Umsetzung NIS-2: Deutschlands Sonderweg bleibt rechtlich riskant

Stand der Dinge

Mit einer Verzögerung von über einem Jahr ist am 06.12.2025 das deutsche BSIG zur Umsetzung der NIS-2-Richtlinie in Kraft getreten (Network and Information Security). Es ist seither unmittelbar geltendes Recht. Eine weitere Umsetzungsfrist für die Wirtschaft gibt es nicht. Unternehmen, die eine in den Anlagen 1 oder 2 gelistet Tätigkeit ausüben, müssen sich bis zum 06.03.2026 beim BSI registrieren und ein Risikomanagementsystem eingeführt haben. 

Bemerkenswert ist, dass das BSIG trotz erheblicher Kritik aus der Anwaltschaft während des Gesetzgebungsverfahrens in wesentlichen Punkten nicht richtlinienkonform ausgestaltet ist. Es räumt Unternehmen einen unbestimmten Ermessensspielraum bei der Frage ein, ob sie sich als wichtige oder besonders wichtige Einrichtung registrieren. Gut gemeint gehen damit rechtliche Unsicherheiten und Haftungsrisiken einher.

Worum geht es in der Richtlinie

Nach der europäischen NIS-2-Richtlinie liegen Unternehmen benannter Sektoren

➡ Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Produktion/Herstellung/Handel mit chemischen Stoffen, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung mit

a) mindestens 50 Mitarbeitenden oder

b) mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme 

im Anwendungsbereich des Gesetzes.

Nicht relevant ist, ob es sich bei der Tätigkeit um die Haupttätigkeit des Unternehmens handelt oder nur um eine Nebentätigkeit. 

So kann schon der Betrieb einer einzigen Photovoltaik-Anlage für eigene Zwecke die gesetzlichen Pflichten zum Cyber-Risikomanagement auslösen. Über die vorgenannten Schwellenwerte hinaus (Size-Caps) gibt es weitere Ausnahmen für Unternehmen derzeit nur in den Sektoren Trinkwasser, Abwasser und Abfallwirtschaft.

Dass hierdurch eine Vielzahl von Unternehmen erfasst wird, ist bewusst gewollt. Der Regelungsansatz richtet sich nicht mehr allein auf den Schutz des einzelnen Unternehmens, sondern verpflichtet dieses, einen aktiven Beitrag zur Cybersicherheit zu leisten. Ziel ist es, durch das Zusammenwirken der Mitgliedstaaten und ihrer Unternehmen die Cyberresilienz der Gesellschaft insgesamt zu stärken und ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu gewährleisten. 

Der „deutsche Sonderweg“ im BSIG

Während die Richtlinie also im Sinne eines möglichst umfassenden Zusammenwirkens grundsätzlich auch geringfügige Tätigkeiten in den Blick nimmt, eröffnet das deutsche BSIG demgegenüber die Möglichkeit, bestimmte Geschäftstätigkeiten unberücksichtigt zu lassen, wenn sie 

➡  im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. 

Begründet wird dies mit dem Grundsatz der Verhältnismäßigkeit. Es soll vermieden werden, dass eine lediglich geringfügige Nebentätigkeit zu einer unverhältnismäßigen Einstufung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können, so die Gesetzesbegründung, etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Entscheidend sei dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.

In der Beratungspraxis zeigt sich, dass viele Unternehmen diese Ausnahme weit auslegen und auf dieser Basis nicht nur von einer Registrierung absehen, sondern auch die Einführung von Risikomanagementsystemen unterlassen möchten.

Dieser Weg ist riskant. 

Was bedeutet das nun:

Der deutsche Sonderweg mag aus Sicht der Wirtschaft äußerst begrüßenswert sein, ändert jedoch nichts daran, dass die Ausnahmeregelung für „vernachlässigbare Tätigkeiten“ nach überwiegender Auffassung der Fachliteratur nicht richtlinienkonform ausgestaltet ist. Sie verkennt die Systematik der NIS-2-Richtlinie. Die Schwellenwerte sind kein Indiz für die Kritikalität der Einrichtung. Sie soll vielmehr eine faire Lastenverteilung gewährleisten und kleine und Kleinstunternehmen mit einem Beitrag zur gemeinschaftlichen Cybersicherheit nicht überfordern.

Geht man von der Richtlinienwidrigkeit aus, führt das zwar nicht zur Unanwendbarkeit des deutsche Rechts. Es ist jedoch – wo möglich – so auszulegen, dass die NIS-2-Richtlinie ihre volle Wirksamkeit erreicht. Hierfür bedarf es einer Bewertung des Einzelfalls. 

Eine größtmögliche Ausdehnung der Ausnahmeregelung, ohne Berücksichtigung der europäischen Vorgaben, kann haftungsrechtlich problematisch sein und sollte vermieden werden.

Was sollten Unternehmen tun:

• Geschäftsleitungen sind aufgrund der im HGB, GmbHG und AktG verankerten Legalitätspflicht gehalten, bei der Betroffenheitsbewertung rechtlichen Rat einzuholen, sofern eine Betroffenheit nicht offensichtlich ausgeschlossen werden kann. Dies gilt in besonderem Maße bei der Inanspruchnahme des „deutschen Sonderwegs“ in vielen Aspekten des Gesetztes. 
• Rechtliche Beratung durch andere Personen als Rechtsanwälte enthaftet die Geschäftsleitung nicht. 
• Wenn die Geschäftsleitung zu dem Ergebnis kommt, eine Tätigkeit unter Berufung auf den deutschen Sonderweg nicht beim BSI zu registrieren, sollte diese dennoch in das Risikomanagement aufgenommen werden. Kippen die Regelungen, sind sie ab dem Moment nicht mehr anwendbar. Darauf sollte das Unternehmen vorbereitet sein.

IT-Sicherheits-Rechtsberatung

Bei der NIS-2-Richtlinie, der NIS-2-Durchführungsverordnung für IKT und dem BSIG handelt es sich um Gesetze, die – anders als internationale Normen wie die ISO/IEC 27001 – in einem komplexen digitalrechtlichen Kontext stehen und an zahlreichen Stellen einer europarechtskonformen Auslegung bedürfen. 

Dabei ist zu beachten, dass sie als Teil des öffentlich-rechtlichen Sicherheitsrechts nicht dem Schutz der Unternehmen vor Bußgeldern oder der Förderung ihrer Marktchancen dienen (so ISO/IEC 27001)

Sie sollen die kontinuierlichen Verfügbarkeit kritischer Dienste und Infrastrukturen und ein hohes allgemeines Cybersicherheitsniveau ermöglichen. 

In den vergangenen Monaten habe ich zahlreiche Unternehmen in der Betroffenheitsbewertung begleitet. Wenn Sie zeitnah eine strukturierte Einordnung benötigen, melden Sie sich gerne.