NIS2-Betroffenheitsprüfung
Hintergrund und aktuelle Rechtslage zur NIS2-Umsetzung
Die europäische NIS2-Richtlinie (Network and Information Security Directive 2) wurde mit dem Ziel verabschiedet, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu gewährleisten. In Deutschland wird diese Richtlinie durch das NIS2UmsuCG in nationales Recht überführt. Wesentlicher Kern der Neuregelung ist eine erhebliche Ausweitung der Sektoren, die als „besonders wichtig“ oder „wichtig“ eingestuft werden. Im Gegensatz zur bisherigen Rechtslage, die sich primär auf Betreiber kritischer Infrastrukturen (KRITIS) konzentrierte, werden nunmehr zahlreiche mittelständische Unternehmen direkt in die Pflicht genommen. Mit dem Inkrafttreten des Gesetzes müssen die betroffenen Stellen prüfen, ob sie unter die NIS2-Regulierung fallen und ggf. nachweisen, dass sie angemessene und verhältnismäßige technische sowie organisatorische Maßnahmen zum Schutz ihrer IT-Systeme ergriffen haben.
NIS2-Anwendungsbereich: Wer ist als betroffenes Unternehmen einzustufen?
Die Frage, ob ein Unternehmen unter die NIS2-Betroffenheit fällt, lässt sich nicht pauschal beantworten, sondern erfordert eine detaillierte Prüfung der Schwellenwerte und Sektorenzugehörigkeit. Grundsätzlich sind Unternehmen betroffen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz sowie eine Jahresbilanzsumme von über 10 Millionen Euro aufweisen. Dabei wird zwischen „besonders wichtigen Einrichtungen“ (z. B. Energie, Verkehr, Bankwesen, Gesundheit) und „wichtigen Einrichtungen“ (z. B. Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Herstellung von Waren) differenziert. Besonders tückisch für den Mittelstand ist die Einbeziehung der Lieferketten: Auch wenn ein Unternehmen die Schwellenwerte selbst nicht erreicht, kann eine indirekte Betroffenheit entstehen, wenn Auftraggeber aus dem KRITIS-Bereich die Einhaltung der NIS2-Standards vertraglich einfordern. VOELKER berät Unternehmen hierbei insbesondere zur Abgrenzung der Sektoren und zur Identifikation von Ausnahmetatbeständen, um unnötigen bürokratischen Aufwand zu vermeiden.
Praxisfolgen und Compliance-Anforderungen für die Geschäftsleitung
Für die Verantwortlichen in den Unternehmen bedeutet die Einstufung als regulierte Einrichtung eine signifikante Ausweitung der Pflichten. Im Zentrum stehen das Risikomanagement im Bereich der Cybersicherheit sowie die Einhaltung strikter Meldepflichten bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Ein Verstoß gegen diese Fristen oder das Unterlassen notwendiger Sicherheitsmaßnahmen kann Bußgelder in Millionenhöhe nach sich ziehen.
Besonders kritisch ist die persönliche Haftung der Geschäftsleitung: Die Überwachung der Sicherheitsmaßnahmen kann nicht vollständig delegiert werden; vielmehr sind die Geschäftsleiter zur persönlichen Fortbildung und zur aktiven Kontrolle der Umsetzung verpflichtet. In der Beratungspraxis der Kanzlei VOELKER zeigt sich regelmäßig, dass die Dokumentation dieser Überwachungspflichten oft unzureichend ist, was im Ernstfall zu einer Durchgriffshaftung auf das Privatvermögen führen kann.
Muss jedes Unternehmen eine Risikoanalyse durchführen?
Ja, sofern die Schwellenwerte erreicht sind, ist eine umfassende Risikoanalyse gesetzlich zwingend vorgeschrieben. Es reicht nicht aus, punktuelle technische Lösungen wie Firewalls oder Antivirensoftware zu implementieren. Gefordert wird ein ganzheitlicher Ansatz, der unter anderem Konzepte zur Backup-Sicherheit, zum Krisenmanagement, zur Sicherheit der Lieferkette und zur Verschlüsselung umfasst. Die Wirksamkeit dieser Maßnahmen muss regelmäßig überprüft und dokumentiert werden. Die Kanzlei VOELKER begleitet diesen Prozess durch die rechtliche Begutachtung von Sicherheitskonzepten und die Gestaltung von Verträgen mit IT-Dienstleistern, um eine lückenlose Compliance-Kette sicherzustellen.
Erfolgt eine Deregulierung?
Während die Umsetzung von NIS2 in das nationale Recht in Deutschland erst jüngst final erfolgt ist, zeichnen sich bereits erste Deregulierungen von NIS2 ab. Ein Vorschlag der EU-Kommission aus Januar 2026 geht insbesondere dahin, „zwischen“ den wichtigen Einrichtungen und den besonders wichtigen Einrichtungen eine neue Kategorie „Small Mid-Caps“ einzuführen. Einige Unternehmen, die bislang unter die besonders wichtigen Einrichtungen fielen, können dieser neuen Kategorie zuzuordnen sein. Es gelten dann weniger strenge Verpflichtungen als bislang. Eine Anhebung der Schwellenwerte insgesamt, sodass insgesamt weniger Unternehmen unter die NIS2-Regulierung fallen, scheint nicht geplant zu sein.
Fazit und Ausblick auf die strategische Bedeutung der IT-Compliance
Die Umsetzung der NIS2-Vorgaben ist für den Mittelstand kein rein technisches Projekt der IT-Abteilung, sondern eine zentrale Vorstands- und Geschäftsleitungsaufgabe. Während die regulatorischen Lasten zunächst als belastend empfunden werden mögen, stellt die rechtssichere Umsetzung auch einen Wettbewerbsvorteil dar, da die Resilienz gegenüber Cyberangriffen zunehmend zum Kriterium bei der Auftragsvergabe durch Großunternehmen wird. Soweit noch nicht erfolgt, sollten Unternehmen zeitnah mit einer NIS2-Betroffenheitsprüfung beginnen.
Die Kanzlei VOELKER unterstützt Sie umfassend bei der Bewältigung dieser komplexen Materie. Unser Beratungsangebot umfasst die Durchführung einer rechtlichen Betroffenheitsanalyse, die Prüfung und Gestaltung von Lieferantenverträgen unter NIS2-Aspekten sowie die Schulung der Geschäftsleitung zur Vermeidung von Haftungsrisiken. Wir stellen sicher, dass Ihre IT-Compliance nicht nur den gesetzlichen Anforderungen entspricht, sondern auch Ihre unternehmerische Handlungsfreiheit langfristig sichert.