Mit dem NIS-2-Umsetzungsgesetz und der Novellierung des BSI-Gesetzes (BSIG) ist die NIS-2-Richtlinie seit dem 06.12.2025 in deutsches Recht überführt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 durch den Bundesrat gebilligt und am 05.12.2025 im Bundesgesetzblatt verkündet.
Damit wandelt sich das bislang eher eng gefasste KRITIS-/§ 8a-Regime zu einem breiten, sektorenübergreifenden Cybersicherheits-Ordnungsrahmen für große Teile der deutschen Wirtschaft.
Anforderungen aus dem neuen BSIG – der normative Kern
Im Zentrum der unternehmerischen Pflichten stehen die Risikomanagementmaßnahmen nach § 30 BSIG. Sie werden durch die NIS-2-Umsetzungsverordnung (NIS2UmsVo) vom 17.10.2024 und ihren technischen Annex weiter ausdifferenziert.
Gefordert werden u. a.:
- ein kohärentes Konzept für Risikomanagement und Informationssicherheit,
- Prozesse zur Bewältigung von Sicherheitsvorfällen
- belastbare Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen,
- Regelungen zu Betriebskontinuität, Backup-Strategien und Krisenorganisation,
- Maßnahmen zur Sicherheit der Lieferkette sowie klare Anforderungen an IKT-Produkte und -Dienste,
- ein sicherer Entwicklungsprozess inklusive Schwachstellen- und Patch-Management,
- gelebte Cyberhygiene und systematische Schulung der Mitarbeitenden,
- ein konsistenter Einsatz von Kryptografie,
- ein wirksames Zugriffs- und Asset-Management sowie
- der verpflichtende Einsatz von Multi-Faktor-Authentifizierung und abgesicherten (Notfall-)Kommunikationswegen.
Mit § 38 BSIG wird dieser technische Kern um eine explizite Governance-Komponente ergänzt: Die Geschäftsleitung trägt die Verantwortung für die Umsetzung und Überwachung der Maßnahmen nach § 30 BSIG und hat sich regelmäßig zu NIS-2-Risiken und Risikomanagementpraktiken fortzubilden (Schulungspflicht). Die Norm verknüpft dies mit einer persönlichen Haftung der Leitungsorgane gegenüber der eigenen Einrichtung.
Große Teile der zehn Risikomanagementmaßnahmen nach § 30 BSIG sind in unserer bestehenden Audit-Kartografie auf Basis von ISO/IEC 27001 bereits abgebildet – insbesondere Themen wie Risikomanagement, Incident-Handling, BCM, Lieferkette (Ausnahmen s. u.), Schwachstellenmanagement (Ausnahmen s. u.), Monitoring/Logging, IAM und Netzsicherheit. Hier können wir auf vorhandene Kriterienkataloge, Vorlagen und Prüfpfade aufsetzen.
Wichtig für die Übergangsphase:
Das BSI hat kommuniziert, dass GAiN und RUN bis auf Weiteres weiterhin als maßgebliche Referenzen in der Prüfdurchführung herangezogen werden können.
Neu hinzu kommen also vor allem:
- der erweiterte Adressatenkreis der besonders wichtigen Einrichtungen (bwE) – KRITIS-Betreiber sind eine Teilmenge – und wichtigen Einrichtungen (wE),
- explizite Pflichten und Schulungsanforderungen der Geschäftsleitung (§ 38 BSIG), siehe hierzu auch die Handreichung des BSI.
- erweiterte Lieferketten-Anforderungen (§ 30 Abs. 2 Nr. 4 sowie Abs. 6 BSIG), inklusive perspektivischer Anforderungen an EU-Cybersicherheitszertifizierungen für bestimmte IKT-Produkte/Dienste (§ 56 Abs. 3 BSIG)
- sowie erweiterte Melde- und Registrierungspflichten gegenüber dem BSI.
Wer ist betroffen? – Sektoren, besonders wichtige und wichtige Einrichtungen
§ 28 BSIG unterscheidet zwei Kategorien regulierter Organisationen:
- Besonders wichtige Einrichtungen (bwE), u. a.
- Betreiber kritischer Anlagen (mit zusätzlichen Pflichten, vgl. § 31 BSIG),
- bestimmte Digital- und Telekommunikationsakteure (z. B. TLD-Registrierungsstellen, DNS-Dienste, qualifizierte Vertrauensdienste),
- sowie große Unternehmen in den „harten“ Sektoren der Anlage 1 (z. B. Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur), i. d. R. ab 250 Mitarbeitenden oder einem Umsatz-/Bilanzprofil oberhalb von 50 bzw. 43 Mio. Euro.
- Wichtige Einrichtungen (wE), insbesondere
- mittlere und große Unternehmen in den Sektoren der Anlagen 1 und 2 (u. a. Abfallwirtschaft, Post- und Kurierdienste, Teile der verarbeitenden Industrie, digitale Dienste, Forschung),
- i. d. R. ab 50 Mitarbeitenden oder einem Umsatz und einer Bilanzsumme von jeweils über 10 Mio. Euro.
Für bestimmte Bereiche – insbesondere Telekommunikation und Energie – sind sektorspezifische Regime (TKG, EnWG) als lex specialis vorgesehen, um eine (vollständige) Doppelregulierung weitestgehend zu vermeiden. Gleichwohl bleiben dort übergeordnete NIS-2/BSIG-Pflichten (z. B. Registrierung, Meldepflichten, Governance) relevant.
Exkurs: EnWG-regulierte Unternehmen:
- Für die „§ 11 Abs. 1a und 1b EnWG-regulierte Unternehmen“ (nach Inkrafttreten des neuen EnWG künftig § 5c–e EnWG) gelten die konkreten Sicherheitsmaßnahmen primär nach EnWG und IT-Sicherheitskatalog (§ 28 Abs. 5 BSIG).
⇒ Achtung: Einige „Meta-Pflichten“, wie die Registrierung beim BSI (§ 28 BSIG), sind davon unberührt! - Für Konstellationen, in denen ein Unternehmen Energieanlagen/-netze betreibt (EnWG-Sektor) und gleichzeitig andere NIS-2-relevante Tätigkeiten (z. B. Wasser, Abfall, digitale Dienste) erbringt: Ist der Betrieb der Energieanlagen/-netze im Hinblick auf die gesamte Geschäftstätigkeit eine Nebentätigkeit, dann bleibt das BSIG voll anwendbar („Doppelregulierung“ bei Querverbundunternehmen).
- Digitale und marktnahe Akteure – wie Aggregatoren als Markt- und Steuerungsakteure – fallen nicht mehr standardmäßig in die KRITIS-Regulierung. Mit der NIS-2-Harmonisierung (Stichwort § 5c EnWG – Cybersicherheitsanforderungen, § 5d EnWG – Meldepflichten, § 5e EnWG – SzA) fallen Aggregatoren unter das Regime der BNetzA (vgl. § 28 BSIG) als federführender Aufsichtsbehörde. Je nach Größe sind die betroffenen Aggregatoren wichtige oder besonders wichtige Einrichtungen (wE/bwE).
In der Summe wächst die Zahl der unmittelbar betroffenen Organisationen von einigen tausend klassischen KRITIS-Betreibern auf eine fünfstellige Zahl von Unternehmen und Einrichtungen in Deutschland. Eine indirekte Betroffenheit von Lieferanten direkt betroffener Unternehmen ist zudem zu erwarten.
Die Nachweispflichten fallen je nach Einordnung unterschiedlich aus:
Für Betreiber kritischer Anlagen, die eine Teilmenge der bwE darstellen, ändert sich wenig. Die Nachweispflicht besteht weiterhin, nur der Turnus erhöht sich auf drei Jahre (§ 29 BSIG).
Der Betroffenenkreis aus wE und den restlichen bwE fallen unter keine reguläre Nachweispflicht, das BSI kann jedoch eine Anordnung zur Nachweiserbringung erteilen (§ 61 bzw. § 62 BSIG). Die generelle Registrierungspflicht (§ 33 BSIG) bleibt davon unberührt.
Was wir als prüfende Stelle anbieten
Als unabhängige Prüf- und Zertifizierungsstelle für Informationssicherheit bieten wir betroffenen Unternehmen:
1. BSIG-Prüfung für bwE und wE
- Prüfung der Anforderungen aus § 30 BSIG als unabhängige Stelle
- prüffähiger Auditbericht mit klaren Feststellungen (Konformität/Abweichungen/Risiken)
- Nachweisfähigkeit gegenüber BSI, Stakeholdern oder im Rahmen von Lieferantenbewertungen
Besonderer Fokus: Lieferkette/Lieferanten & Dienstleister – Anforderungen, Steuerung, Nachweise, Monitoring – weil genau hier in der Praxis häufig die größten Nachweislücken entstehen.
2. KRITIS-Prüfung: Nachweisführung nach § 30, 31 BSIG inklusive SzA
Für Betreiber kritischer Anlagen bieten wir zudem u. a.:
- Prüfung der Anforderungen aus § 30, 31 BSIG (inklusive Systeme zur Angriffserkennung (SzA))
- Nachweisführung nach den einschlägigen Vorgaben (inklusive Berücksichtigung der anerkannten Anforderungen an die Nachweisführung, z. B. GAiN/RUN)
- Erstellung/Validierung eines prüffähigen Nachweises für die Einreichung beim BSI
Nehmen Sie Kontakt mit uns auf, wir freuen uns auf Ihre Anfrage!