Raushan_films | shutterstock.com
Angesichts der sich stets verschärfenden Cyberbedrohungslage (nicht nur in Deutschland) hat sich der europäische Gesetzgeber in den letzten Jahren intensiv mit dem Thema IT-Sicherheit befasst. Im Januar 2023 traten gleich drei Gesetze in diesem Zusammenhang in Kraft:
- die NIS2-Richtlinie,
- die CER-Richtlinie, sowie
- DORA.
Während DORA als Verordnung unmittelbar Anwendung fand und seit Januar 2025 gilt, müssen die NIS2– und die CER-Richtlinie erst in nationales Recht umgesetzt werden. Dafür hatte der deutsche Gesetzgeber initial bis zum 17. Oktober 2024 Zeit. Und noch in diesem Monat des Vorjahres wurde über die Entwürfe für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und das Gesetz zur Umsetzung der CER-Richtlinie (KRITIS-Dachgesetz) durch den 20. Bundestag beraten.
Dann kam es allerdings zum Bruch der Ampelkoalition, wodurch diese diese Entwürfe dem Grundsatz der sachlichen Diskontinuität zum Opfer fielen. Soll heißen: Sämtliche Gesetzesvorhaben, die nicht vor Ende der Legislaturperiode beschlossen wurden, müssen im neuen (respektive aktuellen) Bundestag erneut eingebracht und beraten werden.
Der NIS2-Marathon
Nachdem insgesamt 19 EU-Mitgliedsstaaten die NIS2-Richtlinie nicht oder nur unvollständig umgesetzt haben, droht die Europäische Kommission damit, ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland zu eröffnen. Der Bundesgesetzgeber muss nun binnen zwei Monaten reagieren und die erforderlichen Maßnahmen ergreifen, um dieses Verfahren und damit verbundene Bußgelder zu vermeiden. Dass es binnen dieser zwei Monate noch mit dem NIS2UmsuCG und dem KRITIS-Dachgesetz klappt, ist zu bezweifeln. Immerhin: Dem federführenden Bundesministerium des Innern zufolge, ist aufgrund des üblichen Gesetzgebungsprozesses und der naherückenden Sommerpause Ende 2025 mit einer Umsetzung zu rechnen.
Trotz dieser Unsicherheiten mit Blick auf die Umsetzung gibt, sollten sich Unternehmen allerdings nicht zurücklehnen, sondern sich vielmehr gezielt mit den Vorschriften beschäftigen. So können sie,
- einerseits prüfen, ob sie in den Anwendungsbereich fallen und
- andererseits entsprechende Maßnahmen vorbereiten.
Da der europäische Gesetzgeber mit den Richtlinien die grobe Richtung vorgibt, lohnt sich vor allem ein Blick darauf, wie die Entwürfe in der letzten Legislaturperiode umgesetzt werden sollten. Denn es ist damit zu rechnen, dass auch die Entwürfe der aktuellen Bundesregierung – jedenfalls, soweit es Unternehmen betrifft – im Wesentlichen ähnlich aussehen werden. Deshalb liegt den Ausführungen zur nationalen Umsetzung der NIS2-Richtlinie der Gesetzentwurf der Bundesregierung mit Bearbeitungsstand vom 26. Mai 2025 zugrunde – zur Umsetzung des KRITIS-Dachgesetzes wird auf den Gesetzentwurf vom 27. November 2024 zurückgegriffen.
NIS2UmsuCG: Mehr Unternehmen betroffen
Bislang gilt in Deutschland das IT-Sicherheitsgesetz 2.0. Adressaten sind Betreiber kritischer Infrastrukturen (KRITIS-Betreiber), deren Ausfall oder Beeinträchtigung dramatische Folgen für die öffentliche Ordnung hätte. Dazu zählen etwa Anbieter digitaler Dienste (Online-Suchmaschinen, Cloud Computing, Onlinemarktplätze) und Unternehmen, die im besonderen öffentlichen Interesse stehen.
Wer betroffen ist, soll sich zukünftig vor allem nach den Sektoren, in denen die jeweiligen Unternehmen tätig sind, richten. So sah es das Kernstück des NIS2UmsuCG – die Anpassung des BSI-Gesetzes (BSIG-E), des deutschen IT-Sicherheitsgesetzes zur NIS2 Umsetzung – vor. Unterschieden wird bei den Adressaten vor allem zwischen “wichtigen” und “besonders wichtigen” Einrichtungen. Hinzu kommen “Betreiber kritischer Anlagen” und weitere Anbieter. Nur Unternehmen mit weniger als 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanz von unter zehn Millionen Euro fallen nicht in den Anwendungsbereich – soweit nicht eine Ausnahme greift. Allein in Deutschland werden daher rund 30.000 zusätzliche Unternehmen vom NIS2UmscCG betroffen sein.
Nach dem Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung von Mai 2025 werden dabei vor allem erfasst:
| Kategorie | Unternehmensgröße | Sektoren |
| Besonders wichtige Einrichtung (§ 28 Abs. 1 BSIG-E) | Großunternehmen: Unternehmen ab 250 Mitarbeiter oder ≥ 50 Mio. Umsatz + ≥ 43 Mio. Jahresbilanz |
Sektoren mit hoher Kritikalität und Teilsektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, ITK-Dienste, Weltraum |
| Mittlere Unternehmen: Unternehmen ab 50 Mitarbeiter oder ≥ 10 Mio. Umsatz + ≥ 10 Mio. Jahresbilanz |
Anbieter öffentlicher TK-Netze und TK-Dienste | |
| unerheblich | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
| unerheblich | Betreiber kritischer Anlagen (KRITIS-Betreiber) iSd Rechtsverordnung Neu: Digitale Energiedienste | |
| unerheblich | Bundesverwaltung | |
| Wichtige Einrichtung (§ 28 Abs. 2 BSIG-E) | Mittlere Unternehmen (s.o.) | Sektoren mit hoher Kritikalität und Teilsektoren: Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, ITK-Dienste, Weltraum oder Sonstige kritische Sektoren und Teilsektoren: Transport/Verkehr (Post und Kurier), Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste, Lebensmittel, Entsorgung |
| unerheblich | Vertrauensdienste |
Welche Unternehmen als “Betreiber kritischer Anlagen” erfasst sein werden, kann erst bestimmt werden, nachdem eine ergänzende Rechtsverordnung erlassen wurde (vgl. §§ 2 Nr. 22, 28 Abs. 1, 56 Abs. 4 BSIG-E), die entsprechende Schwellenwerte (etwa Unternehmensgröße, Nutzeranzahl) definiert.
Die bisherige Kritik, dass potenziell betroffene Wirtschaftsakteure wie auch -verbände nicht hinreichend eingebunden werden, wurde im aktuellen Referentenentwurf vom Mai 2025 berücksichtigt: Demnach sind nun auch potenziell betroffene Wirtschaftsakteure anzuhören, bevor das Bundesministerium des Innern im Rahmen des § 56 BSIG-E per ergänzender Rechtsverordnung tätig wird. Damit werden potenziell betroffene Wirtschaftsakteure unmittelbar an der Rechtssetzung beteiligt, die sie betrifft.
Der NIS2UmsuCG-Pflichtenkatalog
Unterliegt ein Unternehmen dem NIS2UmscuCG hat es diverse Pflichten zu erfüllen. Der Umfang dieser Pflichten ist dabei davon abhängig, ob es sich um eine “wichtige”, “besonders wichtige” oder um eine “kritische Anlage” handelt. Grundsätzlich sollen die Pflichten im BSI-Gesetz geregelt werden. Für ein paar Sektoren, wie den TK-, Energie- oder Finanzsektor, gelten (auch) Spezialvorschriften (vgl. § 28 Abs. 1 a.E., 2 a.E., 4, 30, 31 BSIG-E). Für den Finanzsektor wird die NIS2-Richtlinie durch DORA als sektorspezifischer Rechtsakt verdrängt.
Alle Einrichtungen, die in den Anwendungsbereich des BSIG-E fallen, sind jedoch verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Maßnahmen sollten dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen berücksichtigen – wobei Faktoren wie die Größe der Einrichtung und potenzielle Sicherheitsvorfälle zu berücksichtigen sind. Hinzu kommt künftig auch ein umfassendes Risikomanagement, dass auch die Lieferketten eines Unternehmens abdeckt. Zudem wird es eine grundsätzliche Registrierungspflicht sowie vorfallabhängige Meldepflichten (mit einer Erstmeldefrist von 24 Stunden) geben, um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Ferner ist gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen, dass die Vorgaben erfüllt werden. Das BSI wird die betroffenen Unternehmen außerdem überwachen – “besonders wichtige” Einrichtungen proaktiv und “wichtige” reaktiv.
Im Vergleich zum Gesetzentwurf der Ampelkoalition aus dem Oktober 2024 sind in Bezug auf die Risikomanagement-Maßnahmen nur marginale Änderungen ersichtlich. Diese beschränken sich auf eine Konkretisierung dieser Maßnahmen nach § 30 BSIG-E.
Geschäftsleitung haftet für Risikomanagement
Die Geschäftsleitung trägt die Hauptverantwortung dafür, dass die Risikomanagement-Maßnahmen implementiert und überwacht werden – allerdings kann sie nach dem aktuellen Entwurf vom Mai 2025 für Monitoring-Zwecke auch Dritte hinzuziehen. Das macht auch Sinn: Informationssicherheitsmaßnahmen, wie schutzwürdige Daten zu verschlüsseln, sollten idealerweise von der IT-Abteilung implementiert werden.
Nach dem Gesetzentwurf des BSIG-E gehört zur Geschäftsleitung gemäß § 2 Nr. 13 BSIG‑E “eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist”. Wünschenswert wäre, dass der neue Bundestag hier eine klarere Regelung trifft. Nach dem Gesetzentwurf bleibt nämlich unklar, ob darüber hinaus auch dienst- beziehungsweise arbeitsvertraglich vertretungsbefugte Personen haftbar gemacht werden können.
Festgelegt ist jedoch, dass die Geschäftsleitung regelmäßig an entsprechenden Schulungen teilnehmen muss. Wie genau diese Schulungen, sowie die korrespondierenden Dokumentationspflichten ausgestaltet werden sollen, bleibt das BSIG-E allerdings schuldig. Wichtig ist vor allem, dass die Geschäftsleitung mit ihrem Privatvermögen verschuldensabhängig haften soll (vgl. § 38 Abs. 2 BSIG-E i.V.m. der jeweils einschlägigen Haftungsnorm wie § 93 Abs. 2 S. 1 AktG, § 43 Abs. 2 GmbHG). Wenn die gesellschaftsrechtlichen Normen keine Haftung vorsehen, haftet die Geschäftsleitung unter Umständen direkt nach § 38 Abs. 2 S. 2 BSIGE. Diese Haftung sollen die Organe der Geschäftsleitung nicht vertraglich ausschließen können – entsprechende Verzichts- und Vergleichsvereinbarungen unwirksam sein.
Zwar finden sich bereits im Gesellschafts- und Ordnungswidrigkeitenrecht Regelungen, die eine Haftung der Geschäftsleitung vorsehen – so beispielsweise die Verpflichtung “zur Sorgfalt eines ordentlichen Geschäftsmannes” (§ 43 Abs. 1 GmbHG). § 38 Abs. 1 BSIG-E bezieht Cybersicherheit nun aber ausdrücklich in die Pflichten der Geschäftsleitung ein. Zudem kann vorübergehend auch die Wahrnehmung der Leitungsaufgaben untersagt werden.
NIS2-Umsetzungsgesetz: Hohe Bußgelder drohen
Auch den Unternehmen selbst drohen bei einem Verstoß erhebliche Geldbußen, nämlich bis zu zehn Millionen Euro (vgl. § 65 Abs. 5 BSIG-E) oder zwei Prozent des weltweiten Vorjahresumsatzes. Zu beachten ist außerdem, dass aufgrund der unterschiedlichen Schutzzwecke auch eine Bestrafung auf Grundlage mehrerer Gesetze grundsätzlich möglich ist (etwa bei einem gleichzeitigen Datenschutzverstoß).
Da sich die politische Mehrheitslage verändert hat und nun eine CDU-geführte Bundesregierung für die Umsetzung der NIS2-Richtlinie zuständig ist, sind Änderungen im laufenden Gesetzgebungsverfahren möglich. Insbesondere Regelungen zur Einbindung staatlicher Stellen könnten überarbeitet werden. So könnte etwa das BSI künftig befugt sein, Komponenten zu untersagen, und gegebenenfalls auch als Meldestelle für Schwachstellen zum Einsatz kommen. Die endgültige Ausgestaltung des NIS2UmsuCG bleibt zunächst politisch wie inhaltlich offen.
Angesichts der drohenden Konsequenzen sollten Unternehmen dringend prüfen,
- ob sie in den Anwendungsbereich des NIS2UmsuCG fallen,
- ob bereits entsprechende Maßnahmen implementiert wurden, und
- an welchen Stellen noch Handlungsbedarf besteht.
Die Pflicht, die eigenen Systeme zu schützen, sollten Sie nicht als Einschränkung sehen. Schließlich kann das auch eine Chance sein, Ihr Unternehmen besser gegen Cyberbedrohungen zu wappnen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.