Seit dem 5. Dezember 2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Mit diesem Gesetz hat Deutschland die europäische NIS2-Richtlinie (Richtlinie (EU) 2022/2555) in nationales Recht umgesetzt und den Rechtsrahmen für Cybersicherheit grundlegend neu geordnet. Über 29.000 Unternehmen in Deutschland sind nun unmittelbar betroffen – und viele haben die Tragweite dieser Neuregelung noch nicht vollständig erkannt. Wer zu den betroffenen Einrichtungen gehört und die neuen Pflichten nicht einhält, riskiert empfindliche Bußgelder und – als besonders scharfes Novum – die persönliche Haftung der Geschäftsleitung.
Das NIS2UmsuCG ist nicht nur eine formale Richtlinienumsetzung, sondern eine fundamentale Erweiterung der Cybersicherheitsregulierung in Deutschland. Es ersetzt das bisherige IT-Sicherheitsgesetz 2.0 und das BSIG in weiten Teilen, dehnt den Anwendungsbereich auf neue Sektoren und Unternehmensgrößen aus und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Governance erheblich. Für betroffene Unternehmen bedeutet das: Die Zeit der freiwilligen Cybersicherheitsmaßnahmen ist vorbei – Cybersicherheit ist jetzt Compliance-Pflicht.
Das NIS2UmsuCG unterscheidet zwischen sogenannten wesentlichen Einrichtungen und wichtigen Einrichtungen – eine Unterscheidung, die für den Umfang der Pflichten und die Höhe möglicher Bußgelder maßgeblich ist. Wesentliche Einrichtungen sind typischerweise große Unternehmen in besonders kritischen Sektoren wie Energie, Trinkwasser und Abwasser, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, digitale Infrastruktur sowie Gesundheitswesen. Wichtige Einrichtungen umfassen mittelgroße Unternehmen in denselben Sektoren sowie Unternehmen in weiteren relevanten Bereichen wie Post- und Kurierdienste, Abfallbewirtschaftung, Lebensmittelproduktion und digitale Dienste.
Entscheidend für die Einordnung sind in der Regel die Unternehmensgröße und der Sektor. Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von mindestens 10 Millionen Euro in einem der erfassten Sektoren fallen grundsätzlich in den Anwendungsbereich. Wichtig ist dabei: Das Gesetz kennt auch einen Selbstregistrierungsprozess – betroffene Unternehmen mussten sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Diese Frist ist inzwischen abgelaufen. Wer die Registrierung versäumt hat, sollte sie unverzüglich nachholen, da die fehlende Registrierung selbst einen Bußgeldtatbestand darstellt.
Das NIS2UmsuCG verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung einer Vielzahl von Cybersicherheitsmaßnahmen. Kern dieser Pflichten ist ein umfassendes Risikomanagement, das technische und organisatorische Maßnahmen umfasst, die geeignet sind, die Netz- und Informationssysteme des Unternehmens angemessen zu schützen. Dazu zählen Maßnahmen zur Behandlung von Sicherheitsvorfällen, zur Business Continuity (Backup-Management, Disaster Recovery, Krisenmanagement), zur Sicherheit der Lieferkette, zur Zugangskontrolle und Authentifizierung sowie zur Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen.
Besondere Bedeutung kommt den Meldepflichten zu: Bei erheblichen Sicherheitsvorfällen müssen betroffene Einrichtungen innerhalb von 24 Stunden eine erste Frühwarnung an das BSI übermitteln, innerhalb von 72 Stunden eine vollständige Meldung mit einer ersten Bewertung des Vorfalls erstatten und spätestens einen Monat nach dem Vorfall einen abschließenden Bericht vorlegen. Diese Fristen sind eng und erfordern ein gut eingespieltes Incident-Response-Management sowie klare interne Zuständigkeiten. Wer im Ernstfall nicht innerhalb weniger Stunden handlungsfähig ist, verletzt bereits die Meldepflicht.
Eine der praktisch bedeutsamsten Neuerungen des NIS2UmsuCG ist die explizite Pflicht zur Absicherung der Lieferkette. Wesentliche und wichtige Einrichtungen müssen sicherstellen, dass auch ihre Lieferanten und Dienstleister angemessene Cybersicherheitsstandards erfüllen. Das bedeutet konkret: Unternehmen müssen Cybersicherheitsanforderungen in Verträge mit IT-Dienstleistern und Zulieferern aufnehmen, die Sicherheitslage ihrer wichtigsten Lieferanten regelmäßig bewerten und im Fall von Sicherheitsvorfällen bei Lieferanten unverzüglich handeln. Diese Anforderungen strahlen weit in die Lieferkette aus: Auch KMU, die nicht selbst in den Anwendungsbereich des NIS2UmsuCG fallen, werden indirekt betroffen, weil ihre größeren Auftraggeber Cybersicherheitsanforderungen vertraglich durchsetzen werden.
Das weitreichendste Novum des NIS2UmsuCG ist die ausdrückliche persönliche Haftung der Geschäftsleitung. Nach §38 NIS2UmsuCG haben die Leitungsorgane der betroffenen Einrichtungen – also Geschäftsführer, Vorstände und vergleichbare Funktionsträger – Risikomanagementmaßnahmen für die Cybersicherheit zu billigen, ihre Umsetzung zu überwachen und können für Verstöße persönlich haftbar gemacht werden. Diese Haftung ist nicht durch Gesellschaftervertrag oder Satzung abdingbar. Besonders gravierend: Bei wesentlichen Einrichtungen können Leitungsorgane bei schwerwiegenden Verstößen vorübergehend von ihrer Funktion als Leitungsperson ausgeschlossen werden.
Um sich persönlich zu enthaften, müssen Geschäftsführer und Vorstände aktiv werden. Dazu gehören die Billigung konkreter Cybersicherheitsmaßnahmen im Wege eines Beschlusses, die regelmäßige Teilnahme an Schulungen zu Cybersicherheitsrisiken, die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) und eine lückenlose Dokumentation aller Maßnahmen und Entscheidungen. Die Implementierung eines ISMS nach ISO 27001 oder einem gleichwertigen Standard bietet hierfür einen bewährten Rahmen. Wer diese Schritte nicht nachweisen kann, steht im Haftungsfall schlecht da.
Das NIS2UmsuCG sieht gestaffelte Bußgelder vor, die je nach Einordnung als wesentliche oder wichtige Einrichtung variieren. Für wesentliche Einrichtungen drohen bei Verstößen gegen die Cybersicherheitspflichten Bußgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – wobei der jeweils höhere Betrag gilt. Für wichtige Einrichtungen sind Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes vorgesehen. Hinzu kommen mögliche Bußgelder für Verstöße gegen die Registrierungspflicht und die Meldepflichten. Zuständige Behörde für die Aufsicht und die Verhängung von Bußgeldern ist primär das BSI, das seit Inkrafttreten des Gesetzes damit begonnen hat, Aufsichtsmaßnahmen zu ergreifen.
Die Bußgelder sind nicht das einzige Risiko. Betroffene Unternehmen können auch verpflichtet werden, erhebliche Sicherheitsvorfälle öffentlich bekannt zu machen – ein Reputationsrisiko, das in manchen Branchen gravierender wiegen kann als die finanzielle Sanktion selbst. Daneben können Behörden verbindliche Anweisungen zur Umsetzung bestimmter Sicherheitsmaßnahmen erteilen, Zertifizierungen entziehen oder im Extremfall den Betrieb bestimmter Dienste untersagen.
Unternehmen, die in den Anwendungsbereich des NIS2UmsuCG fallen, sollten unverzüglich die folgenden Schritte einleiten: Zunächst ist eine Bestandsaufnahme und Klassifizierung durchzuführen – welche Systeme, Prozesse und Daten sind betroffen, und ist das Unternehmen als wesentliche oder wichtige Einrichtung einzustufen? Unternehmen, die die BSI-Registrierungsfrist vom 6. März 2026 versäumt haben, sollten die Registrierung sofort nachholen. Danach ist eine Gap-Analyse durchzuführen, um zu ermitteln, welche der gesetzlich geforderten Maßnahmen bereits umgesetzt sind und wo Handlungsbedarf besteht. Auf Basis dieser Analyse ist ein Umsetzungsplan zu erstellen, der die Einführung oder Aufwertung eines ISMS, die Implementierung der Meldekette für Sicherheitsvorfälle und die Schulung der Geschäftsleitung umfasst. Schließlich sollten alle Cybersicherheitsmaßnahmen lückenlos dokumentiert und regelmäßig überprüft werden.
Das NIS2UmsuCG markiert einen Paradigmenwechsel im deutschen Cybersicherheitsrecht: Cybersicherheit ist keine rein technische Angelegenheit der IT-Abteilung mehr, sondern eine gesetzliche Pflicht, die bis in die Chefetage reicht. Die persönliche Haftung der Geschäftsleitung und die empfindlichen Bußgelder machen deutlich, dass der Gesetzgeber Cybersicherheit als unverzichtbaren Bestandteil unternehmerischer Governance betrachtet. Wer jetzt noch nicht handelt, riskiert nicht nur finanzielle Sanktionen, sondern auch den eigenen Posten.
Haben Sie Fragen zu den Anforderungen des NIS2UmsuCG oder zum Aufbau eines rechtssicheren Cybersicherheits-Compliance-Frameworks für Ihr Unternehmen? Die Anwälte von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.
Are you looking for a specific topic?
.png)
.png)
.png)
.png)