Wir sind die Top-Eperten mit über 200 positiven Bewertungen
NIS2 - Das neue BSIG: Anwendungsbereich, Haftung und Dokumentation
Am 21. November 2025 hat der Bundesrat dem NIS2UmsuCG zugestimmt. Kernstück der deutschen Umsetzung ist das neue BSIG (BSIG n.F.) – das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und zur Stärkung der Sicherheit informationstechnischer Systeme.
Jetzt Kontakt aufnehmen.
Dunkle, bedrohliche Adlerstatue mit leuchtenden Augen, die auf einem Trümmerhaufen sitzt, mit roten Warnsymbolen im Hintergrund.
Die Zeit drängt! Seit dem 6. Dezember 2025 ist das reformierte BSIG in Kraft getreten – und es wird Ihr Unternehmen direkt und tiefgreifend beeinflussen. Mit wenigen Ausnahmen müssen rund 29.000 Unternehmen die neuen Regelungen sofort umsetzen. Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben dies am 20. November 2025 in einem Webinar unmissverständlich klargemacht: Die „Geschäftsleitung“ wird stärker denn je in die Verantwortung genommen. Doch Vorsicht: Das BSI definiert diese Leitungsebene nicht nur als Geschäftsführer und Vorstände, sondern als alle Personen mit Leitungsbefugnissen, von CFOs bis hin zu Komplementären. Ignorieren Sie diese Entwicklung, und Sie setzen Ihr Unternehmen einem unkalkulierbaren Risiko aus.
Es gibt keine Möglichkeit, sich dieser Verantwortung vollständig zu entziehen. Das BSI betont, dass eine nicht vollständig delegierbare Pflicht besteht, sich intensiv mit den entscheidenden Regelungen des BSIG auseinanderzusetzen. Dies ist keine Option, sondern eine zwingende Notwendigkeit für die Absicherung Ihrer Unternehmenszukunft. Sind Sie bereit, die notwendigen Schritte zu unternehmen, um Compliance zu gewährleisten und Ihr Unternehmen vor den gravierenden Folgen der Nichteinhaltung zu schützen? Handeln Sie jetzt, bevor die Frist abläuft und die Konsequenzen unumkehrbar werden.
Besonders wichtige Einrichtungen:
  • Größenabhängig: Unternehmen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Mio. € und einer Bilanzsumme von mehr als 43 Mio. €, sofern sie bestimmte Dienstleistungen in bestimmten Sektoren erbringen (z. B. Energie, Verkehr, Gesundheitswesen, Banken).
  • Größenunabhängig: Unternehmen, die unabhängig von ihrer Größe als systemrelevant gelten, z. B. Betreiber kritischer Anlagen (KRITIS), Anbieter qualifizierter Vertrauensdienste (z. B. Anbieter von elektronischen Signaturen), Anbieter von sogenannten DNS-Diensten (Domain Name System, also zentrale Internet-Infrastruktur) und Register für Top-Level-Domains (z. B. .de).
Wichtige Einrichtungen:
  • Größenabhängig: Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Bilanzsumme von jeweils mehr als 10 Mio. €, sofern sie bestimmte Dienstleistungen in bestimmten Sektoren (z. B. Post- und Kurierdienste, Abfallwirtschaft, Teile der Industrie).
  • Größenunabhängig: Bestimmte digitale Diensteanbieter (z. B. Betreiber von Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken) und Telekommunikationsanbieter.
Durch diese Systematik werden viele Unternehmen erstmals reguliert – insbesondere auch solche aus dem Mittelstand. Neu betroffen sind zum Beispiel:
  • IT-Dienstleister, insbesondere Anbieter von sogenannten Managed Services (also ausgelagerte IT-Betreuung und IT-Sicherheitsdienste)
  • Hersteller von Elektronik, Computern, Maschinen, Fahrzeugen und Medizintechnik
  • Forschungseinrichtungen
Anwendungsbereich – Wer ist betroffen?
Braunes Buch mit "NIS-2-Umsetzungsgesetz IT-Sicherheitsgesetz" und Richthammer vor deutscher Flagge.
Die Mitglieder der Geschäftsleitung stehen vor einer entscheidenden Herausforderung: Sie müssen umgehend erkennen, ob ihr Unternehmen von den bahnbrechenden Änderungen des BSIG n.F. betroffen ist. Dieses Gesetz revolutioniert die Kategorisierung von Unternehmen und unterteilt sie in zwei kritische Gruppen: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Diese Einordnung ist nicht willkürlich, sondern folgt einem präzisen, kombinierten System. Es berücksichtigt sowohl die Unternehmensgröße – die sogenannte Size-Cap-Rule – als auch die unumgängliche Zugehörigkeit zu spezifischen Sektoren, die detailliert in den Anlagen 1 und 2 des BSIG n.F. aufgeführt sind.
Doch das ist noch nicht alles. Es gibt eine weitere, entscheidende Kategorie von Unternehmen, die unabhängig von ihrer Größe oder Branche als absolut systemrelevant eingestuft werden. Diese Unternehmen sind von fundamentaler Bedeutung für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft. Es ist Ihre unbedingte Pflicht, proaktiv zu prüfen, ob Ihr Unternehmen unter diese neuen, weitreichenden Regeln fällt. Verlassen Sie sich nicht auf eine Benachrichtigung durch Behörden – diese wird nicht erfolgen. Nur durch Ihre eigene, gründliche Analyse können Sie sicherstellen, dass Sie die Weichen für die Zukunft richtig stellen und Ihr Unternehmen vor potenziellen Risiken schützen.
Grafik "Betroffene Sektoren" mit 18 Icons und Beschriftungen: Energie, Finanzmarkt-Infrastruktur, Trinkwasser, digitale Infrastruktur, Forschung, Banken, Weltraum, Verwaltung, Abfall, Anbieter digit. Dienste, Gesundheit, Transport, Ernährung, Post, Abwasser, Verwaltung von IKT-Diensten, gefährliche Chemikalien, Industrie.
Kernpflichten und strenges Meldewesen
Die Geschäftsleitungen stehen vor der entscheidenden Aufgabe, die Einhaltung zentraler Pflichten nicht nur zu gewährleisten, sondern aktiv zu steuern und zu überwachen. Der Gesetzgeber fordert hier eine klare, unmissverständliche Führung, um potenzielle Risiken frühzeitig zu erkennen und abzuwenden. Es ist Ihre Verantwortung, ein robustes System zu etablieren, das nicht nur existiert, sondern auch funktioniert – effizient und lückenlos.
Im Ernstfall, wenn ein meldepflichtiger Vorfall eintritt, darf es keine Unsicherheiten geben. Die Geschäftsleitung muss hier sofort und entschlossen handeln. Das bedeutet, sicherzustellen, dass die festgelegten Meldewege nicht nur bekannt sind, sondern auch unter allen Umständen eingehalten werden. Eine zögerliche oder fehlerhafte Reaktion kann immense Konsequenzen nach sich ziehen. Schützen Sie Ihr Unternehmen und Ihre Reputation durch proaktives Handeln und eine fehlerfreie Prozesskette, die in jeder Situation greift.
Reaktive Meldepflichten (§ 32 BSIG n.F.):
Bei erheblichen IT-Sicherheitsvorfällen gilt ein strenges, dreistufiges Meldewesen:
  • Innerhalb von 24 Stunden: Erste Warnmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI),
  • innerhalb von 72 Stunden: Detaillierte Meldung mit Bewertung des Vorfalls,
  • Abschlussbericht innerhalb eines Monats.
Eine Frau mit Headset spricht vor einem Laptop in einem Konferenzraum mit Bildschirmen für Incident Response und Business Continuity.
Proaktive Risikomanagementmaßnahmen (§ 30 BSIG n.F.):
Unternehmen müssen bestimmte technische und organisatorische Maßnahmen (TOMs) einhalten, die gesetzlich vorgegeben sind. Diese umfassen sowohl technische Sicherheitsvorkehrungen als auch organisatorische Prozesse und Verfahren zum Risikomanagement. Dazu gehören insbesondere:
  • die kontinuierliche Bewertung und Absicherung von Risiken,
  • die verpflichtende Sorgfalt („Due Diligence“) in der gesamten Lieferkette,
  • sowie die lückenlose Dokumentation aller Maßnahmen.
Die Lieferkette wird zur eigenen Verantwortung
Mann betrachtet einen Monitor mit einem "Supply Chain Risk Dashboard", das Risikostufen, eine Risikozusammenfassung und Trends zeigt.
Ihre persönliche Haftung wird zu einer greifbaren Bedrohung, wenn Versäumnisse bei Ihren Kernpflichten – insbesondere im Lieferkettenmanagement oder bei der Meldung von Sicherheitsvorfällen – verheerende Schäden nach sich ziehen. Das neue BSIG ist hier unmissverständlich: Es verpflichtet Sie nicht nur zur Sicherstellung der Cybersicherheit im eigenen Unternehmen, sondern dehnt diese Verantwortung explizit auf alle Ihre wichtigen Lieferanten und Dienstleister aus. Dies bedeutet, dass Sie proaktiv handeln müssen, indem Sie ausschließlich „sichere“ Dienstleister auswählen, vertragliche Verpflichtungen zur Gewährleistung von Cybersicherheit festschreiben und regelmäßige Überprüfungen durchführen.
Ignorieren Sie diese Anforderungen, riskieren Sie nicht nur empfindliche Strafen, sondern auch den Verlust Ihres Rufs und das Vertrauen Ihrer Kunden. Es ist nicht länger ausreichend, sich auf die Zusicherungen Dritter zu verlassen; Sie müssen die Kontrolle übernehmen und eine robuste Cybersicherheitsstrategie implementieren, die Ihre gesamte Wertschöpfungskette schützt. Nur so können Sie sich effektiv vor den finanziellen und rechtlichen Konsequenzen unzureichender Sicherheitsmaßnahmen absichern und die Integrität Ihres Geschäfts wahren.
Ein Geschäftsmann präsentiert eine "CYBER RISK HEATMAP" auf einem großen Bildschirm vor vier Kollegen.
Strenge Sanktionen und kurze Meldefristen
Das BSIG n.F. sieht bei Verstößen gegen die neuen Cybersicherheits-Pflichten und gegen Anordnungen des BSI deutlich strengere Strafen vor als bisher. Die Höhe der Bußgelder orientiert sich bei den Kernpflichten – ähnlich wie bei der Datenschutz-Grundverordnung – am weltweiten Jahresumsatz der Unternehmensgruppe im Vorjahr. Dabei wird jeweils der höhere der beiden folgenden Beträge als Obergrenze angesetzt:
  • Für besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
  • Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Schon kleinere Unternehmen können bei Verstößen also empfindliche Bußgelder treffen, wenn sie als „wichtig“ oder „besonders wichtig“ eingestuft sind.
Die Mitglieder der Geschäftsleitung haften persönlich
Ausdrücklich normiert ist die direkte und persönliche Verantwortung der Geschäftsleitung. Das beschränkt sich nicht zwangsläufig nur auf die Geschäftsführungen und Vorstände. Das BSI betonte anlässlich eines Webinars, was sich auch schon der gesetzlichen Definition der „Geschäftsleitung“ gem. § 2 Nr. 13 BSIG n.F. entnehmen lässt – wer zur Geschäftsleitung gehört, ergibt sich aus der „Verfassung“ der Gesellschaft. Dies stellt zwar nicht wirklich eine Neuerung dar, da die Geschäftsleitung ohnehin gesellschaftsrechtlich haftet; die ausdrückliche Nennung der Verantwortlichkeit im Gesetz setzt jedoch einen zusätzlichen Fokus auf die entsprechenden Geschäftsleitungspflichten. Nach § 38 Abs. 1 BSIG n.F. müssen Mitglieder der Geschäftsleitung nicht nur die vorgeschriebenen Maßnahmen zum Risikomanagement genehmigen, sondern auch deren Umsetzung aktiv kontrollieren. Das ist keine reine Formsache: Bei Pflichtverletzungen haften sie persönlich für entstandene Schäden (§ 38 Abs. 2 BSIG n.F.). Um dieser Verantwortung gerecht zu werden, sind sie verpflichtet, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen, um Risiken richtig einschätzen zu können. Die Gesetzesbegründung sieht einen Rhythmus von mindestens allen drei Jahren vor. Nach Ansicht des BSI sei die Teilnahme auch so zu dokumentieren, dass Teilnehmer, Referenten, Inhalte der Schulung und Dauer für eventuelle Audits vorgehalten werden. Nach alledem erscheint ein einfaches Teilnahmezertifikat nicht ausreichend.
Ein lächelnder Mann in Anzug und Brille steht vor Servern mit Text: Geprüfte Expertise, Sichere Prozesse, Weniger Druck.
Jetzt handeln
Mit dem Inkrafttreten des neuen BSIG wird Cybersicherheit unmissverständlich zu einer strategischen Führungsaufgabe, die weit über die Zuständigkeit der IT-Abteilung hinausgeht und die gesamte Geschäftsleitung unmittelbar betrifft. Die persönliche Verantwortung der Führungsebene ist nun direkt an die Haftung gekoppelt, was eine neue Dringlichkeit schafft. Obwohl das BSI nicht beabsichtigt, Unternehmen sofort ab dem ersten Tag umfassend auf Compliance zu prüfen, wird dennoch ein proaktives und kontinuierliches Engagement bei der Implementierung der notwendigen Prozesse und Maßnahmen vehement eingefordert. Zögern Sie nicht – Ihre proaktive Haltung entscheidet über die Sicherheit Ihres Unternehmens und minimiert Risiken.
Diese Neuausrichtung bedeutet, dass die oberste Führungsebene die Notwendigkeit einer robusten Cybersicherheitsstrategie erkennen und aktiv vorantreiben muss, anstatt sie an untergeordnete Abteilungen zu delegieren. Es geht darum, eine Unternehmenskultur zu etablieren, in der Cybersicherheit als integraler Bestandteil des Geschäftserfolgs verstanden wird. Wer jetzt handelt und die erforderlichen Prozesse etabliert, sichert sich nicht nur gegen potenzielle Bußgelder ab, sondern stärkt auch die Resilienz und das Vertrauen seiner Kunden und Partner in einem zunehmend digitalisierten Umfeld.
Buchen Sie ihre individuelle Beratung
Warum Kunden uns wählen
Kunden wählen uns, weil wir technische Präzision mit regulatorischer Sicherheit verbinden – unabhängig, praxisnah und zertifiziert. Wir schaffen Vertrauen durch nachvollziehbare Prüfungen, messbare Resilienz und echte Entlastung im Audit- und Compliance-Alltag.
Schützen Sie Ihre digitale Resilienz – starten Sie jetzt Ihre NIS-2 -Readiness!
mit unserem Cybersecurity-Self-Assessment
Unabhängiger Sachverständiger mit CISA- und CISM-Zertifizierung.
Verbindung von technischer Tiefe und regulatorischer Expertise.
Erfahrener Partner in NIS-2, DORA-, BAIT- und MaRisk-Projekten.
Maßgeschneiderte Unterstützung für Mittelstand und IT-Dienstleister.
Unsere NIS-2-Module – Sicherheit mit System
Unsere modularen Bausteine bieten Ihnen maximale Flexibilität: Von der präzisen Risikoanalyse bis zum vollständigen Compliance-Nachweis nach NIS-2 und IDW-Standards.
Jedes Modul ist einzeln oder im Paket buchbar – für Unternehmen, die operative Resilienz nachweisen,
Prüfungsdruck reduzieren und regulatorische Anforderungen souverän erfüllen wollen. Profitieren Sie von klaren Ergebnissen, messbarer Sicherheit und zertifizierter Expertise.
Nachdenklicher Mann in Anzug und Brille liest ein Dokument in einem Serverraum.
Modul 1 – NIS-2-Gap-Analyse & Risikoaufnahme
Wir analysieren Ihre bestehende ICT-Governance, Prozesse, Systeme und Verträge im Hinblick auf die Anforderungen der NIS2-Richtlinie (Art. 10–23), insbesondere mit Fokus auf:
  • Klassifizierung Ihrer Assets nach besonders wichtigen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) (Art. 5–6 NIS2),
  • Risikomanagement (Art. 10–11 NIS2) – inkl. Risikobewertung, -behandlung und -überwachung,
  • Technische und organisatorische Sicherheitsmaßnahmen (Art. 12–13 NIS2), z. B. Authentifizierung, Verschlüsselung, Patch-Management, Backup-Systeme,
  • Incident Response (Art. 14 NIS2) – Vorbereitung auf Cyberangriffe und Meldepflichten,
  • Zusammenarbeit mit nationalen Behörden (Art. 18–19 NIS2) und Überwachung durch Mitgliedstaaten.
Ihr Vorteil:
  • Lückenanalyse ohne Blindspots: Identifikation aller nicht-konformen Prozesse, Systeme oder Verträge – besonders bei kritischen Assets (z. B. SCADA-Systeme, Cloud-Infrastruktur, digitale Dienste).
  • Priorisierte Roadmap: Klare Umsetzungsstrategie mit Maßnahmen nach Risikostufe (hoch/mittel/niedrig).
  • Bußgeldprävention: Vermeidung von Sanktionen (bis zu 2% des weltweiten Umsatzes oder 10 Mio. €, Art. 23 NIS2) durch frühzeitige Anpassung.
  • Integration in Ihr Risikomanagement: Nahtlose Einbindung in bestehende ISO 27001-, NIST- oder ITIL-Prozesse für interne/externe Audits (z. B. durch Zertifizierungsstellen oder Behörden).
  • Compliance mit DSGVO & CRA: Synergien mit der Datenschutz-Grundverordnung (DSGVO) und dem zukünftigen Cyber Resilience Act (CRA) für eine ganzheitliche Sicherheitsstrategie.
Zusätzliche Anpassungen für spezifische Szenarien
  • Für KMU: Fokus auf praktische, kostengünstige Lösungen (z. B. Cloud-basierte SIEM-Tools wie Splunk Free oder Microsoft Sentinel).
  • Für Großkonzerne: Vertiefte Analyse von Supply-Chain-Risiken (Art. 21 NIS2) und Third-Party-Management.
  • Für kritische Infrastruktur (z. B. Energie, Verkehr): Besonderer Fokus auf physikalische Sicherheit (z. B. Schutz vor Sabotage) und Notfallpläne.
Modul 2 – Onsite-Simulation & Prüfungs-Readiness
Dieses Modul bereitet Sie realistisch auf BSI-Inspektionen (Onsite-Inspections) vor. Wir simulieren die Interviews, Dokumentationsprüfungen und Wirksamkeitstests einer echten NIS-2-Prüfung – inklusive Beurteilung Ihrer Kontrollarchitektur und Rollenverteilung.
Ihr Vorteil:
  • Unsere Erfahrung zeigt, dass Bereitschaftsprüfungen, strukturierte Koordination (z. B. über ein „Auditbüro“) sowie klare Rollen und Verantwortlichkeiten unerlässlich sind.
  • Sie erleben die Prüfung unter realen Bedingungen – ohne Risiko.
  • Schwachstellen werden vor der Aufsicht erkannt und behoben.
  • Ihre Teams lernen, wie sie regulatorische Nachweise souverän liefern.
  • Hohe Sicherheit vor unangenehmen Prüfungsfeststellungen oder Nachfragen.
Modul 3 – ICT-Risikomanagement-Assessment
Wir bewerten Ihre Risikoprozesse auf Effektivität und Anbindung an ein NIS-2 konformes Risikomanagement. Dabei untersuchen wir Governance, Incident-Response, Monitoring, Business Continuity und deren Verzahnung mit OpRisk-Mechanismen (gemäß NIS-2 Art. 10-11).
Ihr Vorteil:
  • Volle Transparenz über Ihre ICT-Risikolandschaft.
  • Frühwarnsystem durch Risikoindikatoren und Kontrolltests.
  • Verbesserte Kommunikation zwischen IT, Compliance und Risikomanagement.
  • Nachweisbare Integration der ICT-Risiken in die Gesamtstrategie – prüfbar nach IDW PS 340 n.F.
Modul 4 – Drittanbieter-Management (TPRM)
Wir prüfen Ihre Outsourcing- und Cloud-Verträge auf regulatorische Konformität und Effektivität der Steuerungsprozesse. Schwerpunkt sind Risikoüberwachung, Notfallstrategien und Kontrollmechanismen entlang der Lieferkette.
Ihr Vorteil:
  • Sichere und prüfungskonforme Auslagerung ohne Kontrollverlust.
  • Reduzierte Haftungsrisiken durch vertraglich klar definierte Pflichten.
  • Stärkere Position in Vertragsverhandlungen mit Dienstleistern.
  • Nachweisfähigkeit gegenüber Aufsicht, Wirtschaftsprüfer und Kunden.
Modul 5 – Nachweis-Audit & Kontrollprüfung
Wir testen, ob Ihre technischen und organisatorischen Maßnahmen nicht nur existieren, sondern nachweislich funktionieren. Dabei betrachten wir Backup-Strategien, Netzwerk-Sicherheit, Logging, Datenintegrität, Wiederherstellbarkeit und Incident-Management. Audit-Bericht gemäß IDW PS 951 / ISAE 3000.
Ihr Vorteil:
  • Prüfsichere Dokumentation und revisionsfeste Kontrollergebnisse.
  • Reduzierte Auditkosten bei Jahresabschluss- oder IT-Prüfungen.
  • Nachweis operativer Resilienz – entscheidend für Versicherer und Aufsicht.
  • Verlässliche Entscheidungsbasis für Management und Vorstand.
Modul 6 – Risikoaggregation & Management-Reporting
Wir konsolidieren die Ergebnisse aller Module in einem ganzheitlichen Risiko-Dashboard mit Kennzahlen, Ampellogik und Audit-Trail. Die Daten sind anschlussfähig an Ihr GRC- oder OpRisk-System.
Ihr Vorteil:
  • Ganzheitlicher Überblick über Risiken und Kontrollen.
  • Standardisierte Berichte für Vorstand, Aufsicht und Revision.
  • Messbare Fortschritte bei NIS-2-Compliance und IT-Resilienz.
  • Erhöhte Effizienz durch automatisierte Risikoaggregation und Reporting-Vorlagen.
Mann hält Taktstock und Notenbuch "ISO 27001 FRAMEWORK", umgeben von Icons und Texten zu IT-Themen.
Verbundkompetenz für höchste Ansprüche
Über unsere renommierten Partner WPNO AG und Dürkop Möller & Partner mbB erbringen wir auch Vorbehaltsaufgaben der Wirtschaftsprüfung – inklusive Testaten z. B. nach IDW PS 951, ISAE 3000 oder ISA 315 (De).
Ihr Vorteil: Sie erhalten Beratung und Prüfungsleistung aus einer Hand – rechtskonform, anerkannt und effizient.
Kontaktieren Sie das Sachverständigenbüro Schulte für Ihre unabhängige NIS-2-Beratung – klar, verständlich und praxisnah.
Jetzt Termin vereinbaren und Sicherheit gewinnen
„Wir verbinden geprüfte Expertise in IT-Sicherheit, Datenschutz und Notfallmanagement mit praxisnaher Beratung. Neutral, unabhängig und lösungsorientiert – Ihr verlässlicher Partner für Vertrauen, Resilienz und nachhaltige IT-Compliance.“
© 2025 Sachverständigenbüro Schulte. Alle Rechte vorbehalten
Unternehmen
Rechtlich
Kontakte
+49 151 12479963