Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet
Geschrieben von Elina Bartelt, veröffentlicht am 10.03.2026Seit dem 6. Dezember 2025 überführt das NIS-2-Umsetzungsgesetz die europäische Richtlinie in deutsches Recht. Die Novellierung des Bundessicherheitsgesetzes (BSIG) macht Cybersicherheit zum verbindlichen Standard für weite Teile der Wirtschaft.
Wer fällt unter den neuen Anwendungsbereich?
Die neue Einteilung in § 28 BSIG erweitert den Kreis der regulierten Unternehmen massiv:
- Besonders wichtige Einrichtungen (bwE): Große Unternehmen (ab 250 MA oder 50 Mio. € Umsatz und 10 Mio. € Jahresbilanz) in Sektoren wie Energie, Gesundheit sowie Rechenzentrumsbetreiber.
- Wichtige Einrichtungen (wE): Mittlere Unternehmen (ab 50 MA oder 10 Mio. € Umsatz und Jahresbilanz) in Sektoren wie der Lebensmittelproduktion, Maschinenbau sowie Post- und Kurierdienste.
Wie sieht der gesetzliche Pflichtenkatalog aus?
Gemäß § 30 Abs. 1 BSIG müssen Einrichtungen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ umsetzen. Absatz 2 konkretisiert Mindestanforderungen: Ein Risikomanagementkonzept bildet das Fundament.
Dazu kommen Business Continuity Management zur Krisenbewältigung und ein Incident Management für den gesamten Lebenszyklus von Vorfällen. Das Gesetz verlangt zudem Lieferkettensicherheit, moderne Kryptografie und Multi-Faktor-Authentifizierung. Regelmäßige Mitarbeiterschulungen, Personalsicherheit und Wirksamkeitsprüfungen vervollständigen den Katalog.
Welche Pflichten treffen die Geschäftsführung?
Die Geschäftsleitung überwacht die Umsetzung aller Maßnahmen (§ 38 Abs. 1) und nimmt an regelmäßigen Schulungen zur Risikoerkennung teil (mindestens alle drei Jahre). Bei schuldhafter Verletzung dieser Überwachungs- und Umsetzungspflichten haftet die Geschäftsführung (§ 38 Abs. 2).
Welche Melde- und Registrierungspflichten bestehen?
Jedes Unternehmen, welches in den Anwendungsbereich des BSIG fällt, muss sich aktiv beim Bundesamt für Sicherheit in der Informationstechnik registrieren (§ 33 BSIG). Zudem wurden die Fristen für die Meldung von Vorfällen verschärft: Ein erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden (Frühwarnung) und innerhalb von 72 Stunden (ausführliche Meldung) an das BSI gemeldet werden, § 32 BSIG.
Wie gelingt die Umsetzung in der Praxis?
Prüfen Sie sofort die Einstufung Ihres Unternehmens. Der Standard ISO 27001 deckt bereits viele Anforderungen ab. Ergänzungsbedarf besteht meist bei der Lieferkettensicherheit und den spezifischen Schulungspflichten für die Chefetage.
Sprechen Sie uns gerne an, bei Fragen zu Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet
Elina Bartelt,
Juristin mit Schwerpunkt Datenschutzrecht. Sie unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen.
Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel
- KRITIS-Dachgesetz: Schutzschild für die physische Sicherheit
- Unzulässige Verarbeitung biometrischer Daten bei Prüfungsüberwachung
- Ist ein Benutzername im Internet ein personenbezogenes Datum im Sinne der DSGVO?
- Achtung bei Signal: Verfassungsschutz warnt vor Spionage
- Warum ist eine Clean Desk Policy für den Datenschutz so wichtig?
- Was gibt es Neues zum „Digitalen Omnibus“?
Verwandte Artikel
- Datenschutz auf LinkedIn: Was man alles für das Häkchen preisgibt
- DSK-Merkblatt zur Verständigung im DSGVO-Bußgeldverfahren schafft Klarheit
- „Widerrufs-Button“ kommt: Neue Pflichten für Online-Shops bis Juni 2026
- Was gibt es Neues zum „Digitalen Omnibus“?
- EuGH schiebt rechtsmissbräuchlichen DSGVO-Anfragen einen Riegel vor
- Muss oder Option: Das Verzeichnis von Verarbeitungstätigkeiten