Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) ergeben sich erstmals gesetzliche Pflichten. Da ein nationales Umsetzungsgesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Wir möchten Unternehmen und Organisationen bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten.

Erste Unterstützungsangebote für die Wirtschaft

• Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt.
• Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-RL.
• Die Seite NIS-2 - Was tun? enthält Hinweise, was "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) jetzt schon tun können.

Neue EU-Richtlinie zur Cybersicherheit: NIS-2-RL und ihre Umsetzung in Deutschland

Im Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz NIS-2-RL) veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie in nationales Recht umsetzen. In Deutschland erfolgt die Umsetzung der NIS-2-RL durch Bund und Länder. Regelungen für die Wirtschaft werden dabei künftig durch ein nationales Umsetzungsgesetz des Bundes geregelt.

Pflichten für die regulierte Wirtschaft

Die Umsetzung in nationales Recht führt voraussichtlich über die heute bereits regulierten KRITIS hinaus zu einer erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig neue gesetzliche Pflichten gegenüber dem BSI zu erfüllen haben. Die Identifizierung der betroffenen Unternehmen als "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) erfolgt voraussichtlich anhand von Kennzahlen und Schwellenwerten mit Bezug auf den Jahresumsatz oder die Mitarbeitendenzahl.

Informationen zur Registrierung beim BSI folgen nach Abschluss des Gesetzgebungsverfahrens zum nationalen Umsetzungsgesetz.

Für einige der betroffenen Unternehmen ist mit einer Pflicht zum Nachweis der IT-Sicherheit zu rechnen, wobei aus Gründen der Verhältnismäßigkeit beim Umfang der gesetzlichen Pflichten zwischen den Kategorien (KRITIS, "wesentliche" Einrichtung und "wichtige" Einrichtung) ausdifferenziert wird. NIS-2-regulierte Unternehmen werden auch verpflichtet sein, IT-Sicherheitsvorfälle zu melden. Die bisherige Meldepflicht, hauptsächlich für KRITIS-Betreiber, wird durch das Melderegime der NIS-2-Richtlinie ersetzt.

Informationen zur nationalen Umsetzung sind vorläufig

Ein Gesetzgebungsverfahren zur nationalen Umsetzung ist nicht abgeschlossen. Die Federführung dafür wird voraussichtlich beim Bundesministerium des Innern und für Heimat liegen. Aus diesem Grund kann sich das BSI derzeit nur in begrenztem Umfang zu den voraussichtlichen Inhalten des künftigen Gesetzes äußern. 

Die Informationen auf dieser Webseite, insbesondere die NIS-2-Betroffenheitsprüfung, sind vor dem Hintergrund der noch nicht erfolgten nationalen Umsetzung nicht rechtlich bindend. Zurzeit basiert die hier angebotene NIS-2-Betroffenheitsprüfung auf der NIS-2-Richtlinie. Erst, wenn ein fertiges Gesetz vorliegt, werden verbindliche Auskünfte zur Umsetzung in Deutschland gemacht werden können.

Für manche Sektoren und Unternehmen gibt es zudem noch gesonderte Regelungen. Besonders zu nennen sind hier grenzüberschreitende Anlagen, Regelungen durch DORA (EU-Verordnung über die digitale operationale Resilienz im Finanzsektor) und Änderungen im IT- Sektor durch die Durchführungsverordnung (EU) 2024/2690.