News & Aktuelles

BSI-Gesetz in Kraft: Nationale Umsetzung der EU-NIS-2-Richtlinie

Modernes Bürogebäude mit digitalem Schutzschild als Symbol für Cybersicherheit und NIS-2-Regulierung nach BSI-Gesetz
Inhaltsverzeichnis

Füge einen Header hinzu, um zu beginnen, ein Inhaltsverzeichnis zu erstellen

Hintergrund und Zielsetzung

Mit dem neuen BSI-Gesetz hat Deutschland im Dezember 2025 die EU-Richtlinie NIS-2 vollständig in nationales Recht umgesetzt. Ziel des Gesetzes ist es, das Cybersicherheitsniveau in Deutschland deutlich zu erhöhen und besser auf wachsende Bedrohungen durch Cyberangriffe, Sabotage und Systemausfälle zu reagieren. Dabei steht insbesondere der Schutz kritischer und wirtschaftlich wichtiger Einrichtungen im Fokus.

Erweiterter Anwendungsbereich

Das neue BSI-Gesetz weitet den Kreis der betroffenen Organisationen erheblich aus. Während zuvor vor allem Betreiber kritischer Infrastrukturen (KRITIS) erfasst waren, fallen nun auch zahlreiche „wichtige“ und „besonders wichtige Einrichtungen“ aus unterschiedlichsten Branchen unter das Gesetz. Dazu zählen unter anderem Energieversorgung, Gesundheitswesen, Verkehr, Telekommunikation, Finanz- und Versicherungswesen, digitale Dienste sowie Teile der Industrie und Verwaltung. Zusätzlich sind auch die Mitarbeiteranzahl sowie der Jahresumsatz und die Jahresbilanzsumme ausschlaggebend. Insgesamt sind nun schätzungsweise rund 30.000 Unternehmen betroffen.

Neue Pflichten für Unternehmen und Einrichtungen

Betroffene Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Cybersicherheit einzuführen. Dazu gehören insbesondere ein systematisches Risikomanagement, Schutzmaßnahmen für IT- und OT-Systeme, regelmäßige Sicherheitsupdates, Notfall- und Wiederanlaufkonzepte sowie der Schutz von Lieferketten. Die Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden.

Registrierungspflicht beim BSI

Eine wesentliche Neuerung des BSI-Gesetzes ist die verpflichtende Registrierung betroffener Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Alle Organisationen, die als „wichtige“ oder „besonders wichtige Einrichtungen“ im Sinne des Gesetzes gelten, müssen sich aktiv und eigenständig beim BSI registrieren. Die Einstufung erfolgt nicht automatisch durch die Behörde, sondern liegt in der Verantwortung des jeweiligen Unternehmens.

Die Registrierung muss unverzüglich nach Feststellung der Betroffenheit erfolgen. Änderungen relevanter Angaben, etwa der Kontaktdaten oder der Einstufung, sind ebenfalls zeitnah zu melden. Unterbleibt die Registrierung oder erfolgt sie verspätet, stellt dies einen Ordnungswidrigkeitstatbestand dar und kann mit Bußgeldern geahndet werden.

Durch die Registrierungspflicht soll sichergestellt werden, dass das BSI im Fall von Sicherheitsvorfällen schnell mit den richtigen Ansprechpartnern kommunizieren kann und ein vollständiger Überblick über die sicherheitsrelevanten Einrichtungen in Deutschland besteht.

Verschärfte Meldepflichten bei Sicherheitsvorfällen

Das Gesetz sieht deutlich strengere Meldepflichten bei IT-Sicherheitsvorfällen vor. Erhebliche Vorfälle müssen innerhalb von 24 Stunden nach Bekanntwerden über das Meldeformular gemeldet werden, gefolgt von einer genaueren Analyse innerhalb von 72 Stunden. Ein abschließender Bericht ist spätestens nach einem Monat einzureichen. Diese Pflichten gelten auch dann, wenn vertragliche Geheimhaltungsvereinbarungen bestehen.

Verantwortung der Geschäftsleitung

Eine zentrale Neuerung ist die stärkere Verantwortung der Unternehmensleitung. Geschäftsführungen und Vorstände sind persönlich dafür verantwortlich, dass die gesetzlichen Cybersicherheitsanforderungen eingehalten werden. Zudem besteht eine Pflicht zur regelmäßigen Schulung der Leitungsebene im Bereich IT- und Informationssicherheit. Bei groben Pflichtverletzungen können persönliche Haftungsrisiken entstehen.

Inkrafttreten und Bedeutung

Das neue BSI-Gesetz ist am 6. Dezember 2025 ohne Übergangsfristen in Kraft getreten. Unternehmen, welche von dem neuen BSI-Gesetz betroffen sind, müssen die Anforderungen daher unmittelbar erfüllen.

Cybersicherheit ist nicht mehr nur eine technische Aufgabe, sondern ein strategisches Thema auf Leitungsebene und ein zentraler Bestandteil der nationalen Sicherheitsvorsorge.

Prüfen Sie jetzt, ob ihr Unternehmen von den neuen Verpflichtungen des BSI-Gesetzes betroffen ist: Betroffenheitsprüfung des BSI

Benötigen Sie Unterstützung bei der Einordnung oder Umsetzung der neuen Anforderungen des BSI-Gesetzes, helfen wir Ihnen gern. Über den untenstehenden Button kommen Sie zur Erstberatung.

Erstberatung
Wir sind für Sie da.
+49 331 27335845
Ersttermin buchen
vertrieb@uub-schwan.de

Weitere News

Weitere Artikel

Besucher lesen auch:
Kontakt
Kontakt
Nach oben scrollen