Wie Sie erkennen, ob Ihr Unternehmen von den neuen NIS-2- und BSIG-Pflichten erfasst ist – und weshalb viele KMU unbewusst in den Anwendungsbereich fallen
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erhält das deutsche IT-Sicherheitsrecht einen erweiterten und wesentlich präziser strukturierten Anwendungsbereich. Das neue BSIG ordnet Unternehmen erstmals verbindlichen Einrichtungskategorien zu und legt umfassende Pflichten für betroffene Einrichtungen fest. Gerade kleine und mittlere Unternehmen sollten frühzeitig prüfen, ob sie unmittelbar oder mittelbar betroffen sind. Der Beitrag erläutert die maßgeblichen Kriterien, den Prüfprozess und die sich daraus ergebenden rechtlichen Konsequenzen.
I. Erweiterter Anwendungsbereich durch neue Einrichtungskategorien
Das novellierte BSIG unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Beide Kategorien ersetzen das frühere System der Betreiber kritischer Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Anbieter digitaler Dienste. Besonders wichtige Einrichtungen umfassen in der Regel Unternehmen mit mindestens zweihundertfünfzig Mitarbeitern oder einem Jahresumsatz von mindestens fünfzig Millionen Euro oder einer Bilanzsumme von mindestens dreiundvierzig Millionen Euro. Betreiber kritischer Anlagen gelten unabhängig von ihrer Größe stets als besonders wichtige Einrichtungen. Wichtige Einrichtungen umfassen regelmäßig Unternehmen mit mindestens fünfzig Mitarbeitern und einem Umsatz oder einer Bilanzsumme von mindestens zehn Millionen Euro, sofern sie in einem der in Anlage 2 aufgeführten Sektoren tätig sind.
Die Größe allein entscheidet jedoch nicht. Die sektorale Einordnung ist stets vorrangig zu prüfen. Die Anlagen des BSIG enthalten dazu detaillierte Sektorlisten, die zur Bestimmung der Betroffenheit heranzuziehen sind.
II. Prüfmechanismus zur Feststellung der Betroffenheit
Die Betroffenheitsfeststellung erfolgt über einen mehrstufigen Prüfprozess. Zunächst ist zu klären, ob das Unternehmen in einem der in den Anlagen genannten Sektoren tätig ist. Sodann sind die wirtschaftlichen Schwellenwerte zu prüfen, die für die Zuordnung zu den Einrichtungskategorien maßgeblich sind. Ergänzend ist festzustellen, ob besondere Kritikalitätsmerkmale vorliegen. Dies betrifft insbesondere Betreiber kritischer Anlagen, deren Zuordnung auf Grundlage einer Rechtsverordnung anhand von Versorgungsschwellen erfolgt. Tätigkeiten, die im Verhältnis zur Gesamttätigkeit des Unternehmens vernachlässigbar sind, können unberücksichtigt bleiben, um unverhältnismäßige Regulierungswirkungen zu vermeiden.
Für eine erste Orientierung stellt das Bundesamt für Sicherheit in der Informationstechnik ein offizielles Prüfangebot bereit. Es ist über die Seite des BSI abrufbar:
III. Mittelbare Betroffenheit: Warum viele KMU betroffen sind, ohne es zu wissen
In der betrieblichen Praxis wird die Betroffenheit häufig nicht durch die eigene Größe oder den eigenen Sektor ausgelöst, sondern durch vertragliche Beziehungen. Viele regulierte Einrichtungen geben ihre gesetzlichen Pflichten über Verträge an Zulieferer und Dienstleister weiter. Dies betrifft unter anderem Anforderungen an technische und organisatorische Sicherheitsmaßnahmen, an Meldewege, an Dokumentationspflichten und an Auditrechte. KMU, die beispielsweise IT-Dienstleistungen erbringen oder als Teil der Lieferketten von Energieversorgern, Gesundheitsdienstleistern oder Herstellern kritischer Komponenten auftreten, werden dadurch faktischer Bestandteil der Sicherheitsstruktur, ohne selbst formal als besonders wichtige oder wichtige Einrichtung eingestuft zu sein.
Dieses Phänomen führt zu einem verbreiteten Fehlverständnis. Zahlreiche KMU gehen davon aus, nicht unter die Anforderungen des BSIG zu fallen. Tatsächlich unterliegen sie jedoch aufgrund ihrer Einbindung in Lieferketten de facto denselben Anforderungen wie regulierte Einrichtungen. Die mittelbare Betroffenheit ist damit einer der zentralen Anwendungsfälle des neuen Rechts.
IV. Rechtliche Pflichten nach positiver Betroffenheitsfeststellung
Eine positive Betroffenheitsfeststellung löst mehrere gesetzliche Pflichten aus. Zunächst ist eine Registrierung bei der zentralen Registrierungsstelle von BSI und BBK vorzunehmen. Die Einrichtung hat Angaben zu den verantwortlichen Stellen, den öffentlichen IP-Adressbereichen und zur sektoralen Einordnung zu übermitteln.
Sodann ist ein Risikomanagement einzuführen, das angemessene technische und organisatorische Maßnahmen umfasst. Der Katalog der Mindestsicherheitsanforderungen umfasst unter anderem Maßnahmen zur Versorgungssicherheit in der Lieferkette, Mechanismen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, die strukturierte Erkennung und Bewältigung von Sicherheitsvorfällen sowie Verfahren des Krisenmanagements und der Wiederherstellung.
Weiterhin sieht das BSIG ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle vor. Die Erstmeldung muss innerhalb von vierundzwanzig Stunden erfolgen, gefolgt von einer vertieften Meldung innerhalb von zweiundsiebzig Stunden und einem Abschlussbericht spätestens nach einem Monat. Zusätzlich sind Geschäftsleitungen verpflichtet, sich regelmäßig zu schulen und das Risikomanagement wirksam zu überwachen. Alle Maßnahmen sind nachvollziehbar zu dokumentieren.
V. Sanktionen und wirtschaftliche Folgen
Die Nichteinhaltung der gesetzlichen Pflichten kann erhebliche wirtschaftliche Folgen haben. Für besonders wichtige Einrichtungen sieht der Gesetzesentwurf Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen beträgt der Rahmen bis zu sieben Millionen Euro oder ein Komma vier Prozent des weltweiten Jahresumsatzes. Die Höhe der Sanktionen unterstreicht die Notwendigkeit einer strukturierten Compliance und eines funktionierenden Risikomanagements.
VI. Chance für KMU: Sicherheit, Positionierung und wirtschaftliche Vorteile
Für KMU kann die Auseinandersetzung mit NIS-2 und dem BSIG nicht nur eine Pflicht sein, sondern zugleich eine strategische Möglichkeit. Unternehmen, die ihre Betroffenheit frühzeitig klären und Anforderungen systematisch umsetzen, schaffen eine klare und belastbare Struktur im Umgang mit IT-Risiken. Dies steigert die interne Steuerbarkeit, reduziert Haftungsrisiken und ermöglicht eine einheitliche Kommunikation gegenüber Geschäftspartnern.
Zugleich verbessert eine geordnete Sicherheitsarchitektur die Position in Lieferketten. Unternehmen, die nachweislich über geregelte IT-Sicherheitsprozesse verfügen, werden für größere Auftraggeber attraktiver, erfüllen zunehmend geforderte Compliance-Standards und können sich gegenüber Wettbewerbern differenzieren. Die Anforderungen des BSIG eröffnen damit eine Chance, die eigene Professionalität sichtbar zu machen und langfristige Kundenbeziehungen zu stärken.
VII. Unterstützung bei Betroffenheitsbewertung und Umsetzung
Die Feststellung der eigenen Betroffenheit bildet den Ausgangspunkt jeder wirksamen IT-Sicherheitsstrategie nach NIS-2 und BSIG. Unternehmen, die die Prüfung frühzeitig durchführen und die erforderlichen Schritte strukturiert einleiten, sichern sich nicht nur rechtliche Klarheit, sondern stärken auch ihre operative Stabilität und ihre Position in Wertschöpfungsketten.
Wir unterstützen Unternehmen bei der rechtssicheren Betroffenheitsbewertung, der Einordnung in die Einrichtungskategorien sowie bei der Konzeption und Umsetzung der daraus resultierenden Maßnahmen. Dies umfasst die sektorale Analyse, die Bewertung vertraglicher Überbindungen, die Entwicklung eines risikoadäquaten Maßnahmenkonzepts und die Einbettung strukturierten Melde- und Dokumentationspflichten in bestehende Organisationsprozesse.