Neue Cybersicherheitspflichten für Unternehmen

Seit Ende 2025 gelten in Deutschland neue gesetzliche Vorgaben zur Cybersicherheit. Hintergrund ist die europäische NIS2-Richtlinie, die am 6. Dezember 2025 durch das NIS-2-Umsetzungsgesetz in nationales Recht überführt wurde. Die konkreten Anforderungen ergeben sich insbesondere aus dem novellierten BSI-Gesetz (BSIG). Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterliegen rund 29.500 Unternehmen in Deutschland den neuen gesetzlichen Pflichten.

datenschutzvsdatensicherheit NIS2-Registrierungspflicht: Dringender Handlungsbedarf für betroffene Unternehmen Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Welche Unternehmen sind betroffen?

Mit Inkrafttreten des NIS2-Umsetzungsgesetzes wurde der Anwendungsbereich des BSIG erheblich ausgeweitet.

Betroffen sind Unternehmen aus 14 Sektoren, darunter insbesondere Energie, Gesundheit, Transport und Verkehr, IT, Produktion sowie Lebensmittel, die in den Anlagen 1 und 2 zum BSIG näher definiert sind.

Unternehmen, die in diesen Sektoren tätig sind und dabei die gesetzlich festgelegten Schwellenwerte hinsichtlich Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten, werden als „wichtige“ und „besonders wichtige“ Einrichtungen eingestuft.

Grundsätzlich erfasst die Regulierung Unternehmen mit:

  • mindestens 50 Beschäftigten und
  • einem Jahresumsatz oder einer Bilanzsumme von mehr als 10 Mio. EUR

Für besonders kritische Einrichtungen gelten höhere Schwellenwerte, etwa:

  • mindestens 250 Mitarbeitende oder
  • mehr als 50 Mio. EUR Jahresumsatz

Zudem fallen gemäß § 28 BSIG unabhängig von den allgemeinen Schwellenwerten bestimmte Einrichtungen stets in den Anwendungsbereich des Gesetzes. Hierzu zählen insbesondere DNS-Diensteanbieter, Top-Level-Domain-Registries sowie Anbieter qualifizierter Vertrauensdienste.

Welche Pflichten ergeben sich aus der NIS2-Regulierung?

Aus dem BSIG ergeben sich für betroffene Einrichtungen insbesondere drei zentrale Pflichten.

1. Registrierungspflicht beim BSI

Nach § 33 BSIG sind betroffene Unternehmen verpflichtet, u.a. ihre Identität, Kontaktdaten sowie Ansprechpartner für Sicherheitsvorfälle an das BSI zu übermitteln. Die Registrierung ist Voraussetzung für die aufsichtsrechtliche Kommunikation sowie für die Erfüllung der Meldepflichten bei Sicherheitsvorfällen.

Zudem besteht eine fortlaufende Aktualisierungspflicht: Änderungen an den registrierten Daten sind grundsätzlich unverzüglich, spätestens jedoch innerhalb von zwei Wochen, mitzuteilen.

Die Registrierung erfolgt zweistufig:

  • Beantragung eines ELSTER-Organisationszertifikats sowie Einrichtung eines Kontos bei „Mein Unternehmenskonto“ (MUK)
  • Registrierung im BSI-Portal (portal.bsi.bund.de)
Achtung: Für bereits betroffene Unternehmen endete die Übergangsfrist am 6. März 2026. Unternehmen, die künftig in den Anwendungsbereich fallen, müssen sich innerhalb von drei Monaten ab Feststellung der Betroffenheit registrieren.

2. Meldepflicht bei Sicherheitsvorfällen

Zusätzlich zur Registrierungspflicht sind betroffene Einrichtungen gemäß § 32 BSIG dazu verpflichtet, erhebliche Sicherheitsvorfälle zu melden. Als erheblich gelten Vorfälle, die zu schwerwiegenden Betriebsstörungen, erheblichen finanziellen Verlusten oder Schäden für andere natürliche oder juristische Personen (Dritte) führen können.

Das Gesetz sieht ein dreistufiges Meldeverfahren vor:

  • Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung
  • Folgemeldung innerhalb von 72 Stunden nach Kenntniserlangung
  • Abschlussmeldung innerhalb von 30 Tagen nach der Erstmeldung

Da bereits innerhalb von 24 Stunden eine erste Meldung erfolgen muss, ist es praktisch oft nicht möglich, alle Informationen sofort vollständig bereitzustellen. Deshalb erlaubt das Gesetz ausdrücklich, fehlende Angaben später über Folgemeldungen nachzureichen.

3. Ergreifen von Maßnahmen zum Risikomanagement

Letztlich sind betroffene Einrichtungen nach § 30 BSIG verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Ziel ist es, ein angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten und die Auswirkungen von Sicherheitsvorfällen so gering wie möglich zu halten.

§ 30 Abs. 2 BSIG benennt hierfür mindestens zehn Maßnahmenbereiche. Dazu zählen insbesondere die Durchführung von Risikoanalysen, die Sicherstellung der Aufrechterhaltung des Betriebs, das Schwachstellenmanagement, regelmäßige Schulungen sowie der Einsatz von Multi-Faktor-Authentifizierung und sicheren Kommunikationssystemen.

Verantwortung der Geschäftsleitung

Die Pflicht zur Umsetzung und Überwachung der zuvor genannten Maßnahmen liegt gemäß § 38 BSIG unmittelbar bei der Geschäftsleitung. Pflichtverstöße können zu haftungsrechtlichen Konsequenzen führen. Zudem verpflichtet das BSIG die Geschäftsleitung zur regelmäßigen Teilnahme an Schulungen zu IT-Sicherheitsrisiken und zum Risikomanagement.

Warum Ihr Unternehmen indirekt durch NIS2 betroffen sein kann

Auch Unternehmen, die nicht direkt unter die NIS2-Regelungen fallen, können zumindest faktisch von NIS2 betroffen sein. Hintergrund ist die gesetzliche Pflicht betroffener Einrichtungen nach § 30 Abs. 2 Nr. 4 BSIG, geeignete Maßnahmen zu ergreifen, um die Sicherheit ihrer Lieferkette zu gewährleisten.

In der Praxis werden NIS2-Anforderungen daher häufig vertraglich an Dienstleister und Zulieferer weitergegeben („Flow-down“). Betroffen sind insbesondere Unternehmen mit Zugang zu IT-Systemen oder sensiblen Daten, etwa Softwarezulieferer, Cloud-Dienstleister sowie IT-Wartungs- und Managed-Service-Anbieter.

Für diese Unternehmen empfiehlt es sich, frühzeitig ein angemessenes Sicherheitsniveau aufzubauen, um vertraglichen Anforderungen gerecht zu werden und ihre Wettbewerbsfähigkeit nachhaltig zu sichern.

Frist verpasst?

Die Verletzung der Registrierungspflicht stellt eine Ordnungswidrigkeit dar und kann mit Bußgeldern geahndet werden. Unternehmen, die die Frist vom 6. März 2026 versäumt haben, sollten daher unverzüglich ihre Betroffenheit prüfen und die Registrierung beim BSI nachholen.

Mithilfe der NIS-2-Betroffenheitsprüfung des BSI erhalten Sie eine erste Einschätzung, ob Ihre Einrichtung betroffen ist.

Im nächsten Schritt sollten Risikomanagementmaßnahmen etabliert und interne Prozesse zur fristgerechten Meldung von Sicherheitsvorfällen eingerichtet werden. Aufgrund der Komplexität der Anforderungen sowie der Haftungsrisiken empfiehlt sich eine rechtliche und technische Begleitung.

Wir unterstützen Sie dabei, die gesetzlichen Vorgaben praxisnah umzusetzen von der Betroffenheitsanalyse über die Registrierung bis hin zur Implementierung eines wirksamen Risikomanagements. Kontaktieren Sie uns für eine individuelle Beratung und entwickeln Sie gemeinsam mit uns eine maßgeschneiderte Cybersicherheitsstrategie für Ihr Unternehmen.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt