Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NiS 2 Richtlinie) wurde am 27. Dezember 2022 in Kraft gesetzt. Deutschland hat diese Richtlinie mit dem Gesetz zur Umsetzung der NiS- 2 Richtlinie am 5.12.2025 umgesetzt.
Seit dem 6.12.2025 sind die Regelungen somit für die davon betroffenen Unternehmen verbindlich. Es besteht daher für viele Firmen, welche sich bislang nicht mit diesem Thema beschäftigt haben, nicht unerheblicher Handlungsdruck.
Nachfolgender Artikel soll einen kurzen Überblick über die relevanten Inhalte der Regelung geben.
Für die Firmen ist daher die Frage zu beantworten, ob sie unter die gesetzliche Regelung fallen und somit von den dort verankerten Verpflichtungen betroffen sind.
Vereinfacht lässt sich die Prüfung wie folgt strukturieren:
- Sektorenzugehörigkeit
- Schwellenwerte bezüglich Umsatz und Beschäftigten
- resultierende Pflichten
- Sanktionen
zu 1) Wesentliche Einrichtungen und wichtige Einrichtungen
Insgesamt bestehen 18 Sektoren, bei denen eine Zugehörigkeit für Ihre Firma infrage kommt.
a)
Diese Sektoren unterscheiden sich in Sektoren mit hoher Kritikalität ( sog. „wesentliche Einrichtungen“ ) und werden durch 11 Sektoren der kritischen Infrastruktur gekennzeichnet. Es handelt sich dabei um
- Energie
- Transport und Verkehr
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- IKT Dienstleistungsmanagement
- öffentliche Verwaltung
- Weltrauminfrastruktur
b)
Die übrigen 7 Sektoren sind weniger kritisch (sog. „ wichtige Einrichtungen“ ) , haben für Wirtschaft und Gesellschaft ebenfalls aber strategische Bedeutung. Es handelt sich um
– Post- und Kurierdienste
– Abfallwirtschaft
– chemische Industrie
– Ernährungs- und Lebensmittelwirtschaft
– Herstellendes Gewerbe
– digitale Online Anbieter und
– Forschungseinrichtungen
zu 2. Schwellenwerte bezüglich Umsatz und Beschäftigtenanzahl
Trotz einer Zugehörigkeit in den zuvor genannten Branchen ist nicht jedes Unternehmen zwangsläufig von der NiS 2 Regelung betroffen. Denn die Richtlinie zielt auf mittlere und große Unternehmen ab.
So gilt die Regel für Unternehmen ab 50 Mitarbeitern oder über 10 Millionen € Jahresumsatz und Bilanzsumme.
Unternehmen, welche diese Schwellen unterschreiten, sind zur Vermeidung von übermäßigen Belastungen überwiegend ausgenommen.
Allerdings gibt es auch Sonderfälle jenseits dieser Grenzwerte. So werden beispielsweise bestimmte Kommunikations- und Vertrauensdiensteanbieter automatisch als kritische Infrastruktur gesehen.
Zudem kann ein kleineres Unternehmen, wenn es für die Versorgung eines Gebietes unersetzlich ist, trotz des Nichterreichens der vorgenannten zwei Kriterien unter den Anwendungsbereich der Regelung fallen.
Auch die Frage, inwieweit kommunale Eigenbetriebe unter die Regelung fallen, bedarf einer weiteren Prüfung unter Berücksichtigung landesrechtlicher Gesetzgebung.
zu 3. resultierende Pflichten
Die betroffenen Unternehmen sind verpflichtet, ein umfassendes Cyber-Risikomanagement zu etablieren. Störungen sind dabei innerhalb von 24 Stunden zu melden. Zudem bestehen Registrierungspflichten als auch die Verpflichtung, die Umsetzung der Sicherheitsmaßnahmen nachzuweisen. Bei wesentlichen Einrichtung gemäß der Definition des Gesetzes finden regelmäßige Audits statt. Bei den wichtigen Einrichtungen erfolgt nur anlassbezogen eine behördliche Aufsicht.
Zu 4. Sanktionen
Das Gesetz sieht nicht unerhebliche Sanktionen bei Nichteinhaltung der Verpflichtungen vor.
So können bei Pflichtverstößen in wesentlichen Unternehmen Bußgelder bis zu 10 Mio € oder 2 % des weltweiten Umsatzes festgesetzt werden. Bei wichtigen Unternehmen sind diese Beträge leicht geringer belaufen sich auf bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.
Fazit:
Für die Unternehmen besteht die Verpflichtung, sich mit dem Thema zu beschäftigen und festzustellen, ob sie von den Regelungen des Gesetzes betroffen sind und somit Vorkehrungen für ihre IT Sicherheit treffen müssen. Daher wäre in einem ersten Schritt zunächst die sogenannte Betroffenheitsprüfung durchzuführen, welche im Schnellcheck zunächst auch auf der Seite des Bundesamtes für Sicherheit und Informationstechnologie BSi vorgenommen werden kann.
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html [1]
Damit erhalten Sie einen ersten Anhaltspunkt, welcher jedoch, und darauf ist deutlich hinzuweisen, keine Verbindlichkeit beinhaltet, denn diese Antworten werden automatisiert erstellen und nicht vom BSi geprüft.
Sollte dadurch bereits eine Betroffenheit festgestellt werden, müssen Sie sich um einen fachversierten IT-Dienstleister bemühen, welcher Ihnen die – auch langfristige – Umsetzung ermöglicht. Denn für Sie als Unternehmen ist von entscheidender Bedeutung, ob sie in der Lage sind, die Umsetzung der Regelung nachzuweisen, insbesondere, dass Sie bei Störfällen in kürzester Zeit reaktions- und handlungsfähig sind.
Die vorgenannte Prüfung erfasst jedoch nur standardisierte Fälle. Eine abschließende Sicherheit, ob Ihr Unternehmen betroffen ist, können Sie durch die Einholung eines auf Ihr Unternehmen zugeschnittenes Gutachtens durch fachversierte Kanzleien erlangen.
Sollten Sie daran Bedarf haben, dann nehmen Sie gerne Kontakt zu uns auf.
_________________________________________________________________
Haben Sie Fragen? Dann zögern Sie nicht.
Rufen Sie uns gerne an oder schicken Sie uns eine E-Mail, gegebenenfalls mit den entsprechenden Unterlagen. Die Anfrage zu Ihrer Rechtsangelegenheit ist kostenfrei.
Im Weiteren klären wir dann persönlich das weitere Vorgehen.
Telefon: 0381 / 440 777-0
Email: info@ra-spiegelberg.de
Holger Spiegelberg, Rechtsanwalt
Energierecht
Fachanwalt für Bank- und Kapitalmarktrecht,