CloudSoul
Ressourcen · Blog · NIS2

NIS2 in Deutschland: Wie das neue BSI-Gesetz die EU-Richtlinie umsetzt

Deutschland hat NIS2 mit dem NIS2UmsuCG vom 5. Dezember 2025 umgesetzt und das BSI-Gesetz vollständig ersetzt. Anwendungsbereich, BSI-Zuständigkeit, KRITIS-Regeln, Meldung von Sicherheitsvorfällen, Bußgelder und was in diesem Quartal zu tun ist.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 4 Jun 2026 · 28 Min. Lesezeit
NIS2
NIS2 in Deutschland: Wie das neue BSI-Gesetz die EU-Richtlinie umsetzt

Wer sollte das lesen: Compliance-Beauftragte, CIOs, CISOs, Justiziare, Risikoverantwortliche und Operations-Leiter in Organisationen, die in Deutschland tätig sind.

Nach mehr als zwei Jahren Vorbereitung, zwei gescheiterten Gesetzgebungsversuchen in vorhergehenden Wahlperioden des Bundestages und einem ungewöhnlich weitreichenden Mantelgesetz-Konzept hat Deutschland die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) in nationales Recht umgesetzt. Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, im Verfahren bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), wurde als BGBl. 2025 I Nr. 301 am 5. Dezember 2025 verkündet und trat am 6. Dezember 2025 in Kraft. Sein Artikel 1 erlässt ein vollständig neues BSI-Gesetz (BSIG), das das vorherige BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) ersetzt, welches durch Artikel 29 aufgehoben wird. Die Artikel 2 bis 28 ändern siebenundzwanzig benachbarte Gesetze und Verordnungen, darunter das Energiewirtschaftsgesetz (EnWG), das Telekommunikationsgesetz (TKG), mehrere Sozialgesetzbücher und Verordnungen zu digitalen Diensten. Die vollständige Zitierweise lautet NIS-2-Richtlinie-Umsetzungsgesetz (NIS2-RLUG), in der Praxis bleibt der Arbeitsname NIS2UmsuCG.

Für Organisationen, die in Deutschland tätig sind, hat sich die Rechtslage seit dem 6. Dezember 2025 in drei konkreten Punkten verschoben. Erstens ist der Anwendungsbereich der regulierten Einrichtungen deutlich weiter als unter dem vorherigen BSIG: das IT-Sicherheitsgesetz 2.0 hatte rund 4.500 KRITIS-Betreiber erfasst; das neue Regime erfasst geschätzt 29.000 bis 30.000 Einrichtungen, einschließlich der meisten mittleren und großen Unternehmen aus den vierzehn Sektoren der Anlage 1 und Anlage 2. Zweitens konzentriert die institutionelle Architektur erhebliche Befugnisse beim Bundesamt für Sicherheit in der Informationstechnik (BSI), das als zuständige Behörde, zentrale Anlaufstelle, CSIRT, zentrale Meldestelle und (nach § 60) als EU-weit zuständige Behörde für Einrichtungen der digitalen Infrastruktur mit Hauptniederlassung in der EU in Deutschland fungiert. Drittens hat die Durchsetzung echte Zähne: Bußgelder erreichen 10 Millionen Euro oder 2 % des weltweiten Konzernumsatzes für besonders wichtige Einrichtungen, ergänzt durch Zwangsgelder von bis zu 100.000 Euro pro festgestelltem Verstoß.

Dieser Artikel ist ein praxisorientierter Leitfaden für den Geschäftsleser zu dem, was das neue BSIG von Führungsteams verlangt, die nun etwa sechs Monate in der Umsetzung sind. Er ordnet jede Pflicht ihrem Gegenstück in der EU-Richtlinie zu, benennt die deutsche Behörde, die für jede Interaktion zuständig ist, und verweist auf die Referenzartikel, die das jeweilige Thema vertiefen. Es handelt sich nicht um eine Rechtsberatung; dafür wenden Sie sich bitte an einen Rechtsbeistand. Aber es sollte einem Führungsteam genügen, um zu planen, zu budgetieren und Verantwortliche zu benennen.

Für einen breiteren Kontext zur Richtlinie selbst lesen Sie unseren NIS2-Compliance-Leitfaden.

Der gesetzgeberische Weg: vom IT-SiG zum NIS2UmsuCG

NIS1 wurde 2017 durch das BSI-Gesetz in der Fassung des ersten IT-Sicherheitsgesetzes (IT-SiG, 2015) und des zweiten IT-Sicherheitsgesetzes (IT-SiG 2.0, 2021) in deutsches Recht umgesetzt. Dieser Rahmen regulierte rund 4.500 vom BSI identifizierte KRITIS-Betreiber nach der BSI-Kritisverordnung (BSI-KritisV), zuzüglich digitaler Diensteanbieter in einer engen Kategorie. Er führte unter anderem die verpflichtende Einführung von Systemen zur Angriffserkennung für KRITIS-Betreiber ein, eine Pflicht, die nun in § 31 Abs. 2 des neuen BSIG übernommen wurde.

Der Weg zur Umsetzung war nicht reibungslos. Zwei frühere Entwürfe scheiterten im 20. Deutschen Bundestag vor Ablauf der Wahlperiode, ohne zur Abstimmung zu gelangen. Der aktuelle 21. Bundestag verabschiedete das NIS2UmsuCG am 13. November 2025, der Bundesrat stimmte am 21. November 2025 zu, der Bundespräsident unterzeichnete am 2. Dezember 2025, die Verkündung im BGBl. folgte am 5. Dezember 2025, und Artikel 30 setzte das Inkrafttreten auf den Tag nach der Verkündung fest, den 6. Dezember 2025. Die Umsetzungsfrist nach der Richtlinie war am 17. Oktober 2024 abgelaufen, was Vertragsverletzungsverfahren der Europäischen Kommission ausgelöst hatte; diese Verfahren wurden mit Inkrafttreten beendet.

Das Mantelgesetz-Konzept ist die strukturelle Wahl, die Deutschland von den meisten anderen Mitgliedstaaten unterscheidet. Artikel 1 erlässt das neue BSIG. Die Artikel 2 bis 28 ziehen NIS2-Pflichten durch 27 benachbarte Gesetze und Verordnungen, von EnWG über TKG, SGB V und SGB XI bis hin zur DiGAV (Digitale-Gesundheitsanwendungen-Verordnung), zur AWV (Außenwirtschaftsverordnung, für die Investitionsprüfung), zum Hinweisgeberschutzgesetz und zum VDG (Vertrauensdienstegesetz). Artikel 29 hebt das alte BSIG vollständig auf. Artikel 30 regelt das Inkrafttreten. Das konsolidierte neue BSIG wird veröffentlicht unter gesetze-im-internet.de/bsig_2025; der BGBl.-Eintrag findet sich unter recht.bund.de/bgbl/1/2025/301/VO.html mit dem ELI-Permalink recht.bund.de/eli/bund/bgbl-1/2025/301.

Wenn Ihre Organisation bereits als KRITIS-Betreiber unter dem alten BSIG erfasst war, beginnen Sie nicht mit einem leeren Blatt. Ihre Benennung wird übernommen, mit einer einzigen Übergangsbrücke nach § 39 Abs. 3: der nächste Nachweis nach dem neuen Auditzyklus kann innerhalb von drei Jahren nach Ihrem letzten Audit nach § 8a Abs. 3 BSIG a. F. eingereicht werden. Neue Pflichten gelten ansonsten sofort. Für eine Zusammenfassung dessen, was sich zwischen den beiden Regimen geändert hat, lesen Sie NIS1 vs. NIS2: die wichtigsten Unterschiede.

Anwendungsbereich

§ 28 des neuen BSIG setzt die zweistufige Anwendungslogik der Richtlinie um und führt die deutsche Taxonomie ein.

Zwei regulierte Stufen. Das Gesetz unterscheidet besonders wichtige Einrichtungen, die den „essential entities” der Richtlinie entsprechen, von wichtigen Einrichtungen, die den „important entities” der Richtlinie entsprechen. § 28 Abs. 1 zählt auf, wer als besonders wichtig gilt: (i) Betreiber kritischer Anlagen (KRITIS-Betreiber) unabhängig von ihrer Größe; (ii) qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registries und DNS-Diensteanbieter unabhängig von ihrer Größe; (iii) Anbieter öffentlicher Telekommunikationsdienste, die mehr als 50 Mitarbeiter beschäftigen oder mehr als 10 Mio. EUR Umsatz und entsprechende Bilanzschwellen aufweisen; und (iv) sonstige Einrichtungen der Anlage 1 mit mindestens 250 Beschäftigten oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Bilanzsumme. § 28 Abs. 2 erfasst die Stufe der wichtigen Einrichtungen: Vertrauensdiensteanbieter unterhalb der qualifizierten Schwelle, kleinere Telekommunikationsanbieter sowie sonstige Einrichtungen in Anlage 1 oder Anlage 2, die die Schwelle des mittleren Unternehmens von mindestens 50 Beschäftigten oder mehr als 10 Mio. EUR Umsatz und Bilanzsumme erreichen. Die Größenkriterien folgen der Empfehlung 2003/361/EG der Kommission gemäß § 28 Abs. 4. Für eine vertiefte Lektüre zu diesem zweistufigen Modell lesen Sie Wesentliche vs. wichtige Einrichtungen unter NIS2.

Anlage 1: sieben Sektoren mit hoher Kritikalität. Energie (Strom, Fernwärme, Kraftstoff, Gas), Transport und Verkehr (Luft, Schiene, Schifffahrt, Straße), Finanzwesen (Bankwesen, Finanzmarktinfrastrukturen), Gesundheit, Wasser (Trinkwasser, Abwasser), Digitale Infrastruktur (IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Vertrauensdienste, Telekom, MSP, MSSP) und Weltraum.

Anlage 2: sieben weitere kritische Sektoren. Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe (Medizinprodukte, EDV/Elektronik, Elektrik, Maschinenbau, Kfz, sonstiger Fahrzeugbau), Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke) und Forschung. Leser aus dem Bereich Fertigung sollten dies mit NIS2 im verarbeitenden Gewerbe verbinden, der die Einbeziehung des verarbeitenden Gewerbes im Detail durchgeht.

KRITIS-Betreiber. § 28 Abs. 1 Nr. 1 stuft Betreiber kritischer Anlagen unabhängig von ihrer Größe automatisch als besonders wichtige Einrichtungen ein. Was als kritische Anlage gilt, wird durch die überarbeitete BSI-Kritisverordnung (BSI-KritisV) nach § 56 Abs. 4 festgelegt, geändert durch Artikel 8 des Mantelgesetzes. Der KRITIS-Perimeter bleibt das Herzstück des deutschen Regimes für hohe Kritikalität und überlagert eine strengere Pflichtenstruktur nach § 31, die unten erörtert wird.

Die Bundesverwaltung. § 29 BSIG erstreckt den Anwendungsbereich auf die Bundesverwaltung: Bundeseinrichtungen, öffentlich-rechtliche IT-Dienstleister des Bundes und ähnliche Einrichtungen werden mit Ausnahmen als besonders wichtige Einrichtungen behandelt. Konkret finden §§ 38, 40 Abs. 3, 61 und 65 auf sie keine Anwendung, sodass das Regime der Geschäftsleitung, der Sanktionen und der direkten Aufsicht durch eine interne Informationssicherheits-Governance-Struktur ersetzt wird (ein Koordinator für Informationssicherheit nach § 48, Ressort-ISBs nach § 46 und Einrichtungs-ISBs nach § 45). Das Auswärtige Amt, das BMVg, der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) sind nach § 29 Abs. 3 herausgenommen; die IT der Bundeswehr ist mit Ausnahme der Schnittstellen von BSI-Prüfungen ausgenommen (§ 7 Abs. 7); und § 37 sieht einen Ausnahmebescheid vor, wenn die nationale Sicherheit dies erfordert.

Die Länder-Lücke. Dies ist ein deutlich deutsches Merkmal, das Compliance-Teams verinnerlichen müssen. Das neue BSIG erfasst Länder, Kommunen und Sozialversicherungsträger nicht. Nach Art. 2 Abs. 2 Buchst. f Ziff. ii NIS2 muss jedes Land sein eigenes regionales NIS2-Regime erlassen, um seine Verwaltung und die von ihm beaufsichtigten Einrichtungen zu erfassen (§ 28 Abs. 9 schließt vollständig im Eigentum eines Landes stehende Einrichtungen, die durch ein paralleles Landesrecht erfasst sind, ausdrücklich aus; § 40 Abs. 2 schreibt die BSI-Koordinierung mit den benannten Länderaufsichten vor). Mehrere Länder haben Entwürfe für Landes-NIS2-Gesetze veröffentlicht, andere befinden sich in der Anhörung, und ein Flickenteppich regionaler Regime entsteht. Mehrländer-Einrichtungen sollten den Gesetzgebungsstand jedes relevanten Landes gesondert verfolgen.

Wenn Sie unsicher sind, ob das neue BSIG auf Ihre Organisation Anwendung findet, ist die schnellste erste Prüfung unser NIS2-Anwendungsbereichsprüfer, der Sektor und Größe in drei Klicks durchläuft. Für eine vertiefte Lektüre, wie die Anwendung in der Richtlinie selbst funktioniert, lesen Sie Anwendungsbereich und Anwendbarkeit von NIS2.

Sektorale Ausnahmen. § 28 Abs. 6 Nr. 1 schließt Finanzeinrichtungen, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 (DORA) fallen, von §§ 30, 31, 32, 35, 36, 38 und 39 BSIG aus. Wo DORA gilt, gilt sie anstelle von NIS2 für denselben Sachverhalt. § 28 Abs. 5 begründet einen analogen Grundsatz für öffentliche Telekommunikation und EnWG-regulierte Energieeinrichtungen: das Sektorrecht gilt für die regulierte Tätigkeit, das BSIG gilt aber weiterhin für etwaige zusätzliche kritische Anlagen, die sie betreiben. Die DORA-Abgrenzung wird in NIS2 und der Finanzsektor: wie DORA mit dem Bankensektor überlappt sowie in NIS2, DORA und CER: sich überlappende Regulierungen entpackt.

Die deutsche institutionelle Architektur

Das neue BSIG konzentriert den Großteil der Cybersicherheitsaufsicht bei einer einzigen Bundesbehörde, dem BSI, und legt für die regulierten Branchen sektorale Aufsichtsbehörden darüber. Diese Konzentration ist eine bewusste Entscheidung und ein bedeutsamer Kontrast zum luxemburgischen Modell. Für die EU-weite Perspektive präsentiert unser Referenzartikel zu die institutionelle Architektur von NIS2: Behörden, CSIRTs und Anlaufstellen das Schema.

Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI ist nationale zuständige Behörde, zentrale Verbindungsstelle, nationales CSIRT und zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen nach §§ 3 Abs. 1 Nr. 3 und 24, 5 Abs. 3 Nr. 5 sowie 40 Abs. 1. Dieselbe Behörde, die technische Standards entwirft, Produkte zertifiziert, Ministerien berät und das CERT-Bund betreibt, prüft, auditiert, weist an und sanktioniert nun auch erfasste Einrichtungen. Praktische Implikation: das BSI ist die Stelle, die für die meisten nicht-finanziellen Einrichtungen Inspektionen, Audits, Informationsanfragen und verbindliche Anweisungen durchführt und (vorbehaltlich einer sektoralen Mitentscheidungsregel) Bußgelder verhängt.

EU-weite Zentralzuständigkeit nach § 60. Dies ist die strategisch bedeutsamste deutsche Bestimmung. Für grenzüberschreitende Anbieter digitaler Infrastruktur und digitaler Dienste, deren Hauptniederlassung in der EU in Deutschland liegt (Cloud-Anbieter, Rechenzentren, CDN-Betreiber, MSPs, MSSPs, DNS-Anbieter, TLD-Registries, Online-Marktplätze, Suchmaschinen und soziale Netzwerke), ist das BSI für den gesamten EU-Fußabdruck zuständig, nicht nur für den deutschen Teil. Verbunden mit der Größe des deutschen Marktes bedeutet dies, dass das BSI im Namen der gesamten Union zur faktischen NIS2-Aufsicht über mehrere große Hyperscaler und digitale Dienstleister werden könnte. § 34 sieht für diese Einrichtungen ein paralleles Registrierungsregime vor, wobei die Daten an die ENISA weitergeleitet werden.

Bundesnetzagentur (BNetzA). Die BNetzA behält die sektorale Vorrangstellung in Telekommunikation und Energie. Für die Telekommunikation befindet sich das substantielle Regime in §§ 165 bis 168 TKG in der Fassung von Artikel 25 des Mantelgesetzes, wobei der neu gefasste § 168 Vorfallsmeldungen sowohl an die BNetzA als auch an die BSI-Meldestelle leitet. Für die Energie verlangen die §§ 5c bis 5e EnWG (Artikel 17), dass die BNetzA den IT-Sicherheitskatalog im Einvernehmen mit dem BSI erlässt; der Katalog der kritischen Komponenten muss bis zum 6. Januar 2026 folgen.

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die meisten Finanzeinrichtungen fallen unter DORA statt unter das neue BSIG, mit der BaFin als Aufsichtsbehörde. Wo NIS2 noch greift, regelt das BSI/BaFin-Kooperationsmandat in § 3 Abs. 1 Nr. 29 den Informationsaustausch und das gemeinsame Vorgehen.

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Das BBK reguliert nicht, betreibt aber gemeinsam mit dem BSI das Meldungs- und Registrierungsportal nach §§ 32 Abs. 1 und 33 Abs. 1. Operativ bedeutet dies eine einzige Eingangstür: erfasste Einrichtungen registrieren sich, ändern Kontaktdaten und melden Vorfälle über eine Plattform, die beide Behörden bedient.

Bundesministerium des Innern (BMI). Nach § 41 kann das BMI (im Benehmen mit dem sektoralen Ministerium) einem KRITIS-Betreiber den Einsatz einer bestimmten kritischen Komponente eines Anbieters untersagen. Die Vorschrift ist die Nachfolgerin des alten § 9b BSIG und der politisch aufgeladenen Diskussionen um 5G und Huawei. § 41 Abs. 2 erlaubt die Ausdehnung des Verbots auf alle Betreiber und auf künftige Einsätze, nicht nur den fraglichen Einsatz.

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die BfDI ist keine NIS2-Behörde, sitzt aber an der Kreuzung zweier wichtiger Schnittstellen: §§ 7 Abs. 8 und 61 Abs. 11 verlangen vom BSI, die DSGVO-Aufsichtsbehörde über bei Inspektionen festgestellte Verletzungen des Schutzes personenbezogener Daten zu informieren, und § 65 Abs. 11 kodifiziert eine Non-bis-in-idem-Regel, die Doppelbußen verhindert, wenn die BfDI oder eine Landesdatenschutzbehörde bereits denselben Sachverhalt nach der DSGVO sanktioniert hat.

Die Landesbehörden. Wie oben erwähnt, müssen die Länder nach § 2 Nr. 2b ihre eigenen regionalen NIS2-Aufsichten benennen; das BSI koordiniert sie über § 40 Abs. 2. Mehrländer-Einrichtungen befassen sich daher mit dem BSI auf Bundesebene und mit der jeweiligen Landesaufsicht für jede Landeseigene oder Landesaufsichtspflichtige Tätigkeit.

Deutschland hat unter NIS2 keine neue bundeseigene Cyber-Krisenstruktur geschaffen: die bestehende CSIRT-Rolle des BSI nach §§ 3, 5 und 40 setzt sich fort, und die Vertretung in EU-CyCLONe läuft über das BSI.

Nationale Strategie und Krisenposition

Das NIS2UmsuCG erlässt kein einzelnes neues gesetzliches Cybersicherheitsstrategie-Dokument, wie es das luxemburgische Gesetz tut. Deutschland veröffentlicht seit Langem eine Cybersicherheitsstrategie für Deutschland (zuletzt 2021) und eine Konzeption Zivile Verteidigung (2016), und das BMI bereitet eine Nachfolgestrategie nach Artikel 7 der Richtlinie vor. Für die EU-Mindestanforderung dessen, was eine nationale Cybersicherheitsstrategie abdecken muss, lesen Sie Die nationale Cybersicherheitsstrategie: was Artikel 7 verlangt. Für die Rolle Deutschlands in der EU-Koordinierungsarchitektur, einschließlich EU-CyCLONe und des CSIRT-Netzwerks, lesen Sie Die Kooperationsgruppe, EU-CyCLONe und das CSIRT-Netzwerk.

Die zehn Cybersicherheitsrisikomanagementmaßnahmen (§ 30)

§ 30 des neuen BSIG ist der operative Kern für die allgemeine regulierte Population. Er verpflichtet besonders wichtige und wichtige Einrichtungen, „geeignete, verhältnismäßige und wirksame” technische und organisatorische Maßnahmen zu treffen, mit einem Allgefahrenansatz und unter Berücksichtigung des Standes der Technik nach § 30 Abs. 2 Satz 1. Die Verhältnismäßigkeitsprüfung in § 30 Abs. 1 wägt Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Wahrscheinlichkeit und Schwere von Vorfällen sowie gesellschaftliche und wirtschaftliche Auswirkungen ab. Die vertiefte Behandlung dessen, wie diese Verhältnismäßigkeitsprüfung über Einrichtungstypen hinweg wirkt, findet sich in NIS2-Verhältnismäßigkeit und Compliance.

§ 30 Abs. 2 zählt die zehn Maßnahmenkategorien wortgleich aus Art. 21 Abs. 2 der Richtlinie auf:

  • Strategien zur Risikoanalyse und Sicherheit von Informationssystemen;
  • Bewältigung von Sicherheitsvorfällen;
  • Geschäftskontinuität, einschließlich Backup-Management, Notfallwiederherstellung und Krisenmanagement;
  • Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern;
  • Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung;
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsrisikomanagementmaßnahmen;
  • grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen;
  • Konzepte und Verfahren zum Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  • Personalsicherheit, Konzepte zur Zugangskontrolle und Anlagenverwaltung;
  • Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte interne Notfallkommunikationssysteme, je nach Lage des Falles.

Für die vertiefte Behandlung dessen, was jede dieser Maßnahmen in der Praxis umfasst, lesen Sie Die 10 Cybersicherheitsmaßnahmen nach NIS2 Artikel 21. Das Allgefahrenprinzip wird in Der Allgefahrenansatz: physische Sicherheit unter NIS2 entpackt. Das Risiko der Lieferkette erhält eine eigene Behandlung in Sicherheit der Lieferkette und Lieferantenrisiko unter NIS2.

Zwei Deutschland-spezifische Hinweise. Erstens ermächtigt § 30 Abs. 6 die Bundesregierung, durch Rechtsverordnung (RVO) zertifizierte Produkte oder Dienstleistungen vorzuschreiben, sodass eine Kontrollfamilie mit der Zeit von „geeignet” auf „muss ein nach einem Schema zertifiziertes Produkt verwenden” verschärft werden kann. Zweitens setzt § 30 Abs. 8 die deutsche Tradition der von der Branche vorgeschlagenen sektoralen Standards (branchenspezifische Sicherheitsstandards) fort, vom BSI anerkannt und an die Stelle des alten Rahmens aus § 8a Abs. 2 tretend. In der Praxis ist zu erwarten, dass Ihr Branchenverband seine B3S-Standards in den nächsten achtzehn Monaten aktualisiert und die BSI-Anerkennung gegen die neuen BSIG-Verweise auffrischt.

KRITIS: die strengere Überlagerung (§§ 31, 39 und 41)

KRITIS-Betreiber sitzen an der Spitze der regulatorischen Pyramide. Sie sind automatisch besonders wichtige Einrichtungen (§ 28 Abs. 1 Nr. 1) und tragen eine strengere Überlagerung, die einer der besonderen deutschen Beiträge zum europäischen Cybersicherheitsregime ist.

§ 31 strengere Maßnahmen. § 31 Abs. 1 vermutet, dass Maßnahmen, die über die gewöhnliche Grundlinie des § 30 hinausgehen, verhältnismäßig sind, wenn ihre Kosten im Verhältnis zu den Folgen eines Ausfalls der kritischen Anlage stehen. In der Praxis ist dies der rechtliche Anknüpfungspunkt, um von einem Stromversorger oder Wasserbetreiber teure Segmentierung, gehärtete Betriebstechnik und redundante Steuerungsebenen zu verlangen, die von einer gewöhnlichen Einrichtung der Anlage 1 nicht verlangt würden.

§ 31 Abs. 2 Systeme zur Angriffserkennung. KRITIS-Betreiber müssen Systeme zur Angriffserkennung einsetzen und betreiben, definiert in § 2 Nr. 41 als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme”, mit kontinuierlicher automatisierter Erfassung und Auswertung nach dem Stand der Technik. Deutschland war 2021 mit dem IT-SiG 2.0 der erste Mitgliedstaat in der EU, der diese Systeme verpflichtend gemacht hat, und das neue BSIG übernimmt und präzisiert die Pflicht. Für die meisten KRITIS-Betreiber bedeutet dies ein dokumentiertes Security Operations Centre (SOC) oder eine Managed-Detection-and-Response-Fähigkeit (MDR), nicht ein reines Log-Archiv.

§ 39 Konformitätsnachweis. KRITIS-Betreiber müssen die Umsetzung der §§ 30 und 31 alle drei Jahre durch Audits, Prüfungen oder Zertifizierungen nachweisen, wobei die Ergebnisse beim BSI eingereicht werden. § 39 Abs. 3 sieht die Übergangsbrücke vor: der nächste Nachweis eines Betreibers nach dem neuen Regime kann innerhalb von drei Jahren nach dem letzten Audit des Betreibers nach § 8a Abs. 3 BSIG a. F. eingereicht werden, sodass die meisten bestehenden KRITIS-Betreiber ihren ersten Nachweis unter dem neuen Regime je nach ihrer früheren Audit-Frequenz zwischen 2026 und 2028 erreichen.

§ 41 Verbot kritischer Komponenten. Nach § 41 kann das BMI (im Benehmen mit dem sektoralen Ministerium) einem KRITIS-Betreiber den Einsatz einer bestimmten kritischen Komponente eines Anbieters untersagen, wenn dies die öffentliche Ordnung oder Sicherheit beeinträchtigen würde. § 41 Abs. 2 erlaubt die Ausdehnung des Verbots auf alle Betreiber desselben Typs kritischer Anlagen und auf künftige Einsätze. Dies ist die Nachfolge des alten § 9b BSIG und das operative Instrument für Vertrauensentscheidungen über Anbieter in 5G, optischer Übertragung, Smart Metering und ähnlichen Kontexten.

Für sektorspezifische Lektüre zur KRITIS-Überlagerung in Energie und Gesundheit lesen Sie NIS2 im Energiesektor und NIS2 im Gesundheitswesen: Krankenhäuser und Pharma.

Verantwortlichkeit der Geschäftsleitung (§ 38)

§ 38 BSIG mit der Überschrift Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen ist kurz, aber folgenschwer. § 38 Abs. 1 verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen, die Maßnahmen nach § 30 umzusetzen und zu überwachen. § 38 Abs. 2 knüpft an einen schuldhaften Verstoß persönliche Haftung: gesellschaftsrechtliche Regeln gelten primär, und das BSIG liefert einen subsidiären Haftungsanker, wo das Gesellschaftsrechtsregime schweigt. § 38 Abs. 3 schreibt regelmäßige Schulungen für die Geschäftsleitung vor, und parallele Schulungsangebote sind auf das Personal auszudehnen.

Geschäftsleitung ist in § 2 Nr. 13 definiert: erfasst sind die natürlichen Personen, die die Einrichtung leiten (typischerweise der Vorstand einer AG oder die Geschäftsführung einer GmbH). Die Leiter von Einrichtungen der Bundesverwaltung sind ausdrücklich keine Geschäftsleitungen in diesem Sinne: § 29 Abs. 2 nimmt § 38 für sie aus.

Parallele Vorschriften finden sich in den sektoralen Gesetzen. § 5e EnWG spiegelt den Rahmen des § 38 für Energieeinrichtungen, und § 165 Abs. 2b bis 2d TKG tut dasselbe für Telekommunikationsanbieter. Für Aufsichtsräte und Vorstände bedeutet dies, dass Cybersicherheit nicht länger ein „IT-Thema” ist, das an den CISO delegiert wird. Es ist eine Angelegenheit auf Ebene der Geschäftsleitung, mit dokumentierter Aufsicht, Schulungsnachweisen, Protokollen und Haftungsdokumentation. Unser Artikel zu Vorstandsverantwortung und Governance unter NIS2 beschreibt, wie eine verteidigbare Governance-Haltung über Rechtsordnungen hinweg aussieht.

Meldung von Sicherheitsvorfällen (§ 32)

§ 32 reproduziert das Drei-Uhren-Meldesystem der EU-Richtlinie mit einer operativen Besonderheit, die Deutschland von den meisten anderen Mitgliedstaaten unterscheidet: es gibt ein einziges, vom BSI und vom BBK gemeinsam betriebenes Meldeportal (§ 32 Abs. 1 Satz 1), und das BSI leitet relevante Meldungen nach § 32 Abs. 5 an die sektorale Aufsichtsbehörde weiter.

Frühwarnung, innerhalb von 24 Stunden (§ 32 Abs. 1 Nr. 1). Ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall (definiert in § 2 Nr. 11) übermittelt die Einrichtung eine Frühwarnung. Die Frühwarnung gibt an, ob vermutet wird, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, und ob er grenzüberschreitende Auswirkungen haben könnte.

Vorfallsmeldung, innerhalb von 72 Stunden (§ 32 Abs. 1 Nr. 2). Die Meldung aktualisiert die Frühwarnung mit einer ersten Bewertung von Schwere, Auswirkungen und (sofern verfügbar) Kompromittierungsindikatoren.

Zwischenmeldungen auf Anfrage (§ 32 Abs. 1 Nr. 3) und Abschlussbericht innerhalb eines Monats (§ 32 Abs. 1 Nr. 4 und Abs. 2). Der Abschlussbericht umfasst eine detaillierte Beschreibung, die Grundursache, die ergriffenen und laufenden Abhilfemaßnahmen sowie die grenzüberschreitenden Auswirkungen. Wenn der Vorfall am Ende des Monats noch behandelt wird, übermittelt die Einrichtung eine Fortschrittsmeldung und einen Abschlussbericht innerhalb eines Monats nach Abschluss.

§ 36 verpflichtet das BSI, soweit möglich innerhalb von 24 Stunden nach Eingang der Frühwarnung eine erste Antwort zu liefern, einschließlich Anleitung und operativer Empfehlungen. Die Schwelle für einen erheblichen Sicherheitsvorfall wird in § 2 Nr. 11 konkretisiert und kann durch Rechtsverordnung nach § 56 Abs. 5 weiter spezifiziert werden; bis dahin gilt die Schwellenlogik der Richtlinie. Für den praktischen Leitfaden zur Einhaltung der Fristen lesen Sie Der NIS2-Vorfallsmeldezeitplan. Dazu, wann ein Vorfall tatsächlich die Schwelle „erheblich” überschreitet (die schwierigste Entscheidung in den ersten 24 Stunden), lesen Sie Was macht einen Vorfall im Sinne von NIS2 erheblich.

Sektorale Parallelen. § 5d Abs. 3 EnWG leitet dieselben 24/72/Monat-Meldungen an die BSI-Meldestelle, wobei das BSI im Benehmen mit der BNetzA handelt. § 168 TKG, durch Artikel 25 des Mantelgesetzes neu gefasst, verlangt denselben Zeitplan, jedoch sowohl an die BNetzA als auch an das BSI. Gesundheitseinrichtungen leiten ihre § 30-Pflichten weiterhin über den SGB-V-Rahmen, wobei die Verweise auf §§ 30, 31 und 39 BSIG durch SGB V, SGB XI, DiGAV und die Krankenhausstrukturfonds-Verordnung gefädelt werden (Mantelgesetz Artikel 21, 22, 24 und 26).

Offenlegung von Schwachstellen (§ 5) und Plattform zum Bedrohungsaustausch (§ 6)

§ 5 benennt das BSI als Koordinator für die koordinierte Offenlegung von Schwachstellen (CVD) nach Art. 12 Abs. 1 der Richtlinie. Das BSI muss bis zum 6. Dezember 2026 eine dokumentierte Beschreibung des CVD-Verfahrens veröffentlichen (§ 5 Abs. 6), sodass Forscher und Betreiber eine einjährige Übergangsfrist zu einem formalisierten Programm haben. In der Zwischenzeit setzt sich die bestehende CVD-Praxis des BSI fort, einschließlich der etablierten Kanäle für die Meldung von Schwachstellen in weit verbreiteten Produkten und der Koordination mit Herstellern. Für die breitere EU-Sicht darauf, was ein CVD-Rahmen leisten muss, lesen Sie Rahmen für die Offenlegung von Schwachstellen unter NIS2.

§ 6 kodifiziert die Rolle des BSI beim Betrieb einer Informationsaustauschplattform für den Austausch von Cyberbedrohungsdaten zwischen erfassten Einrichtungen. § 11 liefert ein verwandtes operatives Werkzeug: in herausgehobenen Fällen (besonders aufsehenerregende Angriffe) kann das BSI direkte Wiederherstellungsmaßnahmen ergreifen, wobei die Kosten der Erstreaktion erlassen werden. Dies ist ein bedeutsamer operativer Rückhalt für Opfer staatlich gesteuerter Vorfälle, die die internen Fähigkeiten übersteigen.

Registrierung (§§ 33 und 34)

Es gelten zwei Registrierungspfade.

Allgemeine Registrierung (§ 33). Besonders wichtige und wichtige Einrichtungen sowie Anbieter von Domänennamen-Registrierungsdiensten müssen sich innerhalb von drei Monaten nach Werden einer solchen Einrichtung über das gemeinsame BSI/BBK-Portal beim BSI registrieren (§ 33 Abs. 1). Der Datensatz umfasst Name, Rechtsform, Kontakt, öffentliche IP-Bereiche, Sektor nach Anlage 1 oder 2, EU-Mitgliedstaaten, in denen Dienste erbracht werden, und die zuständigen Aufsichtsbehörden. § 33 Abs. 2 schreibt einen zusätzlichen Datensatz für KRITIS-Betreiber vor: Details zur kritischen Anlage, Standort und ein 24/7-Kontakt. § 33 Abs. 3 erlaubt dem BSI, eine Einrichtung von Amts wegen zu registrieren. § 33 Abs. 5 verlangt, dass Änderungen innerhalb von zwei Wochen gemeldet werden.

Zentrale Registrierung digitaler Dienste (§ 34). Einrichtungen, die unter die EU-weite Zentralzuständigkeit nach § 60 fallen (Cloud, Rechenzentren, CDN, MSPs, MSSPs, DNS, TLDs, Online-Marktplätze, Suchmaschinen, soziale Netzwerke), übermitteln innerhalb von drei Monaten einen detaillierteren Datensatz, den das BSI für das EU-weite Register nach Art. 27 der Richtlinie an die ENISA weiterleitet.

Wenn Ihr Unternehmen ein Anbieter verwalteter Dienste oder ein MSSP ist, lesen Sie Werden MSPs und MSSPs unter NIS2 reguliert. Für Cloud-, Rechenzentrums- und CDN-Anbieter lesen Sie Digitale Infrastruktur unter NIS2: Cloud und Rechenzentrum. Beachten Sie, dass die sektorale Parallele nach § 5d Abs. 4 EnWG kleine Netzbetreiber verpflichtet, sich bis zum 6. März 2026 zu registrieren, ein Termin, dem sich viele kleinere Stadtwerke und Netzbetreiber erst jetzt nähern.

Zertifizierung, BSI-Grundschutz und der Cybersecurity Act (§§ 30 Abs. 6, 44, 52 bis 55)

Das neue BSIG konsolidiert die Rollen des BSI in Standards, Zertifizierung und Kennzeichnung.

§ 52 bestätigt das BSI als nationale Zertifizierungsstelle. § 54 benennt es als nationale Cybersicherheits-Zertifizierungsstelle nach der Verordnung (EU) 2019/881 (Cybersecurity Act), was bedeutet, dass es die zuständige Stelle für europäische Zertifizierungsschemata wie EUCC und das kommende EUCS für Cloud-Dienste ist. § 53 verankert das Regime der Konformitätsbewertung und Selbsterklärung. § 55 erhält das freiwillige IT-Sicherheitskennzeichen als Verbraucherlabel.

§ 44 erhält die BSI-Zuständigkeit für Mindeststandards und IT-Grundschutz für die Bundesverwaltung. Während IT-Grundschutz formal nur den Bund bindet, bleibt er der faktische Maßstab, den deutsche Auditoren und Versicherer von KRITIS-Betreibern und Großunternehmen erwarten. Für das Verhältnis zwischen BSI-Grundschutz, ISO 27001 und dem NIS2-Maßnahmenregime lesen Sie NIS2, ISO 27001 und Cybersicherheits-Zertifizierungsschemata.

§ 30 Abs. 6 und § 56 Abs. 3 liefern zusammen den Mechanismus, durch den ein EU-Zertifizierungsschema in Deutschland für eine definierte Klasse von Produkten oder Dienstleistungen verpflichtend gemacht werden kann: eine Rechtsverordnung (RVO) der Bundesregierung. Dieser Weg ist noch nicht aktiv, aber offen. Die wahrscheinlichsten ersten Ziele sind Cloud-Dienste (sobald das EUCS-Schema finalisiert ist) und bestimmte OT-Komponenten in regulierten KRITIS-Sektoren.

Aufsicht (§§ 59 bis 64)

§ 59 bestätigt das BSI als alleinige zuständige Behörde für die Einhaltung von Teil 3 des BSIG. Der substantielle Aufsichts-Werkzeugkasten unterscheidet sich dann scharf zwischen besonders wichtigen und wichtigen Einrichtungen, im Einklang mit der Richtlinie.

Besonders wichtige Einrichtungen (§ 61): ex ante plus ex post. § 61 Abs. 1 ermächtigt das BSI, Audits, Prüfungen oder Zertifizierungen anzuordnen. § 61 Abs. 3 erlaubt dem BSI, Nachweise zu verlangen (die „ex-ante”-Inspektionen der Richtlinie); jedoch darf das BSI für besonders wichtige Einrichtungen, die keine KRITIS-Betreiber sind, solche Audits nicht früher als drei Jahre nach Inkrafttreten anordnen, also nicht vor dem 6. Dezember 2028. Für Krankenhäuser nach § 108 SGB V ist die Anlaufzeit noch länger, mit Audits, die nicht vor dem 6. Dezember 2030 angeordnet werden können. § 61 Abs. 5 ermächtigt zur Überprüfung vor Ort. § 61 Abs. 6 ermächtigt zu Anordnungen, bestimmte Maßnahmen zu treffen, § 61 Abs. 7 zu Anordnungen, Pflichten allgemeiner umzusetzen, und § 61 Abs. 8 zu Anordnungen, Kunden zu benachrichtigen und Informationen über Sicherheitsvorfälle zu veröffentlichen. § 61 Abs. 9 enthält die schwerwiegendsten Maßnahmen, verfügbar als letztes Mittel, im Einvernehmen mit der sektoralen Aufsicht: vorübergehende Aussetzung einer Erlaubnis und vorübergehendes Verbot für Mitglieder der Geschäftsleitung, Leitungsfunktionen auszuüben.

Wichtige Einrichtungen (§ 62): nur ex post. Inspektionen und Anordnungen bleiben verfügbar, aber nur wenn Tatsachen die Annahme rechtfertigen, dass eine Nichteinhaltung vorliegt. Dies bedeutet, dass das BSI einen begründeten Anlass haben muss, bevor es eine Aufsichtsakte über eine wichtige Einrichtung eröffnet.

§ 63 Verwaltungszwang. Wird einer Anordnung nicht Folge geleistet, kann das BSI Zwangsgelder bis zu 100.000 EUR pro festgestelltem Verstoß verhängen und damit die Obergrenze von 25.000 EUR in § 11 Abs. 3 VwVG überschreiten.

Unser Referenzartikel zu NIS2-Durchsetzungsbefugnisse, Sanktionen und Bußgelder zeigt, wie Behörden diese Werkzeuge in der Praxis einsetzen.

Bußgelder (§ 65)

Die Bußgeldstufen in § 65 Abs. 5 Nr. 1 sind an den Mindestvorgaben der Richtlinie ausgerichtet. Frühere Obergrenzen-Entwürfe von 20 Mio. EUR und 4 % des Umsatzes wurden in der Endfassung nicht übernommen.

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. EUR (§ 65 Abs. 5 Nr. 1); für Gruppen mit weltweitem Umsatz über 500 Mio. EUR bis zu 2 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist (§ 65 Abs. 6).
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR (§ 65 Abs. 5 Nr. 1); für Gruppen mit weltweitem Umsatz über 500 Mio. EUR bis zu 1,4 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist (§ 65 Abs. 7).

Engere oder verfahrenstechnischere Verstöße tragen niedrigere Obergrenzen (5 Mio. EUR, 2 Mio. EUR, 1 Mio. EUR, 500.000 EUR und 100.000 EUR) nach § 65 Abs. 5 Nr. 2 ff. Für die vertiefte Behandlung der Kalibrierung und Anwendung dieser Obergrenzen lesen Sie Bußgelder nach NIS2: der Rahmen von 10 Mio. EUR.

Die Zwangsgeld-Obergrenze beträgt 100.000 EUR pro Verstoß (§ 63), wie oben erörtert. Durch das NIS2UmsuCG werden keine neuen Straftaten geschaffen: §§ 202a, 202b, 303a und 303b StGB gelten weiterhin für das zugrundeliegende Computerstrafrecht, und § 8 Abs. 6 BSIG regelt die Übermittlung von Beweismitteln vom BSI an die Staatsanwaltschaft.

DSGVO-Doppelahndung. § 65 Abs. 11 verbietet ein NIS2-Bußgeld, wenn die BfDI oder eine Landesdatenschutzbehörde bereits ein DSGVO-Bußgeld für denselben Sachverhalt verhängt hat. Nicht-monetäre Maßnahmen (Anordnungen, Inspektionen, Meldepflichten) bleiben parallel verfügbar. Die Wechselwirkung wird in Überschneidung von NIS2 und DSGVO: Cybersicherheit und Datenschutz entpackt.

Das Mantelgesetz: sektorale Parallelen, die Sie nicht übersehen dürfen

Das Mantelgesetz-Konzept des NIS2UmsuCG bedeutet, dass das neue BSIG für viele erfasste Einrichtungen nur die halbe Geschichte ist. Die Artikel 2 bis 28 ändern 27 benachbarte Gesetze und Verordnungen, und für Energie-, Telekommunikations- und Gesundheitseinrichtungen ist der sektorale Text das primäre operative Instrument.

Energie: EnWG (Mantelgesetz Artikel 17). Die alten § 11 Abs. 1a bis 1g EnWG werden vollständig gestrichen und durch neue §§ 5c bis 5e EnWG ersetzt. § 5c trägt die substantiellen Pflichten: den IT-Sicherheitskatalog setzt die BNetzA im Einvernehmen mit dem BSI fest, und der Katalog der kritischen Komponenten muss bis zum 6. Januar 2026 erlassen werden. Die zehn Maßnahmenkategorien unter EnWG spiegeln § 30 BSIG. Der 24/72/Monat-Meldezeitplan läuft an die BSI-Meldestelle, wobei das BSI im Benehmen mit der BNetzA handelt. § 5e EnWG spiegelt die Geschäftsleitungspflichten des § 38. Die Bußgelder spiegeln die BSIG-Stufen: 10 Mio. EUR / 2 % für besonders wichtige und 7 Mio. EUR / 1,4 % für wichtige Einrichtungen. § 5c Abs. 2 erhält den Vorrang atomrechtlicher Pflichten nach dem Atomgesetz (Mantelgesetz Artikel 16) und bewahrt den AtG-Rahmen für kerntechnische Anlagen.

Telekommunikation: TKG (Mantelgesetz Artikel 25). § 165 TKG wird um die zehn Maßnahmenkategorien (Abs. 2a bis 2d) sowie um die Haftungs- und Schulungspflichten der Geschäftsleitung erweitert. § 168 TKG wird mit dem 24/72/Monat-Meldezeitplan an sowohl die BNetzA als auch das BSI neu gefasst. § 167 enthält eine Übergangsregelung: die BNetzA behält Befugnisse zur Definition kritischer Komponenten, bis die Rechtsverordnung des BSIG nach § 56 Abs. 7 diese übernimmt.

Gesundheit: SGB V, DiGAV, SGB XI, Krankenhausstrukturfonds-Verordnung (Mantelgesetz Artikel 21, 22, 24 und 26). Verweise auf § 8a BSIG a. F. werden durchgehend durch Verweise auf die neuen §§ 30, 31 und 39 BSIG ersetzt. Operativ bedeutet dies, dass Krankenhäuser (unter Berücksichtigung der längeren fünfjährigen Audit-Anlaufzeit nach § 61 Abs. 3), Anbieter digitaler Gesundheitsanwendungen (DiGA) und Pflegeversicherungsträger weiterhin über ihre sektoralen Kanäle reguliert werden, wobei der substantielle Inhalt nun aus dem neuen BSIG bezogen wird.

Vertrauensdienste: VDG (Mantelgesetz Artikel 28). § 2 Abs. 3 VDG wird als Folgeänderung gestrichen, was widerspiegelt, dass qualifizierte Vertrauensdiensteanbieter nun nach § 28 Abs. 1 Nr. 2 BSIG besonders wichtige Einrichtungen sind.

AWV: Investitionsprüfung (Mantelgesetz Artikel 27). § 55a AWV wird aktualisiert, um auf die neue Terminologie „kritische Anlagen” zu verweisen. Der Investitionsprüfungstrigger für Übernahmen von KRITIS-Betreibern durch Nicht-EU-Investoren bleibt erhalten, und der Perimeter folgt nun der neuen BSI-KritisV.

Hinweisgeberschutz: Hinweisgeberschutzgesetz (Mantelgesetz Artikel 14). Der Anwendungsbereich wird aktualisiert, um die neuen Kategorien digitaler Dienste Cloud und DNS zu erfassen.

Wenn Ihre Organisation in mehr als einem dieser regulierten Sektoren tätig ist, muss Ihre Compliance-Karte mit dem sektoralen Text beginnen und das BSIG als residuale Voreinstellung verwenden. Das einzige Registrierungsportal an der gemeinsamen BSI/BBK-Meldestelle vereinfacht die administrative Schnittstelle, aber die substantiellen Pflichten verteilen sich auf mehrere Gesetze.

Sektorspezifische Lektüre

Wenn Ihre Organisation in einem regulierten Sektor tätig ist, weist die Kategorisierung nach Anlage 1 oder Anlage 2 direkt auf die entsprechenden sektoralen Leitfäden:

Für eine vergleichende Sicht darauf, wie andere Mitgliedstaaten die Richtlinie umgesetzt haben, lesen Sie unsere begleitenden Analysen zu NIS2 in Luxemburg und NIS2 in Belgien. Die deutsche Bund-Länder-Aufteilung, die EU-weite Zuständigkeit des BSI nach § 60 und die KRITIS-Pflicht zur Angriffserkennung sind die drei unterscheidenden Merkmale, die in keinem dieser Länder ein direktes Pendant haben.

Was Sie in diesem Quartal tun sollten

Sechs Monate nach Beginn des neuen Regimes sollten die meisten Führungsteams bereits eine grundlegende Gap-Analyse und einen Fahrplan haben. Falls nicht, oder falls Sie Ihre Pläne überarbeiten, nachdem sich der erste Staub gelegt hat, ist eine vernünftige Reihenfolge:

  1. Anwendungsbereich präzise bestätigen. Nutzen Sie den NIS2-Anwendungsbereichsprüfer oder beauftragen Sie einen Rechtsbeistand mit einer Überprüfung von § 28 an Ihren Tätigkeiten. Achten Sie besonders darauf, ob Sie nach der überarbeiteten BSI-KritisV ein KRITIS-Betreiber sind, da dies die § 31-Überlagerung und eine kürzere Aufsichts-Anlaufzeit auslöst.
  2. Ihre Ansprechpartner identifizieren. BSI für den Standardfall; BNetzA für operative Pflichten in Telekommunikation und Energie; BaFin für etwaige residuale Finanzsektor-Angelegenheiten; die zuständige Landesaufsicht für jede Landes-Tätigkeit. Wenn Sie ein MSP, MSSP, Cloud-, Rechenzentrums-, CDN-, DNS-, TLD-Anbieter oder eine Online-Plattform mit Hauptniederlassung in der EU in Deutschland sind, fallen Sie unter die EU-weite Zuständigkeit des BSI nach § 60, und Ihre Registrierung läuft über § 34.
  3. Registrieren. Bereiten Sie die § 33-Meldung (und gegebenenfalls die § 34-Meldung) vor. Die Drei-Monats-Frist läuft ab dem Zeitpunkt, an dem Sie zu einer erfassten Einrichtung werden; für Einrichtungen, die am 6. Dezember 2025 in den Anwendungsbereich gerieten, ist diese Frist bereits abgelaufen. Wenn Sie die Frist verpasst haben, registrieren Sie sich jetzt und dokumentieren Sie die Begründung für die Verzögerung.
  4. Die Geschäftsleitung informieren. Die persönliche Haftung nach § 38 ist das wichtigste Gespräch, das auf Ebene der Geschäftsleitung zu führen ist. Dokumentieren Sie die Genehmigung der Maßnahmen, die Durchführung der Schulungen (die Schulungspflicht ist wiederkehrend) und die Haftungsdokumentation. Wo anwendbar, spiegeln Sie dies mit Gesprächen nach § 5e EnWG oder § 165 TKG für sektorale Verantwortlichkeiten auf Vorstandsebene.
  5. Das Vorfallsregime aufstellen. Bilden Sie Ihren Erkennungs-, Klassifizierungs- und Meldefluss auf die Uhren von 24 Stunden, 72 Stunden und einem Monat nach § 32 (und die sektoralen Parallelen in § 5d EnWG und § 168 TKG) ab. Hinterlegen Sie Ihre Kontaktdaten im Voraus im gemeinsamen BSI/BBK-Portal und üben Sie eine Tischübung, die innerhalb von vier Stunden einen Entwurf einer Frühwarnung produziert.
  6. Die Lücken nach § 30 schließen und die § 31-Überlagerung, falls KRITIS. Führen Sie eine Kontrollabbildung gegen die zehn Kategorien durch. Für KRITIS-Betreiber: auditieren Sie Ihre Systeme zur Angriffserkennung gegen § 31 Abs. 2 und die aktuelle Orientierungshilfe des BSI. Planen Sie den § 39-Nachweiszyklus für 2026 bis 2028.
  7. Dokumentieren, dokumentieren, dokumentieren. § 65 Abs. 10 macht Zusammenarbeit und nachweisbare Sorgfalt materiell für die Bußgeldberechnung. Bauen Sie die Nachweisspur jetzt auf, nicht erst nach der ersten BSI-Inspektion. Wo Sie branchenspezifische Sicherheitsstandards (B3S) nach § 30 Abs. 8 verwenden, bewahren Sie den Anerkennungsnachweis und die Umsetzungsabbildung auf.

Für ein längeres Handbuch durchquert der NIS2-Compliance-Leitfaden jede Pflicht der Reihe nach.

Quellen und Referenzen

Primärquellen:

  • Deutschland, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301 vom 5. Dezember 2025, in Kraft am 6. Dezember 2025. BGBl.-Verkündung: recht.bund.de/bgbl/1/2025/301/VO.html. ELI-Permalink: recht.bund.de/eli/bund/bgbl-1/2025/301. Volltext-PDF: recht.bund.de/bgbl/1/2025/301/regelungstext.pdf.
  • Konsolidiertes neues BSI-Gesetz: gesetze-im-internet.de/bsig_2025.
  • Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie). Referenzseite: digital-strategy.ec.europa.eu/de/policies/nis2-directive. Konsolidierter Text auf EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj.
  • Verordnung (EU) 2022/2554 (DORA) und die sektorale Ausnahme nach § 28 Abs. 6 Nr. 1 BSIG.
  • Verordnung (EU) 2019/881 (Cybersecurity Act), Grundlage für die Benennung der Zertifizierungsstelle nach § 54 BSIG.
  • Empfehlung 2003/361/EG der Kommission zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, angewandt nach § 28 Abs. 4 BSIG.
  • Sektorale Änderungsgesetze des Mantelgesetzes: Artikel 17 (§§ 5c bis 5e EnWG), Artikel 25 (§§ 165 bis 168 TKG), Artikel 21, 22, 24 und 26 (SGB V, DiGAV, SGB XI, Krankenhausstrukturfonds-Verordnung), Artikel 27 (§ 55a AWV), Artikel 28 (VDG).

Deutsche Stellen:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI), nationale zuständige Behörde, zentrale Anlaufstelle, CSIRT und zentrale Meldestelle. NIS2-Hub: bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html.
  • Bundesnetzagentur (BNetzA), sektorale Aufsicht für Telekommunikation (TKG) und Energie (EnWG).
  • Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Aufsicht für DORA-regulierte Finanzeinrichtungen und Partner des BSI für etwaige residuale NIS2-Angelegenheiten.
  • Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), gemeinsamer Betreiber des BSI/BBK-Melde- und Registrierungsportals.
  • Bundesministerium des Innern (BMI), zuständig für Verbotsverfügungen nach § 41 zu kritischen Komponenten.
  • Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), DSGVO-Aufsicht für Bundeseinrichtungen und Gegenpart nach § 65 Abs. 11 Non-bis-in-idem.

Dieser Artikel spiegelt das Gesetz wider, wie es am 5. Dezember 2025 verkündet wurde und am 6. Dezember 2025 in Kraft getreten ist. Das BSI wird in den kommenden Monaten weitere Orientierungshilfen, die Beschreibung des CVD-Verfahrens (bis zum 6. Dezember 2026) und die Rechtsverordnungen nach § 56 veröffentlichen; die Länder werden schrittweise ihre eigenen Landes-NIS2-Gesetze erlassen. Konsultieren Sie den NIS2-Hub des BSI für die aktuellsten offiziellen Leitlinien, bevor Sie operative Entscheidungen abschließen.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Belgien: Wie das Gesetz vom 26. April 2024 die EU-Richtlinie umsetzt
NIS2 · 2 Jun 2026

NIS2 in Belgien: Wie das Gesetz vom 26. April 2024 die EU-Richtlinie umsetzt

Belgien hat NIS2 mit dem Gesetz vom 26. April 2024 umgesetzt und CCB, NCCN sowie sektorale Regulierungsbehörden als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung nach zwanzig Monaten Geltung wissen muss.
NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.