Schon der Titel des am 6. Dezember in Kraft getretenen Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (BGBl. I 2025, Nr. 301) spricht für sich. Die in Form eines Mantelgesetzes verwirklichte Umsetzung der europäischen Richtlinie wirkt sich auf insgesamt 22 Gesetze und Verordnungen aus. Schon aufgrund dieser weit verzweigten Einflussnahme auf das deutsche Recht ist eine Folgenabschätzung aus rechtlicher Perspektive unweigerlich erforderlich.

Ziel der zugrunde liegenden NIS-2-Richtlinie ist die einheitliche Gewährleistung eines hohen Niveaus an Cybersicherheit in der Europäischen Union. Der Aspekt der allgemeinen Sicherheit ist in dieser Beziehung nicht zu hoch zu bewerten, denn eine isolierte Betrachtung der Sicherheit für Netz- und Informationssysteme ist kaum möglich und zudem nicht zielführend. Die Funktion von wirtschaftlichen Abläufen und damit auch die Funktion von Schlüsselsektoren ist maßgeblich von einer funktionierenden digitalen Vernetzung abhängig. Störungen dieser omnipräsenten Vernetzung sind damit unweigerlich mit massiven – in ihrer Dimension kaum abschätzbaren – Folgen verbunden, die auf die Funktion von Gesellschaft und Wirtschaft als Ganzes ausstrahlen.

Die fortwährenden Geschehnisse vor und – insbesondere – nach Erlass der Richtlinie im Jahr 2022 zeigen, dass den soeben skizzierten Sicherheitsrisiken eine reale Bedeutung zukommt. Als Beispiel kann hier der Cyberangriff auf 22 dänische Energieunternehmen im Jahre 2023 genannt werden. Aber auch deutsche Energieversorger sind fortwährend Cyberattacken ausgesetzt. Da sich nicht abgewehrte Cyberangriffe auf Unternehmen der Energiewirtschaft unmittelbar die kritische Infrastruktur auswirken können, erklärt dies den hohen Stellenwert der Cybersicherheit in der Branche.

Selbstverständlich bestand auch vor Erlass der NIS-2-Richtlinie ein regulatorischer Rahmen für die Gewährleistung eines Mindeststandards an Cybersicherheit. Die bisherige Grundlagen sind u.a. das IT-Sicherheitsgesetz (BGBl. I 2015, S. 1324) sowie das IT-Sicherheitsgesetz 2.0 (BGBl. I 2021, S. 1122). In systematischer Hinsicht wird durch die Umsetzung der NIS-2-Richtlinie eben dieser bestehende Ordnungsrahmen auf den Bereich bestimmter Unternehmen erweitert. Denn durch die Umsetzung der Richtlinie werden die darin vorgegebenen Einrichtungskategorien übernommen. Schon die Gesetzesbegründung bezeichnet die damit einhergehende Erweiterung der Adressaten als signifikant, BT-Drs. 21/1501, S. 96. Entscheidend ist dafür die Adaptierung der europäischen Einstufung von Einrichtungen als besonders wichtige bzw. wichtige Anlagen, vgl. § 28 Abs. 1 und 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG).

Als „besonders wichtige Einrichtungen“ werden u.a. diverse Zweige der Strom-, Fernwärme-, Gas- und Trinkwasserversorgung sowie die Abwasserbeseitigung eingestuft, vgl. Anlage 1 BSIG. „Wichtige Einrichtungen“ sind insbesondere die Abfallbewirtschaftung sowie die Produktion, Herstellung und Handel mit chemischen Stoffen, vgl. Anlage 2 BSIG. Neben der Sektorzuordnung ist eine gewisse Dimension des Unternehmens entscheidend für die Einstufung als (besonders) wichtige Einrichtung. Den Maßstab dafür bildet die Anzahl der Mitarbeiter oder der Jahresumsatz bzw. die Jahresbilanzsumme des Unternehmens, vgl. § 28 Abs. 1 Nr. 4 u. Abs. 2 Nr. 3 BSIG.

Durch die Kopplung der Sektoren an die unternehmerische Dimension ergibt sich der angekündigte erweiterte Anwendungsbereich. Denn nun unterfallen auch kleinere Unternehmen den Verpflichtungen der Richtlinie und müssen ihre internen Prozesse an den Vorgaben der Richtlinie ausrichten.

Konkrete Verpflichtungen ergeben sich dabei bereits unabhängig von konkreten Bedrohungen, indem die betroffenen Unternehmen Maßnahmen für ein erweitertes Risikomanagement umsetzen müssen, vgl. § 30 BSIG (Umsetzung der Anforderungen gem. Art. 21 Abs. 2 NIS-2). Bei Sicherheitsvorfällen greifen strikte Meldeverpflichtungen für Unternehmen, die mit Aufgaben der Grundversorgung betraut sind. Die Meldeverpflichtung ist nunmehr dreistufig ausgestaltet, vgl. § 32 BSIG.

Damit beinhaltet die Novelle sowohl Vorgaben für das Risikomanagement als auch Vorgaben für Bedrohungsszenarien. Über diesen individualisierbaren Verpflichtungen steht die Implementierung einheitlicher europäischer Sicherheitsstandards zur Umsetzung strengerer Sicherheitsanforderungen gegen die angeführten Bedrohungen durch Cyberangriffe.

Verstöße gegen die gesetzlichen Vorgaben können mit empfindlichen Konsequenzen verbunden sein. Zum einen können nach dem Vorbild der DSGVO Bußgelder verhängt werden, zum anderen kann mitunter auch eine persönliche Haftung der Geschäftsführung ausgelöst werden.

Die Umsetzung der Richtlinie wurde bereits in der Umsetzungsphase kritisiert, hinsichtlich der Reichweite und den zahlreichen Ausnahmen zugunsten von staatlichen Institutionen wurde die Zielerreichung in Frage gestellt. Ob das Gesetzespaket zu einer höheren Sicherheit vor Cyberangriffen führt, wird sich zeigen. Bereits jetzt kann hingegen mit Sicherheit gesagt werden, dass die die Reform mit massivem Mehraufwand für die betroffenen Wirtschaftsbranchen verbunden sein wird. Diesbezüglich wird eine frühzeitige und proaktive Umsetzung der Verpflichtungen entscheidend sein.