NIS-2-Umsetzungsgesetz in Kraft: Neue Pflichten für Unternehmen

Das NIS‑2‑Umsetzungsgesetz ist mit einer umfangreichen Änderung des BSI-Gesetzes Anfang Dezember 2025 in Kraft getreten: Was Unternehmen gerade aus dem Bereichen Maschinenbau, Hochtechnologie und Software jetzt tun müssen!

Wichtig:

Anwendungsbereich: Unternehmen aus typischen KMU-Branchen können betroffen sein – sobald definierte Schwellenwerte (z. B. Mitarbeiterzahl, Umsatz) erreicht werden.

Keine Übergangsfrist: Risikomanagement, Meldeprozesse und Registrierung müssen zeitnah aufgebaut werden.

Verantwortung: Die Geschäftsleitung ist gefordert.

Mit dem neuen BSI‑Gesetz (BSIG) setzt Deutschland die europäische NIS‑2‑Richtlinie um. Das Gesetz verpflichtet eine große Zahl von Unternehmen – nicht nur klassische Kritische Infrastrukturen – zu nachweisbaren Sicherheitsmaßnahmen, schnellen Meldungen erheblicher Sicherheitsvorfälle und zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders betroffen sind produzierende Hightech‑Branchen (etwa Maschinenbau, Elektronik, Elektrotechnik, Fahrzeugbau) sowie Anbieter von Software‑as‑a‑Service (SaaS) und anderen Cloud‑/Managed‑Services.

Dieser Beitrag erklärt, wer darunterfällt, welche Pflichten jetzt gelten und wie Sie pragmatisch vorgehen – auch dann, wenn es intern noch keine Einstufung gibt.

1.    Einrichtungen

Das BSIG betrifft vor allem zwei Kategorien (§ 28 BSIG), die sich nach Einrichtungsart (Anlagen 1 und 2 zum BSIG) und Größenschwellen richten:

– Wichtige Einrichtungen (§ 28 Abs. 2): Erfasst sind Unternehmen, die einer Einrichtungsart der Anlagen 1 oder 2 zugeordnet sind und entweder mindestens 50 Mitarbeitende beschäftigen oder sowohl Jahresumsatz als auch Jahresbilanzsumme von jeweils über 10 Mio. € aufweisen. In der Praxis fallen damit viele Industrieunternehmen im verarbeitenden Gewerbe in den Anwendungsbereich.

– Besonders wichtige Einrichtungen (§ 28 Abs. 1): Diese Kategorie umfasst Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdienste, TLD‑Registrierungsstellen und DNS‑Diensteanbieter sowie Unternehmen aus Anlage 1, wenn sie mindestens 250 Mitarbeitende haben oder einen Jahresumsatz von über 50 Mio. € und zugleich eine Jahresbilanzsumme von über 43 Mio. € erreichen.

Für die Schwellenberechnung gilt grundsätzlich die Definition der Empfehlung der Europäischen Kommission 2003/361/EG. Partner‑ und verbundene Unternehmen können zu berücksichtigen sein; eine Abweichung ist möglich, wenn das betroffene Unternehmen nach rechtlichen, wirtschaftlichen und tatsächlichen Umständen in Bezug auf die IT‑Beschaffenheit und den IT‑Betrieb unabhängig ist. Dies ist sorgfältig zu dokumentieren.

2.    Verarbeitendes Gewerbe

Was heißt das konkret für Maschinenbau und Hochtechnologie? Unternehmen des verarbeitenden Gewerbes sind in Anlage 2 ausdrücklich genannt, u. a.: 
– 5.4 Maschinenbau (NACE C 28), 
– 5.2 Elektronik und optische Erzeugnisse (NACE C 26), 
– 5.3 Herstellung elektrischer Ausrüstungen (NACE C 27), 
– 5.5/5.6 Fahrzeugbau (NACE C 29/30).
Sobald die genannten Größenschwellen erreicht sind, gelten diese Unternehmen als „wichtige Einrichtungen“. Für sie greifen damit die allgemeinen Sicherheits‑, Melde‑, Registrierungs‑ und Leitungspflichten des BSIG (insbesondere §§ 30 – 35, 38, 62). Betreiber kritischer Anlagen unterliegen zusätzlich den besonderen Anforderungen des § 31 (u. a. Pflicht zum Einsatz von Systemen zur Angriffserkennung).

3.    Cloud-Computing

Anbieter von Cloud‑Computing‑Diensten (§ 2 Nr. 4 BSIG) – darunter fallen viele SaaS‑, PaaS‑ und IaaS‑Modelle – sowie Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) sind der „Digitalen Infrastruktur“ nach Anlage 1 zugeordnet. Entscheidend ist, ob der Dienst die Cloud‑Merkmale erfüllt (insbesondere skalierbarer, elastischer, gemeinsam nutzbarer Ressourcenpool mit Fernzugriff).

Auch hier erfolgt eine Einstufung nach Größe des Unternehmens als „wichtige“ oder als „besonders wichtige Einrichtung“. Für diese Einrichtungsarten besteht zudem eine besondere Registrierungspflicht mit EU‑Weiterleitung an die European Union Agency for Cybersecurity, ENISA (§ 34 BSIG).

Reine On‑Premise‑Softwarehersteller ohne Cloud‑Dienst und ohne Zuordnung zur Anlage 2 fallen in der Regel nicht in den Anwendungsbereich. Allerdings empfiehlt sich auch hier die Prüfung und Dokumentation der Einordnung.

4.    Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen verlangt das Gesetz? Alle wichtigen und besonders wichtigen Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen nach dem Stand der Technik treffen und dokumentieren (§ 30 BSIG). Der Mindestumfang ist gesetzlich vorgegeben und umfasst u. a.:

Risikoanalyse und Sicherheitskonzept, Bewältigung von Sicherheitsvorfällen (Incident Response), Betriebsaufrechterhaltung (Backups, Notfallwiederherstellung) und Krisenmanagement, Sicherheit der Lieferkette einschließlich der Beziehungen zu unmittelbaren Anbietern/Dienstleistern, Sichere Entwicklung, Erwerb und Wartung von IT‑Systemen (inkl. Schwachstellenmanagement und Offenlegung), Wirksamkeitsbewertungen (z. B. KPIs, interne Audits), grundlegende Schulungen/Sensibilisierung, Kryptografie‑ und Verschlüsselungskonzepte, Personal‑ und Zugriffssicherheit sowie Verwaltung von IT‑Systemen/Assets, Verwendung von Multi‑Faktor‑ oder kontinuierlicher Authentifizierung und gesicherte (Notfall‑)Kommunikation.

Betreiber kritischer Anlagen müssen ein höheres Schutzniveau gewährleisten und Systeme zur Angriffserkennung einsetzen (§ 31 BSIG).

5.    Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat
 
Erhebliche Sicherheitsvorfälle (§ 2 Nr. 11 BSIG) sind zu melden (§ 32 BSIG). Das Gesetz verlangt vier Stufen:
1.    Frühe Erstmeldung: Unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis. Sie muss u. a. angeben, ob der Vorfall auf rechtswidrige/böswillige Handlungen hindeutet oder grenzüberschreitende Auswirkungen haben könnte.

2.    72‑Stunden‑Meldung: Spätestens 72 Stunden nach Kenntnis mit Bestätigung/Aktualisierung der Erstinformationen sowie einer ersten Bewertung (Schweregrad, Auswirkungen) und ggf. Kompromittierungsindikatoren.

3.    Zwischenmeldungen: Auf Ersuchen des BSI sind Statusupdates nachzureichen.

4.    Abschlussmeldung: Spätestens einen Monat nach der 72‑Stunden‑Meldung mit ausführlicher Beschreibung, Ursache, getroffenen/laufenden Abhilfemaßnahmen und ggf. grenzüberschreitenden Auswirkungen. Dauert der Vorfall zu diesem Zeitpunkt noch an, ist zunächst eine Fortschrittsmeldung fällig; die Abschlussmeldung folgt nach Beendigung.
Für Betreiber kritischer Anlagen kommen zusätzliche Angaben zur betroffenen Anlage und kritischen Dienstleistung hinzu (§ 32 Abs. 3 BSIG). Die Pflicht greift frühestens ab Einrichtung des offiziellen Meldewegs (§ 32 Abs. 1 Satz 5 BSIG). In der Praxis sollten Unternehmen schon heute die internen Melde‑ und Eskalationsketten, Vorlagen und 24/7‑Erreichbarkeit vorbereiten. Das BSI bestätigt den Eingang und bietet auf Wunsch binnen 24 Stunden Orientierungshilfen oder operative Beratung an (§ 36 Abs. 1 BSIG).

6.    Registrierungspflicht binnen 3 Monaten

Wichtige und besonders wichtige Einrichtungen müssen sich spätestens drei Monate nach erstmaliger oder erneuter Einstufung beim BSI registrieren (§ 33 BSIG).

Für bestimmte europaweit zentral zuständige Einrichtungsarten – darunter Cloud‑Computing‑Dienstleister, MSP/MSSP, CDN, DNS/TLD, Online‑Marktplätze, Suchmaschinen und Plattformen für soziale Netzwerke – gilt eine besondere Registrierung (§ 34 BSIG). Diese Angaben leitet das BSI (mit Ausnahme der IP‑Bereiche) an die ENISA weiter. Änderungen sind jeweils binnen drei Monaten nachzumelden. Kommt eine Einrichtung ihrer Registrierungspflicht nicht nach, kann das BSI die Registrierung selbst vornehmen (§ 33 Abs. 3 BSIG).

7.    Pflichten der Geschäftsleitung

Die Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen tragen ausdrücklich die Verantwortung dafür, dass die Sicherheitsmaßnahmen nach § 30 BSIG umgesetzt und deren Umsetzung überwacht werden (§ 38 Abs. 1 BSIG). Zudem müssen Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, um Risiken, Risikomanagementpraktiken und deren Auswirkungen auf die eigenen Dienste beurteilen zu können (§ 38 Abs. 3 BSIG). Bei schuldhafter Pflichtverletzung kommt eine Haftung der Geschäftsleitung gegenüber der eigenen Einrichtung in Betracht – primär nach den gesellschaftsrechtlichen Regeln der jeweiligen Rechtsform, subsidiär nach dem BSIG (§ 38 Abs. 2 BSIG).

8.    Empfindliche Bußgelder

Das BSIG sieht einen abgestuften Bußgeldrahmen vor (§ 65 BSIG). Sanktioniert werden können u. a. Versäumnisse bei der Umsetzung/Dokumentation der Sicherheitsmaßnahmen (§ 30), Verstöße gegen Melde‑ und Registrierungspflichten (§§ 32 – 34), Unterlassungen bei der Unterrichtung von Dienstempfängern (§ 35) sowie die Nichtbefolgung von Anordnungen oder fehlende Mitwirkung bei Prüfungen (§§ 61, 62). Dabei wird sowohl vorsätzliches als auch fahrlässiges Verhalten geahndet.

Bei besonders wichtigen Einrichtungen ist ein Bußgeld bis zu 10 Mio. € möglich, bei Unternehmen mit einem Gesamtumsatz von mehr als 500 Mio. € bis zu 2 % des weltweiten Gesamtumsatzes. Bei wichtigen Einrichtungen sind die Grenzen bis zu 7 Mio. € und bei Unternehmen mit einem Gesamtumsatz von mehr als 500 Mio. € bis zu 1,4 % des weltweiten Gesamtumsatzes. Dies betrifft u.a. Verstöße gegen die Mindestsicherheitsanforderungen aus § 30 Abs. 1 BSIG.

Darüber hinaus sieht das Gesetz Bußgelder von bis zu 5 Mio. € vor für Betreiber kritischer Anlagen, die gegen Mitteilungspflichten über verwendete kritische Komponenten verstoßen. 

Bußgelder von bis zu 2 Mio. € bzw. bis zu 1 Mio. € können etwa für unterlassene oder falsch erbrachte Nachweise gegenüber den Behörden verhängt werden, wobei sich der Bußgeldrahmen durch den Verweis auf § 30 Abs. 2 S. 3 OWiG in § 65 Abs. 2 S. 2 jeweils verzehnfachen kann. 

Bußgelder von bis zu 500.000 € sieht das Gesetz unter anderem für Hersteller informationstechnischer Produkte vor, die entgegen einer vollziehbaren behördlichen Anordnung keine Auskünfte über technische Details ihrer Produkte erteilen.

Bußgelder von bis zu 100.000 € können u.a. für Verstöße gegen bestimmte Mitwirkungspflichten verhängt werden.

Eine doppelte Bußgeldverhängung neben der DSGVO für dasselbe Verhalten ist jedoch ausgeschlossen (§ 65 Abs. 11).

9.    Haftungsrisiken

Denken Sie auch daran, dass die gesetzlichen Pflichten auch den Sorgfaltsmaßstab bestimmen, der an die Cybersicherheit zu legen ist. Wird durch einen Sicherheitsvorfall ein Vertragspartner geschädigt (zum Beispiel weil vertrauliche Informationen an die Öffentlichkeit geraten), ist die zivilrechtliche Haftung auf Schadensersatz naheliegend.

10.    Pragmatisches Vorgehen 

Sinnvoll ist nun ein zeitnahes gestuftes Vorgehen:

– Unternehmens‑ und Dienstemapping: Ordnen Sie Ihre Tätigkeiten den Einrichtungsarten der Anlagen 1 und 2 zu. Für Unternehmen im verarbeitenden Sektor helfen NACE‑Codes, für Software prüfen Sie, ob Ihr Angebot ein Cloud‑Dienst im Sinne des § 2 Nr. 4 ist. Dokumentieren Sie die Prüfung und das Ergebnis.

– Schwellenprüfung und Gruppenbezug: Prüfen Sie Mitarbeitendenzahl, Umsatz und Bilanzsumme und halten Sie – unter Berücksichtigung von § 28 Abs. 4 BSIG – fest, ob die Grenzwerte erreicht sind. Wo Unsicherheiten bestehen, vermerken Sie Annahmen und die Grundlage Ihrer Bewertung.

– Vorläufige Einordnung und jährliche Überprüfung: Legen Sie eine vorläufige Einstufung fest. Aktualisieren Sie diese jährlich oder bei wesentlichen Veränderungen (z. B. Wachstum, neue Dienste).

– Unabhängig von der Einstufung: Baseline‑Kontrollen umsetzen. Multi‑Faktor‑Authentifizierung, Patch‑/Vulnerability‑Management, belastbare Backups und klar geregelte Incident‑Ablaufpläne inklusive Melde‑/Eskalationskette sind Best Practice – und häufig ohnehin wirtschaftlich geboten.

11.    Fazit 

Das NIS‑2‑Umsetzungsgesetz weitet die Pflichten deutlich aus – gerade auch für Branchen, die bisher nicht im Fokus klassischer KRITIS‑Regulierung standen. Wer frühzeitig die eigene Einordnung prüft, Melde‑ und Registrierungsfähigkeit herstellt und die Kernkontrollen nach § 30 BSIG pragmatisch umsetzt, reduziert Risiken und Aufwände. Wir unterstützen Sie gern bei der Einstufung, der Einrichtung wirksamer Prozesse und bei Schulungen für die Geschäftsleitung und Schlüsselrollen.

Für Rückfragen und zur Umsetzung der Anforderungen stehen wir Ihnen gerne zur Verfügung.