäßige Identifikation und Behebung von Sicherheitslücken

B. Meldepflichten (§ 32 BSIG)
Bei erheblichen Sicherheitsvorfällen gilt ein verbindliches dreistufiges Verfahren:

• Innerhalb von 24 Stunden: Eine Erstmeldung (Frühwarnung) an das BSI
• Innerhalb von 72 Stunden: Eine detaillierte Meldung zum Vorfall und dessen Auswirkungen
• Innerhalb eines Monats: Ein abschließender Bericht zur Ursachenanalyse

C. Registrierungs- und Mitteilungspflichten
Alle betroffenen Einrichtungen müssen sich über das zentrale BSI-Portal registrieren. Dabei sind Kontaktdaten sowie Angaben zu den erbrachten Diensten und der Sektorenzugehörigkeit zu hinterlegen.

D. Governance und Leitungsebene (§ 38 BSIG)
Das Gesetz legt die Verantwortung für die Umsetzung direkt in die Hände der Geschäftsführung:

• Billigung und Überwachung: Die Geschäftsleitung muss die Sicherheitsmaßnahmen absegnen und deren Einhaltung kontrollieren
• Schulungspflicht: Mitglieder der Geschäftsleitung sind gesetzlich verpflichtet, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen
• Persönliche Haftung: Bei Verstößen gegen die Sorgfaltspflichten sieht das Gesetz eine Haftung der Leitungspersonen gegenüber der eigenen Gesellschaft vor

Weitere Informationen

• NIS-2-Richtlinie ist Gesetz
• Nis-2-Informationsportal des BSI
• Gesetz zur Umsetzung der NIS-2-Richtlinie
• NIS-2 Betroffenheitsprüfung