NIS2UmsuCG ist das deutsche Umsetzungsgesetz zur NIS2-Richtlinie, mit dem vor allem das BSI-Gesetz novelliert und Cybersicherheits-, Melde- und Governance-Pflichten für betroffene Einrichtungen konkretisiert werden. Für NIS2-betroffene Unternehmen bedeutet NIS2UmsuCG, dass aus den europäischen Vorgaben konkrete deutsche Pflichten zu Risikomanagement, Registrierung, Vorfallmeldung und Geschäftsleiterverantwortung werden.
Der Begriff wird oft noch mit dem BMI-Referentenentwurf oder dem späteren Regierungsentwurf verbunden. Maßgeblich für die Praxis ist jedoch die deutsche Umsetzung im BSI-Gesetz. Für die Einordnung hilft der Überblick im NIS2-Hub sowie die Grundlage der NIS2-Richtlinie.
Was regelt das NIS2UmsuCG?
NIS2UmsuCG regelt die deutsche Umsetzung der Richtlinie (EU) 2022/2555 und ordnet die Cybersicherheit in Deutschland neu. Der Kern liegt in der Neufassung des BSI-Gesetzes, insbesondere in den §§ 28 bis 65 BSIG, die zwischen besonders wichtigen und wichtigen Einrichtungen unterscheiden und für diese Gruppen konkrete Pflichten festlegen.
Praktisch relevant sind vor allem vier Punkte:
- Einrichtungen müssen prüfen, ob sie überhaupt in den Anwendungsbereich fallen.
- Betroffene Unternehmen müssen angemessene Risikomanagementmaßnahmen nach § 30 BSIG umsetzen.
- Erhebliche Sicherheitsvorfälle lösen Meldepflichten aus, die Sie im Glossar unter Meldepflicht vertiefen können.
- Die Verantwortung liegt nicht nur bei der IT, sondern ausdrücklich auch bei der Geschäftsleitung.
Warum ist NIS2UmsuCG für NIS2-betroffene Unternehmen wichtig?
NIS2UmsuCG ist für Unternehmen wichtig, weil die NIS2-Richtlinie selbst zwar den europäischen Rahmen vorgibt, deutsche Unternehmen aber vor allem nach dem nationalen Umsetzungsgesetz handeln müssen. Erst dadurch wird konkret, welche Behörde zuständig ist, wie die Kategorien im deutschen Recht heißen und welche Pflichten sich im Detail aus dem BSIG ergeben.
Besonders wichtig ist § 38 BSIG. Die geltende Norm verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen dazu, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Zusätzlich müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um Risiken, Maßnahmen und Auswirkungen auf die erbrachten Dienste beurteilen zu können. Damit wird die Leitungsverantwortung, die auf europäischer Ebene in Art. 20 NIS2 angelegt ist, im deutschen Recht ausdrücklich konkretisiert.
Für Unternehmen hat das drei unmittelbare Folgen:
| Folge | Bedeutung in der Praxis |
|---|---|
| Governance wird prüfbar | Aufsichtsbehörden können nicht nur Technik, sondern auch Verantwortlichkeiten, Nachweise und Überwachungsprozesse bewerten. |
| Geschäftsleiterpflichten steigen | Die Geschäftsführung kann operative Aufgaben delegieren, aber nicht die Letztverantwortung. |
| Schulung wird relevant | Führungskräfte und verantwortliche Rollen müssen Cyberrisiken verstehen und Entscheidungen dokumentierbar treffen. |
Wer unter NIS2 fällt, sollte das NIS2UmsuCG deshalb nicht als bloßes Juristenthema behandeln. Es geht um Governance, Haftung, Nachweisfähigkeit und die Frage, ob Ihr Unternehmen Sicherheitsvorfälle beherrschbar organisiert. Für die Abgrenzung zu älteren Kategorien hilft auch der Begriff KRITIS.
Welche Rolle spielen BSI und Bundesnetzagentur?
Das NIS2UmsuCG stärkt in erster Linie die Rolle des BSI als zentrale Cybersicherheitsbehörde. Das BSI ist für Registrierung, Aufsicht, Anordnungen und die weitere Konkretisierung zentraler Pflichten im BSIG der wichtigste Bezugspunkt.
Daneben bleibt die Bundesnetzagentur in sektorspezifischen Bereichen relevant. Das zeigt sich insbesondere im Energieumfeld: Nach § 5c EnWG bestimmt die Bundesnetzagentur im Einvernehmen mit dem BSI IT-Sicherheitskataloge für Energieversorgungsnetze und bestimmte Energieanlagen. Für betroffene Unternehmen bedeutet das: NIS2-Compliance ist nicht immer nur ein BSI-Thema, sondern kann je nach Branche zusätzlich an sektorspezifische Aufsichtslogiken anknüpfen.
Praxisbeispiel: Mittelständischer Rechenzentrumsdienstleister in Deutschland
Ein deutsches Unternehmen betreibt Rechenzentrums- und Managed-Service-Leistungen für regionale Industrie- und Gesundheitskunden. Spätestens mit dem NIS2UmsuCG muss die Geschäftsführung nicht mehr nur prüfen, ob technische Schutzmaßnahmen vorhanden sind, sondern auch, ob das Unternehmen als wichtige oder besonders wichtige Einrichtung erfasst ist, welche Meldeschwellen gelten und wie Verantwortlichkeiten dokumentiert werden.
In der Praxis bedeutet das zum Beispiel:
- Das Unternehmen ordnet seine Leistungen dem erfassten Sektor digitale Infrastruktur oder Managed Services zu.
- Die Geschäftsleitung billigt ein formales Risikomanagement mit Backup-, Zugriffs-, Lieferketten- und Vorfallprozessen.
- Ein erheblicher Vorfall, etwa ein Ransomware-Angriff mit Ausfall kritischer Kundenumgebungen, wird intern nach festen Kriterien bewertet und fristgerecht gemeldet.
- Die Geschäftsführung kann gegenüber Aufsicht, Kunden und Versicherern nachweisen, dass sie § 38 BSIG ernst nimmt und Schulungen, Überwachung und Freigaben organisiert hat.
Genau darin liegt die praktische Bedeutung des NIS2UmsuCG: Aus einer abstrakten EU-Richtlinie wird ein überprüfbarer deutscher Pflichtenkatalog. Für deutsche Unternehmen ist deshalb nicht nur die Frage „Gilt NIS2 für uns?“ entscheidend, sondern auch „Wie setzen wir die deutschen Governance- und Nachweispflichten belastbar um?“
Primärquellen
- § 38 BSIG auf gesetze-im-internet.de
- Bundestagsdrucksache 21/1501: Regierungsentwurf zum NIS2UmsuCG
- § 5c EnWG zur Rolle der Bundesnetzagentur
Wenn Sie NIS2UmsuCG nicht nur begrifflich verstehen, sondern Pflichten, Rollen und Nachweise für Ihr Unternehmen sauber aufsetzen möchten, ist die NIS2-Schulung der nächste sinnvolle Schritt.