Quelle: E&M
Das nationale NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Was das vor allem für die Chefetage bedeutet, erläutern Thomas Schmeding und Alexander Bartsch*.
Nun werden die Vorgaben der europäischen NIS-2-Richtlinie − verspätet − auch in Deutschland umgesetzt. Unternehmen, die in einem kritischen Sektor tätig sind, sind bereits ab 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro als „wichtige Einrichtung“ betroffen.
Unternehmen die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz über 50 Millionen Euro und eine Jahresbilanzsumme von über 43 Millionen Euro ausweisen, gelten als „besonders wichtige Einrichtungen“ und unterliegen erhöhten Anforderungen an die Cybersicherheit. Betreiber von Energieversorgungsnetzen und Anbieter öffentlich zugänglicher Telekommunikationsdienste sowie Betreiber öffentlicher Telekommunikationsnetze sind auch unabhängig von der Unternehmensgröße betroffen.
Die Geschäftsleitung trägt die Verantwortung für die Einhaltung eines hinreichenden Cybersicherheitsniveaus im Unternehmen. Soweit nicht bereits geschehen, muss sie daher spätestens jetzt aktiv werden. Dies gilt auch vor dem Hintergrund, dass das NIS-2-Umsetzungsgesetz keine generellen Übergangsfristen vorsieht. Die neuen Vorgaben, durch die unter anderem das BSI-Gesetz und das Energiewirtschaftsgesetz geändert wurden, gelten grundsätzlich unmittelbar. Daher bietet sich kurzfristig die Erstellung eines Maßnahmenplans an, in dessen Rahmen die Erfüllung der gesetzlichen Pflichten risikobasiert priorisiert wird.
Ausgangspunkt bildet die Betroffenheitsanalyse. Im ersten Schritt ist zu ermitteln, ob das Unternehmen einer oder mehreren grundsätzlich betroffenen Einrichtungsart/en, insbesondere aus den Sektoren Energie, Wasser, digitale Infrastruktur oder Abfallbewirtschaftung, zuzuordnen ist.
Bei der Zuordnung können nach dem Gesetz solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Sollte die Zuordnung zu einer oder mehreren Einrichtungsart/en zu bejahen sein, ist im zweiten Schritt die Erreichung der Schwellenwerte zu prüfen.
Hierfür ist die Unternehmensgröße unter Beachtung der gesetzlich vorgesehenen Zurechnungsregeln (für verbundene Unternehmen und Partnerunternehmen) zu ermitteln. Die Daten von Partner- oder verbundenen Unternehmen sind nicht hinzuzurechnen, wenn das (potenziell betroffene) Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist. Dies ist im Einzelfall sorgsam zu prüfen.
Eine generelle Ausnahme stellen die Betreiber von Energieversorgungsnetzen sowie die Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze dar, die regelmäßig auch ohne Erreichen der Schwellenwerte von den neuen Vorgaben betroffen sind.
Ist das jeweilige Unternehmen betroffen, besteht eine Pflicht zur Registrierung. Diese läuft bis zum 6. März 2026. Die Registrierung selbst verläuft zweistufig. Im ersten Schritt muss eine Registrierung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Im zweiten Schritt folgt die Registrierung im BSI-Portal.
Darüber hinaus besteht eine gesetzliche Schulungspflicht für Geschäftsleitungen. Diese sollen durch regelmäßige Schulungen in die Lage versetzt werden, Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken aufzubauen. Das BSI hat die Schulungsinhalte konkretisiert. Sektorspezifische Besonderheiten sind im Rahmen der Schulungen zu berücksichtigen. Die Schulung muss insgesamt zum Unternehmen „passen“.
Die Geschäftsleitung ist weiter verpflichtet, Risikomanagementmaßnahmen umzusetzen und zu überwachen, sicherlich der Kern der nun anstehenden Aktivitäten. Ausgangspunkt hierfür ist eine Gap-Analyse, das heißt eine Bestandsaufnahme und ein Abgleich mit den neuen NIS-2-Anforderungen. Je nach konkreter Betroffenheit kann eine Verpflichtung zum Aufbau beziehungsweise zur Erweiterung eines NIS-2-konformen Informationssicherheits-Managementsystems (ISMS) bestehen.
Nur der Vollständigkeit halber ist darauf hinzuweisen, dass Verstöße gegen die neuen Vorgaben sanktionsbewehrt sind. Aber nicht nur deshalb, sondern auch aufgrund der allseits bekannten aktuellen Bedrohungslage sollten Unternehmen den Kopf in Bezug auf die NIS-2-Umsetzung nicht „in den Sand stecken“, sondern die Umsetzung effizient angehen.
* Thomas Schmeding und Alexander Bartsch, Rechtsanwälte Becker Büttner Held, Berlin
Donnerstag, 12.02.2026, 09:00 Uhr
Redaktion
© 2026 Energie & Management GmbH
