Warum ist dieses Thema für meine Organisation relevant?

Menschliches Verhalten ist die häufigste Ursache von Sicherheitsvorfällen. Wissen und Awareness zu diesem Thema senken das Risiko direkt und nachweisbar.

Wie hilft 2LRN4 bei diesem Thema?

2LRN4 verknüpft das Thema mit einem risikobasierten Trainingsmodul, optionaler Phishing-Simulation und Reports, sodass Sie Compliance gegenüber Aufsicht und Vorstand belegen können.

Reicht ein Awareness-Training aus oder braucht es mehr?

Training ist ein notwendiger Baustein, aber kein vollständiger Schutz. Kombinieren Sie es mit technischen Maßnahmen (MFA, E-Mail-Filter), Prozessen und einer Meldekultur für besten Schutz.

Was ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)?

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Umsetzung der EU-NIS2-Richtlinie. Es novelliert insbesondere das BSI-Gesetz (BSIG) und legt Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest, unter anderem in den Sektoren Energie, Verkehr, Finanzwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, Verwaltung und Raumfahrt. Zentrale Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für Organisationen in Österreich gilt eine eigene Umsetzung, das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024), mit eigenen Schwellenwerten und Zuständigkeiten.

Warum das NIS2UmsuCG eingeführt wurde

Am 17. Januar 2023 trat die NIS2-Richtlinie (Network and Information Security 2) als Nachfolgerin von NIS1 in Kraft. NIS2 erweiterte den Anwendungsbereich drastisch, von wenigen tausend auf zehntausende Einrichtungen in ganz Europa, und führte eine direkte Haftung der Geschäftsleitung für Cybersicherheit ein. Die Mitgliedstaaten mussten NIS2 bis zum 18. Oktober 2024 in nationales Recht umsetzen.

Deutschland setzt NIS2 über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um, das insbesondere das BSI-Gesetz (BSIG) novelliert. Der Gesetzgebungsprozess verlief länger als vorgesehen und wurde 2024-2025 schrittweise abgeschlossen. Zentrale Aufsicht und Meldestelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), ergänzt durch sektorspezifische Aufsichten, etwa die BNetzA für Energie und Telekommunikation oder die BaFin für den Finanzsektor.

Wichtig: für deutsche Organisationen ist das BSIG in seiner novellierten Fassung bindend, nicht die NIS2-Richtlinie selbst. Die Richtlinie kann als Auslegungshilfe dienen, doch Prüfungen und Sanktionen erfolgen auf Grundlage des deutschen Gesetzes.

Und in Österreich? Das NISG 2024

In Österreich wird NIS2 durch das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) umgesetzt. Es löst das ältere NISG ab und übernimmt die NIS2-Architektur mit wesentlichen und wichtigen Einrichtungen, Risikomanagementpflichten, Meldepflichten in drei Phasen sowie Verantwortlichkeit der Leitungsorgane.

Zentrale Aufsicht ist das Bundesministerium für Inneres (BMI), das die Funktion der zuständigen Behörde und des nationalen CSIRT koordiniert. Daneben behalten sektorale Aufsichtsbehörden ihre Rollen, etwa die FMA für den Finanzbereich oder die RTR/Telekom-Control für Telekommunikation. Die Schwellenwerte orientieren sich an der EU-Vorgabe (50+ Mitarbeiter oder €10 Mio. Jahresumsatz), können aber je nach Sektor abweichen.

Für Unternehmen, die sowohl in Deutschland als auch in Österreich tätig sind, gilt die Hauptniederlassungsregel aus NIS2 Artikel 26: das nationale Recht des Mitgliedstaats, in dem sich die Hauptverwaltung befindet, ist primär anwendbar. Tochtergesellschaften und Niederlassungen können dennoch zusätzlichen sektoralen Pflichten im jeweils anderen Land unterliegen.

Wer fällt unter das NIS2UmsuCG?

Das novellierte BSIG unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen stehen unter proaktiver Aufsicht (das BSI kann unangekündigt prüfen); wichtige Einrichtungen unter reaktiver Aufsicht (nur bei konkreten Anhaltspunkten oder nach einem Vorfall).

Wesentliche Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Raumfahrt.
Wichtige Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Produktion und Vertrieb chemischer Stoffe, Lebensmittelproduktion und -verarbeitung, verarbeitendes Gewerbe (Maschinenbau, Kraftfahrzeuge, Medizinprodukte u.a.), Anbieter digitaler Dienste, Forschungseinrichtungen.
Schwellenwerte: in der Regel 50+ Mitarbeiter oder mehr als €10 Mio. Jahresumsatz bzw. Bilanzsumme. Für bestimmte kritische Einrichtungen (etwa Betreiber kritischer Anlagen, KRITIS) gelten Schwellenwerte unabhängig von der Größe.

Die Hauptpflichten unter dem novellierten BSIG

Das NIS2UmsuCG bündelt die Pflichten in drei Hauptbereichen, die in der Umsetzung typischerweise parallel adressiert werden:

Risikomanagement (§ 30 BSIG n.F.). Einrichtungen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen ergreifen: Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Schwachstellenmanagement, Kryptographie, Zugangsschutz, Multi-Faktor-Authentifizierung sowie Schulung und Awareness der Beschäftigten.
Meldepflicht (§ 32 BSIG n.F.). Erhebliche Sicherheitsvorfälle sind in drei Stufen an das BSI zu melden: eine Frühwarnung innerhalb von 24 Stunden, ein Zwischenbericht innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Auf Verlangen sind Zwischenstandsmeldungen vorzulegen.
Pflichten der Geschäftsleitung (§ 38 BSIG n.F.). Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und kann bei Pflichtverletzungen persönlich haften. Mitglieder der Geschäftsleitung müssen zudem selbst regelmäßig an Schulungen teilnehmen und vergleichbare Kenntnisse innerhalb der Belegschaft fördern.

Sanktionen unter dem NIS2UmsuCG

Das novellierte BSIG sieht empfindliche Bußgelder vor. Für wesentliche Einrichtungen sind Geldbußen bis zu €10 Mio. oder 2% des weltweiten Jahresumsatzes möglich (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen liegt das Maximum bei €7 Mio. oder 1,4%.

Daneben verfügt das BSI über umfangreiche Aufsichts- und Anordnungsbefugnisse: verbindliche Anweisungen, Anordnung externer Audits, Aussetzung von Zertifizierungen oder, in schweren Fällen, die vorübergehende Untersagung der Wahrnehmung von Leitungsfunktionen. Die persönliche Haftung der Geschäftsleitung aus § 38 BSIG n.F. wirkt unmittelbar und kann zivilrechtliche Folgen nach sich ziehen.

In der Anlaufphase nach Inkrafttreten ist mit einem abgestuften Vorgehen der Aufsicht zu rechnen, mit Fokus auf nachweisbaren Fortschritt in der Umsetzung. Die Pflicht zur Schulung der Geschäftsleitung wird jedoch von Beginn an durchgesetzt, da ihre Erfüllung leicht überprüfbar ist.

Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.

Zur NIS2-Seite

Quellen

FAQ

Ab wann gilt das NIS2UmsuCG?

Das NIS2UmsuCG wurde 2024-2025 schrittweise verabschiedet und in Kraft gesetzt. Maßgeblich ist jeweils der Veröffentlichungs- und Inkrafttretenszeitpunkt der einzelnen Vorschriften des novellierten BSIG. Sektorale Durchführungsverordnungen können zusätzliche Übergangsfristen vorsehen. Eine aktuelle Übersicht bietet das BSI auf seiner Webseite.

Falle ich unter das NIS2UmsuCG?

Maßgeblich sind Sektor und Größe. Allgemeine Schwelle: 50+ Mitarbeiter oder mehr als €10 Mio. Jahresumsatz bzw. Bilanzsumme, in einem der ausgewiesenen Sektoren. Für KRITIS-Betreiber und bestimmte kritische Einrichtungen gelten besondere Regeln unabhängig von der Größe. Das BSI stellt Orientierungshilfen und Self-Assessment-Tools bereit.

Wie verhält es sich zum NISG 2024, wenn ich in Deutschland und Österreich tätig bin?

Die Hauptniederlassungsregel aus NIS2 Artikel 26 ist entscheidend: maßgeblich ist das Recht des Mitgliedstaats, in dem sich Ihre Hauptverwaltung befindet. Ist die Hauptverwaltung in Deutschland, gilt primär das NIS2UmsuCG, mit dem BSI als zentraler Anlaufstelle. Niederlassungen in Österreich können dennoch sektoralen Pflichten unter dem NISG 2024 unterliegen, etwa gegenüber sektoralen Aufsichtsbehörden.

Wie verhält es sich zur DSGVO?

DSGVO und NIS2UmsuCG überschneiden sich, haben aber unterschiedliche Schutzziele. Die DSGVO schützt personenbezogene Daten, das NIS2UmsuCG schützt die Sicherheit von Netz- und Informationssystemen insgesamt. Ein Cybersicherheitsvorfall kann beide Meldepflichten auslösen, gegenüber der Datenschutzbehörde und gegenüber dem BSI. Ein integriertes Compliance-Programm adressiert beide Regelungen gemeinsam.

Wie beginne ich mit der Umsetzung?

Drei Schritte: (1) Anwendbarkeit prüfen (Sektor, Größe, Einstufung als wesentliche oder wichtige Einrichtung) und ein verantwortliches Mitglied der Geschäftsleitung benennen; (2) Gap-Analyse zu den Pflichten aus §§ 30, 32 und 38 BSIG n.F.; (3) Umsetzungsplan mit Priorität auf der Schulung der Geschäftsleitung (sofort durchsetzbar) und den organisatorischen Maßnahmen aus § 30.

Welche Behörde ist zuständig, BSI oder sektorale Aufsicht?

Zentrale Aufsichts- und Meldestelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Daneben behalten sektorale Aufsichtsbehörden ihre Rollen, etwa die BNetzA für Energie und Telekommunikation oder die BaFin für den Finanzsektor. Die Pflichten überlagern sich häufig, weshalb eine frühzeitige Klärung der Zuständigkeiten zu empfehlen ist.