NIS-2-Richtlinie: Ist mein Unternehmen betroffen?

Der Gesetzentwurf befindet sich aktuell im parlamentarischen Verfahren. Ein Inkrafttreten des neuen NIS-2-Umsetzungsgesetzes ist bereits Ende 2025 zu erwarten. Da im aktuellen Gesetzentwurf keine Übergangsfristen vorgesehen sind, sollten Sie sich bereits jetzt mit NIS-2 und den sich daraus ergebenden Verpflichtungen auseinandersetzen.

Der derzeitige Entwurf des BSI-Gesetzes (BSIG) erweitert im Zuge der NIS-2-Umsetzung seinen Anwendungsbereich. Neben den bisherigen KRITIS-Betreibern (in NIS-2 als „Betreiber kritischer Anlagen“ bezeichnet) sollen künftig auch „besonders wichtige Einrichtungen“ (bwE) und „wichtige Einrichtungen“ (wE) einbezogen werden. Auch sie müssen künftig bestimmte Anforderungen an die IT-Sicherheit erfüllen. Nach Schätzungen des BSI erweitert dies den Anwendungsbereich des neuen BSIG um ca. 29.500 Einrichtungen. Laut Bundesärztekammer wären darunter rund 1.000 zusätzliche Gesundheitseinrichtungen. Betroffen wären insbesondere etwa 800 Medizinische Versorgungszentren (MVZ) und 200 Berufsausübungsgemeinschaften. Damit geraten erstmals auch kleinere Versorgungseinrichtungen in den Fokus der IT-Sicherheitsregulierung des BSIG und nicht mehr nur große Krankenhäuser.

Die Folgen sind neue Pflichten, höhere Anforderungen und mehr Verantwortung im Bereich Cybersicherheit.

Um als „wichtige“ oder „besonders wichtige Einrichtung“ gemäß dem NIS-2-Umsetzungsgesetz zu gelten und somit unter das neue BSIG zu fallen, müssen bestimmte Voraussetzungen erfüllt sein.

Zunächst muss es sich um eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft handeln. Sie muss entgeltlich Waren oder Dienstleistungen anbieten und einem der im BSIG genannten Sektoren bzw. Einrichtungsarten zugeordnet werden können (vgl. § 28 BSIG).

Zudem muss das Unternehmen zu einem bestimmten Sektor zählen. Das BSIG teilt die „wichtigen“ und „besonders wichtigen Einrichtungen“ im aktuellen Gesetzentwurf in jeweils sieben Sektoren auf.

Fällt ein Unternehmen unter einen der genannten Sektoren, muss als Nächstes betrachtet werden, ob es zusätzlich unter eine Einrichtungsart fällt, die dem BSIG unterliegt.

Im Sektor Gesundheit fallen beispielsweise folgende Einrichtungsarten als bwE unter das neue BSIG (vgl. BSIG, Anlage 1):

Sind die beiden letztgenannten Kriterien erfüllt, müssen zusätzliche Größenschwellen für Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme erfüllt werden:

„Wichtige Einrichtungen“ sind Unternehmen ab 50 Mitarbeitern oder einem Umsatz von über 10 Mio. EUR sowie einer Bilanz von über 10 Mio. EUR. „Besonders wichtige Einrichtungen“ sind Unternehmen ab 250 Mitarbeitern oder einem Umsatz von über 50 Mio. EUR sowie einer Bilanz von über 43 Mio. EUR (vgl. § 28 Abs. 1 und Abs. 2 BSIG).

Für eine erste unverbindliche Einschätzung, ob Sie unter NIS-2 fallen, können Sie gerne unsere „NIS-2-Betroffenhe​itsanalyse“​ nutzen. Diese basiert auf dem NIS-2-Umsetzungsgesetz des BMI (Stand: 25.7.2025). Für eine rechtlich verbindliche Aussage zur NIS-2-Betroffenheit und zur Betrachtung von Sonderfällen nehmen Sie bitte mit uns Kontakt auf.

Bei Rödl & Partner steht Ihnen ein interdisziplinäres, erfahrenes Team aus IT-Experten und Rechtsanwälten zur Verfügung. Wir beraten Sie gerne in allen Belangen der NIS-2-Betroffenheit – fachkompetent und rechtssicher. Besuchen Sie uns unter: www.roedl.de/nis2

​