#EU  #NIS2  #BSI  #Management  

11. April 2026, 13:00
Lesezeit: ca. 5 Min

NIS2 - Zwischen Anspruch und Umsetzung

Die vergangenen Wochen habe ich die Gelegenheit gehabt, mich eingehend mit der NIS2 auseinanderzusetzen und ganz praktisch Checks und einen Fragenkatalog zu erarbeiten. Wer NIS2 sagt,1 meint normalerweise die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 für ein hohes gemeinsames Cybersicherheitsniveau in der Union.2 In Abgrenzung zu EU-Verordnungen, entfalten Richtlinien ihre volle Wirkung erst durch Umsetzung in nationales Recht. Die NIS2 ist eine sogenannte Mindestharmonisierungsrichtlinie.3 Mitgliedstaaten dürfen abweichend strengere Regeln erlassen, müssen aber die formulierten Mindeststandards erfüllen.

In Deutschland regelt die Umsetzung das NIS2 Umsetzungsgesetz (NIS2UmsuCG) vom 6. Dezember 2025.4 Wir waren damit das unrühmliche Schlusslicht in Europa, das untätig die EU-Richtlinie drei Jahre lang auf dem Tisch liegen ließ. Die betroffenen Unternehmen erhielten eine lächerlich kurze Umsetzungsfrist von lediglich drei Monaten und mussten sich im Rahmen einer Betroffenheitsprüfung bis zum 6. März 2026 im BSI-Portal registrieren.5 Rechtsgrundlage für die Registrierung ist §33 des BSI-Gesetzes (BSIG).6

Diese verspätete Umsetzung ist schon peinlich genug. Weitaus problematischer ist jedoch, dass das BSIG zentrale Elemente der EU‑Richtlinie inhaltlich verwässert.

Diskrepanz zwischen EU-Richtlinie und BSIG

Während der EU-Gesetzgeber die NIS2-Eingriffsbefugnisse sehr klar und operativ beschreibt, wirkt das deutsche BSIG daneben wie ein loser Baukasten. Mein Favorit, an dem der Unterschied klar bricht ist der Artikel 33 der Richtlinie (EU) 2022/2555. Dieser beschreibt Aufsichts- und Durchsetzungsmaßnahmen gegenüber betroffenen Unternehmen und bietet ein einfaches, scharfes Instrumentarium. Zur besseren Lesbarkeit habe ich Auslassungen mit (…) markiert und wichtige Stellen fett hervorgehoben:

Werden Nachweise, Hinweise oder Informationen vorgelegt, wonach eine wichtige Einrichtung mutmaßlich dieser Richtlinie (…) nicht nachkommt, so stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden (…) tätig werden, (…) wirksam verhältnismäßig und abschreckend (…): (…)
a) Vor-Ort-Kontrollen (..).
b) gezielte Sicherheitsprüfungen (…).
c) Sicherheitsscans (…);
d) Anforderung von Informationen (…);
e) Anforderung des Zugangs zu Daten, Dokumenten und sonstigen Informationen (…);
f) Anforderung von Nachweisen für die Umsetzung der Cybersicherheitskonzepte, z.B. der Ergebnisse von einem qualifizierten Prüfer durchgeführten Sicherheitsprüfungen und der entsprechenden zugrunde liegenden Nachweise.
Die Ergebnisse gezielter Sicherheitsprüfungen sind der zuständigen Behörde zur Verfügung zu stellen. Die Kosten (…) sind von der geprüften Einrichtung zu tragen. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden (…) Durchsetzungsbe­fugnisse in Bezug auf wesentliche Einrichtungen mindestens dazu befugt sind:
(..)
b) verbindliche Anweisungen oder Anordnungen zu erlassen (…) festgestellten Mängel (…) zu beheben;
c) die betreffenden Einrichtungen anzuweisen, das gegen diese Richtlinie verstoßende Verhalten einzustellen und von Wiederholungen abzusehen;
d) die betreffenden Einrichtungen anzuweisen, (…) Vorgaben innerhalb einer bestimmten Frist (…) zu erfüllen;

Während die EU-Richtlinie einer klaren Logik folgt und von Mindestmaßnahmen spricht, wirkt das BSIG interpretationsbedürftig und stark von impliziten Annahmen und Ermessensspielräumen getragen. Anstatt einer klaren operativen und zusammenhängenden Normierung sind die Bestandteile verteilt und deutlich abgeschwächt. So besagt §39 BSIG:7

(…) Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich Angaben über die dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplanes (..) verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen. Das Bundesamt kann zur Ausgestaltung des Verfahrens (…) festlegen:

  1. Anforderungen an die Art und Weise der Durchführung,
  2. Anforderungen an die Geeignetheit der zu erbringenden Nachweise sowie
  3. nach Anhörung der betroffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche und organisatorische Anforderungen an die prüfenden Stellen im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

Hinter jedem “kann” im BSIG steckt implizit eine Ermessensfiktion, die es in der EU-Richtlinie so nicht gibt und die den geforderten Durchgriffscharakter strukturell abschwächt. Weiter unten konkretisiert §61 BSIG:8

Das Bundesamt kann gegenüber einzelnen besonders wichtigen Einrichtungen anordnen, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen (…) durchführen zu lassen. (…) Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. (…)

Das ist aus meiner Sicht ein verfehlter Fokus. Es geht bei der NIS2 nicht um die Frage, ob Dokumentationen, Konzepte oder Zertifizierungen existieren und vorgelegt werden können. Es geht um die Frage, ob die ganzen schönen Konzepte und Prozesse wirksam etabliert sind und in einer Organisation auch gelebt werden. Die NIS2 legt Hand an, wo es bislang am meisten klemmt: Geschäftsführungen und Top-Management.

Von der geforderten Wirksamkeit und Abschreckung ist kaum noch etwas zu erkennen. Die in der EU-Richtlinie vorgesehene aktive Rolle mit Vor-Ort-Terminen, gezielten Sicherheitsprüfungen und Sicherheitsscans wird im BSIG zu einem Passivum.

Wo das besonders deutlich zu Tage tritt und den meisten nicht bekannt sein dürfte: Geschäftsführer können von der Ausübung ihrer Leitungsfunktion zeitweise ausgeschlossen werden. Artikel 32 Abs. 5 Richtlinie (EU) 2022/2555 sieht ausdrücklich vor:

Erweisen sich die (…) Durchsetzungsmaßnahmen als unwirksam, so stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind, eine Frist festzusetzen, innerhalb derer die wesentliche Einrichtung die erforderlichen Maßnahmen ergreifen muss, um die Mängel zu beheben oder die Anforderungen dieser Behörden zu erfüllen. Für den Fall, dass die geforderten Maßnahmen nicht innerhalb der gesetzten Frist ergriffen werden, stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind (…) zu verlangen, (…) natürlichen Personen, die auf Geschäftsführungs- bzw. Vorstandsebene (…) zuständig sind, vorübergehend untersagen, Leitungsaufgaben in dieser Einrichtung wahrzunehmen.

Das entsprechende Gegenstück in §61 BSIG8 liest sich im Kontrast ganz anders an:

Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes trotz Fristsetzung nicht nachkommen, kann das Bundesamt dies der jeweils zuständigen Aufsichtsbehörde mitteilen. Die zuständige Aufsichtsbehörde kann, wenn ein Zusammenhang zwischen Durchsetzungsmaßnahme und Anordnung besteht, als letztes Mittel (…) unzuverlässigen Geschäftsleitungen die Ausübung der Tätigkeit (…) vorübergehend untersagen.

Das BSIG verwässert den geforderten Governance-Druck der NIS2 gleich in mehrfacher Weise. Durch konditionale Voraussetzungen und durch eine verschachtelte Verantwortungsdiffusion. Anstelle einer zuständigen und durchsetzenden Behörde, die prüft, anordnet und notfalls sanktioniert, gibt es eine zusätzliche Fragmentierung. Eine Instanz, die lediglich Mitteilungen gibt, ohne unmittelbare Rechtswirkung gegenüber den betroffenen Unternehmen zu entfalten. Weitere Instanzen können diese aufgreifen, müssen es aber nicht, da es weder Verwaltungsakte noch verbindliche Anordnungen sind.

Fazit

Die NIS2 ist für die Informationssicherheit ein gutes Instrument in die richtige Richtung. Ist das BSIG gleichwertig im Sinne der EU-Richtlinie? Es bleibt aus meiner Sicht hinter den EU-Vorgaben zurück und lässt die geforderte Abschreckungswirkung nur eingeschränkt erkennen. Wer sich ausschließlich am BSIG orientiert, riskiert, die tatsächlichen Anforderungen der NIS2 systematisch zu unterschätzen.

Ich bin mir nicht sicher, ob das dem erwünschten risikobasierten Ansatz entspricht.

In diesem Sinne,
Tomas Jakobs

  1. https://de.wikipedia.org/wiki/NIS-2-Richtlinie ↩︎

  2. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555 ↩︎

  3. https://mtrlegal.com/wiki/mindestharmonisierung/ ↩︎

  4. https://recht.bund.de/bgbl/1/2025/301/VO.html ↩︎

  5. https://bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html ↩︎

  6. https://de.wikipedia.org/wiki/BSI-Gesetz ↩︎

  7. https://gesetze-im-internet.de/bsig_2025/__39.html ↩︎

  8. https://gesetze-im-internet.de/bsig_2025/__61.html ↩︎ ↩︎

Feedback oder Kommentar

Feedback geben...  In Mastodon kommentieren...  Einen Kaffee spenden...

Ähnliche Beiträge

© 2026 Tomas Jakobs - Impressum und Datenschutzhinweis

Mitglied im UberBlgr Webring:   < Zurück > Weiter >  

Unterstütze diesen Blog - Spende einen Kaffee