Mit der Verkündung des NIS-2-Umsetzungsgesetzes ist aus monatelanger Unsicherheit nun Realität geworden: Das modernisierte Cybersicherheitsrecht gilt ab sofort. Nach mehr als einem Jahr Verzögerung hat Deutschland die EU-NIS-2-Richtlinie endlich in nationales Recht überführt. Kern der Umsetzung ist die Novellierung des BSI-Gesetzes (BSIG). Damit steigen die Anforderungen an die Cybersicherheit spürbar für Unternehmen und erstmals auch für die Bundesverwaltung. BSI-Präsidentin Claudia Plattner bringt es klar auf den Punkt: „Die Cybersicherheitslage Deutschlands ist angespannt. Das novellierte BSI-Gesetz ist eine starke Antwort darauf und wird die Resilienz unseres Landes messbar verbessern.“
Fast siebenmal so viele Unternehmen durch NIS-2 betroffen
Mit NIS-2 weitet sich der Kreis der betroffenen Organisationen deutlich aus. Bisher standen in Deutschland rund 4.500 Organisationen unter Aufsicht des BSI, vor allem KRITIS-Betreiber, digitale Diensteanbieter (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI). Durch die Umsetzung von NIS-2 steigt diese Zahl nun auf etwa 29.500 Einrichtungen.
Der Grund dafür ist die Erweiterung des Anwendungsbereichs des BSI-Gesetzes (BSIG). Ob ein Unternehmen künftig darunterfällt, hängt vor allem von zwei Faktoren ab: der Zugehörigkeit zu bestimmten Sektoren sowie von Schwellenwerten wie Mitarbeitendenzahl, Umsatz und Bilanzsumme. Neu eingeführt wurden außerdem die Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. KRITIS-Betreiber gelten dabei automatisch als „besonders wichtige Einrichtungen“.
Wichtig zu wissen: Es gibt keine automatische Benachrichtigung durch Behörden. Unternehmen müssen selbst prüfen, ob sie unter NIS-2 fallen – und sich dann entsprechend eigenständig registrieren
Drei zentrale Pflichten für NIS-2-Unternehmen
Unabhängig davon, ob ein Unternehmen nach NIS-2 als „wichtig“ oder „besonders wichtig“ eingestuft wird, gelten drei zentrale Pflichten, die künftig verbindlich umzusetzen sind:
1️⃣ Aktive Registrierung beim BSI: Die Einstufung als NIS-2-Einrichtung passiert nicht „automatisch“, sondern Unternehmen müssen selbst tätig werden und die notwendigen Angaben gegenüber dem BSI melden.
2️⃣ Meldepflicht für erhebliche Sicherheitsvorfälle: Sobald ein Vorfall spürbare Auswirkungen auf den Betrieb, die Verfügbarkeit von Services oder die Sicherheit von Informationen hat, muss dieser innerhalb der vorgegebenen Fristen an das BSI gemeldet werden. Ziel ist, Angriffe schneller einordnen, koordinieren und wenn nötig übergreifend eindämmen zu können.
3️⃣ Risikomanagement für Cybersecurity: NIS-2 verlangt ein strukturiertes Risikomanagement, das nicht nur eingeführt, sondern auch nachweisbar betrieben wird. Dazu gehören technische und organisatorische Maßnahmen, die implementiert, sauber dokumentiert und regelmäßig überprüft werden müssen – also kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.
Technische und organisatorische Maßnahmen müssen implementiert, dokumentiert und regelmäßig überprüft werden. Cybersicherheit ist nicht mehr nur eine Aufgabe der IT-Abteilung, sondern wird zu einem festen Bestandteil von Management und Governance mit klaren Verantwortlichkeiten und nachvollziehbarer Umsetzung.
Erstmals dabei: NIS-2 gilt auch für Bundesbehörden und IT-Dienstleister
Eine der gravierendsten Neuerungen von NIS-2 betrifft den öffentlichen Sektor. Zum ersten Mal wird die Bundesverwaltung ausdrücklich in die Anforderungen einbezogen. Damit gelten die Vorgaben nicht mehr nur für Unternehmen und kritische Betreiber, sondern auch für:
- Bundesbehörden
- öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung
- bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
Für diese Einrichtungen bedeutet das vor allem: Cybersicherheit muss künftig systematisch und nach einheitlichen Maßstäben umgesetzt werden. Vorgesehen sind unter anderem IT-Risikomanagementmaßnahmen auf Basis des BSI IT-Grundschutzes sowie die Einhaltung der BSI-Mindeststandards. Damit wird ein verbindlicher Rahmen geschaffen, an dem sich die Bundesverwaltung organisatorisch und technisch orientieren muss.
Gleichzeitig kommt dem BSI eine neue, deutlich stärkere Rolle zu. Es fungiert weiterhin als Aufsichtsbehörde für alle regulierten Einrichtungen, übernimmt in der Bundesverwaltung aber zusätzlich die Funktion als CISO Bund, also als zentrale Stelle zur Koordination der Cybersicherheit. Das ist ein klarer Paradigmenwechsel: weg von vielen einzelnen Zuständigkeiten und unterschiedlichen Sicherheitsniveaus, hin zu zentraler Steuerung, klaren Verantwortlichkeiten und einheitlichen Standards.
Konkrete To-dos für NIS-2: So gehen Unternehmen jetzt vor
Was Unternehmen jetzt konkret tun sollten, lässt sich auf eine klare Kernaussage herunterbrechen: Abwarten ist keine Option mehr. Mit dem Inkrafttreten von NIS-2 sollten Unternehmen die nächsten Schritte zügig und strukturiert angehen und nicht aus Bauchgefühl, sondern auf Basis belastbarer Fakten und sauberen Prozessen handeln.
Unsere klare Empfehlung in der aktuellen Phase:
1️⃣ Betroffenheit jetzt verbindlich klären: Entscheidend sind dabei vor allem die Sektorzugehörigkeit sowie bestimmte Schwellenwerte, etwa Mitarbeitendenzahl, Umsatz und Bilanzsumme. Nur wenn diese Kriterien sauber geprüft sind, lässt sich zuverlässig ableiten, ob und in welchem Umfang NIS-2 gilt.
2️⃣ Governance sauber aufsetzen: Cybersicherheit ist unter NIS-2 ausdrücklich eine Managementaufgabe, weshalb es eindeutige Verantwortlichkeiten auf Geschäftsleitungsebene braucht. Ebenso wichtig sind definierte Rollen, Entscheidungswege und Eskalationsprozesse, damit im Ernstfall nicht erst „zuständig gemacht“ werden muss.
3️⃣ Risikomanagement strukturiert angehen: Als Orientierungsrahmen bieten sich etablierte Standards wie der BSI IT-Grundschutz oder die ISO 27001 an. Entscheidend ist dabei nicht nur die Umsetzung einzelner Maßnahmen, sondern vor allem die nachvollziehbare Dokumentation: NIS-2 verlangt, dass Sicherheitsmaßnahmen überprüfbar sind und regelmäßig kontrolliert werden.
4️⃣ Melde- und Reaktionsprozesse testen: Unternehmen sollten ihre Incident-Response-Pläne realistisch durchspielen, die internen Meldewege definieren und sicherstellen, dass die Kommunikation zum BSI im Ernstfall funktioniert. Dazu gehören auch belastbare Backup- und Wiederanlaufkonzepte, die regelmäßig geprüft werden – denn im Ernstfall zählt nicht, was auf dem Papier steht, sondern was tatsächlich funktioniert.
Zur Unterstützung kündigt das BSI verschiedene Hilfsmittel an, darunter ein NIS-2-Starterpaket, virtuelle Kick-off-Formate und praxisnahe Leitfäden. Diese Angebote können helfen, die Anforderungen schneller einzuordnen und die Umsetzung pragmatisch zu strukturieren.
Fazit zu NIS-2: Höhere Anforderungen, mehr Verantwortung, klarere Standards
Trotz Verzögerungen und politischer Reibungen markiert das Gesetz einen strategischen Wendepunkt für die digitale Sicherheit Deutschlands. BSI-Präsidentin Claudia Plattner formulierte es so: „Wir schützen einen entscheidenden Teil unserer digitalen Angriffsfläche besser als zuvor.“
NIS2 etabliert:
- höhere Sicherheitsanforderunge
- eine breitere regulatorische Abdeckung
- stärkere staatliche Verantwortung
- einen klareren Weg hin zu nationaler Cyberresilienz
Die eigentliche Herausforderung liegt nun in der Umsetzung und darin, sicherzustellen, dass Unternehmen und Behörden die anspruchsvollen neuen Standards erfüllen können. Das NIS2-Umsetzungsgesetz sendet ein klares Signal: Cybersicherheit ist für Unternehmen, den öffentlichen Sektor und die Gesellschaft insgesamt eine tragende Säule nationaler Resilienz. Die kommenden Monate werden zeigen, wie reibungslos sich Organisationen anpassen und wie effektiv Deutschland bestehende Sicherheitslücken schließen kann.
