EN
DE

 

NIS-2
Umsetzungsgesetz

„Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“

Inkraftsetzung 6. Dezember 2025

 

Cyberangriffe und eine daraus deutlich gestiegene Bedrohungslage erhöhen die Notwendigkeit, Sicherheits­standards in unserer Gesellschaft zu verbessern. Die Resilienz kritischer Infrastrukturen (KRITIS) und damit verbundener Einrichtungen stehen dabei im Mittelpunkt und im besonderen Fokus.

Bereits im Jahr 2022 wurden mit Hilfe der EU-Richtlinie (EU) 2022/2555 (NIS-2) Cybersicherheitsstandards in der EU vereinheitlicht, um auf die Schwächen der Vorgänger­richtlinie (NIS-1) einzugehen.

Mit dem am 06.12.2025 ohne Übergangsfrist in Kraft gesetzten „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung“ will die Bundesregierung einheitliche Sicherheitsstandards nun in deutsches Recht umsetzen. Als so genanntes Artikel-Gesetz greift es mit sofortiger Wirkung in eine Vielzahl bestehen­der Gesetze ein.

Das Gesetz legt die Grundlagen für einheitliche Sicherheits­standards, definiert strenge Sicherheitsanforderungen, umfangreiche Meldepflichten bei Sicherheitsvorfällen und definiert schärfere Sanktionen bei Verstößen, inkl. Haftungsfragen. Insbesondere Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind, wie auch Unternehmen im Energie- und Infrastruktursektor, sind von diesen Änderungen betroffen und müssen künftig strengere Regeln zur IT-Sicherheit einhalten.

Betroffene Unternehmen müssen prüfen, inwieweit sie die erforderlichen Maßnahmen bereits erfüllen.

 

Spezifische Anforderungen für den Energiesektor

Für den Energiesektor ergeben sich konkret spezifische Anforderungen für Betreiber von Energie­netzen, Energie­anlagen sowie digitalen Energie­diensten (z. B. Aggrega­toren).

Neu ist dabei die Kategorisierung der Sicherheits­anfor­derungen nach „wichtigen Einrichtungen“, „besonders wichtigen Einrichtungen“ und „KRITIS-Betreibern“ – mit jeweils abgestuften Anforderungen an die IT-Sicherheit.

Der erweiterte Schutzumfang beinhaltet im Energiesektor Telekommunikations- und Datenverarbeitungssysteme, energiewirtschaftliche Dienste, Beschaffungsprozesse und Lieferketten, um Risiken durch die zunehmende Digitali­­sierung und Vernetzung in der Energiewirtschaft zu minimieren. Ziel ist es, durch die sektorenübergreifende Regulierung ein einheitliches Cybersicherheitsniveau im gesamten Energiesektor zu etablieren.

Mit dem KRITIS-Dachgesetz kommen weitere Anfor­derun­gen an die physische Sicherheit hinzu und wird ein ganz­heitlicher Schutzansatz verfolgt.

CONSULECTRA begleitet seine Kunden bei der Umsetzung der Anforderungen aus der NIS-2 Richtlinie und dem kommenden KRITIS-Dachgesetz. Ausgewiesene zertifizierte Experten bieten unseren Kunden praxisorientierte und fachlich fundierte Unterstützung bei der Umsetzung und Entwicklung von Lösungen für die zunehmend komplexen Herausforderungen.

SPRECHEN SIE UNS AN:
Für Fragen und Termin­verein­ba­run­gen, z. B. zu einem Beratungsgespräch oder einem Work­shop, stehen wir Ihnen gerne zur Verfügung.

01

EINORDNUNG

 

Kategorien – besonders wichtige Einrichtungen

Betroffenheit & Einordnung

 

Nr.

Kategorie

Beschreibung

Schwellenwerte / Voraussetzungen

01

Betreiber kritischer Anlagen

Betreiber von Anlagen, die als kritisch
im Sinne der BSI-Kritisverordnung
eingestuft sind

Immer besonders wichtige Einrichtung
(keine Größen- oder Umsatzschwelle erforderlich)

02

Vertrauens- und
DNS-Dienste

Qualifizierte Vertrauensdiensteanbieter,
Top-Level-Domain-Name-Registries
sowie DNS-Diensteanbieter

Unabhängig von Größe oder Umsatz

03

Telekommunikation

Anbieter öffentlich zugänglicher Telekommunikationsdienste oder
Betreiber öffentlicher Telekommunikationsnetze

Eine der folgenden Voraussetzungen:

a) ≥ 50 Beschäftigte
b) > 10 Mio. € Jahresumsatz
und > 10 Mio. € Jahresbilanzsumme

04

Sonstige Einrichtungen nach Anlage 1

Natürliche oder juristische Personen sowie rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die entgeltlich Waren oder Dienstleistungen anbieten und einer Einrichtungsart nach Anlage 1 zuzuordnen sind

Eine der folgenden Voraussetzungen:
a) ≥ 250 Beschäftigte
b) > 50 Mio. € Jahresumsatz
und > 43 Mio. € Jahresbilanzsumme

Kategorien – wichtige Einrichtungen

Betroffenheit & Einordnung

Nr.

Kategorie

Beschreibung

Schwellenwerte / Voraussetzungen

01

Vertrauensdiensteanbieter

Vertrauensdiensteanbieter

Keine zusätzlichen Größen-
oder Umsatzschwellen genannt

02

Telekommunikation
(kleinere Anbieter)

Anbieter öffentlich zugänglicher Telekommunikationsdienste oder
Betreiber öffentlicher Telekommunikationsnetze

Alle folgenden Voraussetzungen
müssen erfüllt sein:

a) < 50 Mitarbeiter
b) Jahresumsatz oder Jahresbilanzsumme jeweils ≤ 10 Mio. €

03

Sonstige Einrichtungen

z. B. Energie, Wasser, Verkehr, und weiter Sektoren nach BSI* (siehe Anlage 1 und Anlage 2)

Natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die entgeltlich Waren oder Dienstleistungen anbieten und einer Einrichtungsart nach Anlagen 1 und 2 zuzuordnen sind

Eine der folgenden Voraussetzungen:

a) ≥ 50 Mitarbeiter
b) Jahresumsatz und Jahresbilanzsumme jeweils > 10 Mio. €

Kategorien – Betreiber kritischer Anlagen

Betroffenheit & Einordnung

 

Nr.

Kategorie

Beschreibung

Schwellenwerte / Voraussetzungen

01

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen in den Sektoren
Energie, Wasser, Telekommunikation,
Gesundheit und Sozialversicherung

Festgelegt in der BSI-Kritisverordnung

02

AUSNAHMEN

 

Arten der Ausnahmen

Ausnahmen und Sonderregelungen

Nr.

Art der Ausnahme

Regelungsinhalt

01

Ermittlung Unternehmenskennzahlen

Anwendung der EU-KMU-Empfehlung 2003/361/EG; Partner- und verbundene Unternehmen werden nicht mitgerechnet, sofern das Unternehmen hinsichtlich IT-Systemen, -Komponenten und -Prozessen unabhängig ist.

02

Abgrenzung – Geschäftstätigkeit

Vernachlässigbare Geschäftstätigkeiten können bei der Zuordnung
zu Anlagen 1 und 2 unberücksichtigt bleiben

03

Vorrang Telekommunikation

§§ 30, 31, 32, 35, 36, 38, 39, 61, 62 gelten nicht für besonders wichtige Einrichtungen
und wichtige Einrichtungen, wenn öffentliches TK-Netz oder TK-Dienste betrieben werden

04

Vorrang Energie (EnWG)

§§ 30, 31, 32, 35, 36, 38, 39, 61, 62 gelten nicht für Energieversorgungsnetze, Energieanlagen und digitale Energiedienste, stattdessen gelten erweiterte Anforderungen nach §§ 5c–5e EnWG (IT Sicherheitskataloge der BNetzA mit Anforderungen z. B. an das Risikomanagement, Systeme zur Angriffserkennung, BCM, etc.)

04a

Einschränkung der Ausnahme

Ausnahme gilt nicht, wenn zusätzliche kritische Anlagen oder weitere Tätigkeiten
nach Anlage 1/2 vorliegen

04b

Nebentätigkeit Energie

Ausnahme gilt nicht, wenn Energieanlage nur Nebentätigkeit ist

03

PFLICHTEN, MASSNAHMEN UND FRISTEN

 

Umzusetzende Maßnahmen nach Einrichtungstyp

Pflichten, Maßnahmen und Fristen

Nr.

Pflicht / Maßnahme

Betreiber kritischer Anlagen (KRITIS)

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

01

Risikomanagement
(§ 30)

Ja

Ja

Ja

02

Pflichtinhalte
(§ 30 Abs. 2)

Ja

Ja

Ja

03

Dokumentation der Maßnahmen

Ja

Ja

Ja

04

EU-Durchführungsrechtsakte

Vorrang, vollständig anzuwenden

Vorrang vor nationalen Maßnahmen

Nur falls betroffen

05

Zertifizierungspflicht
(§ 30 Abs. 6)

Ja, wenn für KRITIS per VO bestimmt

Nutzung bestimmter IKTProdukte nur mit EUZertifizierung

Nur wenn per Rechtsverordnung angeordnet

06

Pflicht zur Angriffserkennung 
(§ 31 Abs. 2)

Ja

Nein

Nein

07

Meldepflicht
(§ 32)

Ja, außer Sonderfall Finanzwesen

Ja (Erstmeldung ≤ 24 h,
Vollmeldung ≤ 72 h,
Abschluss ≤ 1 Monat nach 72 h)

Ja (Erstmeldung ≤ 24 h,
Vollmeldung ≤ 72 h,
Abschluss ≤ 1 Monat nach 72 h)

08

Registrierung
(§ 33)

Ja, mit zusätzlichen Angaben

Ja, innerhalb von 3 Monaten

Ja, innerhalb von 3 Monaten

09

Erweiterte Registrierung
(§ 34)

Nein

Ja (für Einrichtungen nach
§ 60 Abs. 1 S. 1)

Ja (für Einrichtungen nach
§ 60 Abs. 1 S. 1)

10

Nachweispflichten
(§ 39)

Audits / Prüfungen / Zertifikate
alle 3 Jahre

Nein

Nein

11

Erstnachweis

Frühestens 3 Jahre
nach KRITISEinstufung

12

Übergangsregel

Kein Doppel-Nachweis
bei altem BSI § 8a

04

§ 38 UMSETZUNGS-, ÜBERWACHUNGS- UND
SCHULUNGSPFLICHTEN DER GESCHÄFTSLEITUNG

§ 38 Umsetzungs-, Überwachungs- und Schulungspflichten der Geschäftsleitung

Nr.

Thema

Betreiber kritischer Anlagen (KRITIS) / Besonders wichtige Einrichtungen / Wichtige Einrichtungen

01

Wer ist verantwortlich?

Geschäftsleitung

02

Umsetzungspflicht

Umsetzung der Risikomanagementmaßnahmen nach § 30 verpflichtend

03

Überwachungspflicht

Laufende Überwachung der Umsetzung durch die Geschäftsleitung

04

Delegation möglich?

Ja, operativ

05

Haftung bei Pflichtverletzung

Persönliche Haftung für schuldhaft verursachte Schäden nach Gesellschaftsrecht

06

Zusätzliche Haftung nach diesem Gesetz

Nur wenn das Gesellschaftsrecht keine Haftungsregelung enthält

07

Schulungspflicht

Regelmäßige verpflichtende Schulungen

05

BUSSGELDER

 

§ 65 – Bußgeldvorschriften

Nr.

Pflicht / Maßnahme

Konkreter Verstoß

Betroffene Einrichtungen

Geldbuße

01

Erstmeldung

Sicherheitsvorfall nicht
oder verspätet gemeldet (§ 32 Abs. 1)

Alle

bis 7 Mio. € (wichtig) /
10 Mio. € (besonders wichtig)
bzw. 1,4 % / 2 % Umsatz

02

Abschlussmeldung

Abschlussmeldung nicht
oder verspätet vorgelegt (§ 32 Abs. 2)

Alle

bis 7 Mio. € / 10 Mio. €
bzw. 1,4 % / 2 % Umsatz

03

Registrierung

Registrierung / Angaben nicht,
falsch oder verspätet (§ 33, § 34)

Alle

bis 500.000 €

04

Dokumentation

Maßnahmen nicht oder
unvollständig dokumentiert
(§ 30 Abs. 1 S. 3)

Alle

bis 7 Mio. € / 10 Mio. €

05

Zertifizierung

Zertifikate / Kennzeichen
unzulässig verwendet (§§ 52–55)

Alle

bis 500.000 €

06

Risikomanagement

Maßnahmen nicht / nicht richtig / 
nicht rechtzeitig umgesetzt
(§ 30 Abs. 1)

Alle

bis 7 Mio. € / 10 Mio. €
bzw. 1,4 % / 2 % Umsatz

07

Nachweise

Nachweise nicht, nicht richtig
oder verspätet erbracht (§ 39)

KRITIS

bis 1 Mio. €

08

Mitwirkungspflicht

Zutritt, Unterlagen oder Auskünfte verweigert (§ 61 Abs. 5)

Besonders wichtige/KRITIS

bis 100.000 €

09

Weiteres

 

 

 

06

CONSULECTRA

 

Unterstützung durch CONSULECTRA

Unterstützung bei der Einrichtung
von Kontakt- und Meldestellen

Bestandsaufnahmen zur (Cyber-) Sicherheit (technisch, organisatorisch, personell und physisch) durchführen und
mit dem Stand der Technik abgleichen

Hilfestellung bei der Bewertung der Betroffenheit & Ermittlung des relevanten Geltungsbereichs

Unterstützung bei der Nachweis­erbringung für die Übermittlung an die zuständigen Behörden (soweit erforderlich)

 

Geeignete Methoden zum Risiko­management entwickeln oder bestehende Methoden anpassen sowie die Durchführung des Risikomanagements unterstützen

Schulung von Schlüsselpersonal inkl. Geschäftsleitung

Aufbau oder Weiterentwicklung 
von Managementsystemen zur Informationssicherheit (ISMS)
und Business Continuity Management (BCMS)

Technische, organisatorische, personelle und physische Maßnahmen zur Steigerung der (Cyber-) Sicherheit und Resilienz konzipieren und umsetzen (z. B. Managementsysteme zur Informationssicherheit (ISMS) und Business Continuity Management (BCM) etablieren bzw. erweitern, Sicherheit in der Lieferkette gewährleisten etc.)

Unterstützung bei der Registrierung als wichtige Einrichtung, besonders wichtige Einrichtung oder KRITIS-Betreiber

 

IHR ANSPRECHPARTNER   

 

 

 

 

 

 

Thomas Ebel

  +49 40 27899-253
  t.ebel(at)consulectra.de

Cookie Einstellungen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.

Mehr über die genutzten Cookies erfahren
Zeige Cookiedetails
Notwendig
omCookieConsent
Beschr.:

Speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domäne.

Speicherdauer:
1 Jahr
Provider:
Consulectra