Die Umsetzung der NIS2 Richtlinie in deutsches Recht trat in Form eines sog. Omnibus-Gesetzes mit einer größeren Anzahl an einzelnen Gesetzesänderungen am 6.12.2025 in Kraft. Übergangsfristen sind angesichts der langen Vorlaufzeiten zur Verabschiedung nicht vorgesehen. Das BSIG bildet den Kern der nun gültigen Regelungen ab. Auf diesen Seiten informieren wir über die wesentliche Änderungen und neue Regelungen, die eine Vielzahl an Unternehmen betreffen.
Achtung:
Die Pflicht zur Registrierung als NIS2/BSI reguliertes Unternehmen endet spätestens am 6.3.2026. Unternehmen, die unter die Regelungen fallen, sollten zeitnah handeln. Weitere Informationen zur Registrierungspflicht hier auf dieser Seite.
Hilfe benötigt?
Dann kontaktieren Sie uns einfach unter info@prisecon.de und vereinbaren ein kostenfreies Evaluationsgespräch.
Rund 30.000 Unternehmen fallen künftig direkt unter die Regelungen des BSIG
Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik, das künftig als zentrale Behörde die Einhaltung der Regelungen überwachen soll, fallen rund 30.000 Unternehmen, deutlich mehr als bislang, unter die Regelungen des BSIG (neu). Ziel der EU-weiten Regelungen, die von allen EU-Ländern in nationale Gesetzgebungen umgesetzt werden müssen, ist die Stärkung der Resilienz von Organisationen und ihrer Daten- und Cybersicherheit. Da die direkt betroffenen Unternehmen auch für die Sicherheit der Lieferkette verantwortlich sind, kommen indirekt betroffene Unternehmen als Zulieferer und Dienstleister hinzu. BSIG regulierte Unternehmen müssen ihre Dienstleister und Zulieferer auf die Einhaltung der Regelungen der Datensicherheit verpflichten.
Was müssen Unternehmen tun?
Die wichtigsten Pflichten und Regelungen des BSIG sind:
- Registrierung als besonders wichtige oder wichtige Einrichtung im neuen Registrierungsportal des Bundes
- erweiterte Meldepflichten bei Sicherheitsvorfällen
- Einführung eines Risikomanagements, Unternehmen müssen dem Risiko angemessene Maßnahmen zum Schutz der Informationsverarbeitung und, ggf. zur Wiederherstellung der Funktionsfähigkeit, treffen
- Dokumentation und Nachweise zur Einhaltung der Rechtsvorschriften
- Pflicht zur Schulung von Geschäftsleitungen
- Haftungsregelungen für Geschäfts- und Unternehmensleitungen
Unternehmen, die bislang bereits ein Informationssicherheitsmanagementsystem nach BSI IT-Grundschutz oder ISO 27001 eingeführt hatten, dürften mit überschaubarem Aufwand auch die Verpflichtungen des BSIG erfüllen können.
Informationssicherheitsbeauftragter
Ein Informationssicherheitsbeauftragter ist nicht verpflichtend, hilft aber in vielen Fällen bei der Einhaltung der gesetzlichen Vorschriften und stärkt Unternehmen in der Abwehr und Bewältigung von Sicherheitsrisiken und -vorfällen.
Zusammenhang von DSGVO und BSIG
Auch wenn der Fokus der Regelungen der DSGVO und des BSIG unterschiedlich gelagert ist, so bestehen doch eine Reihe von Überschneidungen zwischen den Anforderungen der Datensicherheit und des Datenschutzes. Die Gewährleistungsziele der Vertraulichkeit, Integrität und Verfügbarkeit müssen sowohl in Bezug auf die Datensicherheit allgemein, wie auch speziell in Bezug auf alle personenbezogenen Daten erfüllt werden. Verstöße gegen die Regelungen können sowohl nach BSIG wie nach DSGVO geahndet werden, sobald sie auch personenbezogene Daten betreffen.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.