LinkedIn Twitter X Xing Triangle Phone Mail

Friedrich-Ebert-Straße 49 | 14469 Potsdam

+49 (0) 331 979 358 60

info@ilchmann-kanzlei.de

Neue Pflichten in der IT-Sicherheit: Novelliertes BSIG und NIS-2 – Rechtliche Anforderungen und Handlungsbedarf für Unternehmen

Die Reform des BSIG erweitert den Pflichtenkreis erheblich und verpflichtet erstmals zahlreiche mittelständische Unternehmen zu umfassendem Risiko-, Melde- und Compliance-Management in der IT-Sicherheit.

19.11.2025, von Stefan Ilchmann
  • IT-Recht

Die Novellierung des BSIG und die Umsetzung der NIS-2-Richtlinie: Rechtliche Anforderungen und Handlungsbedarf für Unternehmen

Die Reform des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) im Zuge des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) führt zu einer tiefgreifenden Neuordnung der nationalen Cybersicherheitsarchitektur. Der Gesetzgeber erweitert den Anwendungsbereich erheblich, vereinheitlicht unionsrechtliche Vorgaben und schafft verbindliche Mindeststandards für technische und organisatorische Sicherheitsmaßnahmen. Die Neuregelungen richten sich nicht mehr ausschließlich an Betreiber kritischer Infrastrukturen, sondern erstmals an eine breite Gruppe von Unternehmen der digitalen Wirtschaft, an Dienstleister und Zulieferer in sicherheitsrelevanten Sektoren sowie an zahlreiche mittelständische Unternehmen mit digitalem Geschäftsmodell.

Für unsere Mandantschaft – insbesondere für KMU der gewerblichen Wirtschaft, Anbieter von Software- und Cloud-Diensten, Betreiber digitaler Plattformen, Lebensmittelunternehmen mit vernetzten Produktions- und Logistikprozessen sowie öffentliche Auftraggeber und verwaltungsnahe Einrichtungen – entsteht damit ein verbindlicher, detaillierter Rechtsrahmen, der die bestehenden Anforderungen des Datenschutzes, der IT-Vertragsgestaltung und der allgemeinen Organisationspflichten deutlich überlagert.

1. Erweiterter Anwendungsbereich und neue Pflichten

Die NIS-2-Richtlinie und das novellierte BSIG lösen die bisherige reine KRITIS-Perspektive ab. Entscheidend sind nun sektorale Zugehörigkeit und Unternehmensgröße, nicht allein die kritische Versorgungsrelevanz. Unternehmen aus Bereichen wie Softwareentwicklung, Cloud-Hosting, Managed-Service-Providing, digitaler Handel, Lebensmittelproduktion, Elektronikherstellung, Maschinenbau oder Gesundheitswirtschaft können – abhängig von Schwellenwerten – als besonders wichtige oder wichtige Einrichtungen eingestuft werden.

Diese Einordnung begründet umfassende Rechtspflichten, die weit über allgemeine IT-Sicherheitsstandards hinausreichen. Die Anforderungen betreffen nicht nur die technischen Schutzmaßnahmen, sondern insbesondere auch Governance-Strukturen, Compliance-Prozesse und Dokumentationspflichten.

2. Risikomanagementpflichten nach § 30 BSIG

Das Kernstück der Reform bildet die Pflicht zur Umsetzung geeigneter, wirksamer und dokumentierter Risikomanagementmaßnahmen. Die Vorgaben des Art. 21 Abs. 2 NIS-2-RL wurden nahezu vollständig in das BSIG übernommen. Unternehmen müssen insbesondere sicherstellen:

  • dass Prozesse zur Risikoanalyse und -behandlung bestehen und regelmäßig überprüft werden,
  • dass technische Mindeststandards wie Verschlüsselung, Zugriffsmanagement, Patch- und Schwachstellenmanagement, Backup-Konzepte und Protokollierung implementiert sind,
  • dass organisatorische Maßnahmen wie Lieferkettenkontrollen, Sicherheitsrichtlinien, Notfallmanagement und ein interner Meldeprozess bereitstehen.

Diese Vorgaben erfordern eine enge Verzahnung von IT-Sicherheit, Compliance, Datenschutz und vertragsrechtlichen Vorgaben. Viele unserer Mandanten müssen ihre internen Strukturen erstmals in einem ganzheitlichen Informationssicherheitsmanagementsystem abbilden.

3. Dreistufige Meldepflicht bei Sicherheitsvorfällen

Das BSIG führt ein neues, europaweit harmonisiertes Meldeverfahren ein. Unternehmen müssen erhebliche Sicherheitsvorfälle künftig:

  • unverzüglich, spätestens innerhalb von 24 Stunden, initial melden,
  • auf Anforderung des BSI weitergehende Detailinformationen bereitstellen,
  • innerhalb eines Monats eine Abschlussmeldung einreichen.

Diese Anforderungen machen ein rechtssicheres Incident-Response-System zwingend. Unternehmen müssen klare Verantwortlichkeiten definieren, Meldewege festlegen und eine fortlaufende Dokumentation gewährleisten. Verspätete, fehlerhafte oder unterlassene Meldungen können erhebliche Sanktionen auslösen.

4. Registrierungspflichten und Dokumentation

Mit der Reform werden umfassende Registrierungspflichten in §§ 33–34 BSIG eingeführt. Einrichtungen müssen dem BSI insbesondere Angaben zu Sektor, Tätigkeitsbereichen, Unternehmensdaten, Zuständigkeiten und – im Bereich kritischer Anlagen – zu eingesetzten kritischen Komponenten übermitteln. Diese Pflicht verlangt eine strukturierte und aktualisierungsfähige Dokumentationsarchitektur und betrifft auch Unternehmen, die bislang keinerlei Berührungspunkte mit dem BSI hatten.

5. Organverantwortung und Schulungspflichten

Die Geschäftsleitung wird durch § 38 Abs. 3 BSIG ausdrücklich in die Verantwortung genommen. Leitungspersonen müssen regelmäßig Schulungen absolvieren, Risiken bewerten und angemessene organisatorische Vorkehrungen treffen. Die Vorschrift konkretisiert die bereits bestehenden allgemeinen Organisationspflichten und hebt die Anforderungen – ähnlich wie im Datenschutzrecht – auf eine haftungsrelevante Ebene. Für die Praxis bedeutet dies, dass Geschäftsleitungen Maßnahmen zur Cybersicherheit nicht mehr delegieren können, ohne parallel ein wirksames Kontrollsystem zu etablieren.

6. Rechtliche Auswirkungen für unsere Mandanten

Für viele unserer Mandanten entsteht damit erstmals ein umfassender, sektorübergreifender Rechtsrahmen. Unternehmen, die bisher lediglich datenschutzrechtliche oder vertragliche IT-Compliance umsetzen mussten, sind nun verpflichtet:

  • die eigene Betroffenheit verbindlich festzustellen,
  • ein Risikomanagement gemäß § 30 BSIG aufzubauen,
  • Melde- und Notfallprozesse rechtskonform einzurichten,
  • Lieferketten und Dienstleisterverträge anhand verbindlicher Sicherheitsstandards zu überprüfen,
  • Schulungspflichten der Geschäftsleitung umzusetzen und zu dokumentieren,
  • umfangreiche Registrierungs- und Dokumentationspflichten zu erfüllen.

Zudem ergeben sich Schnittstellen zum Vergaberecht, insbesondere bei öffentlicher IT-Beschaffung, sowie zu bestehenden Datenschutzpflichten nach der DSGVO. Die Umsetzung hat daher regelmäßig nicht nur technische, sondern auch organisatorische und vertragsrechtliche Auswirkungen.

7. Unsere Unterstützung bei der Umsetzung des BSIG und der NIS-2-Pflichten

Wir unterstützen Unternehmen aller betroffenen Sektoren – insbesondere KMU, digitale Dienstleister, Lebensmittelbetriebe, Produktionsunternehmen und öffentliche Einrichtungen – bei der rechtskonformen Implementierung der neuen Vorgaben. Unsere Leistungen umfassen die Prüfung der Betroffenheit, die rechtliche Ausarbeitung von Sicherheits-, Melde- und Dokumentationsprozessen, die Anpassung von Verträgen, die Begleitung der Kommunikation mit dem BSI sowie die Erstellung von Risiko- und Compliance-Dossiers für Geschäftsleitungen und Aufsichtsorgane.

8. Unsere Blogreihe

Der vorliegende Beitrag bildet den Auftakt zu einer Reihe, in der wir die einzelnen Pflichtbereiche des novellierten BSIG systematisch und praxisorientiert darstellen. Ziel ist es, unseren Mandanten eine rechtlich belastbare Orientierung sowie konkrete Handlungsempfehlungen für die Umsetzung der NIS-2-Pflichten zu geben und die Schnittstellen zu Datenschutz, IT-Verträgen und Verwaltungsprozessen transparent zu machen.