NIS2 in Deutschland

Betroffene Unternehmen

Alle Betreiber kritischer Anlagen nach den alten gesetzlichen Regelungen (BSI-Gesetz) sind automatisch „besonders wichtige Einrichtungen“. Der Begriff „Anlage“ ist selbst ein deutsches Rechtskonstrukt, das in den älteren KRITIS-Gesetzen definiert wurde und in die NIS2-Umsetzung ebenso wie in das neue KRITIS-Dachgesetz übernommen wurde. Nach der Logik der KRITIS-Anlage gilt als KRITIS-Betreiber, wer eine KRITIS-Anlage betreibt und die Schwellwerte der KRITIS-Verordnung überschreitet. Konkret folgt daraus, dass die Logik der KRITIS-Verordnung hier die Size-Cap-Regeln der NIS2 überschreibt. Die BSI-KritisV wurde am 18.12.2025 dahingehend angepasst. Sie ist online unter gesetze-im-internet.de verfügbar.

Die (zentrale) öffentliche Verwaltung fehlt als Sektor, da die Bundesverwaltung umfangreiche eigene Teile im Gesetz hat und damit auf diesem Weg erfasst ist.

Anmerkung: Die Definition zum Bankwesen weicht auf den ersten Blick ab, ist aber tatsächlich identisch, sie ist nur ausformuliert statt auf die Verordnung (EU) Nr. 575/2013 zu verweisen.

Governance & Managementverantwortung

In §38 des neuen BSI-Gesetzes (BSIG) verschärft der deutsche Gesetzgeber die Pflichten der Leitungsorgane. Während in der NIS2-Richtlinie die Leitungsorgane die Risikomanagementmaßnahmen „billigen“ müssen (Artikel 20), fordert das BSIG, dass die Leitungsorgane sie „umsetzen“. Dies macht einen erheblichen Unterschied, denn es bedeutet im juristischen Sinne eine Gewährleistungspflicht. Die Leitungsorgane stehen persönlich dafür ein, dass die Maßnahmen nicht nur auf dem Papier existieren, sondern im Unternehmen tatsächlich umgesetzt wurden. Die operative Ausführung selbst kann delegiert werden, aber die Durchführungsverantwortung verbleibt bei den Leitungsorganen.

Maßnahmen

Im deutschen BSIG fällt als Erstes auf, dass das BSI in §10 unter bestimmten Umständen gegenüber Einrichtungen der Bundesverwaltung weisungsbefugt ist. Dies gilt nicht für die Privatwirtschaft, hier hat das BSI in §11 die Ermächtigung, in „herausgehobenen Fällen“ auf Ersuchen der Einrichtung selbst Maßnahmen treffen, also vor Ort tätig werden. Das BSI tritt damit in die Rolle eines Akteurs ein. Eine Ausnahme ist in §§16-18 für TK-Dienste, digitale Dienste und Hersteller von IKT-Produkten geschaffen, wo in Einzelfällen das BSI begrenzte Weisungsbefugnis oder Mitwirkungspflichten hat. Herausragend ist hier die Befugnis des BSI, TK-Anbieter anzuweisen, „technische Befehle“ zur Behebung von Malware zu verteilen, und damit auf Endgeräte direkt einzuwirken.

Die technischen und organisatorischen Maßnahmen finden sich im BSIG in §30 und entsprechen denen der NIS2-Richtlinie teils wortidentisch.

Deutschland hat mit dem vom BSI herausgegebenen IT-Grundschutz ein umfangreiches und detailliertes Standardwerk zur Cybersicherheit. Dieses wird im BSIG jedoch nur für die Bundesverwaltung als verbindlich erklärt (§44).

Registrierungspflicht

Die Registrierungspflicht wurde gegenüber den in Artikel 3 Absatz 4 der EU-Direktive genannten Angaben in Kapitel 2, § 33, Satz 1 geringfügig erweitert. Es gilt nicht nur den Namen der Einrichtung zu übermitteln, sondern auch Rechtsform und falls einschlägig, die Handelsregisternummer. Genauso wurde Kapitel 2, § 33, Satz 1, Nummer 3 neben dem Sektor um die Branche erweitert. Neu hinzugekommen ist Kapitel 2, § 33, Satz 1, Nummer 5, die vorschreibt, für jede registrierungspflichtige Tätigkeit die jeweils zuständige Aufsichtsbehörde zu benennen.

In Kapitel 2, § 33, Satz 2 wird hinzugefügt, dass Betreiber kritischer Anlagen die öffentlichen IP-Bereiche ihrer Anlagen, die Anlagenkategorie, die ermittelten Versorgungskennzahlen nach § 56 Absatz 4 sowie eine jederzeit erreichbare Kontaktstelle übermitteln sollen.

Die Verordnung nach § 56 Absatz 4 ist noch nicht erlassen. Sie soll die Schwellenwerte für kritische Dienstleistungen, deren Versorgungsgrad sowie die Kriterien festlegen, nach denen Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten.

Des Weiteren ist geregelt, dass das Bundesamt bei Nichterfüllung der Pflicht zur Registrierung die Registrierung in Absprache mit den Aufsichtsbehörden selbst erfüllen kann. Um dies zu ermöglichen, soll die Einrichtung dem Bundesamt alle erforderlichen Dokumente vorlegen.

Nach Kapitel 2, § 33, Satz 5 sind Änderungen an den übermittelten Angaben bei der Registrierung unverzüglich zu übermitteln, außer bei Versorgungskennzahlen sowie Änderungen der sich im Einsatz befindenden Komponenten, diese sind jährlich mitzuteilen.

Berichtspflichten

Im Unterschied zur NIS-2-Richtlinie der EU sind die Berichtspflichten als „Meldepflichten“ in Kapitel 2, § 32 des „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ untergebracht.

Dementsprechend wird im deutschen Umsetzungsgesetz von „Meldung“ anstelle des „Berichts“ gesprochen. Entsprechend wird anstelle eines CSIRT vom „Bundesamt“ gesprochen.

In Kapitel 2, § 32, Absatz 3 wird die EU-Direktive erweitert, indem Betreiber kritischer Anlagen zusätzlich zur Beschreibung des Vorfalls, seines Schweregrades, der Art der Bedrohung bzw. der Ursache, den getroffenen und laufenden Abhilfemaßnahmen sowie den ggf. grenzüberschreitenden Auswirkungen des Vorfalls Informationen über die Art der betroffenen Anlage und Dienstleistung und den Auswirkungen des Vorfalls auf diese Dienstleistung übermitteln müssen.

Informationsaustausch

Im deutschen NIS2-Umsetzungsgesetz ist die Rolle des BSI für den Informationsaustausch vor allem in den Paragraphen 6, 13 und 40 geregelt.

§6 definiert das BSI und seine Online Plattform als zentrale Informationsstelle.

In §13 werden dem BSI umfangreiche Informationsrechte eingeräumt. Diese gehen von allgemeinen Warnungen bis hin zu Empfehlungen für bestimmte Sicherheitsprodukte (§13 (1) Ziffer 2).

In §40 wird das BSI dann zur „nationalen Verbindungsstelle“ ernannt, das die Koordinierung insbesondere länder- oder sektorenübergreifender Zusammenarbeit übernimmt. Es kann in dieser Funktion auch von unter die NIS2 fallenden Unternehmen die Herausgabe von Informationen verlangen, die zur Bewältigung einer Störung erforderlich sind.

Erwähnenswert ist auch, dass dem BSI in §12 umfangreiche Rechte eingeräumt werden, Daten von TK- und Internetanbietern einzuholen, einschließlich personenbezogener Daten. Ein konkretes Beispiel wäre die Auskunft darüber, welchem Kunden zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse aus dem dynamischen Pool eines Internetanbieters zugeordnet war.

Aufsicht & Sanktionen

Das deutsche NIS2-Umsetzungsgesetz führt weitere Abstufungen ein, die mit Höchststrafen von fünf, zwei und einer Millionen sowie fünf- und einhunderttausend Euro belegt sind, und es wendet die 2% bzw. 1,4% Geldbußen nur auf Einrichtungen mit einem Gesamtumsatz von über 500 Mio. Euro an.

Hinweis: Eine Höchstgrenze von 20 Mio. war zeitweise im Gespräch, ist aber nicht in die finale Fassung des Gesetzes eingeflossen.

Sonstige nationale Besonderheiten

In Deutschland wurde die NIS2-Umsetzung mit einer Neustrukturierung des BSI verbunden, das in Zukunft eine stärkere und aktivere Rolle spielen soll. Welche Auswirkungen diese Neuausrichtung in der Praxis haben wird, bleibt abzuwarten. Insbesondere die umfangreichen Rechte des BSI hinsichtlich IT-Produkte (Prüfungen, Empfehlungen, Mitwirkungspflichten der Hersteller, etc.) könnten sich hier erheblich auf den Markt auswirken.