Umsetzung NIS-2: Deutschlands Sonderweg bleibt rechtlich riskant

Der deutsche Gesetzgeber entlastet Unternehmen von den Anforderungen der NIS-2-Richtlinie in einem Ausmaß, das die Ziele des europäischen Gesetzgebers zu verfehlen droht. Was das für Unternehmen bedeutet.

Stand der Dinge

Mit einer Verzögerung von über einem Jahr ist am 06.12.2025 das deutsche BSIG zur Umsetzung der NIS-2-Richtlinie in Kraft getreten (Network and Information Security). Es ist seither unmittelbar geltendes Recht. Eine weitere Umsetzungsfrist für die Wirtschaft gibt es nicht. Unternehmen, die eine in den Anlagen 1 oder 2 gelistet Tätigkeit ausüben, müssen sich bis zum 06.03.2026 beim BSI registrieren und ein Risikomanagementsystem eingeführt haben.

Bemerkenswert ist, dass das BSIG trotz erheblicher Kritik aus der Anwaltschaft während des Gesetzgebungsverfahrens in wesentlichen Punkten nicht richtlinienkonform ausgestaltet ist. Es räumt Unternehmen einen unbestimmten Ermessensspielraum bei der Frage ein, ob sie sich als wichtige oder besonders wichtige Einrichtung registrieren. Gut gemeint gehen damit rechtliche Unsicherheiten und Haftungsrisiken einher.

Worum geht es in der Richtlinie

Nach der europäischen NIS-2-Richtlinie liegen Unternehmen benannter Sektoren

➡ Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Produktion/Herstellung/Handel mit chemischen Stoffen, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung mit

a) mindestens 50 Mitarbeitenden oder

b) mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme

im Anwendungsbereich des Gesetzes.

Nicht relevant ist, ob es sich bei der Tätigkeit um die Haupttätigkeit des Unternehmens handelt oder nur um eine Nebentätigkeit.

So kann schon der Betrieb einer einzigen Photovoltaik-Anlage für eigene Zwecke die gesetzlichen Pflichten zum Cyber-Risikomanagement auslösen. Über die vorgenannten Schwellenwerte hinaus (Size-Caps) gibt es weitere Ausnahmen für Unternehmen derzeit nur in den Sektoren Trinkwasser, Abwasser und Abfallwirtschaft.

Dass hierdurch eine Vielzahl von Unternehmen erfasst wird, ist bewusst gewollt. Der Regelungsansatz richtet sich nicht mehr allein auf den Schutz des einzelnen Unternehmens, sondern verpflichtet dieses, einen aktiven Beitrag zur Cybersicherheit zu leisten. Ziel ist es, durch das Zusammenwirken der Mitgliedstaaten und ihrer Unternehmen die Cyberresilienz der Gesellschaft insgesamt zu stärken und ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu gewährleisten.

Der „deutsche Sonderweg“ im BSIG

Während die Richtlinie also im Sinne eines möglichst umfassenden Zusammenwirkens grundsätzlich auch geringfügige Tätigkeiten in den Blick nimmt, eröffnet das deutsche BSIG demgegenüber die Möglichkeit, bestimmte Geschäftstätigkeiten unberücksichtigt zu lassen, wenn sie

➡ im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

Begründet wird dies mit dem Grundsatz der Verhältnismäßigkeit. Es soll vermieden werden, dass eine lediglich geringfügige Nebentätigkeit zu einer unverhältnismäßigen Einstufung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können, so die Gesetzesbegründung, etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Entscheidend sei dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.

In der Beratungspraxis zeigt sich, dass viele Unternehmen diese Ausnahme weit auslegen und auf dieser Basis nicht nur von einer Registrierung absehen, sondern auch die Einführung von Risikomanagementsystemen unterlassen möchten.

Dieser Weg ist riskant.

Was bedeutet das nun:

Der deutsche Sonderweg mag aus Sicht der Wirtschaft äußerst begrüßenswert sein, ändert jedoch nichts daran, dass die Ausnahmeregelung für „vernachlässigbare Tätigkeiten“ nach überwiegender Auffassung der Fachliteratur nicht richtlinienkonform ausgestaltet ist. Sie verkennt die Systematik der NIS-2-Richtlinie. Die Schwellenwerte sind kein Indiz für die Kritikalität der Einrichtung. Sie soll vielmehr eine faire Lastenverteilung gewährleisten und kleine und Kleinstunternehmen mit einem Beitrag zur gemeinschaftlichen Cybersicherheit nicht überfordern.

Geht man von der Richtlinienwidrigkeit aus, führt das zwar nicht zur Unanwendbarkeit des deutsche Rechts. Es ist jedoch – wo möglich – so auszulegen, dass die NIS-2-Richtlinie ihre volle Wirksamkeit erreicht. Hierfür bedarf es einer Bewertung des Einzelfalls.

Eine größtmögliche Ausdehnung der Ausnahmeregelung, ohne Berücksichtigung der europäischen Vorgaben, kann haftungsrechtlich problematisch sein und sollte vermieden werden.

Was sollten Unternehmen tun:

Geschäftsleitungen sind aufgrund der im HGB, GmbHG und AktG verankerten Legalitätspflicht gehalten, bei der Betroffenheitsbewertung rechtlichen Rat einzuholen, sofern eine Betroffenheit nicht offensichtlich ausgeschlossen werden kann. Dies gilt in besonderem Maße bei der Inanspruchnahme des „deutschen Sonderwegs“ in vielen Aspekten des Gesetztes.
Rechtliche Beratung durch andere Personen als Rechtsanwälte enthaftet die Geschäftsleitung nicht.
Wenn die Geschäftsleitung zu dem Ergebnis kommt, eine Tätigkeit unter Berufung auf den deutschen Sonderweg nicht beim BSI zu registrieren, sollte diese dennoch in das Risikomanagement aufgenommen werden. Kippen die Regelungen, sind sie ab dem Moment nicht mehr anwendbar. Darauf sollte das Unternehmen vorbereitet sein.

IT-Sicherheits-Rechtsberatung

Bei der NIS-2-Richtlinie, der NIS-2-Durchführungsverordnung für IKT und dem BSIG handelt es sich um Gesetze, die – anders als internationale Normen wie die ISO/IEC 27001 – in einem komplexen digitalrechtlichen Kontext stehen und an zahlreichen Stellen einer europarechtskonformen Auslegung bedürfen.

Dabei ist zu beachten, dass sie als Teil des öffentlich-rechtlichen Sicherheitsrechts nicht dem Schutz der Unternehmen vor Bußgeldern oder der Förderung ihrer Marktchancen dienen (so ISO/IEC 27001)

Sie sollen die kontinuierlichen Verfügbarkeit kritischer Dienste und Infrastrukturen und ein hohes allgemeines Cybersicherheitsniveau ermöglichen.

In den vergangenen Monaten habe ich zahlreiche Unternehmen in der Betroffenheitsbewertung begleitet. Wenn Sie zeitnah eine strukturierte Einordnung benötigen, melden Sie sich gerne.

Die RED-Verordnung und ihre praktische Umsetzung

Vor dem Hintergrund, dass IoT-Produkte immer öfter nicht nur über Funk, sondern auch über das Internet miteinander kommunizieren, hat die EU-Kommission mit Wirkung zum 01.08.2025 durch delegierte Rechtsverordnung (EU) 2022/30 (RED-Verordnung) die Security-Anforderungen an reine Funkanlagen aus der Richtlinie 2014/53/EU (RED-Richtlinie) ausdrücklich auf mittelbar oder unmittelbar mit dem Internet verbundene Funkanlagen ausgedehnt und sich aus einer Internetverbindung ergebende Risiken adressiert.

Die Umsetzung bereitet erhebliche Schwierigkeiten.

Unbestimmte Anforderungen

Die Cybersecurity-Anforderungen aus der RED-Verordnung in Verbindung mit der RED-Richtlinie sind derart generisch, dass ein Normungsauftrag vergeben wurde. Der Zweck einer „harmonisierten Norm“ besteht darin, ein generisches Gesetz zu konkretisieren, indem sie technische Einzelheiten und Lösungen für die Sicherheits- und Leistungsanforderungen bereitstellt. Sie werden rechtlich verbindlich, wenn Rechtsakte wie die RED-Verordnung oder die RED-Richtlinie darauf verweisen und können einfacher als diese der technischen Entwicklung angepasst werden.

Erste Entwürfe dafür liegen vor, helfen den Anwendern aber nur bedingt.

Die Schwierigkeiten ergeben sich daraus, dass eine Norm einerseits die sehr unterschiedlichen Risiken nicht berücksichtigen kann, die sich aus oder für einzelne mit dem Internet verbundene Produkte ergeben. Die Bandbreite ist zu groß. Andererseits hat der Normgeber das Grundrecht der unternehmerischen Freiheit aus Art. 16 EU-Grundrechtscharta zu berücksichtigen, welches dem Unternehmer das Recht gewährt, frei über seine wirtschaftlichen, technischen und finanziellen Ressourcen zu verfügen.

Gesetzliche oder normierte Anforderungen dürfen dieses Unternehmergrundrecht nur so weit einschränken, wie es erforderlich ist, legitime Zwecke zu erfüllen. Diese sind ausweislich der Erwägungsgründe der RED-Verordnung insbesondere der Schutz des Netzes vor Schaden, Schutz personenbezogener Daten und der Privatsphäre des Nutzers, sowie Schutz vor Betrug im Finanzumfeld („Schutzziele“).

Risikomanagement durch das Unternehmen

Die RED-Verordnung mit ihrer entstehenden harmonisierten Norm überlässt es letztlich den Unternehmen, innerhalb eines bestimmten Rahmens die produktspezifischen Maßnahmen zu bestimmen, die zur Sicherung der Schutzziele zu treffen sind. Somit können sie sich für die Umsetzung derjenigen Maßnahmen entscheiden, die ihren Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihnen bei der Ausführung ihrer Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind (siehe hierzu ausführlich EuGH, Urteil v. 27.03.2014, C-314/12). Zu diesen übrigen Pflichten gehört auch die Sicherung des Fortbestandes des Unternehmens gemäß §§ 76, 91 Abs. 2, 93 Abs. 1 AktG bzw. § 43 Abs. 1 GmbHG und § 347 Abs. 1 HGB und damit der Schutz des Vermögens vor unangemessenen Sicherheitsmaßnahmen.

Die erforderliche Risikobewertung ist mit den getroffenen Maßnahmen zu dokumentieren, denn – so schreibt es der EuGH in seiner o.g. Entscheidung – dies ermöglicht es dem Unternehmer, sich von einer Haftung zu befreien, indem er nachweist, dass er alle zumutbaren Maßnahmen ergriffen hat.

Ein mühsames und interdisziplinäres Unterfangen

Einen Freifahrtschein hat der EuGH mit seinem Urteil jedoch nicht gegeben. Auch ein finanziell schwaches Unternehmen darf keine Anlage auf dem EU-Markt platzieren, welche unannehmbare Risiken für die oben genannten Schutzziele birgt.

Für eine juristisch valide Anwendung der RED-Verordnung und der harmonisierten Norm und eine qualifizierte Risikobewertung bedarf es einer engen Zusammenarbeit von Rechtsanwälten, Produktentwicklern und Entwicklern von Embedded Software.

In a Nutshell

Bis zum 01.08.2025 müssen Hersteller

im Rahmen der RED-Normung
mit Blick auf die notwendige Netzwerksicherheit und den notwendigen Schutz von personenbezogenen Daten
in Ausübung ihrer unternehmerischen Freiheit und ihrer Vermögensschutzpflichten

eine angemessene Cyberresiliez ihrer Funkanlagen hergestellt haben. Unannehmbare Risiken werden nicht akzeptiert.