12.03.2026 |

Ärmel hochkrempeln – jetzt!

Die neuen Gesetzesvorgaben zur IT-Sicherheit für Firmen der so genannten „kritischen Infrastruktur“ sind seit dem 6. Dezember 2025 einzuhalten. Viele Unternehmen glauben, sie seien nicht betroffen. Dabei hat sich der Kreis der verpflichteten Firmen erheblich erweitert. Grund genug für uns die jetzt geltenden Voraussetzungen zu beleuchten. Im ersten Teil wird der Kreis der betroffenen Unternehmen erläutert und natürlich die vorgesehenen Sanktionen. Sodann gilt es in der zweiten Episode darzustellen, welche Pflichten zu erfüllen sind und was es mit der persönlichen Haftung der Geschäftsführung (GF) sowie sonstiger Führungskräfte auf sich hat.

 

Widerstandfähigkeit der IT sicherstellen

Bei „NIS-2“ handelt es sich um eine Richtlinie der Europäischen Union (EU) „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“. Deutschland hat die Richtlinie umgesetzt im „Gesetz über das Bundesamt für Sicherheit und über die Sicherheit in der Informationstechnik von Einrichtungen“ (kurz „BSIG neue Fassung“). Übergangsvorschriften sind so gut wie keine vorgesehen. Es sind also jetzt die Ärmel hochzukrempeln.

Sinn und Zweck von NIS-2 und somit auch des BSIG neue Fassung ist die Stärkung der Widerstandsfähigkeit („Resilienz“) von IT-Systemen etwa gegenüber Ausfällen und Angriffen in „systemrelevanten“ Bereichen. Die Zahl der davon erfassten Unternehmen hat sich im Verhältnis zur gesetzlichen Vorgängerregelung stark erhöht. Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) geht davon aus, dass nunmehr ca. 29.000 Firmen in Deutschland die Vorgaben beachten und umsetzen müssen (Stand: 6. März 2026). Im Gegensatz zu früher sind auch etliche Mittelständler und sogar Kleinunternehmen in der Pflicht.

 

Welche Unternehmen betroffen sind

Ob eine Firma an das BSIG neue Fassung gebunden ist, muss die GF selbst ermitteln (lassen). Eine Aufforderung seitens des BSI oder einer anderen staatlichen Stelle dazu gibt es nicht.

Dreh- und Angelpunkt für die Antwort auf die Frage, wer nun betroffen ist, sind § 28 BSIG neue Fassung sowie die dazugehörigen Anlagen 1 und 2. Unterschieden wird dabei einerseits zwischen „besonders wichtigen und wichtigen Einrichtungen“ und andererseits zwischen Mitarbeiterzahl, Umsatz und Bilanz. Unternehmen ohne eigene Rechtsabteilung oder ohne juristischen Beistand werden sich dabei verwundert die Augen reiben. Welche Unternehmen nach ihrer Branche betroffen sind, regelt zwar § 28 BSGI neue Fassung, aber nur abstrakt. Ein Blick in die Anlagen 1 und 2 ist da hilfreicher. Hier eine subjektive Auswahl (ohne Mitarbeiterzahl, Umsatz und/oder Bilanz):

1.) „Besonders wichtige Einrichtungen“ nach Anlage 1 BSIG neue Fassung

  • „Energie“. So etwa Stromversorger.
  • „Transport und Verkehr.“
  • „Finanzenwesen“: Umfasst sind beispielsweise alle Banken und Companies der so genannten „Finanzmarktinfrastrukturen“ – also etwa Börsen.
  • „Gesundheit“. Dafür zählt die Anlage 1 unter anderem „Erbringer von Gesundheitsdienstleistungen“ auf, was beispielsweise Pharmaunternehmen umfasst.
  • „Wasser“, insbesondere Trinkwasserversorgung und Abwasserbeseitigung.
  • „Digitale Infrastruktur“. Als markante Beispiele werden Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten und Betreiber öffentlicher Telekommunikationsnetze genannt.

 

2.) „Wichtige Einrichtungen“ nach Anlage 2 BSIG neue Fassung

  • „Transport und Verkehr“. Hier gilt die Spezifikation, dass wichtige Einrichtungen Post- und Kurierdienste sind.
  • „Produktion, Herstellung und Handel mit chemischen Stoffen“.
  • „Produktion, Verarbeitung und Vertrieb von Lebensmitteln“.
  • „Herstellung von Kraftwagen und Kraftwagenteilen“ sowie „sonstiger Fahrzeugbau“.
  • „Anbieter digitaler Dienste“. Dafür nennt die Anlage 2 die Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke.

 

Hohe Geldbußen

Firmen, die die Vorgaben des BSIG neue Fassung nicht einhalten, riskieren ein mögliches Bußgeld, das nicht von „Pappe“ ist- Handelt es sich beispielsweise um eine besonders wichtige Einrichtung liegt der Rahmen bei bis „zu 2 Prozent des Gesamtumsatzes“ (§ 65 Absatz 6 BSIG) des „vorausgegangenen Geschäftsjahr weltweit“.

Der deutsche Gesetzgeber hat dabei wohl aus der Vergangenheit gelernt: „Der Gesamtumsatz kann geschätzt werden“ (§ 65 Absatz 6 BSIG) Das möchte kein Unternehmen.

 

 

Von Prof. Dr. jur. Noogie C. Kaufmann (Master of Arts)

AI-Privacy-Expert (GDDcert. EU)

 

Bildnachweis: Das Bild wurde mit KI von Adobe Firefly erstellt.