Im Januar 2026 wurde der Entwurf des Cybersecurity Act 2 vorgestellt, mit dem die EU eine grundlegende Reformierung ihrer Cybersicherheitsarchitektur anstrebt. Die Europäische Agentur für Netz- und Informationssicherheit soll gestärkt, die Zertifizierung als Compliance-Instrument neu ausgerichtet und die Sicherheit der Lieferkette im Bereich der Informations- und Kommunikationstechnologie neu gestaltet werden.
In seinem Beitrag in Heft 4/26 der Zeitschrift Kommunikation und Recht ordnet unser Partner Stephan Schmidt den Entwurf systematisch und hinsichtlich seiner Bedeutung für die Fortentwicklung des europäischen IT- und Sicherheitsrechts ein und nimmt eine erste Bewertung der praktischen Auswirkungen vor.
Den Beitrag können Sie hier mit freundlicher Genehmigung des Verlages herunterladen: Der Entwurf zum Cybersecurity Act 2.
Mit dem NIS-2-Umsetzungsgesetz hat Deutschland zum 6. Dezember 2025 einen zentralen Baustein der europäischen Cybersicherheitsstandards in nationales Recht überführt. Das Gesetz setzt die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) um und schafft damit einen Rechtsrahmen für Informations- und Netzsicherheit.
Hintergrund und Entstehung
Die ursprüngliche NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016 war ein EU-weites Regelwerk zur Stärkung der Cybersicherheit kritischer Dienste. Dieses Regelwerk genügte jedoch nicht mehr den aktuellen Herausforderungen – die Risiken durch Cyberangriffe und Systemausfälle steigen kontinuierlich. Die EU reagierte daher mit der NIS-2-Richtlinie, die den Anwendungsbereich erweitert, strengere Mindestanforderungen an IT-Sicherheit, Governance und Meldepflichten definiert und höhere Sanktionsmöglichkeiten vorsieht.
In Deutschland wurde die Richtlinie nach mehrjähriger Vorbereitung im Bundestag am 13. November 2025 verabschiedet und nach Zustimmung des Bundesrates im Bundesgesetzblatt veröffentlicht. Mit Wirkung zum 6. Dezember 2025 trat das Gesetz ohne Übergangsfristen in Kraft.
Ziel und Bedeutung
Das NIS-2-Umsetzungsgesetz verfolgt das Ziel, ein hohes gemeinsames Niveau der Cybersicherheit zu etablieren und die Widerstandsfähigkeit digitaler Infrastrukturen zu stärken. Es schafft verbindliche Pflichten für Unternehmen und öffentliche Einrichtungen, um Risiken systematisch zu identifizieren, zu steuern und auf Sicherheitsvorfälle angemessen zu reagieren.
Ein zentraler Kern der Umsetzung ist die umfassende Novellierung des BSI-Gesetzes (BSIG n.F.). Dieses wird zur tragenden nationalen Grundlage für die Umsetzung der NIS-2-Pflichten und regelt gleichzeitig Informationssicherheitsmanagement in der Bundesverwaltung. Zudem werden Fachgesetze, wie beispielsweise das Energiewirtschaftsgesetz („EnWG“) oder das Telekommunikationsgesetz („TKG“) angepasst.
Anwendungsbereich und Adressatenkreis
Eines der auffallendsten Merkmale des neuen BSI-Gesetzes ist der deutlich erweiterte Adressatenkreis. Während unter dem bisherigen BSIG vor allem Betreiber kritischer Infrastrukturen reguliert waren, fallen nun auch große Teile der mittelständischen Industrie unter die neuen Vorschriften.
Unternehmen unterfallen dem Anwendungsbereich, wenn ihre Tätigkeit in einen der in Anlage 1 und 2 definierten Sektoren fällt und das Unternehmen mindestens als mittleres Unternehmen gilt. Die Sektoren umfassen eine große Bandbreite an Tätigkeiten, wie etwa Energie, Verkehr, Gesundheit, Finanzdienstleistungen, digitale Infrastruktur, öffentliche Verwaltung. Ein mittleres Unternehmen ist man entsprechend § 28 BSIG n.F., wenn man mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
Zudem unterscheidet das Gesetz gem. § 28 BSIG n.F. zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Je nach Einstufung gelten unterschiedliche Pflichten und Aufsichtsregime. Je größer das Unternehmen ist und je relevanter der Sektor, in dem Unternehmen tätig ist, ist, desto mehr Pflichten gelten für das Unternehmen.
Wesentliche Rechte und Pflichten im Überblick
Das NIS-2-Umsetzungsgesetz legt für betroffene Einrichtungen eine Reihe von Pflichten fest:
1. Risikomanagement und Sicherheitsmaßnahmen
Verpflichtete Unternehmen müssen entsprechend § 30 BSIG n.F. ein wirksames, dokumentiertes und risikoorientiertes Informationssicherheitsmanagement implementieren, das technische und organisatorische Maßnahmen umfasst. § 30 Abs. 2 S. 2 BSIG n.F. gibt einen Mindestkatalog an Risikomanagementmaßnahmen vor, darunter etwa Risikoanalysen und Sicherheitskonzepte nach dem Stand der Technik, Vorgaben zur Betriebskontinuität und Schwachstellenmanagement.
Die Geschäftsleitung wird bei der Umsetzung und Überwachung dieser Pflichten gem. § 38 BSIG n.F. explizit in die Pflicht genommen: Cybersicherheit ist damit nicht mehr allein eine technische Aufgabe, sondern Management- und Governance-Verantwortung.
2. Meldepflichten
Ein zentrales Element des Gesetzes sind die in § 32 BSIG n.F. normierten, verbindlichen Meldepflichten bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen innerhalb klarer Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Je nach Schweregrad gelten gestufte Fristen (z. B. 24 h, 72 h oder ein Monat).
3. Registrierungspflichten
Betroffene Einrichtungen müssen sich gem. § 33 BSIG n.F. innerhalb von drei Monaten, nachdem sie dem Anwendungsbereich des BSIG n.F. unterfallen, verpflichtend bei einer vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsstelle registrieren.
4. Aufsicht und Sanktionen
Das BSI erhält mit dem BSIG n.F. erweiterte Aufsichts- und Prüfungsbefugnisse. Dazu gehören Anordnungen, Prüfungen, Nachweisanforderungen und Bußgeldverfahren. Verstöße gegen die gesetzlichen Pflichten können mit empfindlichen Bußgeldern belegt werden – je nach Schwere und Umfang der Pflichtverletzung auch in Millionenhöhe oder als Prozentsatz des globalen Umsatzes. Bei „besonders wichtigen Einrichtungen“ kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ ein Bußgeld bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes verhängt werden.
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen grundlegenden Rechts- und Praxiswechsel im deutschen Cybersicherheitsrecht. Es überführt europäische Vorgaben in verbindliches nationales Recht, weitet den Kreis der Adressaten erheblich aus und schafft höhere Anforderungen an Informationssicherheit, Governance und Meldepflichten. Für Unternehmen und öffentliche Einrichtungen bedeutet dies einen spürbaren Anstieg an Compliance-Pflichten – zugleich eröffnet das Gesetz die Chance, Cybersicherheit strukturiert in die Unternehmens- und Verwaltungsprozesse zu integrieren.
TCI Rechtsanwälte im aktuellen Kanzleimonitor 2025/2026
In der aktuellen Ausgabe des Kanzleimonitors 2025/2026 wird Stephan Schmidt, Partner und Rechtsanwalt bei TCI Rechtsanwälte in Mainz, als
- Top-100-Anwalt in Deutschland,
- führender Anwalt im Datenschutzrecht und
- führender Anwalt im IT-Recht
gelistet. Darüber hinaus wird TCI Rechtsanwälte im Kanzleimonitor als führende Kanzlei im Datenschutzrecht und IT-Recht genannt.
Hintergrund: Was ist der Kanzleimonitor?
Der Kanzleimonitor ist eine jährlich erscheinende Studie, die auf einer Befragung von Unternehmensjuristinnen und -juristen basiert. Diese geben an, welche Kanzleien und welche Anwältinnen und Anwälte sie in bestimmten Rechtsgebieten empfehlen. Kanzleimonitor_25_26
Die Veröffentlichung versteht sich als Marktspiegel der anwaltlichen Beratung in Deutschland und bildet unter anderem folgende Bereiche ab:
- Empfehlungen nach Rechtsgebieten,
- Nennungen einzelner Anwältinnen und Anwälte,
- Rankings von Kanzleien in Spezialgebieten.
In den einzelnen Rechtsgebieten werden dabei sowohl Einzelpersonen als auch Kanzleien gesondert ausgewiesen.
Auszeichnungen für Stephan Schmidt
Im Kanzleimonitor 2025/2026 erscheint unser Partner Stephan Schmidt erstmals in der Liste der Top-100-Anwältinnen und Anwälte in Deutschland. Gleichzeitig wird er in den Kategorien Datenschutzrecht und IT-Recht als führender Anwalt genannt. Die Listung spiegelt die langjährige Tätigkeit von Stephan Schmidt an der Schnittstelle von Datenschutz, IT-Recht und Digitalisierung wider und unterstreicht seine Spezialisierung auf komplexe technologiegetriebene Mandate.
TCI Rechtsanwälte als führende Kanzlei im Datenschutzrecht und IT-Recht
Neben der individuellen Auszeichnung für Stephan Schmidt wird TCI Rechtsanwälte im Kanzleimonitor 2025/2026 als führende Kanzlei im Datenschutzrecht und IT-Recht geführt. Die Auswertung des Kanzleimonitors hebt damit unser besonderes Profil in diesen Rechtsgebieten hervor, waruf wir sehr stolz sind. Die Ergebnisse des Kanzleimonitors 2025/2026 bestätigen die starke Stellung von TCI Rechtsanwälte im Bereich des Datenschutzrechts und IT-Rechts auf dem deutschen Markt und unsere Spezialisierung in einem Umfeld, das durch zunehmende Regulierung, Digitalisierung und hohe technische Dynamik geprägt ist.
Die Neue Juristische Wochenschrift (NJW), die wohl renommierteste deutsche Fachzeitschrift, hat die globale IT-Panne durch ein CrowdStrike-Update Mitte Juli zum Anlass genommen, um mit unserem Mainzer Partner Stephan Schmidt über das Thema Cybersicherheit und aktuelle Regulierungsvorhaben hierzu zu sprechen.
Das Interview ist in Heft 33/2024 erschienen und hier auch online verfügbar.
Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.
Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“
Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024
Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.
Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.
Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.
Anmeldung sind über die Kongressseite möglich.
Am 30. Januar 2024 veranstaltet die Fachzeitschrift connect professional einen Webinar-Thementag rund um das Thema NIS2-Richtlinie. Mit dabei ist unser Mainzer Partner Stephan Schmidt, der erläutern wird, was es bei der Umsetzung der NIS-2-Richtline – insbesondere mit Blick auf die Besonderheiten der deutschen Umsetzung – zu beachten gibt, warum die geplanten Regelungen zumindest teilweise eine Handlungsanweisung in Sachen Cybersicherheit sind und warum es wichtig ist, sich frühzeitig mit diesen zu befassen.
Alle Informationen und kostenfreie Anmeldung unter https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e.
Dr. Michael Karger, Fachanwalt für Informationstechnologierecht, Fachanwalt für Verwaltungsrecht und Partner bei TCI Rechtsanwälte München, referiert auf den Kölner Tagen IT-Recht zum Thema „Beschaffung von Software und IT-Komponenten: Zählt die Konformität mit den Anforderungen des IT-Sicherheits-Gesetzes zur geschuldeten Sollbeschaffenheit?“
Der Vortrag befasst sich mit den gesetzlichen Anforderungen an
- Betreiber Kritischer Infrastrukturen,
- Anbieter von Telemediendiensten und
- Anbieter Digitaler Dienste
und deren Pflicht, sicherheitskonforme IT-Systeme und Komponenten zu beschaffen.
Um das gesetzlich geforderte Sicherheitsniveau einzuhalten, müssen die IT-Systeme und Leistungen dem „Stand der Technik“ entsprechen. Hierzu wird erläutert, was unter diesem Begriff zu verstehen ist und welche Hilfestellungen und Handreichungen herangezogen werden können, um die abstrakten Anforderungen des Gesetzes mit konkreten Maßnahmen umzusetzen.
Unternehmen, die unter die Anforderungen des IT-Sicherheitsrechts fallen, sind gehalten, bei der Beschaffung entsprechender IT-Systeme und Komponenten dafür Sorge zu tragen, dass diese „sicherheits-konform“ sind. Deswegen geht der Vortrag auch der Frage nach, ob die Anbieter von IT-Systemen und Komponenten, insbesondere auch von Software, nunmehr „automatisch“ dazu verpflichtet sind, Produkte zu liefern, die den gesetzlichen Anforderungen der IT-Sicherheit entsprechen oder ob die Sicherheits-Konformität nur dann zur geschuldeten Sollbeschaffenheit gehört, auch wenn hierzu im Vertrag ausdrückliche Vereinbarungen getroffen wurden.
Dr. Michael Karger springt mit seinem Vortrag für Herrn Martin Schallbruch ein, der ursprünglich als Referent vorgesehen war.
Die Kölner Tage IT-Recht finden am 30. und 31. März 2017 statt und werden vom Verlag Dr. Otto Schmidt, Herausgeber der Zeitschrift „Computer und Recht“ veranstaltet.
