NIS2 ist beschlossen – Welche Unternehmen jetzt handeln müssen 

Seit dem 21. November 2025 ist es offiziell: Die europäische NIS2-Richtlinie wurde mit dem NIS2UmsuCG in deutsches Recht umgesetzt – im Fokus steht die vollständige Neufassung des BSI-Gesetzes (BSIG). Das Gesetz verpflichtet Unternehmen, umfangreiche Maßnahmen für ihre IT-Sicherheit zu treffen. Neu ist, dass nun auch kleinere Organisationen betroffen sind, die bislang nicht im Fokus der Cybersicherheitsregulierung standen.

Direkt vom BSIG betroffene Einrichtungen

In der neuen Fassung des BSIG werden verschiedene Wirtschaftssektoren genannt, die im Anwendungsbereich liegen.

Einige davon weisen eine besonders hohe Kritikalität auf – gemäß Anlage 1 des Gesetzes sind dies folgende:

• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasser
• Digitale Infrastruktur
• Weltraum

In Anlage 2 des BSIG werden weitere wichtige Sektoren aufgeführt:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe / Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung

Es sind grundsätzlich alle Einrichtungen vom BSIG betroffen, die in den in Anlage 1 und 2 aufgeführten Sektoren tätig sind, und eine bestimmte Unternehmensgröße oder einen bestimmten Umsatz bzw. eine bestimmte Jahresbilanzsumme aufweisen.

Es wird dabei unterschieden zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen.

Zu „besonders wichtigen“ Einrichtungen gehören Unternehmen:

• die mindestens 250 Mitarbeitende beschäftigen oder
• die einen Jahresumsatz von über 50 Millionen Euro und eine Jahresbilanzsumme von über 43 Millionen Euro haben.

Zusätzlich werden Einrichtungen genannt, die unabhängig von ihrer Größe zu den besonders wichtigen Einrichtungen gehören. Dies sind Betreiber kritischer Anlagen und qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter.

Dazu kommen Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die entweder mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Zu „wichtigen“ Einrichtungen gehören Unternehmen,

• die mindestens 50 Mitarbeiter beschäftigen oder
• die einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Darüber hinaus zählen zu den wichtigen Einrichtungen: Vertrauensdiensteanbieter und Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.

Betroffenheitsprüfung des BSI

Das BSI stellt eine Betroffenheitsprüfung bereit, an der Sie anhand eines Online-Fragenkatalogs feststellen können, ob Ihr Unternehmen oder Ihre Einrichtung wahrscheinlich unter das neue BSIG fällt.

Welche neuen Anforderungen stellt das BSIG an die betroffenen Unternehmen?

Das BSIG nennt insbesondere in § 30 BSIG eine Reihe von Maßnahmen, die umgesetzt werden müssen. Das Herzstück der neuen Anforderungen ist ein strukturiertes Informationssicherheitsmanagementsystem (ISMS), das Risiken erkennt, Maßnahmen plant und dauerhaft die Informations- und IT-Sicherheit steuert.

Umzusetzende Maßnahmen nach § 30 (2) BSIG

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Darüber hinaus sind weitere Anforderungen zu erfüllen, zum Beispiel:

• Registrierungspflichten für betroffene Unternehmen: Das BSI wird eine Online-Portallösung bereitstellen, über die sich besonders wichtige und wichtige Einrichtungen registrieren müssen
• Mehrstufige Meldepflicht bei Sicherheitsvorfällen an das BSI: Erstmeldung nach 24 Stunden, Aktualisierung mit weiteren Informationen nach 72 Stunden und Abschlussmeldung nach einem Monat
• Geschäftsführerschulung: Alle Personen der Geschäftsleitung müssen sich im Bereich des Risikomanagements und in der IT-Sicherheit weiterbilden. (Unsere Kooperationspartner bieten hierfür entsprechende Lehrgänge an.)

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Beide Kategorien – besonders wichtige und wichtige Einrichtungen – unterliegen denselben inhaltlichen Pflichten: Sie müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, technische und organisatorische Schutzmaßnahmen umsetzen, Sicherheitsvorfälle melden und sich bei der zuständigen Behörde registrieren.

Der Unterschied liegt im Umfang der behördlichen Kontrolle:

• Besonders wichtige Einrichtungen werden regelmäßig überwacht. Die zuständigen Behörden führen proaktive Kontrollen und Audits durch – auch ohne konkreten Anlass.
• Wichtige Einrichtungen werden nur dann überprüft, wenn es Hinweise auf Verstöße gibt – etwa durch Vorfälle oder Beschwerden.

Das heißt: Beide Gruppen tragen Verantwortung für ihre IT- und Cybersicherheit – doch besonders wichtige Einrichtungen stehen unter stärkerer, kontinuierlicher Aufsicht.

Indirekt betroffene Einrichtungen

Auch kleinere Unternehmen, die formal nicht unter das neue BSIG fallen, können dennoch unter Druck geraten – etwa, wenn ihre Auftraggeber bereits verpflichtet sind.

Typische Beispiele sind mittelständische Zulieferer oder IT-Dienstleister, deren Leistungen für kritische Prozesse genutzt werden.

Diese Unternehmen müssen zukünftig gegenüber ihren Auftraggebern nachweisen können, dass sie angemessene Sicherheitsmaßnahmen ergreifen – z. B. durch ISMS-Dokumentationen oder Lieferantenaudits.

Mit unserer Compliance-Software DPMS geben wir Ihnen ein praxisbewährtes Werkzeug an die Hand, mit dem Sie ein Managementsystem für Ihre Informations- und Cybersicherheit aufbauen und pflegen.

Mehr dazu lesen Sie in unserem Blogbeitrag „DPMS in der Praxis: Wie Sie in 8 Schritten ein ISMS aufbauen„.

DPMS jetzt kostenfrei testen oder Beratungstermin buchen

Machen Sie Ihr Unternehmen jetzt fit in Sachen Informationssicherheit!
Testen Sie unsere Compliance-Software 14 Tage kostenlos oder vereinbaren Sie einen unverbindlichen Demo-Termin, wenn Sie sich für unser Paket „DPMS-Server“ interessieren.

👉 Beratungstermin vereinbaren
👉 Kostenlose Testphase für Unternehmen
👉 Kostenlose Testphase für externe Berater