Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet
Geschrieben von Elina Bartelt, veröffentlicht am 10.03.2026Seit dem 6. Dezember 2025 überführt das NIS-2-Umsetzungsgesetz die europäische Richtlinie in deutsches Recht. Die Novellierung des Bundessicherheitsgesetzes (BSIG) macht Cybersicherheit zum verbindlichen Standard für weite Teile der Wirtschaft.
Wer fällt unter den neuen Anwendungsbereich?
Die neue Einteilung in § 28 BSIG erweitert den Kreis der regulierten Unternehmen massiv:
- Besonders wichtige Einrichtungen (bwE): Große Unternehmen (ab 250 MA oder 50 Mio. € Umsatz und 10 Mio. € Jahresbilanz) in Sektoren wie Energie, Gesundheit sowie Rechenzentrumsbetreiber.
- Wichtige Einrichtungen (wE): Mittlere Unternehmen (ab 50 MA oder 10 Mio. € Umsatz und Jahresbilanz) in Sektoren wie der Lebensmittelproduktion, Maschinenbau sowie Post- und Kurierdienste.
Wie sieht der gesetzliche Pflichtenkatalog aus?
Gemäß § 30 Abs. 1 BSIG müssen Einrichtungen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ umsetzen. Absatz 2 konkretisiert Mindestanforderungen: Ein Risikomanagementkonzept bildet das Fundament.
Dazu kommen Business Continuity Management zur Krisenbewältigung und ein Incident Management für den gesamten Lebenszyklus von Vorfällen. Das Gesetz verlangt zudem Lieferkettensicherheit, moderne Kryptografie und Multi-Faktor-Authentifizierung. Regelmäßige Mitarbeiterschulungen, Personalsicherheit und Wirksamkeitsprüfungen vervollständigen den Katalog.
Welche Pflichten treffen die Geschäftsführung?
Die Geschäftsleitung überwacht die Umsetzung aller Maßnahmen (§ 38 Abs. 1) und nimmt an regelmäßigen Schulungen zur Risikoerkennung teil (mindestens alle drei Jahre). Bei schuldhafter Verletzung dieser Überwachungs- und Umsetzungspflichten haftet die Geschäftsführung (§ 38 Abs. 2).
Welche Melde- und Registrierungspflichten bestehen?
Jedes Unternehmen, welches in den Anwendungsbereich des BSIG fällt, muss sich aktiv beim Bundesamt für Sicherheit in der Informationstechnik registrieren (§ 33 BSIG). Zudem wurden die Fristen für die Meldung von Vorfällen verschärft: Ein erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden (Frühwarnung) und innerhalb von 72 Stunden (ausführliche Meldung) an das BSI gemeldet werden, § 32 BSIG.
Wie gelingt die Umsetzung in der Praxis?
Prüfen Sie sofort die Einstufung Ihres Unternehmens. Der Standard ISO 27001 deckt bereits viele Anforderungen ab. Ergänzungsbedarf besteht meist bei der Lieferkettensicherheit und den spezifischen Schulungspflichten für die Chefetage.
Sprechen Sie uns gerne an, bei Fragen zu Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet
Elina Bartelt,
Juristin mit Schwerpunkt Datenschutzrecht. Sie unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen.
Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel
- BSI führt Penetrationstests bei Gesundheitssoftware durch – Mängel entdeckt
- Unzulässige Verarbeitung biometrischer Daten bei Prüfungsüberwachung
- KRITIS-Dachgesetz: Schutzschild für die physische Sicherheit
- Was gibt es Neues zum „Digitalen Omnibus“?
- Warum ist eine Clean Desk Policy für den Datenschutz so wichtig?
- Ist ein Benutzername im Internet ein personenbezogenes Datum im Sinne der DSGVO?
Verwandte Artikel
- Darum zahlen Behörden keine Bußgelder
- Europäische Datenanalyse-Software anstatt US-Firma Palantir
- Das Daten-Governance-Gesetz (DGG) ist in Kraft: Neue Aufgaben für die Bundesnetzagentur
- Microsofts neue Datenschutz-Hilfen: Wie dokumentieren Verantwortliche den KI-Einsatz rechtssicher?
- Welche Daten sammeln VR-Brillen für welche Zwecke?
- Dashcams im Auto: Welche Bußgelder drohen bei DSGVO-Verstößen?