Rechtsanwaltskanzlei Hiddemann - Fachanwaltskanzlei für IT-Recht in Köln

IT-Recht aktuell

Startseite » Allgemein » NIS2 und BSI-Gesetz ...

NIS2 und BSI-Gesetz – Ein Überblick (Stand 25.03.2026)

1. Was regelt die NIS2-Richtlinie?

Die neue Network and Information Security Directive (NIS-2) soll ein einheitlich hohes Cybersicherheitsniveau in EU-Ländern sicherstellen und ist somit übergeordneter Rechtsrahmen für Cybersicherheit in der EU. Sie wurde in Deutschland mit dem „Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ umgesetzt. Die spezifischen, nationalen Regelungen sind im reformierten „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“ (BSI-Gesetz / BSIG) zu finden, das seit Dezember 2025 in Kraft ist.

2. Wer ist Adressat des BSIG?

In der Privatwirtschaft gilt das neue BSIG u.a. für juristische und natürliche Personen, bei denen es sich um „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ handelt. Die Einstufung erfolgt anhand von Sektorzugehörigkeiten und Unternehmensgrößen.

3. Wer ist besonders wichtige Einrichtung im Sinne des BSIG?

Besonders wichtige Einrichtungen sind unabhängig von Ihrer Größe gemäß § 28 Abs. 1 BSIG stets:

– Betreiber kritischer Anlagen (derzeit über die KRITIS-VO definiert)

– qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain Name Registries oder DNS- Diensteanbeiter

Anbieter öffentlicher TKG-Dienste oder Betreiber öffentlicher TK-Netze sind besonders wichtige Einrichtung, wenn Sie

a) mindestens 50 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro aufweisen.

Sonstige natürlich / juristische Personen, rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, sind besonders wichtige Einrichtungen, wenn sie Dritten entgeltlich Waren oder Dienstleistungen aus Sektoren, die in Anhang 1 genannt sind, anbieten und

a) mindestens 250 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz von über 50 Mio. Euro und zudem eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen.

4. Wer ist wichtige Einrichtung im Sinne des BSIG?

Wichtige Einrichtungen sind gemäß § 28 Abs. 2 BSIG unabhängig von ihrer Größe

– Vertrauensdiensteanbieter.

Anbieter öffentlicher TKG-Dienste oder Betreiber öffentlicher TK-Netze sind wichtige Einrichtungen, wenn Sie

a) weniger als 50 Mitarbeiter beschäftigen und

b) einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Mio Euro oder weniger aufweisen.

Sonstige natürliche / juristische Personen, rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, sind wichtige Einrichtungen, wenn sie Dritten entgeltlich Waren oder Dienstleistungen aus den in Anhang 1 oder 2 genannten Sektoren anbieten und

a) mindestens 50 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro aufweisen.

Übersicht der Sektoren aus Anhang 1:

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Digitale Infrastruktur ( Anbieter von Cloud Computing, Rechenzentrumsdiensten, Content Delivery Netzworks, Managed Services Provider, etc.)
  • Weltraum

Übersicht der Sektoren aus Anhang 2:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemiebranche
  • Lebensmittel
  • Bestimmte Waren
  • Anbieter digitaler Dienste (Online Marktplätze, Online-Suchmaschinen, Social-Media-Plattformen)
  • Forschung

5. Gibt es bei der Zuordnung zu einzelnen Sektoren Einschränkungen?

Ja. Bei der Zuordnung zu Sektoren können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind, § 28 Abs. 3 BSIG. 

6. Welche Pflichten und Anforderungen müssen besonders wichtige und wichtige Einrichtungen im Überblick erfüllen?

Die Einrichtungen müssen:

  • ein Risikomanagement implementieren, §§ 30, 31 BSIG
  • Meldepflichten erfüllen, § 32 BSIG
  • Registrierungspflichten erfüllen, §§ 33 I, 34 BSIG (zukünftig für KRITIS-Betreiber § 8 KRITIS-Dach-Gesetz)
  • Unterrichtungspflichten auf Anordnung des BSI erfüllen, § 35 BSIG
  • die Geschäftsleitung muss Überwachungs-, Umsetzungs-, und Schulungspflichten erfüllen, § 38 BSIG
  • Betreiber kritischer Anlagen müssen Nachweispflichten erfüllen, § 39 BSIG

7. Welche Risikomanagementmaßnahmen müssen besonders wichtige und wichtige Einrichtungen treffen?

Gemäß § 30 Abs. 1 BSIG müssen diese Einrichtungen geeignete, wirksame und verhältnismäßige technische und organisatorische Maßnahmen treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, möglichst gering zu halten.

Im Rahmen der Verhältnismäßigkeit sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit sowie Schwere von Sicherheitsvorfällen nebst ihrer Auswirkungen zu berücksichtigen. KRITIS-Betreiber treffen insoweit höhere Maßstäbe.

Die Maßnahmen sollen u.a. den Stand der Technik einhalten.

8. Welche Mindestanforderungen müssen wichtige und besonders wichtige Einrichtungen umsetzen, § 30 BSIG?

Einrichtungen müssen folgende Maßnahmen ergreifen:

1. Konzept Risikoanalyse, IT-Sicherheit
2. Bewältigung v. Sicherheitsvorfällen (Unterrichtungspflichten)
3. Business Continuity Management /Krisenmanagement
4. Sicherheit in der Lieferkette
5. Sicherheits-Lebenszyklus und Schwachstellenmanagement
6. Konzept / Verfahren z. Bewertung v. Sicherheitsmaßnahmen / Risikomanagement
7. Schulungen / Sensibilisierung in IT-Sicherheit / Cyberhygiene
8. Konzepte / Prozesse für kryptographische Verfahren / Verschl.
9. Konzepte Sicherheit Personal, Zugriffe, Verwaltung v. IKT-Systemen
10. Multifaktor-Auth.; gesicherte Kommunikationssysteme

 

9. Gelten für KRITIS-Betreiber zusätzliche Pflichten?

Ja, KRITIS-Betreiber müssen Systeme zur Angriffserkennung implementieren, § 31 BSIG. Sie treffen zudem regelmäßige Nachweispflichten, § 39 Abs. 1 BSIG. Grundsätzlich gilt für KRITIS-Betreiber

– ein erweiterter, anlagenbezogener Scope auf IT-Systeme, Komponenten, Prozesse und nicht nur auf „Einrichtung“

– eine strengere Ausgestaltung der technischen u. organisatorischen Maßnahmen

– strengere Nachweis- und Prüfpflicht (Audits, Prüfungen, Zertifizierungen)

Zusätzliche Pflichten gelten ferner aus dem KRITIS-Dachgesetz. Dieses dient dem physischen Schutz, bspw. vor Naturkatastrophen.

10. Welche Risikomaßnahmen müssen konkret ergriffen werden?

Es gibt keine „One-fits-all-Lösung“. Die Maßnahmen müssen geeignet, wirksam und verhältnismäßig sein, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme, Prozesse und Komponenten zu vermeiden und Auswirkungen von Störungen möglichst gering halten. Da es bei der Verhältnismäßigkeit auch auf die Größe der Einrichtung, die Umsetzungskosten etc. ankommt, gibt es keine Lösung, die für alle Einrichtungen gleichermaßen gilt.

11. Welche Meldepflichten existieren bei erheblichen Sicherheitsvorfällen?

Liegt ein erheblicher Sicherheitsvorfall vor, muss Meldung beim BSI über das entsprechende Informationsportal gemacht werden.

12. Was ist ein erheblicher Sicherheitsvorfall?

Ein Sicherheitsvorfall (§ 2 Nr. 40 BSIG) ist ein Ereignis, das Verfügbarkeit, Integrität, Vertraulichkeit von Daten, Diensten, Komponenten und Prozessen beeinträchtigt.

Erheblich ist ein Sicherheitsvorfall(§ 2 Nr. 11 BSIG), wenn dieser a) schwerwiegende Betriebsstörung/ finanzielle Verluste für betreffende Einrichtung verursacht/verursachen kann oder b) andere nat. / jur. Personen durch erhebliche mat. o. immateriellen Schäden beeinträchtigt hat / beeinträchtigen kann.

Die EU-Kommission hat zur Vereinheitlichung des Begriffs bereits eine Durchführungsverordung (2024/2690) erlassen, die den „erheblichen Sicherheitsvorfall“ je nach Einrichtung in Bezug auf DSN-Diensteanbieter, TLD-Namenregistrierer, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreibe von Inhaltszustelldiensten, Anbieter von MSP, MSSP, Online-Marktplätzen, Suchmaschinen und Plattformen sozialer Netzwerke sowie Vertrauensdiensteanbietern näher definiert. Im Rahmen dieser Verordnung werden ferner technische und methodische Anforderungen der Risikomanagementmaßnahmen für diese Dienste näher bestimmt.

13. Innerhalb welcher Fristen muss ich einen erheblichen Sicherheitsvorfall melden?

Einrichtungen müssen innerhalb 24 Stunden eine frühe erste Meldung beim BSI machen. Innerhalb 72 Stunden muss eine erste Bewertung (Schweregrad, Auswirkungen, etc.) gegenüber dem BSI abgegeben werden. Innerhalb 1 Monats muss eine Abschlussmeldung erfolgen. Diese soll eine Beschreibung des Sicherheitsvorfalls sowie Angaben zur Schweregrad, zu den Auswirkungen, Ursachen und den Abhilfemaßnahmen enthalten. Ist der Vorfall zu diesem Zeitpunkt noch nicht beendet, handelt es sich um eine sog. Fortschrittsmeldung.

14. Wird es Bußgelder geben?

Ja, Verstöße sind bußgeldbewehrt. Die Höhe richtet sich nach Tatbestand, Sektor und Umsatz.

Besonders wichtige Einrichtungen: Bis 10 Mio. oder 2 % des weltweiten     Gesamtumsatzes des vorangegangenen Geschäftsjahres
Wichtige Einrichtungen: Bis zu 7 Mio. oder 1,4 % des weltweiten   Gesamtumsatzes des vorangegangenen Geschäftsjahres

 

 

Veröffentlicht am 25. März 2026

Fachanwältin für IT-Recht Nina Hiddemann

Rechtsanwältin Nina Hiddemann

Fachanwältin für IT-Recht aus Köln, schreibt an dieser Stelle regelmäßig über Themen aus den Bereichen Urheberrecht, Vertragsrecht und IT-Recht.

Mehr über Rechtsanwältin Nina Hiddemann

« Alle Artikel anzeigen