Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
JuS_Logobasis_Linsenreflex
Menü

NIS-2 schon in Kraft

Jacqueline Koch

Viele Unternehmen schätzen ihre Betroffenheit falsch ein

 

Im Dezember 2025 wurde die NIS-2-Richtlinie der EU über das neue BSI-Gesetz (BSIG) in nationales Recht umgesetzt. Dieses Gesetz betrifft ca. 30.000 Unternehmen – und damit auch viele kleine und mittelständische Betriebe. Obwohl schon Anfang März die dreimonatige Registrierungsfrist endete, hatte sich zum April 2026 nur etwa ein Drittel der betroffenen Unternehmen tatsächlich registriert – offenbar schließen viele Unternehmen ihre Betroffenheit fälschlicherweise aus. Um drohende Bußgelder und andere Sanktionen vielleicht noch vermeiden zu können, ist schnelles Handeln zu empfehlen.


 

Praxis-Info!

 

Problemstellung

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz bzw. BSIG) definiert die Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und setzt gleichzeitig die NIS-2-Richtlinie um. Sie ersetzt die bisherige KRITIS-Regulierung und erweitert den Anwendungsbereich erheblich. Neben den klassischen kritischen Infrastrukturen, wie Energie, Verkehr, Gesundheit und Finanzwesen, gelten nun auch viele wirtschaftliche Branchen als reguliert, darunter Chemie, Lebensmittel, Abfallwirtschaft, Post- und Kurierdienste sowie Teile des Maschinenbaus.

Die bisherigen Regelungen sahen für die verschiedenen Sektoren jeweils eigenständige technische und organisatorische Sicherheitsanforderungen vor. Mit der neuen Version wurde dieses sektorspezifische Modell jedoch abgelöst. Stattdessen gelten nun einheitliche, sektorübergreifende Mindestanforderungen, die für alle betroffenen Einrichtungen verbindlich sind.

Auch das Meldeverfahren von Sicherheitsvorfällen wurde vereinheitlicht und findet nun in drei Stufen mit fest definierten Fristen statt. Darüber hinaus wird die Verantwortung der Geschäftsleitung deutlicher hervorgehoben.

Achtung! Das Management ist nun ausdrücklich verpflichtet, die Umsetzung der Sicherheitsmaßnahmen zu überwachen und kann bei Verstößen persönlich haftbar gemacht werden. Mit NIS-2 steigen außerdem die Sanktionen: Verstöße können mit bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes geahndet werden. Der Druck auf Unternehmen wächst damit spürbar (zur Vorberichterstattung unter Bezug auf ein IDW-Knowledge-Paper siehe den Beitrag von Hillmer im BC-Newsletter vom 5.3.2026).

 

 

Lösung

 

1. Wann gilt ein Unternehmen als betroffen?

Die relevanten Sektoren und Branchen sind im BSIG in den Anlagen 1 und 2 aufgeführt. Unternehmen müssen prüfen,

  • ob sie einem der gelisteten Sektoren zugeordnet sind und
  • ob sie die Größenkriterien erfüllen:

    – mindestens 50 Mitarbeitende oder

    – mindestens 10 Mio. € Jahresumsatz bzw. Jahresbilanzsumme.

Werden diese Kriterien erfüllt, gilt das Unternehmen als wichtige oder besonders wichtige Einrichtung und unterliegt den gesetzlichen Pflichten.

 

 

2. Umfangreiche Pflichten für Unternehmen

Mit dem BSIG werden betroffene Unternehmen zu umfangreichen Vorkehrungen in fünf Bereichen verpflichtet:

(1) Registrierungspflicht (§§ 33 und 34 BSIG): Unternehmen müssen eigenständig prüfen, ob sie unter NIS-2 fallen. Bei Betroffenheit besteht eine Registrierungspflicht beim BSI, die innerhalb von drei Monaten nach Einstufung als wichtige oder besonders wichtige Einrichtung zu erfüllen ist. Erfasst werden u.a. der Name, die Anschrift und die Kontaktdaten des Unternehmens.

(2) Risikomanagementmaßnahmen (§§ 30 und 31 BSIG): Zur Minimierung bzw. Vermeidung von Sicherheitsvorfällen müssen alle Einrichtungen angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik umsetzen. Dazu zählen beispielsweise:

  • Zugriffskontrollen,
  • Notfall- und Wiederherstellungsprozesse,
  • Schwachstellenmanagement,
  • Sicherheitsmaßnahmen in der Lieferkette.

(3) Umsetzungs-, Überwachungs- und Schulungspflicht (§ 38 BSIG): Die Geschäftsleitung wird durch das neue Gesetz deutlich stärker in die Verantwortung genommen. Sie muss die Umsetzung geeigneter Sicherheitsmaßnahmen aktiv überwachen. Um Risiken, die aus der Nutzung von Informationstechnologie resultieren, richtig einschätzen zu können, werden Mitglieder der Geschäftsleitung außerdem dazu verpflichtet, regelmäßig an Schulungen zu Risikomanagementpraktiken teilzunehmen. Bei Pflichtverletzungen drohen dem Management persönliche Haftung und u.a. Managementverbote.

(4) Meldepflichten (§ 32 BSIG): Sog. erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Ein solcher Vorfall liegt vor, wenn schwerwiegende Betriebsstörungen, finanzielle Schäden oder Auswirkungen auf natürliche oder juristische Personen möglich sind. Nach Kenntniserlangung eines Vorfalls erfolgt die Meldung in einem dreistufigen Verfahren mit festen Fristen:

  • innerhalb von 24 Stunden: Erstmeldung an das BSI,
  • innerhalb von 72 Stunden: aktualisierte Meldung mit einer ersten Einschätzung des Schweregrads und der Auswirkungen des Vorfalls,
  • innerhalb eines Monats: Abschlussmeldung mit Angaben zu Vorfall, Bedrohung, Ursache und ergriffenen Maßnahmen.

(5) Nachweispflichten (§§ 39, 61 und 62 BSIG): Betreiber kritischer Anlagen müssen alle drei Jahre eine Nachweisprüfung über die wirksame Umsetzung der Risikomanagementmaßnahmen durchführen und das Ergebnis dem BSI vorlegen. Auch wichtige und besonders wichtige Einrichtungen können vom BSI anlassbezogen oder stichprobenartig zur Vorlage solcher Nachweise verpflichtet werden.

 

 

Praxishinweise:

  • Um Bußgelder und weitere Sanktionen zu vermeiden, sollten insbesondere KMU ihre Betroffenheit erneut und sorgfältig prüfen, selbst wenn bereits eine frühere Einschätzung vorliegt. Liegt eine Betroffenheit vor, sollten Unternehmen zeitnah:

    – die Registrierung beim BSI vornehmen,

    – Risiken bewerten und notwendige Sicherheitsmaßnahmen ableiten sowie

    – ggf. eine Nachweisprüfung vorbereiten.

  • Für die effektive operative Umsetzung empfiehlt es sich, klare Strukturen zu schaffen und Verantwortlichkeiten festzulegen. Ein Risikoregister bildet die Grundlage für eine fundierte Risikobeurteilung und Priorisierung der Maßnahmen. Anschließend sollten Unternehmen vor allem solche Maßnahmen stärken, die die häufigsten Angriffswege schließen, so vor allem:

    – Multifaktor-Authentifizierung,

    – klare Zugriffs- und Berechtigungsregeln,

    – konsequentes Patch- und Schwachstellenmanagement (u.a. Updates zur Schließung von Sicherheitslücken),

    – regelmäßige Backups und

    – Dokumentation eines definierten Incident-Response-Prozesses (Reaktion auf Vorfälle).

  • Durch frühzeitiges und strukturiertes Handeln können Unternehmen nicht nur gesetzliche Anforderungen erfüllen, sondern zugleich ihre Cyberresilienz deutlich stärken, ohne dabei in unnötige Dokumentationslast zu geraten.

 

 

Jacqueline Koch, PKF Wulf Gruppe, Stuttgart

 

BC 5/2026 

BC20260516 

 

 

 

Anzeigen

BC Newsletter

beck-online Bilanzrecht PLUS

Teilen

Menü