Am 21. November 2025 hat der Bundesrat dem NIS2UmsuCG zugestimmt. Kernstück der deutschen Umsetzung ist das neue BSIG (BSIG n.F.) – das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und zur Stärkung der Sicherheit informationstechnischer Systeme.
Noch vor Ende 2025 wird das reformierte BSIG voraussichtlich in Kraft treten. Es ist – mit wenigen Ausnahmen – sofort von ca. 29.000 Unternehmen umzusetzen, wie Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 20. November 2025 in einem Webinar betont haben. Die „Geschäftsleitung“ dieser Unternehmen wird stärker in die Verantwortung genommen. Aus Sicht des BSI sind das nicht nur die Geschäftsführer und Vorstände, sondern alle Personen mit Leitungsbefugnissen, wie etwa CFO, Komplementäre und andere. Diese trifft aus Sicht des BSI eine nicht vollständig delegierbare Pflicht, sich insbesondere mit den entscheidenden Regelungen des BSIG zu beschäftigen.
Anwendungsbereich – Wer ist betroffen?
Die Mitglieder der Geschäftsleitung sollten zunächst in der Lage sein zu verstehen, ob ihr Unternehmen betroffen ist. Das BSIG n.F. teilt Unternehmen in zwei Kategorien ein: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Einordnung erfolgt nach einem kombinierten System aus Unternehmensgröße (sogenannte Size-Cap-Rule) und Zugehörigkeit zu bestimmten Sektoren (siehe Anlagen 1 und 2 des BSIG n.F.). Zusätzlich gibt es Unternehmen, die unabhängig von ihrer Größe oder Branche als besonders wichtig gelten, weil sie für das Funktionieren der Gesellschaft oder Wirtschaft als systemrelevant eingestuft werden. Unternehmen müssen selbst prüfen, ob sie unter die neuen Regeln fallen – eine Benachrichtigung durch Behörden erfolgt nicht.
Besonders wichtige Einrichtungen:
- Größenabhängig: Unternehmen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Mio. € und einer Bilanzsumme von mehr als 43 Mio. €, sofern sie bestimmte Dienstleistungen in bestimmten Sektoren erbringen (z. B. Energie, Verkehr, Gesundheitswesen, Banken).
- Größenunabhängig: Unternehmen, die unabhängig von ihrer Größe als systemrelevant gelten, z. B. Betreiber kritischer Anlagen (KRITIS), Anbieter qualifizierter Vertrauensdienste (z. B. Anbieter von elektronischen Signaturen), Anbieter von sogenannten DNS-Diensten (Domain Name System, also zentrale Internet-Infrastruktur) und Register für Top-Level-Domains (z. B. .de).
Wichtige Einrichtungen:
- Größenabhängig: Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Bilanzsumme von jeweils mehr als 10 Mio. €, sofern sie bestimmte Dienstleistungen in bestimmten Sektoren (z. B. Post- und Kurierdienste, Abfallwirtschaft, Teile der Industrie).
- Größenunabhängig: Bestimmte digitale Diensteanbieter (z. B. Betreiber von Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken) und Telekommunikationsanbieter.
Durch diese Systematik werden viele Unternehmen erstmals reguliert – insbesondere auch solche aus dem Mittelstand. Neu betroffen sind zum Beispiel:
- IT-Dienstleister, insbesondere Anbieter von sogenannten Managed Services (also ausgelagerte IT-Betreuung und IT-Sicherheitsdienste)
- Hersteller von Elektronik, Computern, Maschinen, Fahrzeugen und Medizintechnik
- Forschungseinrichtungen
Kernpflichten und strenges Meldewesen
Die Geschäftsleitungen sollen nach dem Willen des Gesetzgebers die Einhaltung der Kernpflichten steuern und überwachen können. Wenn ein meldepflichtiger Vorfall eintritt, muss die Geschäftsleitung dafür sorgen, dass die Meldewege eingehalten werden.
Proaktive Risikomanagementmaßnahmen (§ 30 BSIG n.F.):
Unternehmen müssen bestimmte technische und organisatorische Maßnahmen (TOMs) einhalten, die gesetzlich vorgegeben sind. Diese umfassen sowohl technische Sicherheitsvorkehrungen als auch organisatorische Prozesse und Verfahren zum Risikomanagement. Dazu gehören insbesondere:
- die kontinuierliche Bewertung und Absicherung von Risiken,
- die verpflichtende Sorgfalt („Due Diligence“) in der gesamten Lieferkette,
- sowie die lückenlose Dokumentation aller Maßnahmen.
Reaktive Meldepflichten (§ 32 BSIG n.F.):
Bei erheblichen IT-Sicherheitsvorfällen gilt ein strenges, dreistufiges Meldewesen:
- Innerhalb von 24 Stunden: Erste Warnmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI),
- innerhalb von 72 Stunden: Detaillierte Meldung mit Bewertung des Vorfalls,
- Abschlussbericht innerhalb eines Monats.
Die Mitglieder der Geschäftsleitung haften persönlich
Ausdrücklich normiert ist die direkte und persönliche Verantwortung der Geschäftsleitung. Das beschränkt sich nicht zwangsläufig nur auf die Geschäftsführungen und Vorstände. Das BSI betonte anlässlich eines Webinars, was sich auch schon der gesetzlichen Definition der „Geschäftsleitung“ gem. § 2 Nr. 13 BSIG n.F. entnehmen lässt – wer zur Geschäftsleitung gehört, ergibt sich aus der „Verfassung“ der Gesellschaft. Dies stellt zwar nicht wirklich eine Neuerung dar, da die Geschäftsleitung ohnehin gesellschaftsrechtlich haftet; die ausdrückliche Nennung der Verantwortlichkeit im Gesetz setzt jedoch einen zusätzlichen Fokus auf die entsprechenden Geschäftsleitungspflichten.
Nach § 38 Abs. 1 BSIG n.F. müssen Mitglieder der Geschäftsleitung nicht nur die vorgeschriebenen Maßnahmen zum Risikomanagement genehmigen, sondern auch deren Umsetzung aktiv kontrollieren.
Das ist keine reine Formsache: Bei Pflichtverletzungen haften sie persönlich für entstandene Schäden (§ 38 Abs. 2 BSIG n.F.). Um dieser Verantwortung gerecht zu werden, sind sie verpflichtet, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen, um Risiken richtig einschätzen zu können. Die Gesetzesbegründung sieht einen Rhythmus von mindestens allen drei Jahren vor. Nach Ansicht des BSI sei die Teilnahme auch so zu dokumentieren, dass Teilnehmer, Referenten, Inhalte der Schulung und Dauer für eventuelle Audits vorgehalten werden. Nach alledem erscheint ein einfaches Teilnahmezertifikat nicht ausreichend.
Die Lieferkette wird zur eigenen Verantwortung
Die persönliche Haftung wird insbesondere dann relevant, wenn Versäumnisse bei zentralen Pflichten wie dem Management der Lieferkette oder der Meldung von Sicherheitsvorfällen zu Schäden führen. Eine der zentralen Neuerungen des BSIG n.F. ist die ausdrückliche Pflicht, die Cybersicherheit nicht nur im eigenen Unternehmen, sondern auch bei allen wichtigen Lieferanten und Dienstleistern sicherzustellen (z.B. durch die eine geeignete Auswahl “sicherer” Dienstleister, die Vereinbarung vertraglicher Pflichten zur Gewährleistung von Cybersicherheit, und Überprüfungen).
Strenge Sanktionen und kurze Meldefristen
Das BSIG n.F. sieht bei Verstößen gegen die neuen Cybersicherheits-Pflichten und gegen Anordnungen des BSI deutlich strengere Strafen vor als bisher. Die Höhe der Bußgelder orientiert sich bei den Kernpflichten – ähnlich wie bei der Datenschutz-Grundverordnung – am weltweiten Jahresumsatz der Unternehmensgruppe im Vorjahr. Dabei wird jeweils der höhere der beiden folgenden Beträge als Obergrenze angesetzt:
- Für besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
- Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Schon kleinere Unternehmen können bei Verstößen also empfindliche Bußgelder treffen, wenn sie als „wichtig“ oder „besonders wichtig“ eingestuft sind.
Jetzt handeln
Mit dem BSIG n.F. wird Cybersicherheit endgültig zur Führungsaufgabe und betrifft nicht mehr nur die IT-Abteilung, sondern die gesamte Geschäftsleitung. Die Verantwortung ist persönlich und haftungsbewehrt. Das BSI beabsichtigt offenbar nicht, schon ab Tag 1 Unternehmen auf Compliance zu überprüfen. Ein Arbeiten an den notwenigen Prozessen wird jedoch eingefordert.
