„Wer sich nicht informiert, setzt sich einem erhöhten Haftungsrisiko aus“

THIS: Was ist eigentlich das Ziel hinter der NIS2-Richtlinie und dem BSI-Gesetz?

Rechtsanwalt Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologie-Recht, Datenschutz-Auditor (TÜV) und IT-Compliance Manager (TÜV). Seit 2001 berät er bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz, Informationstechnologie, Telekommunikation und Marketing
© Eckhardt Rechtsanwälte Partnerschaft mbB – www.pitc-legal.de

Dr. Jens Eckhardt: Zur Einordnung: NIS steht für Netzwerk- und Informationssicherheit. Die NIS2-Richtlinie ist nicht die erste Regelung dieser Art, sondern baut auf bestehenden Vorgängerregelungen auf, die sich vor allem auf den Schutz kritischer Infrastrukturen konzentriert haben. Mit der Zeit hat sich jedoch gezeigt, dass sich die Bedrohungslage deutlich verändert hat, insbesondere durch steigende Cyberrisiken. Vor diesem Hintergrund verfolgt NIS2 einen breiteren und moderneren Ansatz.

Der Fokus liegt nicht mehr nur darauf, Angriffe zu verhindern, sondern auch darauf, wie gut ein Unternehmen mit einem Angriff umgehen kann. Es geht um Resilienz. In der Cybersicherheit gilt längst die Erkenntnis, dass nicht die Frage ist, ob ein Angriff stattfindet, sondern wann. Entscheidend ist daher, wie stark die Auswirkungen sind und wie schnell ein Unternehmen wieder zum Normalbetrieb zurückkehren kann.

Zusätzlich werden Risiken aus der Lieferkette und durch Drittanbieter stärker berücksichtigt und der Anwendungsbereich wurde deutlich erweitert. Es geht nicht mehr nur um klassische kritische Infrastrukturen, sondern auch um sogenannte wichtige und besonders wichtige Einrichtungen, also Unternehmen, die für Gesellschaft und Wirtschaft eine besondere Bedeutung haben.

THIS: Wie verhält sich das zur deutschen Gesetzgebung?

Dr. Jens Eckhardt: Die NIS2 ist eine EU-Richtlinie. Das bedeutet, sie gilt nicht unmittelbar, sondern muss in nationales Recht umgesetzt werden. In Deutschland erfolgte diese Umsetzung über das BSI-Gesetz mit Geltung seit dem 6. Dezember 2025. Die eigentlichen materiellen Regelungen zur NIS2 finden sich dort ab den entsprechenden Vorschriften im mittleren Teil des Gesetzes.

In der öffentlichen Kommunikation spricht man oft von NIS2, weil das griffiger ist. Rechtlich verbindlich ist in Deutschland jedoch das BSI-Gesetz. Es setzt die Vorgaben der Richtlinie um und konkretisiert sie.

THIS: Sind NIS2 und BSI-Gesetz identisch oder gibt es Unterschiede?

Dr. Jens Eckhardt: Die Richtlinie gibt den Rahmen vor, das nationale Gesetz verleiht diesem Rahmen Geltung. Der Gesetzgeber ist verpflichtet, entsprechende Regelungen zu schaffen. In der Praxis bedeutet das, dass es gewisse Unterschiede im Wortlaut und im Detailverständnis geben kann.

Zudem haben alle EU-Mitgliedstaaten die Richtlinie eigenständig umgesetzt. Dabei sind bereits jetzt Unterschiede erkennbar. Diese Divergenzen werden in der Praxis noch eine Rolle spielen, insbesondere für Unternehmen, die in mehreren Ländern tätig sind.

THIS: Wer ist konkret verpflichtet?

Dr. Jens Eckhardt: Das BSI-Gesetz unterscheidet zwischen sogenannten besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Die früheren kritischen Infrastrukturen fallen weiterhin unter die Regulierung, sind aber jetzt ein Unterfall der besonders wichtigen Einrichtungen.

Für die konkreten Pflichten macht diese Differenzierung in der Praxis nur einen begrenzten Unterschied. Sie wirkt sich vor allem auf den Bußgeldrahmen aus, weniger auf die inhaltlichen Anforderungen.

THIS: Wie wird entschieden, ob ein Unternehmen darunterfällt?

Dr. Jens Eckhardt: Die Einordnung erfolgt im Wesentlichen über zwei Kriterien. Zum einen muss das Unternehmen in einem bestimmten, im Gesetz definierten Sektor tätig sein. Zum anderen muss es eine bestimmte Größe erreichen, die anhand von Mitarbeitendenzahlen oder wirtschaftlichen Kennzahlen wie Umsatz oder Bilanzsumme bestimmt wird. Nur wenn beide Voraussetzungen erfüllt sind, fällt ein Unternehmen in den Anwendungsbereich.

Daneben gibt es aber auch Unternehmen, die unabhängig von ihrer Größe verpflichtet sind, etwa bestimmte Anbieter im Bereich digitaler Infrastruktur.

THIS: Das Gesetz gilt ohne Übergangsfrist. Warum?

Dr. Jens Eckhardt: Der Gesetzgeber argumentiert, dass die Wirtschaft seit Jahren wusste, dass entsprechende Regelungen kommen würden. Spätestens mit dem Inkrafttreten der Richtlinie war klar, dass eine Umsetzung erfolgen wird. Daraus wird abgeleitet, dass ausreichend Zeit bestand, sich vorzubereiten.

In der Praxis ist diese Argumentation durchaus kritisch zu sehen, weil sich die nationale Umsetzung verzögert hat. Wenn schon der Staat statt der vorgesehenen Umsetzungsfrist von knapp zwei Jahren die doppelte Zeit gebraucht hat, scheint das Thema doch nicht ganz so trivial zu sein.

THIS: Wie sollen Unternehmen das schaffen?

Dr. Jens Eckhardt: Die Unternehmen fangen ja nicht bei Null an. Cybersicherheit und Risikomanagement waren schon zuvor Teil der allgemeinen Pflichten der Geschäftsführung. Unternehmen, die sich damit bislang nicht beschäftigt haben, haben auch schon vor Inkrafttreten der neuen Regelungen gegen bestehende Pflichten verstoßen.

In vielen Fällen geht es daher weniger um einen kompletten Neustart, sondern um die Anpassung und Konkretisierung bestehender Systeme. Allerdings gab es auch Unsicherheiten, insbesondere bei der Frage, welche Unternehmen konkret unter die neuen Regelungen fallen.

THIS: Welche Pflichten ergeben sich konkret aus dem Gesetz?

Dr. Jens Eckhardt: Zunächst gibt es eine Registrierungspflicht. Unternehmen, die unter das Gesetz fallen, mussten sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Dabei geht es nicht darum, die Umsetzung der Maßnahmen nachzuweisen, sondern lediglich darum, dem BSI mitzuteilen, dass man in den Anwendungsbereich fällt.

Zweitens besteht eine Pflicht zum Risikomanagement. Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer IT-Systeme zu gewährleisten. Dabei ist der Stand der Technik maßgeblich. Neu ist insbesondere die stärkere Betonung der Resilienz, also der Fähigkeit, auch nach einem Angriff schnell wieder arbeitsfähig zu sein.

Drittens gibt es Meldepflichten bei Sicherheitsvorfällen. Bei erheblichen Vorfällen muss innerhalb von 24 Stunden eine erste Meldung erfolgen, nach 72 Stunden eine vertiefte Meldung und schließlich nach einem Monat ein Abschlussbericht.

Viertens besteht eine Pflicht zur Schulung der Geschäftsleitung. Die Geschäftsführung muss sich aktiv Wissen im Bereich der IT-Sicherheit aneignen, um Risiken erkennen und bewerten zu können.

THIS: Was bedeutet das für Geschäftsführer konkret?

Dr. Jens Eckhardt: Der Zusammenhang ist relativ einfach: Wer mehr weiß, muss auch mehr tun. Mit steigender Kenntnis steigt die Verantwortung. Wer sich nicht informiert oder vorhandenes Wissen nicht nutzt, setzt sich einem erhöhten Haftungsrisiko aus.

THIS: Kann man diese Verantwortung delegieren?

Dr. Jens Eckhardt: Eine vollständige haftungsbefreiende Delegation gab es auch bisher schon nicht und gibt es weiterhin nicht. Die Geschäftsleitung bleibt in der Verantwortung, auch wenn Aufgaben intern verteilt werden.

THIS: Wie ist das bei mehreren Geschäftsführern?

Dr. Jens Eckhardt: Auch hier gilt: Es besteht eine gemeinsame Verantwortung. Zuständigkeiten können zwar intern verteilt werden, aber das entbindet die anderen Mitglieder der Geschäftsleitung nicht vollständig. Neu ist vor allem, dass alle Mitglieder ein gewisses Mindestmaß an Verständnis für Cyberrisiken entwickeln müssen.

Das bedeutet nicht, dass jede Person zum IT-Experten werden muss. Aber es reicht nicht mehr aus, sich vollständig auf einzelne im Unternehmen Zuständige zu verlassen. Die Geschäftsleitung insgesamt muss in der Lage sein, Risiken zu erkennen und Entscheidungen nachzuvollziehen.

THIS: Müssen Unternehmen ihre gesamte Lieferkette absichern?

Dr. Jens Eckhardt: Wichtig ist: Es geht nicht um die klassische Lieferkette eines Produkts, sondern um die IT-bezogene Lieferkette. Relevant sind also insbesondere Dienstleistende und Anbieter, die Einfluss auf die IT-Infrastruktur eines Unternehmens haben.

Ein Unternehmen muss sicherstellen, dass diese IT-bezogenen Abhängigkeiten keine Sicherheitsrisiken darstellen. Das bedeutet aber nicht, dass jeder Lieferant eines physischen Produkts automatisch in diese Betrachtung einbezogen wird.

THIS: Wie ist das bei digitalen Plattformen oder gemeinsamen Arbeitsumgebungen?

Dr. Jens Eckhardt: Entscheidend ist, wer die Plattform nutzt oder betreibt. Dieses Unternehmen muss sicherstellen, dass die eingesetzten Systeme so abgesichert sind, dass externe Zugriffe nicht zu einem Risiko für die eigene IT-Infrastruktur werden. Das betrifft beispielsweise Zugangskontrollen und die Verarbeitung eingehender Daten.

THIS: Was passiert bei international tätigen Unternehmen?

Dr. Jens Eckhardt: Das ist aktuell eine der komplexesten Fragen. Grundsätzlich gilt das Territorialprinzip, also das Recht des Landes, in dem das Unternehmen ansässig ist. In der Praxis wird es jedoch kompliziert, weil die einzelnen Mitgliedstaaten die Richtlinie unterschiedlich umgesetzt haben.

Ein wesentlicher Kritikpunkt ist, dass es sich um eine Richtlinie und nicht um eine Verordnung handelt. Eine Verordnung hätte zu einheitlichem Recht in der gesamten EU geführt. Durch die Richtlinie entstehen dagegen Unterschiede, die für Unternehmen mit grenzüberschreitender Tätigkeit zu erheblicher Komplexität führen.

THIS: Welche Rolle spielt das Gesetz bei Bauprojekten oder Ausschreibungen?

Dr. Jens Eckhardt: Das Gesetz regelt nicht das Bauprodukt, sondern ist auf das Unternehmen und dessen Handlungsfähigkeit ausgerichtet. Es geht also nicht um die Sicherheit des errichteten Bauwerks, sondern um die Cybersicherheit des Unternehmens, das die Leistungen erbringt.

THIS: Was bedeutet das für Arbeitsgemeinschaften oder Subunternehmer?

Dr. Jens Eckhardt: Entscheidend ist, ob die jeweilige Organisation selbst unter das Gesetz fällt. Wenn das der Fall ist, muss sie die entsprechenden Anforderungen erfüllen. Subunternehmen sind nicht automatisch verpflichtet, es sei denn, sie fallen selbst unter die Regelungen.

Allerdings muss ein verpflichtetes Unternehmen sicherstellen, dass seine eigene IT-Infrastruktur nicht durch Dritte gefährdet wird. Das kann in der Praxis dazu führen, dass Anforderungen an Partner gestellt werden, auch wenn diese selbst nicht unmittelbar gesetzlich verpflichtet sind.