Am 6. Dezember 2025 hat der Gesetzgeber mit über einem Jahr Verspätung die NIS-2-Richtlinie der EU in Deutschland umgesetzt. Seitdem gelten die neuen IT-Sicherheitspflichten ohne Übergangsfristen auch in Deutschland. Die Regelungen finden sich allgemein im BSI-Gesetz (BSIG) und für den Energiesektor im Energiewirtschaftsgesetz (EnWG). Da die Regeln über mehrere Rechtsakte verteilt sind, wird die Anwendung zusätzlich verkompliziert. Vereinfacht lässt sich die Betroffenheit in zwei Schritten prüfen:
- Betreibt Ihr Unternehmen Einrichtungen, die in den Anlagen 1 und 2 zum BSIG genannt werden (z. B. Energieerzeugungs- und Speicheranlagen)?
- Überschreitet Ihr Unternehmen die gesetzlichen Schwellenwerte, entweder mindestens 50 Beschäftigte oder sowohl 10 Millionen Euro Jahresumsatz als auch 10 Millionen Euro Jahresbilanzsumme?
Treffen beide Punkte zu, fällt Ihr Unternehmen wahrscheinlich unter die neuen IT-Sicherheitspflichten.
Anforderungen an Energieanlagen stehen in einem IT-Sicherheitskatalog
ist Rechtsanwalt und Partner bei der internationalen Sozietät Taylor Wessing. Dort leitet er die Praxisgruppe Technologie, Medien und Telekommunikation. Er ist spezialisiert auf das Datenrecht, das Recht der künstlichen Intelligenz und das IT-Sicherheitsrecht und Verfasser des Handbuchs „IT-Sicherheitsrecht“.
Für Betreiber von Energieanlagen konkretisieren Bundesnetzagentur und BSI die Anforderungen in einem IT-Sicherheitskatalog. Dieses Instrument wurde bereits im Dezember 2018 – also weit vor NIS-2 – erstellt und gilt nur für einen Teil der nun durch NIS-2 betroffenen Unternehmen. Welche Vorgaben der künftige Katalog enthalten muss, wird zudem in Paragraf 5c Absatz 4 EnWG aufgelistet. Daran können Sie sich orientieren, um sich bereits jetzt auf den neuen Katalog vorzubereiten. Es lohnt sich außerdem, die Entwicklung des neuen Katalogs im Auge zu behalten, da vor der Veröffentlichung eine Konsultation von Stakeholdern zu erwarten ist.
IT-Sicherheit liegt im ureigenen Interesse jedes Unternehmens
Neu geregelt wird auch die Meldung erheblicher Sicherheitsvorfälle. Gemeint sind damit Ereignisse, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigen und entweder die betroffene Einrichtung oder Dritte schädigen (können). Wer einen solchen Vorfall feststellt, muss unverzüglich eine Frühwarnung an die zentrale Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe senden. Danach müssen abgestuft weitere Meldungen gemacht werden, ehe bei Abschluss der Bearbeitung des Vorfalls eine Abschlussmeldung erfolgt. Auf Anfrage kann das BSI auch bei der Behebung und Eindämmung des Vorfalls unterstützen. Die Umsetzung aller Pflichten verantwortet die jeweilige Geschäftsleitung, die zudem regelmäßig IT-Sicherheitsschulungen besuchen muss und für Pflichtverstöße haftet.
Auch wenn die Regulierung umständlich und bürokratisch anmutet, sollte nicht vergessen werden, dass IT-Sicherheit im ureigenen Interesse jedes Unternehmens liegt. Schäden durch Betriebsausfälle und Datenabflüsse können im Ernstfall schwerer wiegen als drohende Bußgelder.
* An dieser Stelle lesen Sie einen Gastbeitrag, der nicht notwendigerweise die Meinung der Redaktion wiedergibt. Für den Inhalt sind die jeweiligen Autoren verantwortlich.
