Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten. Da das Gesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Wir möchten Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten.

Erste Unterstützungsangebote für die Wirtschaft

Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird. 

Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zu NIS-2-RL.

Neue EU-Richtlinie zur Cybersicherheit: NIS-2-RL und ihre Umsetzung in Deutschland

Im Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz NIS-2-RL) veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie in nationales Recht umsetzen. In Deutschland erfolgt die Umsetzung der NIS-2-RL durch Bund und Länder. Regelungen für die Wirtschaft werden dabei vornehmlich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) des Bundes geregelt, dessen Regierungsentwurf unter anderem umfassende Änderungen im BSI-Gesetz vorsieht.

Pflichten für die regulierte Wirtschaft

Die Gesetzesänderung führt voraussichtlich über die heute bereits regulierten KRITIS hinaus zu einer erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben. Die Identifizierung der betroffenen Unternehmen als "besonders wichtige Einrichtungen" oder "wichtige Einrichtungen" erfolgt voraussichtlich anhand von Kennzahlen und Schwellenwerten mit Bezug auf den Jahresumsatz oder die Mitarbeitendenzahl.  

Informationen zur Registrierung beim BSI folgen nach Abschluss des Gesetzgebungsverfahrens zum NIS2UmsuCG. 

Für einige der betroffenen Unternehmen ist mit einer Pflicht zum Nachweis der IT-Sicherheit zu rechnen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien (KRITIS, besonders wichtige Einrichtung, wichtige Einrichtung) ausdifferenziert wird. NIS-2-regulierte Unternehmen werden auch verpflichtet sein, IT-Sicherheitsvorfälle zu melden. Die bisherige Meldepflicht für hauptsächlich KRITIS-Betreiber wird durch das Melderegime der NIS-2-Richtlinie ersetzt.

Informationen zur nationalen Umsetzung sind vorläufig

Das NIS2UmsuCG befindet sich derzeit noch im Gesetzgebungsverfahren. Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat. Aus diesem Grund kann sich das BSI derzeit nur in begrenztem Umfang zu den voraussichtlichen Inhalten des Gesetzes äußern. 

Die Informationen auf dieser Webseite, insbesondere die NIS-2-Betroffenheitsprüfung sind vor dem Hintergrund des noch nicht abgeschlossenen Gesetzgebungsverfahrens Erwartungswerte und nicht rechtlich bindend. Zurzeit basiert die hier angebotene NIS-2-Betroffenheitsprüfung direkt auf der NIS-2-Richtlinie. Erst, wenn das fertige Gesetz vorliegt, werden verbindliche Auskünfte zum Anwendungsbereich in Deutschland gemacht werden können. Gemäß dem Wortlaut des Regierungsentwurfs wird auf dieser Seite anstelle der in der EU-Richtlinie verwendeten Bezeichnung "wesentliche" Einrichtungen der Begriff "besonders wichtige" Einrichtungen verwendet.

Für manche Sektoren und Unternehmen gibt es zudem noch gesonderte Regelungen. Besonders zu nennen sind hier grenzüberschreitende Anlagen, Regelungen durch DORA (EU-Verordnung über die digitale operationale Resilienz im Finanzsektor) und Änderungen im IT- und Energiesektor. Über diese Punkte wird das BSI rechtzeitig und umfassend informieren.