Umsetzung NIS-2: Deutschlands Sonderweg bleibt rechtlich riskant

Der deutsche Gesetzgeber entlastet Unternehmen von den Anforderungen der NIS-2-Richtlinie in einem Ausmaß, das die Ziele des europäischen Gesetzgebers zu verfehlen droht. Was das für Unternehmen bedeutet.

Stand der Dinge

Mit einer Verzögerung von über einem Jahr ist am 06.12.2025 das deutsche BSIG zur Umsetzung der NIS-2-Richtlinie in Kraft getreten (Network and Information Security). Es ist seither unmittelbar geltendes Recht. Eine weitere Umsetzungsfrist für die Wirtschaft gibt es nicht. Unternehmen, die eine in den Anlagen 1 oder 2 gelistet Tätigkeit ausüben, müssen sich bis zum 06.03.2026 beim BSI registrieren und ein Risikomanagementsystem eingeführt haben.

Bemerkenswert ist, dass das BSIG trotz erheblicher Kritik aus der Anwaltschaft während des Gesetzgebungsverfahrens in wesentlichen Punkten nicht richtlinienkonform ausgestaltet ist. Es räumt Unternehmen einen unbestimmten Ermessensspielraum bei der Frage ein, ob sie sich als wichtige oder besonders wichtige Einrichtung registrieren. Gut gemeint gehen damit rechtliche Unsicherheiten und Haftungsrisiken einher.

Worum geht es in der Richtlinie

Nach der europäischen NIS-2-Richtlinie liegen Unternehmen benannter Sektoren

➡ Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Produktion/Herstellung/Handel mit chemischen Stoffen, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung mit

a) mindestens 50 Mitarbeitenden oder

b) mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme

im Anwendungsbereich des Gesetzes.

Nicht relevant ist, ob es sich bei der Tätigkeit um die Haupttätigkeit des Unternehmens handelt oder nur um eine Nebentätigkeit.

So kann schon der Betrieb einer einzigen Photovoltaik-Anlage für eigene Zwecke die gesetzlichen Pflichten zum Cyber-Risikomanagement auslösen. Über die vorgenannten Schwellenwerte hinaus (Size-Caps) gibt es weitere Ausnahmen für Unternehmen derzeit nur in den Sektoren Trinkwasser, Abwasser und Abfallwirtschaft.

Dass hierdurch eine Vielzahl von Unternehmen erfasst wird, ist bewusst gewollt. Der Regelungsansatz richtet sich nicht mehr allein auf den Schutz des einzelnen Unternehmens, sondern verpflichtet dieses, einen aktiven Beitrag zur Cybersicherheit zu leisten. Ziel ist es, durch das Zusammenwirken der Mitgliedstaaten und ihrer Unternehmen die Cyberresilienz der Gesellschaft insgesamt zu stärken und ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu gewährleisten.

Der „deutsche Sonderweg“ im BSIG

Während die Richtlinie also im Sinne eines möglichst umfassenden Zusammenwirkens grundsätzlich auch geringfügige Tätigkeiten in den Blick nimmt, eröffnet das deutsche BSIG demgegenüber die Möglichkeit, bestimmte Geschäftstätigkeiten unberücksichtigt zu lassen, wenn sie

➡ im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

Begründet wird dies mit dem Grundsatz der Verhältnismäßigkeit. Es soll vermieden werden, dass eine lediglich geringfügige Nebentätigkeit zu einer unverhältnismäßigen Einstufung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können, so die Gesetzesbegründung, etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Entscheidend sei dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.

In der Beratungspraxis zeigt sich, dass viele Unternehmen diese Ausnahme weit auslegen und auf dieser Basis nicht nur von einer Registrierung absehen, sondern auch die Einführung von Risikomanagementsystemen unterlassen möchten.

Dieser Weg ist riskant.

Was bedeutet das nun:

Der deutsche Sonderweg mag aus Sicht der Wirtschaft äußerst begrüßenswert sein, ändert jedoch nichts daran, dass die Ausnahmeregelung für „vernachlässigbare Tätigkeiten“ nach überwiegender Auffassung der Fachliteratur nicht richtlinienkonform ausgestaltet ist. Sie verkennt die Systematik der NIS-2-Richtlinie. Die Schwellenwerte sind kein Indiz für die Kritikalität der Einrichtung. Sie soll vielmehr eine faire Lastenverteilung gewährleisten und kleine und Kleinstunternehmen mit einem Beitrag zur gemeinschaftlichen Cybersicherheit nicht überfordern.

Geht man von der Richtlinienwidrigkeit aus, führt das zwar nicht zur Unanwendbarkeit des deutsche Rechts. Es ist jedoch – wo möglich – so auszulegen, dass die NIS-2-Richtlinie ihre volle Wirksamkeit erreicht. Hierfür bedarf es einer Bewertung des Einzelfalls.

Eine größtmögliche Ausdehnung der Ausnahmeregelung, ohne Berücksichtigung der europäischen Vorgaben, kann haftungsrechtlich problematisch sein und sollte vermieden werden.

Was sollten Unternehmen tun:

Geschäftsleitungen sind aufgrund der im HGB, GmbHG und AktG verankerten Legalitätspflicht gehalten, bei der Betroffenheitsbewertung rechtlichen Rat einzuholen, sofern eine Betroffenheit nicht offensichtlich ausgeschlossen werden kann. Dies gilt in besonderem Maße bei der Inanspruchnahme des „deutschen Sonderwegs“ in vielen Aspekten des Gesetztes.
Rechtliche Beratung durch andere Personen als Rechtsanwälte enthaftet die Geschäftsleitung nicht.
Wenn die Geschäftsleitung zu dem Ergebnis kommt, eine Tätigkeit unter Berufung auf den deutschen Sonderweg nicht beim BSI zu registrieren, sollte diese dennoch in das Risikomanagement aufgenommen werden. Kippen die Regelungen, sind sie ab dem Moment nicht mehr anwendbar. Darauf sollte das Unternehmen vorbereitet sein.

IT-Sicherheits-Rechtsberatung

Bei der NIS-2-Richtlinie, der NIS-2-Durchführungsverordnung für IKT und dem BSIG handelt es sich um Gesetze, die – anders als internationale Normen wie die ISO/IEC 27001 – in einem komplexen digitalrechtlichen Kontext stehen und an zahlreichen Stellen einer europarechtskonformen Auslegung bedürfen.

Dabei ist zu beachten, dass sie als Teil des öffentlich-rechtlichen Sicherheitsrechts nicht dem Schutz der Unternehmen vor Bußgeldern oder der Förderung ihrer Marktchancen dienen (so ISO/IEC 27001)

Sie sollen die kontinuierlichen Verfügbarkeit kritischer Dienste und Infrastrukturen und ein hohes allgemeines Cybersicherheitsniveau ermöglichen.

In den vergangenen Monaten habe ich zahlreiche Unternehmen in der Betroffenheitsbewertung begleitet. Wenn Sie zeitnah eine strukturierte Einordnung benötigen, melden Sie sich gerne.

EU-Gesetz zur Förderung von Cloud-Kapazitäten und KI-Entwicklung – Mehr als GAIA-X 2.0

Die Europäische Kommission plant einen neuen Rechtsrahmen zur Förderung nachhaltiger Rechenzentren und sicherer Cloud-Dienste. Ziel ist es, Europas digitale Souveränität und Wettbewerbsfähigkeit zu stärken – insbesondere im Hinblick auf KI-Anwendungen.

Ziel und Hintergrund

Am 9. April 2025 stellte die EU-Kommission einen ehrgeizigen „Aktionsplan“ für einen europäischen KI-Kontinent vor, dessen Ziel es ist, auf dem Gebiet der künstlichen Intelligenz weltweit führend zu werden – und das am besten auf Basis digitaler Souveränität. Als Hemmnis für dieses Ziel wurde u.a. das zunehmende Ungleichgewicht zwischen dem wachsenden Bedarf und den aktuell verfügbaren Rechenkapazitäten in der EU ausgemacht. Während die USA und China bei Rechenzentren führend sind, besteht in Europa erheblicher Nachholbedarf. So will die Kommission nun ein Netz von KI-Fabriken aufbauen – ein gutes Dutzend davon sollen bereits im Umfeld weltweit führender Supercomputer in Europa in der Entstehung sein. Im „Kompass für Wettbewerbsfähigkeit“ kündigte die EU zudem die Einrichtung von KI-Gigafabriken an, sofern dies für erforderlich erachtet wird. Ein entsprechender „Call for expression of interest“ läuft bereits:

https://eurohpc-ju.europa.eu/document/download/47492db7-592e-4ad8-b672-9c822f94afa0_en?filename=AI%20GIGAFACTORIES%20CONSULTATION.pdf

Um Anreize für ➡ Investitionen des Privatsektors in Cloud-Kapazitäten und Rechenzentren zu schaffen, schlägt die Kommission zudem einen „Rechtsakt über Cloud- und KI-Entwicklung“ vor.

Inhalte des geplanten Rechtsaktes

Das Vorhaben zielt darauf ab, den derzeit ungünstigen Bedingungen für den Privatsektor für den Aufbau von Rechenkapazitäten abzuhelfen. Dabei stehen nicht nur technische, sondern auch rechtliche und wirtschaftliche Rahmenbedingungen im Fokus. Im Einzelnen geht es um

die Förderung von Forschung und Innovation zur Verbesserung des Energiemanagements, der Kühlung, des allgemeinen Betriebs und der Integration in Energie- und Wasserversorgungssysteme zur Errichtung effizienter und nachhaltiger Rechenzentren;
Anreize und Unterstützung von Investitionen in nachhaltige Rechenzentren durch Abbau von Hürden wie langen Genehmigungszeiten und Schwierigkeiten beim Zugang zu Energie, Wasser, Grund und Boden sowie Kapital und durch Bereitstellung möglicher finanzieller Unterstützung;
die Schaffung hochsicherer, in der EU angesiedelter Cloud-Kapazitäten für bestimmte hochkritische Anwendungsfälle, etwa im Bereich kritischer Infrastrukturen.

Regulierungsoptionen und Konsultationsprozess

Die Kommission prüft aktuell verschiedene Regulierungsoptionen – von unverbindlichen Leitlinien über eine Richtlinie bis hin zu einer umfassenden Verordnung mit zentraler Durchsetzungsbehörde. Die bevorzugte Option soll dabei nicht nur für einheitliche Mindeststandards sorgen, sondern auch gemeinsame Investitionen der Mitgliedstaaten in ein europäisches Cloud-Ökosystem ermöglichen.

Für IT-Unternehmen und industrielle Anwender ergeben sich hieraus potenziell weitreichende Veränderungen – nicht nur in der Nutzung von Cloud- und KI-Diensten, sondern auch bei der Auswahl von Anbietern, der Planung eigener Infrastrukturprojekte und der Integration in europäische Wertschöpfungsketten. Auch rechtlich ist mit neuen Anforderungen und Kooperationsmöglichkeiten zu rechnen, etwa bei der Vergabe öffentlicher Aufträge, der Nutzung von Fördermitteln oder der Umsetzung von Nachhaltigkeitsvorgaben.

Im Laufe des Jahres 2025 wird eine umfassende Folgenabschätzung durchgeführt, bei der auch Unternehmen und Stakeholder zur Mitwirkung eingeladen sind. Für Akteure aus der Digitalwirtschaft empfiehlt es sich, diese Entwicklung aktiv zu begleiten – nicht zuletzt, um die eigenen Interessen frühzeitig einzubringen und sich auf kommende regulatorische Anforderungen vorzubereiten.

Vergleich Europäische Cloud vs. EU-Rechtsakt zu Cloud- und KI-Infrastruktur

Weiterführende Links:

Möglichkeit zur Einsicht in das Papier und zur Mitwirkung (Call for evidence):
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14628-Cloud-and-AI-Development-Act_en

Aktionsplan der EU für einen KI-Kontinent:
https://ec.europa.eu/commission/presscorner/detail/de/ip_25_1013