Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Mit der Verkündung des NIS-2-Umsetzungsgesetzes am 5. Dezember 2025 hat der Gesetzgeber das deutsche Cybersicherheitsrecht auf ein neues Niveau gehoben. Es gelten verschärfte Anforderungen, die insbesondere Unternehmen, Versorgungseinrichtungen und öffentliche Stellen betreffen. Damit schafft das NIS-2 eine der umfassendsten Modernisierungen, die das BSIG seit seiner Einführung erlebt hat. Die Reform verschiebt den Fokus weg von punktuellen Sicherheitsmaßnahmen hin zu einem strukturierten, ganzheitlichen Risikomanagement, das auf Leitungsebene verantwortet werden muss.
Cyberangriffe zählen inzwischen zu den größten Risiken für Wirtschaft und Staat. Die bisherige Rechtslage reichte angesichts der hohen Bedrohungslage nicht mehr aus, um ein angemessenes Schutzniveau sicherzustellen. Die EU-Richtlinie NIS-2 fordert daher höhere, harmonisierte Standards in allen Mitgliedsstaaten. Deutschland setzt diese Vorgaben nun umfassend um und erweitert den Schutzbereich deutlich. Der Gesetzgeber verfolgt dabei das Ziel, Sicherheitslücken frühzeitig zu schließen, Meldewege zu beschleunigen und Unternehmen stärker in die Pflicht zu nehmen, eigene Risiken professionell zu managen und transparent zu kommunizieren.
Eine der zentralen Neuerungen ist die Einteilung in wichtige und besonders wichtige Einrichtungen, die mit unterschiedlichen Sorgfalts- und Compliance-Pflichten einhergeht. Diese neue Einteilung führt dazu, dass viele Unternehmen, die bisher keine Berührungspunkte mit dem Cybersicherheitsrecht hatten, nun Pflichten erfüllen müssen. Unternehmen müssen daher zeitnah prüfen, welcher Kategorie sie zugeordnet werden können. Für Betreiber kritischer Infrastrukturen - kurz KRITIS - ist die Einstufung automatisch vorgegeben. Doch auch zahlreiche mittelständische Unternehmen werden künftig in das Regelungsregime einbezogen, da NIS-2 nun stärker nach Bedeutung und Störanfälligkeit statt ausschließlich Sektorzugehörigkeit differenziert. Alle anderen potenziell betroffenen Unternehmen müssen daher auf Grundlage von Branche, Größe, Bedeutung und Störanfälligkeit klären, ob sie künftig registrierungs-, melde- und risikomanagementpflichtig sind.
Das NIS-2-Umsetzungsgesetz führt ein deutlich strengeres Sicherheits- und Risikomanagement ein. Unternehmen müssen nicht nur technische Maßnahmen treffen, sondern ein umfassend dokumentiertes Informationssicherheitsmanagementsystem etablieren. Besonders wichtig ist die Stärkung der Meldepflichten: Sicherheitsvorfälle müssen zeitnah und umfassend an das BSI berichtet werden. Das zwingt Unternehmen dazu, klare Prozesse für das Erkennen, Einordnen und Kommunizieren von IT-Sicherheitsproblemen zu entwickeln. Die Geschäftsleitung trägt dabei ausdrücklich die Verantwortung für die Einhaltung der gesetzlichen Vorgaben. Informationssicherheit ist damit nicht länger eine Angelegenheit der IT-Abteilung, sondern eine Leitungsaufgabe.
Auch die staatliche Verwaltung bleibt von der Reform nicht unberührt. Bundesbehörden werden verpflichtet, ein IT-Risikomanagement aufzubauen, das sich am IT-Grundschutz orientiert und die Mindeststandards des BSI verbindlich einhält. Der Staat übernimmt also nicht nur eine regulierende, sondern auch eine vorbildgebende Rolle, indem er die gleichen Standards erfüllt, die er der Wirtschaft abverlangt.
Die unmittelbare Inkraftsetzung des Gesetzes stellt viele Einrichtungen vor organisatorische und rechtliche Herausforderungen. Zahlreiche Unternehmen müssen erst klären, ob sie in den Anwendungsbereich fallen und welche spezifischen Anforderungen sich daraus ergeben. Die Einführung strukturierten Risikomangements, die Sicherstellung schneller Meldewege und die Anpassung interner Verantwortlichkeiten werden erhebliche organisatorische und finanzielle Ressourcen binden. Gleichzeitig steigt das Haftungsrisiko für die Geschäftsführung, denn Verstöße gegen NIS-2 können zu empfindlichen Sanktionen führen. Die neue Rechtslage zeigt damit klar: Cybersicherheit ist kein IT-Thema mehr, sondern ein wesentlicher Bestandteil moderner Unternehmensführung.
Cybersicherheit - wie sieht es aktuell aus?
Mit der Umsetzung der Richtlinie verändert sich der Charakter der Cybersicherheitsregulierung grundlegend. Informationssicherheit wird zu einem unverzichtbaren Bestandteil guter Unternehmensführung. Die Reform verlangt, Risiken kontinuierlich zu überwachen, Abläufe zu dokumentieren und Entscheidungen nachvollziehbar zu gestalten. Unternehmen, die frühzeitig handeln, profitieren nicht nur von rechtlicher Sicherheit, sondern stärken ihre betriebliche Resilienz und Wettbewerbsfähigkeit in einer zunehmend digitalisierten Wirtschaft.
Das Inkrafttreten von NIS-2 markiert einen entscheidenden Wendepunkt im europäischen Cybersicherheitsrecht und setzt einen neuen Maßstab für den Schutz digitaler Infrastrukturen.
Unsere erfahrenen Anwälte und Anwältinnen im IT-Recht und Datenschutzrecht unterstützen Sie gern bei der rechtssicheren Umsetzung der neuen Vorgaben. Ob Compliance-Strukturen, Meldewege, Einstufungsfragen oder die Ausgestaltung eines dokumentierten Informationssicherheitsmanagements - wir beraten Sie umfassend und individuell.