Das NIS-2-Umsetzungsgesetz: Der neue Grundpfeiler digitaler Resilienz in Deutschland

Ein harmonisierter Regulierungsrahmen

Im Schatten der grundlegenden Umgestaltung der europäischen Digitallandschaft durch den Data Act und den AI Act wird auch die zugrundeliegende Sicherheitsarchitektur systematisch verstärkt. Die NIS-2-Richtlinie überführt das bisher zwischen den Mitgliedstaaten fragmentierte Regelungsgeflecht in einen harmonisierten Sicherheitsstandard auf höchstem Niveau. Deutschland hat diese Vorgaben, nach einiger Verzögerung, durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht transformiert und damit das BSI-Gesetz (BSIG) maßgeblich novelliert. Für Technologieunternehmen stellt dies den Paradigmenwechsel in der Cybersicherheit dar: weg von einer rein technischen Schutzmaßnahme, hin zu einem integralen Bestandteil der Corporate Governance.

Was ändert sich?

Anwendungsbereich: Von „KRITIS“ zu einem sektor- und schwellenbasierten Klassifizierungssystem (KRITIS+)

Die unmittelbarste Auswirkung des NIS2UmsuCG liegt in der massiven Ausweitung seines persönlichen und sachlichen Anwendungsbereichs. Standen bisher vornehmlich Betreiber Kritischer Infrastrukturen (KRITIS) im Fokus, erfasst das neue Regime einen deutlich breiteren Kreis an Akteuren. Im Fokus steht nicht mehr nur der Schutz der Bevölkerung vor Versorgungsengpässen, sondern auch der Schutz der gesamten Lieferkette vor Cyberangriffen. Dies führt zu einer Erhöhung der Zahl regulierter Einrichtungen in Deutschland von vormals ca. 4.500 auf nun geschätzt 30.000.
Unternehmen in Sektoren wie digitale Dienste, digitale Infrastruktur, Energie, Finanzwesen oder Produktion fallen – basierend auf den folgenden Schwellenwerten – im Regelfall in eine der zwei neuen Kategorien:

• Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG): Unternehmen mit entweder mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Mio. € und einer Jahresbilanzsumme von über 43 Mio. €. Diese Kategorie erfasst zudem bestimmte Sektoren mit hoher Kritikalität (z. B. DNS-Dienstanbieter) unabhängig von deren Größe.

• Wichtige Einrichtungen (§ 28 Abs. 2 BSIG): Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von über 10 Mio. €.

Für viele technologiegetriebene Unternehmen werden diese Schwellenwerte rasch erreicht, weshalb eine frühzeitige Prüfung der spezifischen „Size-Cap“-Regelungen unerlässlich ist.

Konzerngesellschaften sollten beachten, dass Mitarbeiterzahlen, Umsätze und Bilanzsummen von Partnerunternehmen bei der Berechnung dieser Schwellenwerte in der Regel mitberücksichtigt werden.

Es ist zudem zu beachten, dass die deutsche Umsetzung der NIS-2-Richtlinie eine deutschlandspezifische Ausnahmebestimmung vorsieht: Bei der Prüfung, ob ein Unternehmen in einem relevanten Sektor tätig ist, können Geschäftstätigkeiten unberücksichtigt bleiben, die nur einen vernachlässigbaren Anteil am Gesamtgeschäft ausmachen (sog. „vernachlässigbare Geschäftstätigkeiten“ gemäß § 28 Abs. 3 BSIG). Wenngleich man dies gut als eine notwendige Eingrenzung des sehr weiten Anwendungsbereichs einstufen kann, bleibt zu konstatieren, dass die Unbestimmtheit dieses Rechtsbegriffs die Selbsteinschätzung erschwert und so erhebliche Risiken für die Unternehmen bergen kann.

Deep Dive: Die wesentlichen Pflichten

Ein passiver Compliance-Ansatz ist unter dem neuen Regime nicht mehr ausreichend. Das Gesetz statuiert unmittelbare Handlungspflichten, die eine operative Restrukturierung voraussetzen:

Registrierung und das MUK-Portal: Die neuen Vorgaben verpflichten betroffene Einrichtungen zur proaktiven Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Dies erfolgt über ein zweistufiges Verfahren im digitalen Serviceportal „Mein Unternehmenskonto“ (MUK). Nach Empfehlung des BSI sollten Unternehmen diese Registrierung bis Ende 2025 abgeschlossen haben.

Risikomanagement und Leitungshaftung: Die Einhaltung der Vorschriften obliegt gemäß § 38 BSIG nunmehr in der primären Verantwortung der Geschäftsleitung, welche nicht zuletzt regelmäßige, dokumentierte Fortbildungen ableisten muss. § 30 BSIG schreibt die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOMs) zur Bewältigung von Sicherheitsrisiken vor; dies umfasst explizit auch die Sicherheit in der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG). Von entscheidender Bedeutung ist, dass die Leitungsorgane (z. B. Geschäftsführer) ausdrücklich für die Billigung und Überwachung dieser Maßnahmen verantwortlich sind. Versäumnisse können zur direkten persönlichen Haftung führen – ein regulatorischer Mechanismus, der sicherstellen soll, dass Cybersicherheit mit der gleichen Sorgfalt wie die Rechnungslegung behandelt wird.

Mehrstufige Meldepflichten: Die Fristen für die Meldung erheblicher Sicherheitsvorfälle wurden erheblich verkürzt, um einen raschen Austausch von Bedrohungsinformationen innerhalb der EU zu gewährleisten.

• Erstmeldung: Abgabe innerhalb von 24 Stunden nach Kenntniserlangung des Vorfalls.

• Lage-Update: Eine detaillierte Bewertung ist innerhalb von 72 Stunden fällig.

• Abschlussmeldung: Einreichung einer umfassenden Analyse innerhalb eines Monats.

Durchsetzung und Sanktionsregime

Dem BSI wurden erweiterte Aufsichtsbefugnisse eingeräumt, einschließlich der Befugnis, technische Audits anzuordnen und betriebliche Beschränkungen aufzuerlegen. Finanziell steht viel auf dem Spiel: § 65 BSIG normiert ein gestaffeltes Sanktionsmodell, das bei schwerwiegenden Verstößen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vorsieht – je nachdem, welcher Betrag höher ist.

Unterstützung auf Ihrem Weg zur Compliance

Der Übergang von einer nicht regulierten Einrichtung zu einer „Wichtigen Einrichtung“ erfordert juristische Präzision und technisches Verständnis. Bloßes Abwarten birgt erhebliche Haftungsrisiken für Unternehmen und Leitungsorgane. Unsere Praxis ist darauf spezialisiert, wachstumsstarke Technologieunternehmen durch diesen regulatorischen Wandel zu führen.

Wir unterstützen Sie bei:

• Anwendbarkeitsprüfungen: Rechtssichere Verifizierung, ob Ihr Geschäftsmodell bei Ihrer Unternehmensgröße in den Anwendungsbereich des NIS2UmsuCG fallen.

• Gap-Analysen & Roadmaps: Abgleich bestehender Sicherheitsstandards mi den neuen gesetzlichen Anforderungen zur Identifizierung von Handlungsfeldern.

• Governance & MUK-Support: Unterstützung bei erforderlichen Vorstandsbeschlüssen zum Risikomanagement sowie Begleitung der Registrierung im Portal „Mein Unternehmenskonto“.

• Lieferanten- und Dienstleistermanagement: Unterstützung bei der Gestaltung und Verhandlung von Vertragszusätzen zur Weitergabe der Pflichten in der Lieferkette.

• Incident Response Playbooks: Entwicklung rechtlicher Workflows zur Sicherstellung der strikten 24- und 72-Stunden-Meldefristen.

Strategischer Ausblick

Im Segment wachstumsstarker Technologieunternehmen ist die NIS-2-Compliance nicht als juristisches Hindernis, sondern als konstitutive Voraussetzung für die Partizipation an hochwertigen B2B-Wertschöpfungsketten zu begreifen. Die zunehmende Verdichtung der Sorgfaltspflichten führt dazu, dass immer mehr Unternehmen die Umsetzung ihrer eigenen regulatorischen Vorgaben auch von ihren Dienstleistern verlangen. Wir unterstützen Sie dabei, diese Anforderung in ein wertvolles Asset zu verwandeln, das Ihre Marktstellung durch nachgewiesene Integrität und Resilienz festigt.