Umsetzung NIS-2: Deutschlands Sonderweg bleibt rechtlich riskant

Der deutsche Gesetzgeber entlastet Unternehmen von den Anforderungen der NIS-2-Richtlinie in einem Ausmaß, das die Ziele des europäischen Gesetzgebers zu verfehlen droht. Was das für Unternehmen bedeutet.

Stand der Dinge

Mit einer Verzögerung von über einem Jahr ist am 06.12.2025 das deutsche BSIG zur Umsetzung der NIS-2-Richtlinie in Kraft getreten (Network and Information Security). Es ist seither unmittelbar geltendes Recht. Eine weitere Umsetzungsfrist für die Wirtschaft gibt es nicht. Unternehmen, die eine in den Anlagen 1 oder 2 gelistet Tätigkeit ausüben, müssen sich bis zum 06.03.2026 beim BSI registrieren und ein Risikomanagementsystem eingeführt haben.

Bemerkenswert ist, dass das BSIG trotz erheblicher Kritik aus der Anwaltschaft während des Gesetzgebungsverfahrens in wesentlichen Punkten nicht richtlinienkonform ausgestaltet ist. Es räumt Unternehmen einen unbestimmten Ermessensspielraum bei der Frage ein, ob sie sich als wichtige oder besonders wichtige Einrichtung registrieren. Gut gemeint gehen damit rechtliche Unsicherheiten und Haftungsrisiken einher.

Worum geht es in der Richtlinie

Nach der europäischen NIS-2-Richtlinie liegen Unternehmen benannter Sektoren

➡ Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Produktion/Herstellung/Handel mit chemischen Stoffen, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung mit

a) mindestens 50 Mitarbeitenden oder

b) mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme

im Anwendungsbereich des Gesetzes.

Nicht relevant ist, ob es sich bei der Tätigkeit um die Haupttätigkeit des Unternehmens handelt oder nur um eine Nebentätigkeit.

So kann schon der Betrieb einer einzigen Photovoltaik-Anlage für eigene Zwecke die gesetzlichen Pflichten zum Cyber-Risikomanagement auslösen. Über die vorgenannten Schwellenwerte hinaus (Size-Caps) gibt es weitere Ausnahmen für Unternehmen derzeit nur in den Sektoren Trinkwasser, Abwasser und Abfallwirtschaft.

Dass hierdurch eine Vielzahl von Unternehmen erfasst wird, ist bewusst gewollt. Der Regelungsansatz richtet sich nicht mehr allein auf den Schutz des einzelnen Unternehmens, sondern verpflichtet dieses, einen aktiven Beitrag zur Cybersicherheit zu leisten. Ziel ist es, durch das Zusammenwirken der Mitgliedstaaten und ihrer Unternehmen die Cyberresilienz der Gesellschaft insgesamt zu stärken und ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu gewährleisten.

Der „deutsche Sonderweg“ im BSIG

Während die Richtlinie also im Sinne eines möglichst umfassenden Zusammenwirkens grundsätzlich auch geringfügige Tätigkeiten in den Blick nimmt, eröffnet das deutsche BSIG demgegenüber die Möglichkeit, bestimmte Geschäftstätigkeiten unberücksichtigt zu lassen, wenn sie

➡ im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

Begründet wird dies mit dem Grundsatz der Verhältnismäßigkeit. Es soll vermieden werden, dass eine lediglich geringfügige Nebentätigkeit zu einer unverhältnismäßigen Einstufung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können, so die Gesetzesbegründung, etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Entscheidend sei dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.

In der Beratungspraxis zeigt sich, dass viele Unternehmen diese Ausnahme weit auslegen und auf dieser Basis nicht nur von einer Registrierung absehen, sondern auch die Einführung von Risikomanagementsystemen unterlassen möchten.

Dieser Weg ist riskant.

Was bedeutet das nun:

Der deutsche Sonderweg mag aus Sicht der Wirtschaft äußerst begrüßenswert sein, ändert jedoch nichts daran, dass die Ausnahmeregelung für „vernachlässigbare Tätigkeiten“ nach überwiegender Auffassung der Fachliteratur nicht richtlinienkonform ausgestaltet ist. Sie verkennt die Systematik der NIS-2-Richtlinie. Die Schwellenwerte sind kein Indiz für die Kritikalität der Einrichtung. Sie soll vielmehr eine faire Lastenverteilung gewährleisten und kleine und Kleinstunternehmen mit einem Beitrag zur gemeinschaftlichen Cybersicherheit nicht überfordern.

Geht man von der Richtlinienwidrigkeit aus, führt das zwar nicht zur Unanwendbarkeit des deutsche Rechts. Es ist jedoch – wo möglich – so auszulegen, dass die NIS-2-Richtlinie ihre volle Wirksamkeit erreicht. Hierfür bedarf es einer Bewertung des Einzelfalls.

Eine größtmögliche Ausdehnung der Ausnahmeregelung, ohne Berücksichtigung der europäischen Vorgaben, kann haftungsrechtlich problematisch sein und sollte vermieden werden.

Was sollten Unternehmen tun:

Geschäftsleitungen sind aufgrund der im HGB, GmbHG und AktG verankerten Legalitätspflicht gehalten, bei der Betroffenheitsbewertung rechtlichen Rat einzuholen, sofern eine Betroffenheit nicht offensichtlich ausgeschlossen werden kann. Dies gilt in besonderem Maße bei der Inanspruchnahme des „deutschen Sonderwegs“ in vielen Aspekten des Gesetztes.
Rechtliche Beratung durch andere Personen als Rechtsanwälte enthaftet die Geschäftsleitung nicht.
Wenn die Geschäftsleitung zu dem Ergebnis kommt, eine Tätigkeit unter Berufung auf den deutschen Sonderweg nicht beim BSI zu registrieren, sollte diese dennoch in das Risikomanagement aufgenommen werden. Kippen die Regelungen, sind sie ab dem Moment nicht mehr anwendbar. Darauf sollte das Unternehmen vorbereitet sein.

IT-Sicherheits-Rechtsberatung

Bei der NIS-2-Richtlinie, der NIS-2-Durchführungsverordnung für IKT und dem BSIG handelt es sich um Gesetze, die – anders als internationale Normen wie die ISO/IEC 27001 – in einem komplexen digitalrechtlichen Kontext stehen und an zahlreichen Stellen einer europarechtskonformen Auslegung bedürfen.

Dabei ist zu beachten, dass sie als Teil des öffentlich-rechtlichen Sicherheitsrechts nicht dem Schutz der Unternehmen vor Bußgeldern oder der Förderung ihrer Marktchancen dienen (so ISO/IEC 27001)

Sie sollen die kontinuierlichen Verfügbarkeit kritischer Dienste und Infrastrukturen und ein hohes allgemeines Cybersicherheitsniveau ermöglichen.

In den vergangenen Monaten habe ich zahlreiche Unternehmen in der Betroffenheitsbewertung begleitet. Wenn Sie zeitnah eine strukturierte Einordnung benötigen, melden Sie sich gerne.

NIS-2 für Unternehmen mit ISO-27001-Zertifizierung –
Warum das Zertifikat allein nicht reicht.

Die Anforderungen an Informationssicherheit steigen stetig – besonders für Cloud-, Rechenzentrums- und andere IT-Anbieter. Viele Unternehmen verlassen sich auf ihr ISO-27001-Zertifikat, ohne zu wissen, dass die NIS-2-Durchführungsverordnung für sie deutlich weitergehende operative Nachweise verlangt. Wer die Unterschiede nicht kennt, riskiert Bußgelder, Haftung und Reputationsschäden. In diesem Beitrag zeige ich kompakt, worauf es bei NIS-2 ankommt und wie ISO 27001 als solide Basis optimal ergänzt werden kann.

– Veröffentlicht am 25. August 2025 · Aktualisiert am 03. Januar 2026 –

Dringlichkeit für IT-Anbieter

Die zunehmende Vernetzung von Menschen und Produkten bietet immer größere Angriffsflächen für Korruption und schwerwiegende Cyberangriffe. Auch unter Innovations- und Kostendruck muss die Sicherheit der zugrundeliegenden Netz- und Informationssysteme daher gewährleistet sein. Mit der NIS-2-Richtlinie hat die EU den Rahmen dafür neu gesetzt. Während Deutschland mit der nationalen Umsetzung bis Dezember 2025 in Verzug war, hatte die EU für bestimmte Sektoren längst Fakten geschaffen:

Für Betreiber von Internet-Knoten, Domänennamensystem-Diensteanbieter (ausgenommen Root-Namenservern), TLD-Namensregister, Anbieter von Cloud- und Rechenzentrumsdiensten, Betreiber von Inhaltszustelldiensten, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentliche zugänglicher elektronischer Kommunikationsdienste, Anbieter verwalteter Dienste (Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt) und Anbieter verwalteter Sicherheitsdienste gilt seit dem 07.11.2024 unmittelbar die

NIS-2-Durchführungsverordnung (NIS-2-DV).

Sie enthält verbindliche Anforderungen, die unbeschadet des deutschen Umsetzungsgesetzes als sektorale Sonderregelungen unmittelbar einzuhalten sind. Abzustellen ist auf die einzelne rechtliche Einheit – ein Konzernprivileg gibt es nicht.

Auf den ersten Blick ähneln viele der Anforderungen bekannten Standards wie der ISO/IEC 27001. Deshalb verweisen z.B. XaaS-Anbieter oft auf ihre bestehende Zertifizierung, wenn es um NIS-2-Compliance geht. Doch ein Zertifikat allein reicht nicht. Die Durchführungsverordnung ist präziser und umfassender. Selbst Unternehmen mit etabliertem ISMS müssen prüfen, wo zusätzliche Maßnahmen erforderlich sind.

ISO 27001: Managementsystem im Fokus

Die ISO 27001 ist ein bewährter Standard für Informationssicherheitsmanagement. Sie hilft Unternehmen, Cyberrisiken strukturiert anzugehen und für selbst definierte Bereiche Prozesse sowie Mindestmaßnahmen zu etablieren.

Auditoren prüfen dabei vor allem:

Gibt es ein Managementsystem?
Sind die von der Norm geforderten Prozesse dokumentiert?
Wird die kontinuierliche Verbesserung des Managementsystems nachgewiesen?

Fazit: ISO/IEC 27001 ist eine solide Grundlage – bleibt aber auf der Ebene von Managementsystemen und Prozessnachweise.

NIS-2: Operative Umsetzung im Detail

NIS-2 geht deutlich weiter. Gefordert ist nicht nur ein System „auf dem Papier“, sondern der Nachweis, dass Sicherheitsmaßnahmen im Alltag wirksam greifen.

Wichtige Unterschiede:

IT-Grundschutz als Maßstab: Während ISO 27001 darauf abzielt nachzuweisen, dass ein angemessener Werkzeugkasten zur Herstellung von IT-Sicherheit für einen selbst definierten Scope vorhanden ist, verlangt NIS-2 – ähnlich wie der BSI-Grundschutz – dass ein verbindlicher Werkzeugkasten im gesamten Unternehmen eingesetzt wird und nachweislich IT-Sicherheit schafft.

Berechtigungsmanagement: Es reicht nicht, Regeln festzuschreiben. Revisoren und Behörden prüfen, ob Zugriffsrechte tatsächlich regelmäßig implementiert, kontrolliert und entzogen werden – systemgenau und auf Revisionsniveau, denn NIS-2-DV ist ein Gesetz.

Reifegradmodelle: Organisationen müssen darlegen, wie weit ihre Maßnahmen entwickelt sind und wie sie Fortschritte messen. Ein Konzept, das die ISO 27001 nicht kennt.

Praxisbeispiel: ISO-Zertifikat – und trotzdem nicht NIS-2-konform

In einem von mir begleiteten Projekt zeigte sich das sehr deutlich:

Das Unternehmen war nach ISO 27001 zertifiziert und wähnte sich NIS-2-konform.
Prüfungsergebnis:
- Das Berechtigungsmanagement war dokumentiert, aber nicht operativ auf NIS-2-Niveau umgesetzt.
- Ein Reifegradmodell zur Bewertung der Sicherheitsmaßnahmen fehlte
- Vorgaben des IT-Grundschutzes wurden nicht berücksichtigt, weil sie in der ISO/IEC 27001 gar nicht vorgesehen sind.
- Beispiel: Regelmäßige systemgenaue Rechteprüfungen wurden nicht durchgeführt, obwohl NIS-2 dies zwingend verlangt.

Fazit: Ohne Nachbesserungen wäre das Unternehmen bei einer NIS-2-Prüfung durchgefallen – trotz Zertifikat. Erst durch die Ergänzung um Grundschutz-Elemente und den Aufbau eines Reifegradmodells konnte die Compliance-Lücke geschlossen werden.Dieses Beispiel macht deutlich: ISO 27001 ist eine gute Basis – ersetzt NIS-2 aber nicht.

Wo entsteht die gefährliche Lücke?

Viele Unternehmen mit ISO/IEC-Zertifikat – und ihre Kunden, die sich darauf verlassen – wiegen sich in Sicherheit. Doch NIS-2 verlangt weitere operative Nachweise, die in der ISO/IEC 27001 gar nicht vorgesehen sind.

Das Risiko:

Ein ISO-Audit wird bestanden – eine NIS-2-Prüfung dagegen nicht.
Geschäftsleitung haftet persönlich.
Bußgelder und Reputationsschäden drohen.

Besonders kritisch: Verantwortung liegt explizit bei Geschäftsführung und Vorstand – nicht allein bei der IT.

Der richtige Ansatz: Brücke zwischen ISO und NIS-2

Ergänzende NIS-2-spezifische Maßnahmen schließen die Lücken
Ein ganzheitlicher Reifegrad-Ansatz ist unverzichtbar

Checkliste für Unternehmen:

Welche NIS-2-Anforderungen werden bereits durch ISO/IEC 27001 und 27002 abgedeckt?
Welche weiteren Werkzeuge aus diesen Normen können genutzt werden, um Lücken zu schließen?
Wo sind Elemente des BSI-Grundschutz notwendig?
Welche Anforderungen der NIS-2-DV gehen darüber hinaus und wie können sie umgesetzt werden?
Welche Maßnahmen sind zwar umgesetzt, aber noch nicht nachweisbar dokumentiert?

Fazit: Machen Sie eine Bestandsaufnahme und lassen Sie sich rechtlich beraten

Die Zeiten, in denen ein ISO-Zertifikat als „Schutzschild“ genügte, sind vorbei. NIS-2 verlangt mehr – Behörden prüfen wie Revisoren (detailliert und operativ), nicht wie Auditoren.

Für Geschäftsleitungen bedeutet das:

Ignorieren ist keine Option.
Haftung und Verantwortung sind nicht delegierbar.
Nur ein an NIS-2 angepasster Sicherheitsrahmen schafft echte Rechtssicherheit.

FAQ: ISO/IEC 27001 und NIS-2

Reicht ISO 27001 für NIS-2 aus?
☞ Nein. ISO 27001 prüft das Vorhandensein eines Managementsystems; NIS-2 verlangt den Nachweis, dass Maßnahmen unternehmensweit tatsächlich umgesetzt werden.

Welche zusätzlichen Anforderungen stellt NIS-2?
☞ Unter anderem Reifegradmodelle, ein stärkerer Bezug zum IT-Grundschutz sowie detaillierte operative Nachweise, z. B. beim Berechtigungsmanagement.

Was bedeutet das für mein Unternehmen?
☞ Ein ISO-Zertifikat ist eine gute Basis, ersetzt aber keine NIS-2-Compliance. Unternehmen sollten prüfen, welche Lücken bestehen, und diese gezielt schließen.

Wer ist verantwortlich für die Umsetzung von NIS-2?
☞ Die Verantwortung liegt ausdrücklich bei Geschäftsführung und Vorstand. Die IT-Leitung kann das nicht übernehmen.

Welche Folgen drohen bei NIS-2-Verstößen?
☞ Bußgelder, aufsichtsrechtliche Maßnahmen und erhebliche Haftungsrisiken für die Geschäftsleitung.

Jetzt handeln: Haben Sie ein ISO 27001-Zertifikat und möchten wissen, ob Ihr Unternehmen NIS-2-konform ist? Dann prüfen Sie jetzt Ihre Lücken und handeln Sie gezielt.