Die 2022 verabschiedete NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 – „NIS-2“) soll Unternehmen zur Stärkung ihrer Cybersicherheit verpflichten. Sie wird voraussichtlich in Kürze durch das am 30. Juli 2025 von der Bundesregierung beschlossene NIS-2UmsuC-Gesetz in deutsches Recht umgesetzt.¹ Die für die deutschen Unternehmen wesentlichen Bestimmungen werden sich dann hauptsächlich aus der Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik ergeben, das gegenwärtig als Bestandteil des NIS-2UmsuC-Gesetzes im Entwurf vorliegt („BSIG-E“).

Das neue Gesetz wird im Vergleich zur aktuellen Rechtslage auf eine deutlich größere Anzahl von Unternehmen Anwendung finden als die bisherigen Regelungen zur Cybersicherheit im BSIG. Zudem können sich aus der gesetzlichen Pflicht zur Absicherung der Lieferkette auch für Unternehmen, die nicht direkt in den Anwendungsbereich des Gesetzes fallen, vertragliche Pflichten zur Anpassung und Stärkung der Cybersicherheit ergeben.

Wir geben Ihnen nachfolgend einen Überblick darüber, wann und in welchem Umfang Unternehmen vom neuen Cybersicherheitsrecht betroffen sein werden.

Was ist zu tun?

Die frühzeitige Umsetzung erforderlicher Maßnahmen ist entscheidend, um Sanktionen zu vermeiden und die Sicherheit des Unternehmens zu gewährleisten. Eine Umsetzungsfrist nach Inkrafttreten sieht das BSIG-E bislang nicht vor und mit einer solchen ist auch im weiteren Gesetzgebungsverfahren nicht zu rechnen, da sich Deutschland bereits mit der Umsetzung der NIS-2-Ricthlinie in Verzug befindet. Zur Bestimmung rechtlicher Pflichten ist zunächst eine Anwendbarkeitsprüfung erforderlich:

• Unmittelbare Anwendbarkeit des Gesetzes auf Ihr Unternehmen: Prüfen Sie, ob Ihr Unternehmen unmittelbar in den Anwendungsbereich des neuen Cybersicherheitsrechts fällt (Ist Ihr Unternehmen unmittelbar von dem neuen Cybersicherheitsrecht erfasst?)
• Mittelbare Anwendbarkeit auf Ihr Unternehmen: Besteht keine unmittelbare Anwendbarkeit, können Cybersicherheitsanforderungen künftig mittelbar bestehen, wenn Ihr Unternehmen mit einem nach Cybersicherheitsrecht regulierten Unternehmen zusammenarbeitet (Vertragliche Cybersicherheitspflichten: Ist Ihr Unternehmen mittelbar erfasst?).

Ist Ihr Unternehmen unmittelbar von dem neuen Cybersicherheitsrecht erfasst?

Die Antwort auf diese Frage hängt davon ab, ob das Unternehmen in einem bestimmten Sektor tätig ist und eine bestimmte Größe (gemessen an Mitarbeiterzahl und Umsatz) erreicht. Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen.

Besonders wichtige Einrichtungen – Sonderregelungen, Sektoren und Schwellenwerte

• Explizite Benennung als besonders wichtige Einrichtung: Betreiber kritischer Anlagen (nach dem aktuellen Recht die sog. KRITIS-Betreiber), Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries, DNS-Diensteanbieter; unabhängig von der Unternehmensgröße.
• Qualifizierung nach Sektor und Unternehmensgröße: Als besonders wichtige Einrichtungen gelten Unternehmen, die in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Digitale Infrastruktur oder Weltraum tätig sind und die mindestens 250 Personen beschäftigen oder einen Jahresumsatz von über € 50 Millionen und zudem eine Jahresbilanzsumme von über € 43 Millionen aufweisen.² Achtung: Bei Unterschreiten der Schwellenwerte für besonders wichtige Einrichtungen kann das Unternehmen als wichtige Einrichtung qualifiziert werden. 
• Sonderregelung für den Telekommunikationsbereich: Für Anbieter von Telekommunikationsdiensten oder -netzen gelten niedrigere Schwellenwerte. Mindestens 50 Beschäftigte oder eine Jahresbilanz und einen Jahresumsatz von jeweils über € 10 Millionen genügen.³ Werden auch diese Schwellenwerte nicht erreicht, gilt der Anbieter größenunabhängig als wichtige Einrichtung.⁴

Wichtige Einrichtungen – Sonderregelunge, Sektoren und Schwellenwerte

• Explizite Benennung als wichtige Einrichtung: Vertrauensdiensteanbieter (auch ohne Qualifizierung); unabhängig von der Unternehmensgröße.
• Qualifizierung nach Sektor und Unternehmensgröße: Als wichtige Einrichtungen gelten Unternehmen, die in den Sektoren Transport und Verkehr, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, digitale Dienste oder Forschung tätig sind und die mindestens 50 Personen beschäftigen oder eine Jahresbilanz und einen Jahresumsatz von jeweils über € 10 Millionen aufweisen.⁵
• Sonderregelung für den Telekommunikationsbereich: Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze gelten – wie bereits oben erläutert – als wichtige Einrichtung, wenn sie weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils € 10 Millionen oder weniger aufweisen.

Spezialregelungen für den Finanzsektor

• Wenn Ihr Unternehmen im Finanzsektor tätig ist, gelten die besonderen Cybersicherheitsbestimmungen des Digital Operations Resiliance Acts („DORA“). Die Anforderungen nach DORA haben wir in einem separaten Beitrag beleuchtet.⁶

Vertragliche Cybersicherheitspflichten: Ist Ihr Unternehmen mittelbar erfasst?

Nicht nur die „großen Player“, sondern auch Zulieferer in der Lieferkette sind attraktive Ziele für Cyberangriffe. Das BSIG-E wird regulierte Unternehmen dazu verpflichten, eine ausreichende Cybersicherheit in ihrer Lieferkette herzustellen.⁷ Diese gesetzliche Pflicht werden regulierte Unternehmen durch vertragliche Pflichten zur Cybersicherheit mit ihren Zulieferern nach dem Maßstab der Risikomanagementmaßnahmen des BSIG-E umsetzen. Folglich werden auch Unternehmen, die nicht unmittelbar in den Anwendungsbereich des Gesetzes fallen, mit neuen (vertraglichen) Pflichten zur Cybersicherheit konfrontiert sein.

Pflichten für Unternehmen

Besteht Klarheit über die Anwendbarkeit, können die notwendigen Maßnahmen ergriffen werden, um die gesetzlichen oder vertraglichen Anforderungen umzusetzen. Der beschlossene Gesetzesentwurf sieht für Unternehmen, die in den gesetzlichen Anwendungsbereich fallen, vielfältige und umfangreiche neue Pflichten vor, darunter etwa: 

• Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI)⁸
• Einführen von dokumentierten Risikomanagementmaßnahmen⁹
• Fortbildungspflicht zur Cybersicherheit für die Geschäftsleitung¹⁰
• Die Geschäftsleitung muss sicherstellen, dass geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zur Cybersicherheit getroffen werden¹¹
• Überwachung der getroffenen Maßnahmen¹²
• Verschärfte Meldepflichten bei Cybersicherheitsvorfällen, wie etwa Hackerangriffen: Bei schwerwiegenden Sicherheitsvorfällen müssen betroffene Unternehmen innerhalb von 24 Stunden Meldung erstatten.¹³

Bei Zuwiderhandlung oder Nicht-Einhaltung der Vorgaben des BSIG-E drohen dem Unternehmen neben Verwaltungsmaßnahmen (u.a. die Anordnung von Audits, Prüfungen oder Zertifizierungen) empfindliche Bußgelder¹⁴ und der Geschäftsleitung eine diesbezügliche persönliche Haftung im Innenverhältnis.¹⁵

Zusammengefasst

Gilt ein Unternehmen als besonders wichtige oder wichtige Einrichtung, fällt es unmittelbar in den Anwendungsbereich des BSIG-E und muss die gesetzlichen Pflichten erfüllen. Die Geschäftsleitung wird durch Regelungen zur Haftung und der Pflicht zur Fortbildung durch das Gesetz ausdrücklich und direkt in die Pflicht genommen. 

Fällt ein Unternehmen nicht selbst in den Anwendungsbereich des Gesetzes, sollte geprüft werden, ob sich Cybersicherheitsanforderungen in Form vertraglicher Pflichten aus Kundenverträgen ergeben können. Wenn dies der Fall ist, sollte eine Verhandlungsposition definiert werden.

1. https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2025/07/NIS2-kabinett.html.↩
2. § 28 Abs. 1 Nr. 4 BSIG-E.↩
3. § 28 Abs. 1 Nr. 3 BSIG-E.↩
4. § 28 Abs. 2 Nr. 2 BSIG-E.↩
5. § 28 Abs. 2 Nr. 3 BSIG-E.↩
6. https://www.dentons.com/en/insights/articles/2025/august/12/dora.↩
7. § 30 Abs. 2 Nr. 4 BSIG-E↩
8. § 33 BSIG-E.↩
9. § 30 Abs. 1 BSIG-E.↩
10. § 38 Abs. 3 BSIG-E.↩
11. § 38 Abs. 1 BSIG-E.↩
12. § 38 Abs. 1 BSIG.↩
13. § 32 Abs. 1 Nr. 1 BSIG-E.↩
14. § 65 BSIG-E.↩
15. § 38 BSIG-E.↩