Nachdem am 13. November 2025 das NIS-2-Umsetzungsgesetz im Bundestag verabschiedet wurde, hat nun der Bundesrat am 21. November 2025 die Umsetzung der NIS-2-Richtlinie final verabschiedet. Insbesondere die neuen IT-Sicherheitsanforderungen, die durch das neue BSI-Gesetz („BSIG-neu“) nun auf viele Unternehmen zukommen werden, stehen damit fest. Nach Ausfertigung durch den Bundespräsidenten wird das BSIG-neu zeitnah in Kraft treten.
Auf wen die neuen IT-Sicherheitsanforderungen Anwendung finden und was Unternehmen jetzt prüfen (lassen) sollten, wird in diesem Beitrag beleuchtet.
Anwendbarkeitsprüfung:
Die neuen IT-Sicherheitsanforderungen werden viele Unternehmen treffen, die bisher nicht dem Bereich KRITIS zuzuordnen waren und damit keinen solchen Pflichten unterlagen. Das BSIG-neu sieht vor, dass die IT-Sicherheitsanforderungen auf wichtige und besonders wichtige Einrichtungen Anwendung finden soll.
Ob ein Unternehmen hierunter fällt, entscheidet sich nach einer zweistufigen Prüfung:
- 1. Stufe: Um als wichtige Einrichtung zu gelten, muss das Unternehmen mindestens 50 Mitarbeitende ODER einen Jahresumsatz von mehr als 10 Mio. Euro haben (Schwellenwertprüfung). Ab 250 Mitarbeitenden ODER 50 Mio. Euro Jahresumsatz gilt das Unternehmen als besonders wichtige Einrichtung. ACHTUNG: In Konzernen sind auch verbundene Unternehmen einzubeziehen!
- 2. Stufe: Das Unternehmen muss in einem Sektor tätig sein, der in Anlage 1 oder 2 des BSIG-neu genannt ist.
Im Detail bleiben bei der Anwendbarkeitsprüfung im BSIG-neu noch Fragen offen. So bleibt etwa unklar, ob es bereits reicht, wenn Unternehmen mit Waren aus den Anlagen 1 oder 2 handeln oder ob diese Unternehmen Waren aus den Anlagen 1 oder 2 auch herstellen müssen. Dies kann im Einzelfall für ausschließlich vertriebs- und resale-orientierte Unternehmen zu Unklarheiten bei der Anwendbarkeit des BSIG-neu führen. Hinweise der zuständigen Aufsichtsbehörde (BSI) deuten allerdings darauf hin, dass – obwohl dies von der NIS-2-Richtlinie nicht vorgeschrieben ist – ein bloßes Handeln mit Waren oder Dienstleistungen in den genannten Sektoren ausreichend sein wird, solange dies nicht nur eine Nebentätigkeit darstellt.
Das Ergebnis der Anwendbarkeitsprüfung sollte in jedem Fall dokumentiert werden.
Registrierungspflicht beim BSI
Unternehmen, die unter das BSIG-neu fallen, müssen sich beim BSI registrieren:
- Besonders wichtige und wichtige Einrichtungen: 3 Monate nach erstmaliger Anwendbarkeit des BSIG-neu, also frühestens 3 Monate nach Inkrafttreten
- Betreiber kritischer Anlagen (KRITIS): 3 Jahre nach erstmaliger Anwendbarkeit des BSIG-neu, also frühestens 3 Monate nach Inkrafttreten und dann alle 3 Jahre neu
Die Registrierung erfolgt elektronisch beim BSI. Die Registrierung umfasst:
- Unternehmensdaten
- Kontaktdaten
- Zugehöriger Sektor
Die Registrierung ist verpflichtend, die Nichterfüllung der Registrierung kann zu erheblichen Bußgeldern führen.
Inhaltliche Pflichten aus dem BSIG-neu
Das BSIG-neu sieht im Überblick folgende IT-sicherheitsbezogene Pflichten vor:
Risikomanagement– und Dokumentationsmaßnahmen
Hierzu zählen
- Gap-Analyse
- Risikoanalyse-/IT-Sicherheitskonzept
- Bewältigung von IT-Sicherheitsvorfällen (Incident Response)
- Business Continuity und Back-ups
- die Durchführung von Risikoanalysen und Durchführung sogenannter Cyberhygiene im eigenen Unternehmen (z. B. sichere Passwörter, Zugriffsbeschränkungen, Backupkonzepte etc.).
Die Maßnahmen können Eingang in ein Information Security Management System (ISMS) finden. Unternehmen können zudem erwägen, ob je nach Risikoexposition, Unternehmensgröße und Kosten eine Zertifizierung nach ISO 27001 sinnvoll ist. Allerdings kann es auch schon genügen, sich an den vom BSI ausgegebenen Standards im IT-Grundschutz-Kompendium zu orientieren.
Vertragliche Pflichten in der Lieferkette
Auch die Lieferkette muss organisatorisch und vertraglich in den Blick genommen und IT-Sicherheitspflichten an Vertragspartner wie Dienstleister und Lieferanten weitergegeben werden. Regelungsgegenstände sind:
- Verpflichtung zu IT-Sicherheitsstandards
- Benachrichtigungs- und Mitwirkungspflicht bei IT-Sicherheitsvorfällen
- Audit- und Prüfrechte
- Rechtsfolgen bei Verstößen (Vertragsstrafe, Kündigung etc.)
Meldung von Sicherheitsvorfällen
Einen gewissen Implementierungs- und Umsetzungsaufwand werden auch die vorbereitenden Maßnahmen zur Meldung von Sicherheitsvorfällen mit sich bringen. Im Fall von erheblichen Sicherheitsvorfällen, die schwerwiegende Betriebsstörungen der Dienste oder finanzielle Schäden verursachen können, müssen Unternehmen:
- innerhalb von 24 Stunden nach Kenntniserlangung eine frühe Erstmeldung
- innerhalb von 72 Stunden nach Kenntniserlangung eine vollständige Meldung
- binnen 1 Monats eine Abschlussmeldung oder bei andauernden Vorfällen eine Fortschrittsmeldung
an das BSI durchführen.
Geschäftsleitung in der Pflicht
Bei der Umsetzung der IT-Sicherheitsmaßnahmen nimmt das BSIG-neu die Geschäftsleitung in die Pflicht. Sie muss dafür sorgen, dass die Maßnahmen im Unternehmen auch tatsächlich umgesetzt werden und die Umsetzung überwachen. Damit die Geschäftsleitung dazu in der Lage ist, muss sie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von IT-Sicherheits-Risiken zu erlangen.
Zu den Pflichten im Einzelnen lesen Sie hier auch unseren vorhergehenden Blogbeitrag zu diesem Thema.
Was sollten Unternehmen jetzt tun?
Es ist zu erwarten, dass das BSIG Anfang 2026 in Kraft tritt. Eine Übergangsfrist ist nicht vorgesehen. Ab Inkrafttreten müssen Unternehmen folgende Fristen beachten:
Da die Pflichten des BSIG nach aktuellem Stand sofort nach Inkrafttreten aktiviert werden, sollten Unternehmen jetzt prüfen (lassen), ob der Anwendungsbereich des BSIG-neu auf das jeweilige Unternehmen Anwendung finden wird.
Gerne unterstützen wir Sie bei Fragen rund um die Anwendbarkeit und Umsetzung der neuen Regelungen und insbesondere:
- Anwendbarkeitsprüfung und Dokumentation
- Gap-Analyse und Fahrplan für IT-Sicherheits-Compliance
- Vertragsgestaltung in der Lieferkette (sowohl für Lieferanten als auch Kunden)
- Umgang mit dem BSI und Erfüllung von Nachweispflichten
Für weitere Fragen zum Thema IT-& Datenschutzrecht steht Ihnen unsere Praxisgruppe IT & Datenschutz bei RITTERSHAUS gerne zur Verfügung.
