Rechtsanwältin und Expertin für E-Commerce, Wettbewerbsrecht und Vertriebsrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Am 13. November 2025 hat der Bundestag die Umsetzung der europäischen NIS-2-Richtlinie beschlossen. Der Beschluss fällt in eine Phase, in der der BSI-Lagebericht eine wachsende Verwundbarkeit Deutschlands im digitalen Raum bestätigt. Mit NIS-2 steigen die Anforderungen an Unternehmen und Behörden deutlich. Und das BSI übernimmt eine zentrale Rolle für die Cybersicherheit im gesamten Bund. Neu ist insbesondere, dass das BSI als zentrale Aufsichtsbehörde mit deutlich weitergehenden Prüf- und Eingriffsbefugnissen ausgestattet wird. Was bedeutet das konkret für Sie und wer ist jetzt besonders gefordert?
Die NIS-2-Richtlinie baut auf der ursprünglichen NIS-Regelung aus dem Jahr 2016 auf und erweitert sie deutlich. Während früher vor allem Betreiber kritischer Infrastrukturen wie Energie, Verkehr oder Gesundheitswesen verpflichtet wurden, richtet sich NIS-2 nun an eine wesentlich breitere Unternehmenslandschaft. Die Anforderungen steigen, die Meldewege werden klarer strukturiert und der Schutz digitaler Systeme wird verbindlich. Auch die deutliche Ausweitung der Pflichten auf „wichtige Einrichtungen“, die bisher nicht unter KRITIS gefallen sind, hebt die neue NIS 2 hervor.
Zentrale Ziele der NIS-2-Umsetzung
Neu eingeführt wird außerdem die Pflicht zur kontinuierlichen Bewertung der Lieferkette, sodass auch IT-Dienstleister, cloudbasierte Tools und externe Zulieferer erstmals systematisch in die Sicherheitsprüfung einbezogen werden müssen.
Welche Unternehmen unter die NIS-2-Richtlinie fallen
Mit NIS-2 erweitert sich der Kreis der verpflichteten Unternehmen in Deutschland erheblich. Ab 2025 gelten die Vorgaben für rund 29.000 bis 30.000 Organisationen aus insgesamt 18 Sektoren. Damit betrifft die Richtlinie nicht mehr nur klassische Betreiber kritischer Infrastrukturen, sondern eine breite wirtschaftliche und öffentliche Landschaft.
Betroffen sind unter anderem folgende Bereiche:
Zu den „wichtigen Einrichtungen“ zählen Betriebe, wenn sie bestimmte Umsatz-, Mitarbeiter- oder Relevanzschwellen erreichen. Auch kleinere Unternehmen können erfasst sein, wenn sie eine besondere Rolle für staatliche Versorgung oder öffentliche Sicherheit spielen.
Grundsätzlich gelten die Anforderungen für mittlere und große Unternehmen ab 50 Mitarbeitenden sowie für Betriebe, die bestimmte Umsatz- oder Bilanzgrenzen überschreiten. Aber auch kleinere Unternehmen können einbezogen sein, wenn sie für kritische Dienstleistungen oder die nationale Versorgung eine Schlüsselrolle spielen.
Damit gehen umfassende Pflichten einher. Unternehmen müssen ein strukturiertes Risikomanagement einführen, das regelmäßige Risikoanalysen, Sicherheitskonzepte sowie Notfall- und Wiederherstellungspläne umfasst. Sicherheitsvorfälle sind in einem gestuften Verfahren zu melden, teilweise innerhalb von nur 24 Stunden. Hinzu kommen technische und organisatorische Maßnahmen wie verpflichtende Schulungen, starke Zugriffskontrollen und moderne Verschlüsselungstechnologien. Die Einhaltung der Vorgaben wird fortlaufend überwacht, denn das BSI erhält im Rahmen von NIS-2 deutlich erweiterte Befugnisse zur Kontrolle und Durchsetzung der Sicherheitsanforderungen.
Verpflichtende Maßnahmen:
Die NIS-2-Richtlinie sieht deutlich strengere Sanktionen vor als alle bisherigen Cybersicherheitsgesetze. Unternehmen, die ihre Pflichten nicht erfüllen, müssen mit erheblichen finanziellen, organisatorischen und haftungsrechtlichen Konsequenzen rechnen. Besonders schwer wiegt, dass Verstöße nicht nur Bußgelder auslösen, sondern auch zu tiefgreifenden Eingriffen in Geschäftsabläufe und zur persönlichen Verantwortung der Führungsebene führen können. Damit steigt der Druck auf Unternehmen aller Branchen, Cybersicherheit strategisch umzusetzen und kontinuierlich nachzuweisen.
|
Kategorie/Unternehmenstyp |
Mögliche Bußgelder |
Weitere Folgen |
|
Besonders wichtige Einrichtungen (z. B. Energieversorger, Banken, staatliche Stellen) |
bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
Zwangsgelder, zusätzliche Sicherheitsauflagen, unangekündigte Audits, Haftungsrisiken für die Geschäftsleitung |
|
Wichtige Einrichtungen (z. B. Chemie, Lebensmittelproduktion, Transport, mittlere und große Unternehmen) |
bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
verstärkte Aufsicht, Auflagen zur Mängelbeseitigung, mögliche Einschränkung des Geschäftsbetriebs |
|
Alle betroffenen Unternehmen |
je nach Verstoß |
Verlust der Cyber-Versicherung, erheblicher Reputationsschaden, Ausschluss von Ausschreibungen und Partnerschaften |
Für viele Unternehmen – auch im Mittelstand und in Branchen, die bislang kaum Pflichten im Bereich IT-Sicherheit kannten – bedeutet die neue Gesetzeslage eine grundlegende Neuorganisation. Sicherheitsprozesse müssen systematisch dokumentiert, kontinuierlich überprüft und auditfähig gestaltet werden. Das wirkt sich spürbar auf interne Abläufe, Personalbedarf, IT-Architektur und Compliance-Strukturen aus.
Hinzu kommt eine potenzielle persönliche Haftung der Leitungsebene, wenn organisatorische oder technische Pflichten grob verletzt wurden.
Wie Unternehmen NIS-2 jetzt praktisch umsetzen können
Mit einem Starterpaket wird das BSI betroffenen Unternehmen klare Informationen an die Hand geben, um die Verpflichtungen aus der NIS-2-Richtlinie erfolgreich umzusetzen. Ergänzend bietet das BSI nach Inkrafttreten virtuelle Kick-off-Seminare an, die Schritt-für-Schritt-Anleitungen zur Betroffenheitsprüfung sowie zu Registrierung und Meldewegen vermitteln.
Um den rechtlichen Anforderungen gerecht zu werden, sollten Unternehmen ihre IT-Sicherheitsstrukturen systematisch überprüfen und professionalisieren. Grundlage ist eine fundierte Risikoanalyse, auf der ein umfassendes Sicherheits- und Risikomanagementkonzept aufbaut. Dieses umfasst unter anderem klare Zugriffsregelungen, Verschlüsselungstechnologien, regelmäßige Schulungen für Mitarbeitende sowie belastbare Notfall- und Wiederherstellungspläne.
Die Wirksamkeit der Maßnahmen muss fortlaufend kontrolliert werden. Dazu gehören regelmäßige Audits, aktuelle Dokumentationen, interne Verantwortlichkeiten und die konsequente Sensibilisierung der Beschäftigten für Cyberrisiken. Bei sicherheitsrelevanten Vorfällen ist eine schnelle Meldung an das BSI zwingend erforderlich. Verpflichtend ist nun die fortlaufende Überwachung der eigenen Systeme durch automatisierte Sicherheitsmechanismen, inklusive Angriffserkennung (SIEM, IDS/IPS) und Log-Monitoring.
Da NIS-2 komplexe rechtliche und organisatorische Anforderungen stellt, profitieren Unternehmen zusätzlich von anwaltlicher Beratung. Fachkundige Unterstützung hilft bei der Auslegung der Pflichten, der Erstellung belastbarer Compliance-Prozesse, der Kommunikation mit Aufsichtsbehörden und im Umgang mit möglichen Sanktionen. So entsteht eine Sicherheitsstrategie, die technischen Schutz und rechtliche Stabilität verbindet.
Der Digital Operational Resilience Act (DORA) ist eine zentrale EU-Verordnung, die seit 2025 vollständig gilt und die digitale Widerstandsfähigkeit des gesamten Finanzsektors neu definiert. Während NIS-2 branchenübergreifend wirkt, fokussiert sich DORA ausschließlich auf Unternehmen des Finanzmarkts und deren IT-Dienstleister. Ziel ist es, sicherzustellen, dass Banken, Versicherungen, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften und andere Finanzinstitute auch bei Cyberangriffen, Systemausfällen oder Lieferkettenstörungen voll funktionsfähig bleiben.
DORA harmonisiert damit erstmals in der EU sämtliche Vorschriften zur digitalen Betriebsstabilität. Unabhängig davon, in welchem Mitgliedstaat ein Unternehmen tätig ist. Durch die Verordnung werden Unternehmen verpflichtet, ihre Risiken, Prozesse und Abhängigkeiten vollständig zu dokumentieren, zu testen und gegenüber Aufsichtsbehörden transparent zu machen.
Besonders relevant ist DORA deshalb, weil es sich nicht nur an Finanzinstitute richtet, sondern auch an deren IT-Dienstleister, etwa Cloud-Provider, Software-Anbieter und Datenverarbeitungszentren. Sie werden unter Aufsicht gestellt und müssen künftig vertragliche und technische Anforderungen erfüllen, die deutlich strenger sind als bisher. Für den Finanzsektor bedeutet das ein vollkommen neues Niveau der Cyber- und Resilienzpflichten.
Wer fällt unter DORA?
DORA gilt zwingend für nahezu alle bedeutenden Akteure im europäischen Finanzmarkt, darunter:
Damit erfasst DORA auch Unternehmen außerhalb des Finanzmarkts, wenn sie kritische IT-Services für Finanzinstitute bereitstellen.
DORA definiert ein vollständig integriertes System aus Pflichtbereichen, die jedes betroffene Unternehmen nachweisen muss:
|
Zielbereich |
Inhalt |
Wirkung |
|
Harmonisierung |
Einheitliche Regeln für alle EU-Finanzunternehmen |
Rechtsklarheit und Wegfall nationaler Unterschiede |
|
Resilienz |
Pflicht zum Aufbau belastbarer Systeme und Prozesse |
Schutz vor Ausfällen sowie Cyberangriffen |
|
Überwachung |
Aufsicht auch über kritische ICT-Dienstleister |
Verringerung von Lieferkettenrisiken |
|
Transparenz |
Meldung relevanter Vorfälle an die Aufsicht |
Früherkennung systemischer Risiken |
|
Prävention & Testing |
Pflicht zu regelmäßigen Stresstests, TLPT und Simulationen |
kontinuierliche Verbesserung der Sicherheit |
DORA verändert die operative Realität im Finanzsektor spürbar, da die Verordnung ein neues Niveau an Überwachung, Dokumentation und Transparenz einführt. Unternehmen müssen ihre gesamte IT-Landschaft vollständig und strukturiert erfassen, einschließlich Datenflüssen, Schnittstellen, Zugriffsberechtigungen und kritischen Abhängigkeiten. Dieser umfassende Überblick bildet die Grundlage für ein belastbares Risikomanagement und die Bewertung operativer Verwundbarkeiten.
Von zentraler Bedeutung sind zudem neue Anforderungen an Verträge mit externen IT-Dienstleistern. Künftig müssen ICT-Verträge detaillierte Leistungsbeschreibungen, klar definierte Sicherheitsstandards, weitreichende Überwachungs- und Auditrechte sowie konkrete Exit-Szenarien enthalten. Auch Vorgaben zur Datenportabilität und Wiederherstellung im Störungsfall sind verpflichtend. Insbesondere Cloud-Anbieter müssen bereit sein, erheblich tiefere Einblicke in ihre Systeme und Strukturen zu gewähren als bisher.
Ein weiterer wesentlicher Bestandteil sind verbindliche Penetrationstests nach dem TLPT-Standard. Große und kritische Finanzunternehmen müssen realitätsnahe Angriffe durch extern zertifizierte Red-Teams durchführen lassen. Die Ergebnisse sind detailliert zu dokumentieren und der zuständigen Aufsicht zu übermitteln, sodass Schwachstellen identifiziert und systematisch geschlossen werden können.
Auch die Meldepflichten werden deutlich verschärft. Relevante Vorfälle müssen innerhalb sehr kurzer Fristen gemeldet werden. Die Meldung erfolgt gestuft und umfasst eine erste Sofortmeldung innerhalb weniger Stunden, eine vertiefte Analyse binnen weniger Tage und einen abschließenden Bericht mit geplanten oder bereits umgesetzten Präventionsmaßnahmen.
Schließlich erhält die Aufsicht weitreichende Eingriffsrechte. Sie kann Anordnungen gegenüber Finanzunternehmen erlassen, in die Strukturen kritischer IT-Dienstleister eingreifen oder Sanktionen verhängen, wenn Vorgaben von DORA nicht eingehalten werden. Damit schafft DORA einen umfassenden regulatorischen Rahmen, der technische Stabilität, organisatorische Verantwortlichkeit und rechtliche Compliance eng miteinander verzahnt.
Praxisbeispiele für DORA-Pflichten in Unternehmen
DORA wirkt sich nicht nur abstrakt auf Prozesse aus, sondern entfaltet ganz konkrete Folgen für den operativen Alltag. Die folgenden Praxisbeispiele zeigen, wie weitreichend die Anforderungen tatsächlich sind:
Eine Bank muss bei einem Cloud-Ausfall innerhalb weniger Stunden eine vollständige Erstmeldung abgeben.
Dazu gehört mehr als nur der Hinweis auf eine Störung. Die Bank muss darlegen, welche Systeme unmittelbar betroffen sind, wie sich der Ausfall auf Zahlungsverkehr, Kontozugriffe oder interne Kernbankensysteme auswirkt und welche Kundengruppen Beeinträchtigungen spüren könnten. Gleichzeitig muss sie erste Einschätzungen zu Risiken für die Finanzstabilität abgeben und bereits eingeleitete Gegenmaßnahmen benennen. Die späteren Folgeberichte müssen eine vollständige Analyse, Ursachenbewertung und geplante langfristige Prävention dokumentieren.
Ein Versicherer ist verpflichtet, jährlich umfassende Resilienztests durchzuführen, die reale Cyberangriffe simulieren.
Diese Tests können unter anderem Angriffe auf Schadenmanagement-Systeme nachstellen, bei denen interne Datenbanken, automatisierte Regulierungssysteme oder Policenverwaltung gezielt gestört werden. Der Versicherer muss nachweisen, wie gut Systeme Angriffe erkennen, abwehren und wiederherstellen können. Schwachstellen müssen dokumentiert und anschließend mit konkreten Maßnahmen behoben werden – inklusive Kontrollnachweis gegenüber der Aufsicht.
Ein Cloud-Dienstleister muss Audit-Zugänge für Finanzunternehmen gewährleisten und garantierte Recovery-Zeiten einhalten.
Das bedeutet, dass der Dienstleister nicht nur technische Schnittstellen zur Überwachung bereitstellen muss, sondern sich vertraglich verpflichtet, tiefe Einblicke in seine Serverlandschaften, Sicherheitslogs, Datenflüsse und Kontrollmechanismen zu ermöglichen. Diese Einsicht kann auch unangekündigt erfolgen. Zusätzlich müssen exakte Wiederherstellungszeiten (RTO/RPO) verbindlich vereinbart werden, die im Zweifel auch durch externe Audits überprüft werden.
Ein Zahlungsdienstleister muss zwingend belastbare Exit-Strategien entwickeln, falls ein zentraler IT-Zulieferer ausfällt.
Er muss darlegen, wie kritische Prozesse wie Kartenzahlungen, Geldtransfers oder Identifikationssysteme weitergeführt werden können, wenn ein externer Anbieter ausfällt. Dazu gehören alternative Anbieter, Notfallmigrationen, Backup-Systeme, rechtlich vorbereitete Ausstiegsverträge und technische Tests, die zeigen, dass ein Wechsel tatsächlich innerhalb kurzer Zeit möglich ist. Ohne solche Strategien
Es kann festgehalten werden, dass NIS-2 einen wichtigen Schritt hin zu mehr digitaler Widerstandskraft markiert. Das BSI betont, dass Deutschland mit dem neuen Gesetz seine Angriffsflächen besser schützt, Kompetenzen bündelt und die Unterstützungsangebote für Unternehmen weiter ausbaut. Die Cybersicherheit in Verwaltung und Wirtschaft soll dadurch spürbar gestärkt werden.
Parallel setzt DORA für den Finanzsektor einen eigenen europäischen Standard, der deutlich tiefer in operative Abläufe eingreift. Die Verordnung verpflichtet Banken, Versicherer und andere Finanzakteure zu umfassender ICT-Transparenz, strengen Vorgaben für Outsourcing, regelmäßigen Resilienztests und klaren Meldepflichten. Damit entsteht ein einheitlicher und deutlich höherer Resilienzrahmen, der NIS-2 ergänzt, aber nicht ersetzt.
Haben Sie bereits geprüft, ob Ihr Unternehmen von NIS-2 oder – falls Sie im Finanzsektor tätig sind – zusätzlich von DORA betroffen ist? Sind Ihre aktuellen Sicherheitsmaßnahmen wirklich sicher, sodass sie die neuen gesetzlichen Anforderungen erfüllen? Fragen Sie sich außerdem, wie sich Meldepflichten, Risikomanagement, technische Schutzmaßnahmen und interne Prozesse rechtskonform umsetzen lassen, ohne den laufenden Betrieb zu belasten?
Unsere spezialisierte Anwaltskanzlei schafft Ihnen genau diese Sicherheit. Wir begleiten Ihr Unternehmen dabei, die komplexen Vorgaben der NIS-2-Richtlinie und DORA rechtskonform umzusetzen und gleichzeitig Ihre digitale Widerstandskraft zu stärken. Unsere Expertise im Internetrecht ermöglicht klare Handlungsempfehlungen, praxisnahe Compliance-Konzepte und die strategische Absicherung Ihrer Geschäftsmodelle. Wir unterstützen Sie bei der Gestaltung und Prüfung interner Richtlinien, der Kommunikation mit Aufsichtsbehörden, der Vorbereitung auf Audits und im Umgang mit Haftungsfragen oder Sanktionen. Durch fundierte rechtliche Beratung schaffen Sie nicht nur Rechtssicherheit, sondern sichern auch die Zukunftsfähigkeit Ihres Unternehmens im digitalen Raum.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?