Damit hat der Gesetzgeber ein deutliches Signal gesetzt – die Stärkung der IT-Sicherheit und die Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger Unternehmen gegen (Cyber-)angriffe duldet keinen Aufschub. Nach Angaben des Bundesinnenministeriums sind rund 30.000 Unternehmen betroffen. Bislang wurden durch das BSI-Gesetz bzw. die Kritis-VO lediglich 4.500 Unternehmen reguliert.[1]
Das Gesetz finden Sie unter folgendem Link: Bundesgesetzblatt – Gesetz zur Umsetzung der NIS-2-Richtlinie (https://www.recht.bund.de/bgbl/1/2025/301/VO.html)
Das Gesetz erfasst insgesamt 18 Wirtschaftssektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur und die öffentliche Verwaltung. Für die betroffenen Einrichtungen bedeutet dies, dass sie kurzfristig ihre IT-Sicherheitsstrukturen überprüfen und an die neuen gesetzlichen Vorgaben anpassen müssen. Vorgeschrieben ist unter anderem:
- die Einführung eines strukturierten Risikomanagements für IT-Sicherheit,
- die Registrierung beim BSI (Empfehlung BSI: bis Ende 2025 unter „Mein Unternehmenskonto“[2] sowie
- die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden (ab dem 6.1.2026 wird das BSI-Portal freigeschaltet).
- Schulungspflicht für Geschäftsleitungen, § 38 BSIG
Besonders hervorzuheben ist, dass die Verantwortung für Cybersicherheitsmaßnahmen ausdrücklich der Geschäftsleitung zugewiesen wird. Damit wird die Leitungsebene persönlich in die Pflicht genommen und kann bei Verstößen haftbar gemacht werden. Das Gesetz sieht dementsprechend eine bislang in dieser Form noch nicht dagewesene Schulungspflicht für Geschäftsleitungen vor.
Für Unternehmen bedeutet dies eine erhebliche organisatorische und technische Herausforderung. Die neuen Anforderungen greifen sofort und lassen keinen Raum für langwierige Vorbereitungsphasen. Es besteht damit schon heute das Risiko von empfindlichen Bußgeldern und aufsichtsrechtliche Maßnahmen sowie Reputationsschäden und den Verlust von Geschäftspartnern. Cybersicherheit ist damit nicht länger ein reines IT-Thema, sondern eine zentrale Managementaufgabe, die über die Zukunftsfähigkeit eines Unternehmens entscheidet.
Wir unterstützen Sie dabei, die neuen gesetzlichen Vorgaben rechtssicher umzusetzen und Ihre Organisation nachhaltig zukunftssicher aufzustellen. Unsere Beratung umfasst insbesondere die Geschäftsleiterhaftung sowie die zentralen Compliance-Pflichten. Darüber hinaus begleiten wir die Einführung eines wirksamen Risikomanagementsystems und überprüfen Ihre bestehenden IT-Sicherheitsstrukturen auf ihre Konformität mit den neuen Anforderungen. Zudem stehen wir Ihnen bei der Registrierung und Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei der Meldung von Sicherheitsvorfällen verlässlich zur Seite.
Gerne prüfen wir für Sie auch, ob Ihre Einrichtung überhaupt unter die neuen gesetzlichen Vorgaben fällt und somit den Anforderungen des Gesetzes unterliegt.
Auf diese Weise stellen wir sicher, dass Sie nicht nur die gesetzlichen Vorgaben erfüllen, sondern auch das Vertrauen all jener stärken, die auf Ihre Arbeit angewiesen sind – seien es Kunden, Geschäftspartner, Patienten oder Klienten. Denn Cybersicherheit ist heute mehr als eine technische Pflicht: Sie ist ein entscheidender Faktor für Verlässlichkeit, Reputation und nachhaltigen Erfolg.
[2] BSI - Mein Unternehmenskonto (MUK)
Bereits erschiene Artikel zum Thema Nis2
- Cybersicherheit: Neue gesetzliche Vorschriften für Unternehmen der Kritischen Infrastruktur
- Einführung in das Business Continuity Management (BCM)
- https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwivv6COqrCRAxVL9rsIHQDBAp8QFnoECBQQAQ&url=https%3A%2F%2Fwww.solidaris.de%2Faktuelles%2Fcybersicherheit-neue-gesetzliche-vorschriften-fuer-unternehmen-der-kritischen-infrastruktur&usg=AOvVaw3Y-5fDBDDJ9NNnOBg7yL9u&opi=89978449
- Sind Pflege-Einrichtungen von der NIS-2-Richtlinie, BSIG 3.0 und KritisV betroffen?
- NIS2-Richtlinie – neue EU-Regeln für Cybersicherheit
