FAQ - BSIG

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU) 2022/2555 ist ein EU‑Rahmenwerk für Cybersicherheit. Die NIS-2-Richtlinie soll ein gemeinsames hohes Cybersicherheitsniveau in der EU sicherstellen und so das Funktionieren des EU-Binnenmarkts verbessern (Art. 1 Abs. 1 NIS-2-Richtlinie). Zu diesem Zweck werden insbesondere Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für bestimmte Einrichtungen festgelegt. EU-Richtlinien müssen durch die Mitgliedstaaten in nationales Recht umgesetzt werden (Art. 288 Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union (AEUV)). Die EU-Mitgliedstaaten hatten dafür bis zum 17.10.2024 Zeit. Viele Mitgliedstaaten (darunter auch Deutschland) haben diese Frist verpasst.

Was haben NIS-2-Richtlinie, das NIS-2-Umsetzungsgesetz und das BSI-Gesetz miteinander zu tun?

Mit dem NIS-2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301 vom 05.12.2025) setzt der deutsche Gesetzgeber die Vorgaben der NIS-2-Richtlinie in nationales Recht um. Das ist notwendig, da Richtlinien nach Art. 288 Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) nicht unmittelbar gelten. Ein Großteil der NIS-2-Richtlinie wird in Deutschland im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (kurz: BSI-Gesetz oder BSIG) umgesetzt.

Wann ist das BSI-Gesetz in Kraft getreten und gibt es Übergangsfristen?

Das neue BSI-Gesetz wurde am 05.12.2025 im Bundesgesetzblatt verkündet und ist einen Tag nach Verkündung in Kraft getreten. Das regelt Art. 30 des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (BGBl. 2025 I Nr. 301 vom 05.12.2025). Übergangsfristen sind im BSI-Gesetz nicht vorgesehen.

Wer ist vom BSI-Gesetz betroffen und wie können Unternehmen ihre Betroffenheit prüfen?

Das BSI-Gesetz gilt nach § 28 Abs. 1 BSIG für alle Unternehmen, die Dienstleistungen in der EU erbringen oder dort Tätigkeiten ausüben, wenn sie mindestens 50 Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Mio. EUR haben und einem der Sektoren in Anlage 1 oder Anlage 2 angehören. Darüber hinaus gilt das BSI-Gesetz auch für Betreiber kritischer Anlagen (KRITIS) sowie einige unabhängig von der Unternehmensgröße regulierte Einrichtungen.

Was sind vernachlässigbare Geschäftstätigkeiten (§ 28 Abs. 3 BSIG)?

Vernachlässigbare Geschäftstätigkeiten sind nach § 28 Abs. 3 BSIG solche Geschäftstätigkeiten, die bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 unberücksichtigt bleiben können, da sind im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Für die Prüfung, ob eine vernachlässigbare Tätigkeit vorliegt, können folgende Regeln herangezogen werden:

Die Tatsache, dass eine geringfügige Nebentätigkeit vorliegt, ist für sich genommen nicht ausreichend. Vielmehr muss geprüft werden, ob durch das Vorliegen einer geringfügigen Tätigkeit eine unverhältnismäßige Regulierung entsteht.
Es muss sich um eine Nebentätigkeiten handeln. Die Haupttätigkeiten eines Unternehmens, die in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument genannt werden, können nicht vernachlässigbar sein.
Überschreitet eine Nebentätigkeit für sich genommen die Schwellenwerte für mittlere Unternehmen, ist die Tätigkeit nicht vernachlässigbar.

Gilt das BSIG auch für Stadtwerke und kommunale Eigenbetriebe?

Stadtwerke und andere kommunale Betriebe sind zentrale Akteure für kritische Infrastruktur wie Strom, Gas und Wasser. Daher sind sie auch vom neuen BSIG, in dem Deutschland die NIS-2-Richtlinie überwiegend umgesetzt hat, betroffen. Privatrechtliche Organisationsformen (z.B. GmbH und AG), die von Kommunen kontrolliert werden, fallen in ihrer Gesamtheit unter die Vorgaben, wenn sie die allgemeinen Voraussetzungen für eine Betroffenheit erfüllen. Wie weitreichend die Pflichten bei Eigenbetrieben von Kommunen sind, ist schwieriger zu beantworten. Das BSIG adressiert speziell für diese Fälle auch rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, d.h. den Eigenbetrieb selbst, nicht die gesamte Kommune.

Was ist eine kritische Anlage (KRITIS)?

Eine kritische Anlage (KRITIS) ist nach § 2 Nr. 22 BSIG eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist. Die kritischen Anlagen im Sinne des BSIG werden durch die Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (kurz: BSI-Kritisverordnung oder BSI-KritisV) näher bestimmt. Betreiber kritischer Anlagen gelten nach § 28 Abs. 1 Nr. 1 BSIG als besonders wichtige Einrichtungen.

Was sind besonders wichtige Einrichtungen?

Zu den besonders wichtigen Einrichtungen nach § 28 Abs. 1 BSIG zählen kritische Anlagen (KRITIS) und Unternehmen, die zu den Einrichtungenarten in Anhang 1 BSIG zählen und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. Darüber hinaus zählen zu den besonders wichtigen Einrichtungen auch qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Besonders wichtige Einrichtungen heißen im Wortlaut der NIS-2-Richtlinie heißen wesentliche Einrichtungen.

Was sind wichtige Einrichtungen?

Wichtige Einrichtungen sind alle Einrichtungen, die mindestens 50 Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Mio. EUR haben, einem der Sektoren in Anlage 1 oder Anlage 2 angehören und keine besonders wichtigen Einrichtungen sind.

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG) und wichtige Einrichtungen (§ 28 Abs. 2 BSIG) sind zwei unterschiedliche Kategorien von Einrichtungen, die durch das BSIG reguliert werden. Der wesentliche Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen ist die Form der Aufsicht. Für besonders wichtigen Einrichtungen gilt nach § 61 BSIG eine umfassende Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für wichtige Einrichtungen gilt nach § 62 BSIG lediglich eine anlassbezogene Aufsicht. Unterschiedlich ist zu dem auch die Bußgeldobergrenze bei Verstößen gegen das BSI-Gesetz. Nach § 65 Abs. 5 ff. BSIG können besonders wichtige Einrichtungen mit Bußgeldern bis zu zehn Millionen Euro bzw. 2 Prozent des Gesamtumsatzes belegt werden, bei wichtigen Einrichtungen sind es lediglich sieben Millionen Euro bzw. 1,4 Prozent des Gesamtumsatzes.

Enthält das BSI-Gesetz eine Ausnahme für die Konzern-IT?

Nein, das BSI-Gesetz sieht keine Ausnahmen für Konzerne oder Unternehmensgruppen vor. Sobald digitale Infrastruktur oder Managed Services Provider für andere Gesellschaften innerhalb des Konzerns oder der Unternehmensgruppe bereitgestellt werden, kann der Anwendungsbereich des Gesetzes eröffnet sein. In der Regel liegt auch keine vernachlässigbare Tätigkeit vor.

Wie sind Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme zu ermitteln?

Die Size-Cap-Rule (Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme) ist nach der KMU-Definition der EU-Kommission zu ermitteln. Die Daten von Partner- oder verbundenen Unternehmen sind gemäß § 28 Abs. 4 BSIG sind grundsätzlich hinzuzurechnen, es sei denn das Unternehmen ist unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen.

Reicht eine Zertifizierung nach ISO/IEC 27001 aus, um die NIS-2-Anforderungen zu erfüllen?

Nein. Eine Zertifizierung des Informationssicherheitsmanagementsystem (ISMS) nach der ISO/IEC 27001 ist aber ein richtiger Schritt zur Erfüllung der NIS-2-Anforderungen. Da das BSI-Gesetz insbesondere bei Bewältigung von Sicherheitsvorfällen, der Aufrechterhaltung des Betriebs und dem Krisenmanagement sowie der Sicherheit der Lieferkette Anforderungen enthält, die über die ISO/IEC 27001 hinausgehen, sollte in jedem Fall eine Gap-Analyse durchgeführt werden.

Wie groß ist das Delta zwischen der ISO/IEC 27001 und NIS-2?

Im Bereich des Risikomanagements deckt die ISO/IEC 27001 etwa zwei Drittel der NIS-2-Anforderungen ab. Insbesondere bei der Bewältigung von Sicherheitsvorfällen, der Aufrechterhaltung des Betriebs und dem Krisenmanagement sowie der Sicherheit der Lieferkette enthält § 30 BSIG jedoch Anforderungen, die je nach Umsetzung, über die ISO/IEC 27001 hinausgehen.

Gilt NIS-2 auch für die Lieferkette?

Ja. Nach § 30 Abs. 2 Nr. 4 BSIG müssen besonders wichtige und wichtige Einrichtungen die Sicherheit der Lieferkette zum Gegenstand ihres Risikomanagements machen und geeignete Maßnahmen ergreifen. Aus Erwägungsgrund 85 der NIS-2-Richtlinie ergibt sich, dass die betroffenen Einrichtungen hierzu vertragliche Vereinbarungen mit ihren direkten Lieferanten und Diensteanbietern zu schließen. Teil der vertraglichen Verpflichtungen sollte auch die Gewährleistung der Cybersicherheit von Subunternehmern sein.

Wo können sich betroffene Unternehmen registrieren?

Von NIS-2 betroffene Unternehmen müssen sich gemäß § 33 Abs. 1 BSIG bei dem Bundesamt für Sicherheit in der Informationstechnik registrieren. Die Registrierung erfolgt über den digitalen Dienst „Mein Unternehmenskonto“ (MUK). Weitere Informationen stellt das BSI auf seiner Website bereit.

Können Konzerne und Unternehmensgruppen eine gemeinsame Kontaktstelle bzw. Kontaktperson benennen?

Ja, eine gemeinsame Kontaktstelle bzw. Kontaktperson innerhalb eines Konzerns oder einer Unternehmensgruppe ist möglich. Es muss allerdings organisatorisch gewährleistet sein, dass die Kontaktstelle bzw. die Kontaktperson ihre Aufgaben gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) tatsächlich erfüllen kann.

Was müssen Geschäftsführer und Vorstände beachten?

Geschäftsführer, Vorstände und andere Geschäftsleitungen sind nach § 38 Abs. 1 BSIG verpflichtet ein Risikomanagementmaßnahmen aufzubauen und die Umsetzung zu überwachen. Außerdem müssen Geschäftsführer, Vorstände und andere Geschäftsleitungen regelmäßig an Schulungen zur Cybersicherheit teilnehmen.

Welche Verantwortung trägt die Geschäftsführung bzw. der Vorstand?

Kommen Geschäftsführer, Vorstände und andere Geschäftsleitungen ihren Umsetzungs- und Überwachungspflichten schuldhaft nicht nach, haften sie für den verursachten Schaden nach den allgemeinen Regeln des Gesellschaftsrechts. Da das BSI-Gesetz einen sehr detaillierten Pflichtenkatalog enthält, können Unregelmäßigkeiten allerdings deutlich leichter als bisher zu einer Haftung führen.

Müssen Unternehmen einen Chief Information Security Officer (CISO) oder einen Informationssicherheitsbeauftragten (ISB) benennen?

Nein. Weder das BSI-Gesetz noch die NIS-2-Richtlinie sieht einen Chief Information Security Officer (CISO) oder einen Informationssicherheitsbeauftragten (ISB) verpflichtend vor. Da Cybersicherheit jedoch zunehmend an Bedeutung gewinnt, kann eine Bestellung dennoch sehr sinnvoll sein.

Gilt das BSI-Gesetz auch für IT-Systemhäuser?

Ja. Wenn die allgemeinen Voraussetzungen für eine Anwendbarkeit erfüllt sind, gilt das BSI-Gesetz auch für IT-Systemhäuser. Diese sind in der Regel als Anbieter digitaler Infrastruktur und/oder Managed Services Provider betroffen.

Was müssen Unternehmen tun, deren Kunden von NIS-2 und BSIG betroffen sind?

Das BSI-Gesetz enthält für Lieferanten und Dienstleister von besonders wichtigen und wichtigen Einrichtungen keine unmittelbaren Pflichten. Allerdings sind besonders wichtige und wichtige Einrichtungen nach § 30 Abs. 2 Nr. 4 BSIG verpflichtet die Cybersicherheit der Lieferkette zu gewährleisten. Hierzu müssen die betroffenen Einrichtungen mit ihren direkten Lieferanten und Diensteanbietern vertragliche Vereinbarungen zur Cybersicherheit abschließen. Unternehmen deren Kunden von NIS-2 und BSIG betroffen sind, werden daher mittelbar über vertragliche Vereinbarungen verpflichtet.

Welche Aufsichtsbehörde ist zuständig und wie wird NIS-2 durchgesetzt?

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Aufsichtsbehörde zur Kontrolle und Durchsetzung des BSI-Gesetzes (§ 3 BSIG). Das BSI stellt für betroffene Unternehmen zahlreiche Informationen zu NIS-2 zur Verfügung und strebt an die gesetzlichen Anforderungen an die Cybersicherheit gemeinsam mit der Wirtschaft umzusetzen.

Was droht bei Verstößen gegen das BSI-Gesetz?

In § 65 BSIG sind zahlreiche Bußgeldvorschriften enthalten. Darüber hinaus stehen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nach § 61 f. BSIG umfassende Aufsichts- und Durchsetzungsmaßnahmen zur Verfügung. Betroffene Unternehmen sollten das Risiko von Verstößen ernstnehmen. Es besteht jedoch kein Anlass zur Panik.

Was gilt in anderen EU-Mitgliedstaaten bzw. international?

Die NIS-2-Richtlinie muss in allen EU-Mitgliedsstaaten umgesetzt werden. In vielen Mitgliedstaaten ist dies bereits erfolgt. Wenn kein nationales Umsetzungsgesetz in Kraft ist, gelten im jeweiligen Mitgliedstaat (noch) keine Verpflichtungen. Unternehmen, die in mehreren Mitgliedstaaten tätig sind oder Dienstleistungen erbringen, müssen zudem beachten, dass die Umsetzung teilweise unterschiedlich erfolgt. Über die EU hinaus habe einzelne weitere Staaten, wie z.B. Albanien, die NIS-2-Richtlinie freiwillig in nationales Recht umgesetzt. Im internationalen Kontext gilt die NIS-2-Richtlinie auch für Unternehmen, die nicht in der EU niedergelassen sind, aber regulierte Dienstleistungen auf dem EU-Markt anbieten.

Was bedeutet NIS-2 für die IT-Strategie?

Die NIS-2-Richtlinie ist ein Gamechanger für die Cybersicherheit in Deutschland und der EU. Wegen der hohen Zahl an betroffenen Unternehmen und den Cybersicherheitsanforderungen an die Lieferkette ist damit zu rechnen, dass künftig ein Großteil der Unternehmen in Deutschland und der EU gesetzlich oder vertraglich zu umfassenden Maßnahmen im Bereich der Cybersicherheit verpflichtet ist. Hinzukommt, dass die EU mit dem Cyber Resilience Act einen weiteren Rechtsakt erlassen hat, der die Cybersicherheit von Produkten mit digitalen Elementen regelt.

Was bedeutet NIS-2 für die IT-Strategie?

Welche Auswirkungen haben NIS-2 und das BSI‑Gesetz auf Cyberversicherungen?

Das BSI-Gesetz wirkt sich unmittelbar auf Cyberversicherungen aus. Versicherer berücksichtigen die NIS 2 Compliance zunehmend bei Antrags und Risikofragen. Unzutreffende oder unvollständige Angaben können zum Verlust des Versicherungsschutzes führen. Zudem werden die Umsetzung des 10-Punkte-Katalogs in § 30 Abs. 2 BSIG oder weitergehenden Maßnahmen häufig als vertragliche Obliegenheiten ausgestaltet. Teilweise greifen hierbei auch allgemeine Klauseln zur Einhaltung gesetzlicher Vorschriften, sodass NIS-2-Anforderungen „automatisch“ zu Obliegenheiten werden können. Werden diese nicht eingehalten, drohen im Schadenfall Leistungskürzungen oder die vollständige Leistungsfreiheit des Versicherers. Hinzu kommt, dass Versicherer im Schadenfall verstärkt argumentieren könnten, unzureichende NIS-2-Maßnahmen stellten eine grob fahrlässige Herbeiführung des Versicherungsfalls dar (§ 81 VVG), was ebenfalls zu Kürzungen führen kann. Unternehmen sollten daher Ihre Versicherungsverträge prüfen und bei Antrags- und Risikofragen sehr genau hinschauen.

Welche Auswirkungen haben NIS-2 und das BSI‑Gesetz auf D&O-Versicherungen?

Durch § 38 BSIG werden die Pflichten der Geschäftsleitung zur Cybersicherheit konkretisiert und erweitert. Verstöße können zu einer persönlichen Haftung nach den allgemeinen Regeln des Gesellschaftsrechts führen. Dadurch steigt auch die Relevanz der D&O‑Versicherung. Gleichzeitig können bei Pflichtverletzungen schnell Deckungseinwände, Leistungskürzungen oder der Ausschluss des Versicherungsschutzes drohen.