NIS-2 ist in Kraft: Cybersicherheit wird jetzt zur unmittelbaren Managementpflicht

Who we areNewsPress & MediaNewslettersNewsletter „Public Sector“Newsletter „Public & Social Sector“ 1/2026

NIS-2 ist in Kraft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Cybersicherheitslage in Deutschland in seinem aktuellen Lagebericht weiterhin als „angespannt“ ein. Ransomware Angriffe, Lieferkettenkompromittierungen und systematische Ausnutzung von Schwachstellen gehören längst zum unternehmerischen Alltag, mit teils gravierenden Folgen für Wirtschaft, Staat und Gesellschaft.

Vor diesem Hintergrund hat der Gesetzgeber nun Fakten geschaffen: Mit dem Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung ist die europäische NIS-2‑Richtlinie (EU) 2022/2555 in deutsches Recht überführt worden. Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Übergangsfristen sieht der Gesetzgeber, von wenigen Detailregelungen abgesehen, nicht vor.

Kern der Umsetzung ist die grundlegende Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Bislang galten Pflichten zur Umsetzung von Maßnahmen zur Informationssicherheit für Betreiber kritischer Anlagen (KRITIS-Betreiber). NIS-2 erweitert nun den Kreis betroffener Unternehmen um sogenannte „besonders wichtige“ und „wichtige Einrichtungen“. Mit NIS-2 steigt die Zahl der verpflichteten Unternehmen in Deutschland von rund 1.200 auf fast 30.000. Cybersicherheit wird damit erstmals zur gesetzlichen Pflicht, auch für Unternehmen, die keine kritische Infrastruktur betreiben.

Wer ist betroffen?

Die Einstufung erfolgt nach der Zugehörigkeit zu bestimmten, für die öffentliche Versorgung wesentlicher Branchen – siehe nachfolgende Grafik – sowie nach Unternehmensgröße. Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz und Jahresbilanzsumme sind betroffen. Zudem können Unternehmen wie Anbieter digitaler Dienste, DNS-Dienste oder Betreiber öffentlicher Telekommunikationsnetze unabhängig von Größenkriterien unter NIS-2 fallen.

20260226_Abbildungen_NL_Public_Social_Sector_1_2026_02.png

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen sind unabhängig von der Unternehmensgröße „besonders wichtige Einrichtungen“ im Sinne des BSIG. Ihre besondere Bedeutung für das Gemeinwesen erklärt sich durch die Versorgung der Allgemeinheit mit besonders wichtigen Diensten in großem Umfang. Was kritische Dienste und die hierfür verwendeten kritischen Anlagen sind, und welche Schwellwerte erreicht sein müssen, bestimmt im Detail die BSI-Kritis-Verordnung. Nachfolgende Grafik gibt einen Überblick über die betroffenen Dienste:

20260226_Abbildungen_NL_Public_Social_Sector_1_2026_03.png

Für Betreiber kritischer Anlagen gilt ebenfalls der Pflichtenkatalog der besonders wichtigen Einrichtungen nach § 30 BSIG, der zentralen Norm des neuen Cybersicherheitsrechts. Außerdem haben sie einen verschärften Verhältnismäßigkeitsmaßstab anzulegen: Maßnahmen sind geboten, solange der Aufwand nicht außer Verhältnis zu den Ausfallfolgen steht. Im Übrigen gelten für die Betreiber insbesondere erweiterte Melde-, Registrierungs-, Nachweis- und Mängelbeseitigungspflichten.

Umsetzungspflichten

Die folgende Tabelle gibt einen Überblick über die umzusetzenden Pflichten für betroffene Einrichtungen:

20260226_Abbildungen_NL_Public_Social_Sector_1_2026_01.png

Risikomanagementmaßnahmen beinhalten dabei folgende umzusetzende Punkte:

  • Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
  • Sicherheit der Lieferkette und zwischen einzelnen Einrichtungen sowie ihren unmittelbaren (Dienste-)Anbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risiko-managementmaßnahmen im Bereich der Cybersicherheit
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherten Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherten Notfallkommunikation innerhalb der Einrichtung

Aufgrund der Komplexität der involvierten Themen sind eine GAP-Analyse des IST-Stands dieser Maßnahmen im Unternehmen und eine frühzeitige Umsetzung von ggf. fehlenden Maßnahmen dringend empfohlen. Dabei sei insbesondere auf die Geschäftsleiterhaftung hingewiesen: Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen zur Einhaltung von § 30 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die Beauftragung eines Dritten zur Erfüllung der Verpflichtungen ist nicht zulässig. Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden.

 

Autor: Christopher Hock

Want to know more?