Das deutsche Umsetzungsgesetz zur NIS2 Richtlinie ist nun mit einiger Verspätung vom Bundestag und Bundesrat beschlossen. Mit diesem Artikel möchten wir Ihnen einen kurzen Überblick über die in Kürze in Kraft tretende Rechtslage geben. Die wichtigsten Änderungen in der Übersicht:
1. Ausweitung des Kreises betroffener Unternehmen
Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, kurz BSIG, weitet den Kreis der betroffenen Unternehmen deutlich aus. Laut Schätzung des Bundesamts für Sicherheit in der Informationsverarbeitung kommen ca. 29.000 Unternehmen neu in der Regulierung hinzu. In den Anlagen I und II des Gesetzes werden die betroffenen Unternehmen genauer definiert.
2. Angemessene Maßnahmen zur Risikoabschätzung, -prävention und -bewältigung
§30 BSIG neu fordert von Unternehmen, die unter die Regelungen des BSIG fallen, angemessene Maßnahmen zur Risikoabschätzung, zur Risikoprävention und ggf. zur Risikobewältigung nach dem Stand der Technik. Diese Maßnahmen sind hinreichend zu dokumentieren und müssen bei Prüfungen durch das BSI ggf. vorgelegt werden. Das Ziel der Richtlinie, Stärkung der Cybersicherheit von Unternehmen und Organisationen, erfordert sowohl technische wie organisatorische Maßnahmen, die in regelmäßigen Abständen überprüft und eventuell nachgeschärft werden müssen.
3. Meldepflichten bei erheblichen Sicherheitsvorfällen
Die Fristen zur Meldung von erheblichen Sicherheitsvorfällen haben sich deutlich verschärft, innerhalb von 24 Stunden ist eine Erstmeldung abzugeben, innerhalb von 72 Stunden eine Ergänzung der Erstmeldung und Einschätzung des Schweregrads und der Auswirkungen auf die Organisation. Spätestens nach einem Monat ist eine Abschlussmeldung mit detaillierten Informationen abzugeben. Dauert der Sicherheitsvorfall noch an, ist ein detaillierter Fortschrittsbericht abzugeben.
4. Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen
Geschäftsleitungen sind nach §38 BSIG verpflichtet, angemessene Risikomaßnahmen in der Organisation umzusetzen und die Umsetzung zu überwachen. Damit sie diesen Aufgaben nachkommen können, sind Mitglieder der Geschäftsleitungen zu schulen. Nach den Aussagen von BSI-Mitarbeitern in einem Webinar vom November 2025 sind diese Schulungen mindestens alle drei Jahre zu wiederholen, in bestimmten Fällen sind kürzere Intervalle erforderlich. Beispielsweise wenn Prozesse neu eingeführt oder geändert werden, bei Wechseln in der Geschäftsführung und anderen Änderungen.
Nähere Informationen zur Schulungspflicht von Geschäftsleitungen finden Sie auf dieser Seite.
Sie sind unsicher, ob Ihr Unternehmen von den neuen Regelungen betroffen sind? Gern kontaktieren Sie uns per Email an info@prisecon.de zur Vereinbarung eines unverbindlichen Termins zur Evaluierung. Weitere Informationen finden Sie auch auf diesen Seiten:
Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (BSIG) ist nun im Bundestag und Bundesrat beschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass etwa 29.000 Unternehmen zusätzlich unter die Regulierung durch das BSIG fallen. Übergangsfristen wird es nicht geben. Das BSI kann als federführende Aufsichtsbehörde die Dokumentation zur Datensicherheit anfordern und Audits vor Ort durchführen.
Mehr dazu finden Sie unter https://www.bsig-gesetz.de.
Datenschutz und Datensicherheit – ungleich und doch zusammengehörend.
Datenschutz und Datensicherheit sind untrennbar miteinander verbunden. Mit unseren Tools, DSMS-Tool für die Erfüllung datenschutzrechtlicher Verpflichtungen und mit dem ISMS-Tool zur Gestaltung eines Informations-Sicherheits-Management-Systems fällt die Dokumentation und Erfüllung von Rechtspflichten deutlich leichter und wird kostengünstiger.
Unser Informationssicherheitsmanagementsystem-Tool ist ein preisgünstiges und innovatives Tool, das Unternehmen mit vorhandenem ISB bzw. ISB-Team die Arbeit erleichtert und den ISMS-Prozess übersichtlich strukturiert.
Mit dem DSMS-Tool können Datenschutzteams auch größerer Unternehmen koordiniert und effizient eingesetzt werden.
Details zum BSIG und den notwendigen Maßnahmen für Organisationen, die unter die Regelungen des BSIG fallen, finden Sie unter
https://www.bsig-gesetz.de