Die neue IT-Sicherheitspflicht für Unternehmen
Seit dem 6. Dezember 2025 gilt das neue BSI-Gesetz. Rund 29.500 Unternehmen in Deutschland müssen jetzt gesetzliche Cybersicherheits-Mindeststandards erfüllen – viele wissen es noch nicht.
Was ist die IT-Sicherheitspflicht?
Wenn Sie nach „IT-Sicherheitspflicht“ suchen, meinen Sie höchstwahrscheinlich die NIS2-Richtlinie der EU und ihre deutsche Umsetzung im BSI-Gesetz (BSIG). Es gibt keine separate „IT-Sicherheitspflicht“ – NIS2 ist die neue gesetzliche Grundlage, die Unternehmen in 18 Sektoren zur Cybersicherheit verpflichtet.
Das Gesetz heißt offiziell NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und hat das BSI-Gesetz grundlegend überarbeitet. Die Kernpflichten stehen in §30 BSIG (Risikomanagementmaßnahmen) und §32 BSIG (Meldepflichten bei Sicherheitsvorfällen). Zusätzlich haftet die Geschäftsführung persönlich nach §38 BSIG.
Der Anwendungsbereich ist deutlich weiter als beim alten KRITIS-Regime. Nicht nur Energieversorger und Krankenhäuser sind betroffen, sondern auch Lebensmittelproduzenten, Maschinenbauer, Logistikunternehmen, Abfallentsorger und viele weitere Branchen. Entscheidend sind Sektor und Unternehmensgröße.
Sektor prüfen
Ihr Unternehmen muss in einem der 18 NIS2-Sektoren tätig sein – darunter Energie, Transport, Gesundheit, Lebensmittel, Verarbeitendes Gewerbe, Chemie, Abfallwirtschaft, digitale Infrastruktur und weitere. Die vollständige Liste steht in Anhang I und II der NIS2-Richtlinie.
Mitarbeiterzahl prüfen
Ab 50 Mitarbeitern greift die Größenschwelle. Zählen Sie alle Beschäftigten inklusive verbundener Unternehmen – NIS2 verwendet die EU-KMU-Definition, die Konzernzugehörigkeit berücksichtigt.
Umsatz und Bilanz prüfen
Alternativ zur Mitarbeiterzahl: Über 10 Mio. EUR Jahresumsatz UND über 10 Mio. EUR Bilanzsumme. Beide Schwellen müssen gleichzeitig überschritten werden. Auch hier zählen verbundene Unternehmen mit.
Erbrachte Dienste prüfen
Bestimmte Einrichtungen sind unabhängig von ihrer Größe betroffen – etwa DNS-Anbieter, TLD-Register, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und alleinige Erbringer wesentlicher Dienste in einer Region.
Beim BSI registrieren
Alle betroffenen Einrichtungen müssen sich über das BSI-Portal (muk.bsi.bund.de) selbst identifizieren und registrieren. Die Registrierungsfrist war der 17. März 2025 – wer das versäumt hat, sollte die Registrierung umgehend nachholen. Allein die Nichtregistrierung kann mit bis zu 500.000 EUR Bußgeld belegt werden.
Risiken bewerten
Erstellen Sie ein Inventar Ihrer IT-Systeme und bewerten Sie die Cybersicherheitsrisiken. Welche Systeme unterstützen Ihre wesentlichen Dienste? Was passiert bei einem Ausfall? Das Risikoregister ist das Fundament aller weiteren Maßnahmen.
Sicherheitsmaßnahmen umsetzen
§30 BSIG schreibt zehn Kategorien von Maßnahmen vor: Risikoanalyse, Vorfallbewältigung, Betriebskontinuität, Lieferkettensicherheit, Zugangskontrolle, Kryptografie, Personalschulungen und mehr. Der Umfang muss „angemessen und verhältnismäßig“ sein – ein 80-Personen-Unternehmen braucht kein SOC, aber dokumentierte Prozesse.
Meldeprozess einrichten
Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (Bewertung) und einem Monat (Abschlussbericht) gemeldet werden. Definieren Sie vorab, wer die Meldeentscheidung trifft und wer die Meldung absetzt.
Kontinuierlich pflegen
IT-Sicherheit ist kein Einmalprojekt. Risikobewertungen müssen regelmäßig aktualisiert, Maßnahmen überprüft und die Geschäftsführung jährlich geschult werden. Dokumentieren Sie alles – im Prüfungsfall zählt, was nachweisbar ist.
Die Bußgelder sind gestaffelt: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Registrierungsverstöße allein kosten bis zu 500.000 EUR. Das BSI hat Ermessen bei der Bemessung, berücksichtigt aber ausdrücklich, ob ein Unternehmen erkennbare Compliance-Bemühungen unternommen hat.
Schwerer wiegt die persönliche Haftung der Geschäftsführung nach §38 BSIG. Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich selbst schulen lassen. Diese Pflicht ist nicht delegierbar. Ein Verstoß kann zu persönlicher Schadensersatzpflicht führen – und die meisten D&O-Versicherungen schließen vorsätzliche Pflichtverletzungen aus.
Häufig gestellte Fragen
Ist „IT-Sicherheitspflicht“ dasselbe wie NIS2?
Ja. Es gibt kein separates Gesetz mit dem Namen „IT-Sicherheitspflicht“. Der Begriff beschreibt die gesetzliche Pflicht zur IT-Sicherheit, die seit Dezember 2025 durch das BSIG (die deutsche NIS2-Umsetzung) geregelt ist. Wenn jemand von der neuen IT-Sicherheitspflicht spricht, meint er die NIS2-Anforderungen im BSIG.
Wir haben nur 60 Mitarbeiter – betrifft uns das wirklich?
Wenn Ihr Unternehmen in einem der 18 NIS2-Sektoren tätig ist und mindestens 50 Mitarbeiter hat oder über 10 Mio. EUR Umsatz und 10 Mio. EUR Bilanzsumme erreicht, sind Sie betroffen. Die Schwelle ist bewusst niedrig angesetzt. Prüfen Sie auch, ob Konzernzugehörigkeit Ihre Mitarbeiterzahl oder Finanzkennzahlen beeinflusst.
Was kostet die Umsetzung für ein mittelständisches Unternehmen?
Für ein Unternehmen mit 50 bis 250 Mitarbeitern liegen die Gesamtkosten erfahrungsgemäß zwischen 30.000 und 120.000 EUR im ersten Jahr – abhängig vom Ausgangsniveau und davon, wie viel intern erledigt wird. Der größte Kostenfaktor ist nicht Technologie, sondern Arbeitszeit für Dokumentation und Prozessgestaltung. Unternehmen, die bereits ISO 27001 oder IT-Grundschutz umgesetzt haben, starten mit deutlichem Vorsprung.
Gibt es eine Übergangsfrist?
Nein. Das BSIG ist seit dem 6. Dezember 2025 in Kraft und die Pflichten gelten sofort. Die Registrierungsfrist beim BSI war der 17. März 2025, die vollständige Umsetzung der Sicherheitsmaßnahmen wird bis zum 17. Oktober 2026 erwartet. Wer jetzt erst anfängt, sollte zumindest die Registrierung sofort nachholen und einen nachvollziehbaren Umsetzungsplan dokumentieren.
Kann ich die Umsetzung komplett an einen IT-Dienstleister auslagern?
Die technische Umsetzung können Sie auslagern, die Verantwortung nicht. §30 BSIG hält Ihr Unternehmen für die Sicherheitsmaßnahmen verantwortlich, auch wenn ein Dienstleister sie betreibt. Die Geschäftsführung muss die Maßnahmen verstehen, billigen und deren Umsetzung überwachen. Ein externer Berater kann unterstützen, aber die Geschäftsleitung muss selbst entscheidungsfähig sein.