Bitte beachten Sie, dass die hier wiedergegebenen Informationen aufgrund der mittlerweile verstrichenen Zeit teilweise oder insgesamt überholt sein können (Haftungsausschluss Link). Sollten Sie eine aktuelle Einschätzung zu Ihrer Sachlage benötigen, stehen wir Ihnen gerne im Rahmen einer Zusammenarbeit zur Verfügung.

 

Sind Sie vom neuen Cyber-Sicherheitsgesetz NIS-2 betroffen?

Mit dem Inkrafttreten des Gesetzes „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beginnt eine neue Phase der Cyber-Sicherheitsregulierung in Deutschland.

Das Gesetz ist ohne Übergangsfrist am 6. Dezember 2025 final in Kraft getreten. Kernstück des NIS-2-Umsetzungsgesetzes ist das BSI-Gesetz (BSIG n. F.). Es schafft mehr Rechtssicherheit und erweitert die Pflichten zur Informationssicherheit für eine Vielzahl von mittelständischen Unternehmen. Ziel ist es, das Cybersicherheitsniveau innerhalb der europäischen Union zu erhöhen und zu vereinheitlichen.

Sind Sie betroffen?


Mit dem BSIG n.F. wird der Anwendungsbereich der gesetzlichen Anforderungen an die Cyber- und Informationssicherheit deutlich erweitert und verschärft. Neben Betreibern kritischer Infrastrukturen (KRITIS) gelten die Vorgaben nun auch für eine Vielzahl mittelständischer Unternehmen, teilweise bereits ab 50 Mitarbeitern oder bei einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über EUR 10 Mio., sofern sie in bestimmten Sektoren tätig sind.

Dazu zählen auszugsweise:

  • Energie

  • Gesundheit

  • Produktion, Herstellung und Handel mit chemischen Stoffen

  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln

  • Verarbeitendes Gewerbe/Herstellung von Waren

  • Anbieter digitaler Dienste

Eine vollständige Übersicht der betroffenen Sektoren befindet sich in Anlage 1 und Anlage 2 des BSIG n.F.
 

Was bedeutet das neue Gesetz für betroffene Unternehmen?

Strengere Cyber-Sicherheitsanforderungen

Unternehmen müssen umfassende Maßnahmen und Anforderungen zum Schutz ihrer Netzwerke, IT-Systeme und Daten umsetzen. Hierzu zählen das Aufsetzen eines Cyber-Risikomanagements sowie die Einführung von Notfallplänen und Incident-Response-Prozessen.

Meldepflichten

Sicherheitsvorfälle sind künftig in mehreren Stufen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dies umfasst eine Erstmeldung, eine Zwischenmeldung, ggf. eine Fortschrittsmeldung sowie eine Abschlussmeldung, jeweils innerhalb der gesetzlichen Fristen. Zusätzlich kann das BSI Nachweise und Berichte zur IT-Sicherheit anfordern. Betroffene Unternehmen sollten daher fortlaufend ihre getroffenen technischen und organisatorischen Maßnahmen dokumentieren und der zuständigen Behörde auf Anfrage vorlegen können.

Haftungsrisiken

Pflichtverletzungen können sowohl Bußgelder für die Gesellschaft als auch persönliche Haftungsansprüche gegen die Geschäftsleitung nach sich ziehen. In besonders schweren Fällen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden.


Die Geschäftsleitungen betroffener Einrichtungen sind verpflichtet, die nach § 30 BSIG (n.F.) zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Weiterhin besteht die Verpflichtung, regelmäßig an Informationssicherheits-Schulungen teilzunehmen, um die erforderlichen Kenntnisse zur Erfüllung ihrer Pflichten zu erlangen. Auch Mitarbeitende sollten gemäß der neuen Regulierung regelmäßig an Awareness-Trainings teilnehmen.
 

Wie können wir Sie unterstützen?

Unsere Wirtschaftsprüfer und zertifizierten IT-Spezialisten unterstützen Sie im Rahmen einer NIS-2 Betroffenheitsanalyse sowie bei der anschließenden Umsetzung der für Ihr Unternehmen zutreffenden NIS-2-Anforderungen. Unser Angebot umfasst:
Betroffenheitsanalyse

Wir analysieren Ihre Unternehmensbereiche und Geschäftseinheiten anhand der komplexen, festgelegten Kriterien des BSIG (n.F.). Dabei berücksichtigen wir neben einer möglichen unmittelbaren Anwendbarkeit auch IT-sicherheitsbezogene Due-Diligence-Anforderungen, die sich zunehmend aus Geschäftsbeziehungen mit regulierten Kunden ergeben und vertraglich relevant werden können. Die Ergebnisse fassen wir übersichtlich in einem Management Letter zusammen und schaffen damit eine angemessene Entscheidungsgrundlage.

Gap-Analyse

Im Falle einer Betroffenheit bewerten wir im Rahmen einer NIS-2 Gap Analyse, wie gut Ihr Unternehmen auf die festgelegten Anforderungen bereits vorbereitet ist und welche Schritte noch notwendig sind, um die gesetzlichen Anforderungen zu erfüllen.

NIS-2 Governance & Umsetzung der Maßnahmen

Wir unterstützen Sie bei der effizienten Steuerung und Koordination der NIS-2 Maßnahmen, damit Ihr Unternehmen die Anforderungen schnell und effektiv erfüllt. Dabei begleiten wir Sie bei der erfolgreichen Umsetzung und Dokumentation der geforderten Maßnahmen.

Berichterstattung

Wir gestalten einen für Sie optimalen Prozess zur Berichterstattung an die Aufsichtsbehörde und integrieren diesen in Ihre bestehenden Vorfalls- und Krisenmanagement-Prozesse.

Workshops & Schulungen:

Wir bieten passend auf Ihren Bedarf ausgerichtete Schulungen und Workshops zur Informationssicherheit, um Ihr Team bestmöglich auf die kommenden Herausforderungen vorzubereiten.

 

Nutzen Sie die neuen NIS-2-Anforderungen proaktiv – nicht nur zur Sicherstellung Ihrer Compliance, sondern zur nachhaltigen Stärkung Ihrer IT-Resilienz.

Weitere Infos rund um die NIS-2 Richtlinie

 

Hier geht's zum GKK NIS-2 Erstgespräch

JETZT ANMELDEN

Stefan Schmittner
Stefan Schmittner

STEFAN

SCHMITTNER

Wirtschaftsprüfer
Steuerberater
CISA (Certified Information Systems Auditor)
CVA (Certified Valuation Analyst)
Partner 

Andreas Schneider
Andreas Schneider

ANDREAS

SCHNEIDER

CISA (Certified Information Systems Auditor)
Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG
Prüfer für interne Revisionssysteme (DIIR)
Lead Auditor ISO 27001
Senior Manager

TJARK

FRIEBE

Master of Science
CISA (Certified Information Systems Auditor)
Manager
Zurück
KARRIERE
Scroll down Scroll down