Mit dem NIS-2-Umsetzungsgesetz hat Deutschland zum 6. Dezember 2025 einen zentralen Baustein der europäischen Cybersicherheitsstandards in nationales Recht überführt. Das Gesetz setzt die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) um und schafft damit einen Rechtsrahmen für Informations- und Netzsicherheit.
Hintergrund und Entstehung
Die ursprüngliche NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016 war ein EU-weites Regelwerk zur Stärkung der Cybersicherheit kritischer Dienste. Dieses Regelwerk genügte jedoch nicht mehr den aktuellen Herausforderungen – die Risiken durch Cyberangriffe und Systemausfälle steigen kontinuierlich. Die EU reagierte daher mit der NIS-2-Richtlinie, die den Anwendungsbereich erweitert, strengere Mindestanforderungen an IT-Sicherheit, Governance und Meldepflichten definiert und höhere Sanktionsmöglichkeiten vorsieht.
In Deutschland wurde die Richtlinie nach mehrjähriger Vorbereitung im Bundestag am 13. November 2025 verabschiedet und nach Zustimmung des Bundesrates im Bundesgesetzblatt veröffentlicht. Mit Wirkung zum 6. Dezember 2025 trat das Gesetz ohne Übergangsfristen in Kraft.
Ziel und Bedeutung
Das NIS-2-Umsetzungsgesetz verfolgt das Ziel, ein hohes gemeinsames Niveau der Cybersicherheit zu etablieren und die Widerstandsfähigkeit digitaler Infrastrukturen zu stärken. Es schafft verbindliche Pflichten für Unternehmen und öffentliche Einrichtungen, um Risiken systematisch zu identifizieren, zu steuern und auf Sicherheitsvorfälle angemessen zu reagieren.
Ein zentraler Kern der Umsetzung ist die umfassende Novellierung des BSI-Gesetzes (BSIG n.F.). Dieses wird zur tragenden nationalen Grundlage für die Umsetzung der NIS-2-Pflichten und regelt gleichzeitig Informationssicherheitsmanagement in der Bundesverwaltung. Zudem werden Fachgesetze, wie beispielsweise das Energiewirtschaftsgesetz („EnWG“) oder das Telekommunikationsgesetz („TKG“) angepasst.
Anwendungsbereich und Adressatenkreis
Eines der auffallendsten Merkmale des neuen BSI-Gesetzes ist der deutlich erweiterte Adressatenkreis. Während unter dem bisherigen BSIG vor allem Betreiber kritischer Infrastrukturen reguliert waren, fallen nun auch große Teile der mittelständischen Industrie unter die neuen Vorschriften.
Unternehmen unterfallen dem Anwendungsbereich, wenn ihre Tätigkeit in einen der in Anlage 1 und 2 definierten Sektoren fällt und das Unternehmen mindestens als mittleres Unternehmen gilt. Die Sektoren umfassen eine große Bandbreite an Tätigkeiten, wie etwa Energie, Verkehr, Gesundheit, Finanzdienstleistungen, digitale Infrastruktur, öffentliche Verwaltung. Ein mittleres Unternehmen ist man entsprechend § 28 BSIG n.F., wenn man mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
Zudem unterscheidet das Gesetz gem. § 28 BSIG n.F. zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Je nach Einstufung gelten unterschiedliche Pflichten und Aufsichtsregime. Je größer das Unternehmen ist und je relevanter der Sektor, in dem Unternehmen tätig ist, ist, desto mehr Pflichten gelten für das Unternehmen.
Wesentliche Rechte und Pflichten im Überblick
Das NIS-2-Umsetzungsgesetz legt für betroffene Einrichtungen eine Reihe von Pflichten fest:
1. Risikomanagement und Sicherheitsmaßnahmen
Verpflichtete Unternehmen müssen entsprechend § 30 BSIG n.F. ein wirksames, dokumentiertes und risikoorientiertes Informationssicherheitsmanagement implementieren, das technische und organisatorische Maßnahmen umfasst. § 30 Abs. 2 S. 2 BSIG n.F. gibt einen Mindestkatalog an Risikomanagementmaßnahmen vor, darunter etwa Risikoanalysen und Sicherheitskonzepte nach dem Stand der Technik, Vorgaben zur Betriebskontinuität und Schwachstellenmanagement.
Die Geschäftsleitung wird bei der Umsetzung und Überwachung dieser Pflichten gem. § 38 BSIG n.F. explizit in die Pflicht genommen: Cybersicherheit ist damit nicht mehr allein eine technische Aufgabe, sondern Management- und Governance-Verantwortung.
2. Meldepflichten
Ein zentrales Element des Gesetzes sind die in § 32 BSIG n.F. normierten, verbindlichen Meldepflichten bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen innerhalb klarer Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Je nach Schweregrad gelten gestufte Fristen (z. B. 24 h, 72 h oder ein Monat).
3. Registrierungspflichten
Betroffene Einrichtungen müssen sich gem. § 33 BSIG n.F. innerhalb von drei Monaten, nachdem sie dem Anwendungsbereich des BSIG n.F. unterfallen, verpflichtend bei einer vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsstelle registrieren.
4. Aufsicht und Sanktionen
Das BSI erhält mit dem BSIG n.F. erweiterte Aufsichts- und Prüfungsbefugnisse. Dazu gehören Anordnungen, Prüfungen, Nachweisanforderungen und Bußgeldverfahren. Verstöße gegen die gesetzlichen Pflichten können mit empfindlichen Bußgeldern belegt werden – je nach Schwere und Umfang der Pflichtverletzung auch in Millionenhöhe oder als Prozentsatz des globalen Umsatzes. Bei „besonders wichtigen Einrichtungen“ kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ ein Bußgeld bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes verhängt werden.
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen grundlegenden Rechts- und Praxiswechsel im deutschen Cybersicherheitsrecht. Es überführt europäische Vorgaben in verbindliches nationales Recht, weitet den Kreis der Adressaten erheblich aus und schafft höhere Anforderungen an Informationssicherheit, Governance und Meldepflichten. Für Unternehmen und öffentliche Einrichtungen bedeutet dies einen spürbaren Anstieg an Compliance-Pflichten – zugleich eröffnet das Gesetz die Chance, Cybersicherheit strukturiert in die Unternehmens- und Verwaltungsprozesse zu integrieren.
Am 12. und 13. März 2026 wird unsere Partnerin Dr. Truiken Heydn wieder zusammen mit Prof. Dr. Fabian Schuster die Kölner Tage IT-Recht leiten. Einen Überblick über die Themen geben Ihnen die Tagungsleiter in diesem Video.
Unsere Münchener Partnerin Dr. Truiken Heydn leitet dieses Jahr wieder gemeinsam mit Prof. Dr. Fabian Schuster die Kölner Tage IT-Recht am kommenden Donnerstag und Freitag, 13.-14. März 2025. Ein spannendes Programm u.a. zu den Themen KI, Cybersecurity und Cloud-Verträge erwartet Sie. Teilnahme in Präsenz und Online möglich.
In der Ausgabe 11/2024 der Fachzeitschrift Recht Digital (RDi) ist der Artikel unseres Partners Stephan Schmidt zum Thema „Der Regierungsentwurf zur NIS-2-Richtlinie – Richtliniengetreue Umsetzung oder deutscher Sonderweg?“ erschienen. Der Aufsatz beleuchtet den kürzlich veröffentlichten Entwurf zur Umsetzung der EU-Richtlinie für Cybersicherheit in deutsches Recht, der mit dem geplanten „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ wesentliche Änderungen für Unternehmen und öffentliche Einrichtungen vorsieht. Der Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie zielt wie diese darauf ab, die Sicherheitsstandards für Netz- und Informationssysteme in der gesamten Europäischen Union zu verbessern. Schmidt analysiert in seinem Artikel detailliert die verschiedenen Aspekte des Entwurfs und geht darauf ein, wie Deutschland beabsichtigt, die EU-Vorgaben umzusetzen.
Besonders interessant ist dabei die Frage, inwieweit der deutsche Gesetzgeber nationale Besonderheiten in die Umsetzung einfließen lässt und ob diese möglicherweise über die Anforderungen der NIS-2-Richtlinie hinausgehen. Schmidt erläutert die geplanten Maßnahmen der Bundesregierung und hebt hervor, dass der Entwurf nicht nur eine Wiedergabe des Richtlinientextes darstellt, sondern auch spezielle nationale Anpassungen enthält. Diese Anpassungen betreffen insbesondere den Anwendungsbereich und die Pflichten für betroffene Unternehmen, die zum Teil strenger gefasst sind als die in der EU-Richtlinie vorgesehenen Anforderungen. Zudem analysiert Schmidt, welche Bereiche des Gesetzesentwurfs noch Verbesserungen benötigen, um sicherzustellen, dass die Umsetzung den europäischen Vorgaben entspricht.
Der Beitrag ist auch über beck-online abrufbar (Paywall).
Rechtsgrundlage
Mit DORA (Digital Operational Resilience Act, https://eur-lex.europa.eu/eli/reg/2022/2554/oj) verfolgt die Europäische Union das Ziel, ein einheitliches Regelwerk für den gesamten Finanzsektor in Bezug auf IKT-Risiken und Cybersicherheit zu schaffen. Damit soll der europäische Finanzmarkt vor technischen Risiken geschützt werden. Die DORA-Verordnung findet ab dem 17. Januar 2025 Anwendung. Sie ist in Bezug auf Cybersicherheit für die Finanzbranche lex spezialis und gilt damit vorrangig zur NIS2-Richtlinie.
Zielgruppe
DORA richtet sich in erster Linie an Finanzunternehmen und regelt die Anforderungen an das IKT-Risikomanagement.
Darüber hinaus hat DORA auch erhebliche Auswirkungen auf den Teil der IT-Branche, der sogenannte IKT-Dienstleistungen für den Finanzsektor erbringt (IKT-Dienstleister). Hierbei wird weiter unterschieden zwischen Drittanbietern (IKT-Drittdienstleister) und gruppeninternen Dienstleistern (gruppeninterne IKT-Dienstleister) unterschieden.
Darüber hinaus gibt es sogenannte kritische IKT-Drittdienstleister (Art. 31 DORA). Das sind Dienstleister, die von der ESA nach den Kriterien des Art. 31 Abs. 2 DORA als kritisch eingestuft wurden. Näheres regeln delegierte Rechtsakte. Kritische ITK-Drittdienstleister werden über ihre Einstufung informiert.
IKT-Dienstleistungen
Die Definition der betroffenen Dienstleistungen ist sehr weit gefasst. Diese umfassen „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.
Auswirkung auf IKT-Drittdienstleister
Während sich der weit überwiegende Teil der Regelungen von DORA (wie schon bei der MaRisk) sich an die Finanzunternehmen richtet und diese in die Pflicht nimmt, setzt DORA auch für Dienstleister neue Maßstäbe.
Dies geschieht zunächst indirekt im Kapitel V mit Regelungen, die Finanzunternehmen zum Management des IKT-Drittparteienrisikos zu beachten haben. Zu den Risiken zählen mögliche Abhängigkeiten aber auch Risiken aus vertraglichen Vereinbarungen. Es wird klargestellt, dass die Finanzunternehmen selbst in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen aus der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich sind. Hieraus leitet sich eine umfangreiche Steuerungs- und Überwachungspflicht ab. Diese besteht vor allem im Management der Risiken, sich aus der Einbindung Dritter ergeben.
In der Folge sehen sich IKT-Drittdienstleister mit zusätzlichen vertraglichen Anforderungen konfrontiert. Diese ergeben sich insbesondere aus Art. 30 DORA, einem umfangreichen Katalog von zu regelnden Vertragsbestimmungen.
Darüber hinaus fallen kritische IKT-Drittdienstleister künftig direkt unter den Aufsichtsrahmen von DORA (Kapitel V, Abschnitt II, Artikel 31 bis 44). Dies hat zur Folge, dass die Aufsichtsbehörde direkt auf die kritischen IKT-Drittdienstleister zugreifen kann (z.B. Auskunftsersuchen, Untersuchungen vor Ort). Bei nicht kritischen IKT-Dienstleistern kann dies nur auf Grundlage von vertraglich vereinbarten Pflichten zwischen dem IKT-Drittdienstleister und dem Finanzunternehmen erfolgen (z.B. Auditrechte).
Anforderungen an Verträge
Da also nur ein Teil der IKT-Dienstleister (die kritischen) der direkten Regulierung durch die Aufsicht unterliegt, kommt den vertraglichen Regelungen eine hohe Bedeutung zu. Dies ist an sich nicht neu, da bereits die MaRisk Vorgaben für die Vertragsbeziehungen bei Auslagerungen gemacht haben. Neu ist die Definition der erfassten IKT-Drittdienstleistungen sowie der Detailierungsgrad der erforderlichen Vertragsbestandteile sowie deren Manifestierung auf Gesetzesebene.
Während Art. 30 DORA zwar vorgibt, welche Bereiche geregelt werden müssen, ist nicht für alle Regelungspunkte zwingend vorgeschrieben, wie sie zu regeln sind. Teilweise ergeben sich bestimmte Mindestanforderungen an die Regelungen allerdings auch aus anderen finanzaufsichtsrechtlichen Regelungen.
Zudem ist Art. 30 DORA zweistufig aufgebaut, so dass es allgemeine Anforderungen für alle IKT-Dienstleistungen gibt und erhöhte Anforderungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Hierbei bezieht sich der Begriff kritisch nicht auf den Dienstleister selbst, sondern auf die Kritikalität der Dienstleistungen.
Eine erste Folge dürfte sein, dass vertragliche Regelungen künftig deutlich umfangreicher sein müssen. Dies bezieht sich nicht nur auf die „typischen“ Vertragsklauseln, sondern auch auf die Spezifizierung von z.B. Leistungsinhalten, Leistungsorten, Verfügbarkeiten. Zudem wird dem Datenschutz eine besondere Stellung eingeräumt.
Allgemeine Auswirkung auf die Leistungserbringung
Die Übertragung von Aufgaben und Anforderungen an Dienstleister wird aber vor allem dazu führen, dass Dienstleister einen höheren Aufwand und damit zusätzliche Kosten haben werden. Um diese abzudecken, wird es notwendig sein, die Vertragsgestaltung eng mit der Preisgestaltung zu verknüpfen.
Die Neue Juristische Wochenschrift (NJW), die wohl renommierteste deutsche Fachzeitschrift, hat die globale IT-Panne durch ein CrowdStrike-Update Mitte Juli zum Anlass genommen, um mit unserem Mainzer Partner Stephan Schmidt über das Thema Cybersicherheit und aktuelle Regulierungsvorhaben hierzu zu sprechen.
Das Interview ist in Heft 33/2024 erschienen und hier auch online verfügbar.
Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.
Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“
Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024
Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.
Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.
Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.
Anmeldung sind über die Kongressseite möglich.
Stephan Schmidt erläutert in der Fachpublikation Kommunikation und Recht 11/2023 die neuen europäische Anforderungen im Cybersicherheitsrecht und gibt einen Überblick über die NIS2-Richtlinie.
(mehr …)
Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren.
(mehr …)