Art. 41 NIS 2 + NIS2UmsuCG

NIS2UmsuCG: Deutschlands NIS-2-Umsetzungsgesetz

NIS 2 ist eine EU-Richtlinie. Artikel 41 verpflichtete jeden Mitgliedstaat, sie bis zum 17. Oktober 2024 in nationales Recht zu überführen. Deutschland hat diese Frist verpasst. Das NIS2UmsuCG ist später in Kraft getreten und hat die Pflichten in ein geändertes BSIG geschrieben. Die Richtlinie bleibt die Quelle.

Simon OrzelSimon Orzel·

Die Kurzfassung

NIS 2 ist eine Richtlinie, keine Verordnung. Richtlinien verpflichten Mitgliedstaaten auf ein Ergebnis. Jedes Land muss sein eigenes nationales Gesetz schreiben, das dieses Ergebnis erreicht. NIS 2 setzt einen EU-weiten Maßstab für Cybersicherheitspflichten, der in 27 Umsetzungsgesetzen aufgeht.

Deutschlands Umsetzungsgesetz heißt NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Es existiert nicht als eigenständiges Buch. Es ist ein Änderungsgesetz, das das BSI-Gesetz (BSIG) umschreibt. Wenn deutsche Praktiker heute von 'BSIG' sprechen, meinen sie das durch das NIS2UmsuCG geänderte BSIG.

Deutschland hat die Frist vom 17. Oktober 2024 aus Artikel 41 NIS 2 verpasst. Das NIS2UmsuCG wurde später verabschiedet. Mitte 2026 ist das Gesetz in Kraft. Die Pflichten für besonders wichtige und wichtige Einrichtungen stehen im geänderten BSIG.

Die Rechtsquelle
Drei Ebenen. Die Richtlinie (EU-Recht, setzt den Maßstab). Die Umsetzungspflicht (Artikel 41 NIS 2, verpflichtet Mitgliedstaaten). Die Umsetzung selbst (NIS2UmsuCG → geändertes BSIG).

NIS-2-Richtlinie (EU) 2022/2555

Diese Richtlinie enthält Maßnahmen, mit denen ein hohes gemeinsames Cybersicherheitsniveau in der Union erreicht werden soll.

NIS 2 ist eine Richtlinie. Sie wurde am 14. Dezember 2022 verabschiedet und ist am 16. Januar 2023 in Kraft getreten. Sie verpflichtet jeden Mitgliedstaat auf denselben Maßstab. Die Substanz jedes nationalen NIS-2-Gesetzes in der EU stammt aus diesem Text.

Artikel 41(1) NIS 2

Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis. Sie wenden diese Vorschriften ab dem 18. Oktober 2024 an.

Artikel 41 ist die Umsetzungsklausel. Sie setzte zwei Daten. Die nationalen Gesetze mussten bis zum 17. Oktober 2024 verabschiedet sein. Die Pflichten mussten ab dem 18. Oktober 2024 gelten. Deutschland hat beide verpasst. Die Kommission hat im November 2024 Vertragsverletzungsverfahren gegen die säumigen Mitgliedstaaten eröffnet.

NIS2UmsuCG → geändertes BSIG (Deutschland)

Das NIS2UmsuCG ändert das BSI-Gesetz zur Umsetzung der Richtlinie (EU) 2022/2555.

Das NIS2UmsuCG ist das deutsche Änderungsgesetz. Es schreibt das BSIG um. Das geänderte BSIG ist das, woran ein Auditor oder das BSI Sie in Deutschland misst. Der Wortlaut folgt der Richtlinie eng, oft wörtlich.

Die sechs BSIG-Paragrafen, die zählen
Das geänderte BSIG hat viele Paragrafen. Sechs davon tragen die Pflichten, die jede besonders wichtige oder wichtige Einrichtung kennen muss. Jeder setzt einen bestimmten NIS-2-Artikel um.
§28 + §30 BSIG

Anwendungsbereich und die zehn Maßnahmen

§28 BSIG legt fest, wer in den Anwendungsbereich fällt: 'besonders wichtige' und 'wichtige' Einrichtungen, bestimmt nach Sektor (Anhang I und II der Richtlinie) und Größe (ab 50 Beschäftigten oder 10 Mio. € Umsatz, mit Ausnahmen). §30 BSIG listet die zehn Cybersicherheitsmaßnahmen, die jede in den Anwendungsbereich fallende Einrichtung umsetzen muss. §30 setzt Artikel 21(2) der Richtlinie um.

§32 + §33 BSIG

Meldepflichten und Registrierung

§32 BSIG regelt die Meldekaskade: 24 Stunden für eine Frühwarnung, 72 Stunden für die Vorfallsmeldung, ein Monat für den Abschlussbericht. Er setzt Artikel 23 um. §33 BSIG verpflichtet zur Registrierung beim BSI. Die Registrierungsfrist war der 6. März 2026. §33 setzt Artikel 27 um.

§38 + §65 BSIG

Leitungsorgan und Bußgelder

§38 BSIG nimmt das Leitungsorgan persönlich in die Haftung und verpflichtet zur regelmäßigen Schulung. Er setzt Artikel 20 um. §65 BSIG legt die Bußgeldhöhen fest: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen. §65 setzt Artikel 34 um.

Zwei Regeln für das Zusammenlesen beider Texte
Wenn Richtlinie und BSIG nebeneinander stehen, sagen zwei Grundsätze, welcher Text vorrangig ist und wie man beide liest.

NIS 2 ist die Quelle, das BSIG übernimmt

Die Substanz jeder Pflicht kommt aus der Richtlinie. Das NIS2UmsuCG übernimmt Artikel 21 fast wörtlich in §30 BSIG. Dasselbe gilt für Artikel 20, 23, 27 und 34. Wer wissen will, was eine Pflicht bedeutet, liest zuerst die Richtlinie. Den BSIG-Paragrafen liest man für die deutschen Spezifika (welche Behörde, welches Portal, welche Bußgeldhöhe).

Bei Abweichungen geht die Richtlinie vor

Weicht das BSIG vom Richtlinientext ab und macht der Unterschied einen Unterschied, gilt die Richtlinie. Das ist ein allgemeiner Grundsatz des EU-Rechts: ein Mitgliedstaat darf eine Richtlinie nicht durch weicheren nationalen Wortlaut unterimplementieren. Nationale Gerichte lesen nationales Recht im Licht der Richtlinie. Nationale Behörden können nicht gegen die Richtlinie vollziehen.

Deutschland neben den 26 anderen Umsetzungen
Jeder Mitgliedstaat hat sein eigenes NIS-2-Umsetzungsgesetz. In Deutschland ist es das NIS2UmsuCG. Die Pflichten sind gleich, weil die Richtlinie den Maßstab setzt. Wortlaut, Fristen und zuständige Behörde unterscheiden sich.
Deutschland

NIS2UmsuCG → BSIG, BSI als Aufsicht

Das NIS2UmsuCG ändert das BSIG. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige nationale Behörde. Die Registrierung läuft über das BSI-Meldeportal. Das BSI veröffentlicht zudem Infopakete und verweist auf den IT-Grundschutz als praktischen Umsetzungspfad.

EU-weit

ENISA-Umsetzungsstand

Die ENISA, die EU-Cybersicherheitsagentur, veröffentlicht eine Übersicht zum Umsetzungsstand. Sie zeigt, welche Mitgliedstaaten umgesetzt haben, welche im Verzug sind und welche noch im Gesetzgebungsverfahren stehen. Nützlich, um den Stand jedes nationalen NIS-2-Gesetzes zu prüfen, nicht nur des deutschen.

Andere Mitgliedstaaten

Vergleichbare Umsetzungsgesetze

Niederlande: Cyberbeveiligingswet. Österreich: NISG. Frankreich: ordonnance n° 2024-1184. Belgien: NIS2-Wet. Jedes setzt dieselbe Richtlinie in seine Landessprache und seinen Rechtsstil um. Eine Pflicht in §30 BSIG hat in jedem dieser Gesetze ein genaues Gegenstück. Der Wortlaut unterscheidet sich, die Pflicht ist dieselbe.

Drei Fehlannahmen, die wir ständig sehen
Drei Fehllesarten des Verhältnisses zwischen Richtlinie und Umsetzung, die in Audit-Vorbereitungen immer wieder auftauchen. Alle drei führen zu Lücken.

  • Die Richtlinie bindet mich nicht, nur das BSIG.

    Die Pflichten greifen über das BSIG, ja. Aber das BSIG wird im Licht der Richtlinie gelesen. Wenn eine Behörde oder ein Gericht eine unklare BSIG-Vorschrift auslegt, schaut sie in die Richtlinie. Für EU-weite Fragen (grenzüberschreitende Lieferantenverträge, multinationale Risikopolitik) ist die Richtlinie der richtige Bezug. Das BSIG ist die deutsche Umsetzung, kein abgeschlossener nationaler Kodex.

  • Wir warten, bis das Gesetz in Kraft ist, dann setzen wir um.

    Die Richtlinie galt ab dem 18. Oktober 2024. Die verspätete deutsche Umsetzung hat Ihre materielle Pflicht nicht verschoben. Cyberversicherer, Großkunden und Auditoren fragen seit 2025 nach NIS-2-Nachweisen, bevor das NIS2UmsuCG verabschiedet war. Mit der BSIG-Änderung wurden die Pflichten direkt durchsetzbar. Die späte Umsetzung hat den Vorlauf verkürzt, nicht verlängert.

  • Das NIS2UmsuCG ist deutsches Sonderrecht.

    Jeder Mitgliedstaat hat ein vergleichbares Umsetzungsgesetz. Die Pflichten sind gleich. Nur Wortlaut, Aufsichtsbehörde und Bußgeldhöhe unterscheiden sich. Wer in drei EU-Ländern tätig ist, braucht nicht drei Risikomanagementsysteme. Ein Rahmenwerk, das die Richtlinie erfüllt, plus drei kurze nationale Anhänge für die lokalen Spezifika (welches Portal, welches Fristformat, welche Behörde), reichen.

Wie man beide Texte praktisch liest

Die meisten Mittelstandsverantwortlichen sollten beide lesen. Die Richtlinie für die Substanz. Das BSIG für die deutschen Verfahrensspezifika. Artikel 21 NIS 2 lesen für die Bedeutung von Risikomanagement. §30 BSIG lesen für die deutsche Formulierung und die BSI-Vorgaben. Erst beide zusammen zeigen, was geschuldet ist.

Bei Aktivitäten in mehreren Ländern bleibt die Richtlinie der Arbeitstext. Risikoregister, Vorfallsprozess und Lieferantenverträge baut man gegen die Richtlinie. Dann pflegt man einen kurzen nationalen Anhang pro Land: welche Behörde, welches Portal, welche Bußgeldhöhe. Ein materieller Rahmen mit dünnen nationalen Aufsätzen statt 27 parallelen Systemen.

Wie wir das auf der Plattform abbilden

Wir bilden Richtlinie und BSIG nebeneinander ab. Jede Anforderung in der Plattform zeigt den NIS-2-Artikel, der dahintersteht, und den §30 / §32 / §33 / §38 BSIG, der ihn in Deutschland operationalisiert. Dieselbe Pflicht, zwei Lesarten. Sie lesen die Ebene, die zu Ihrer aktuellen Arbeit passt.

Bei Aktivitäten in mehreren EU-Ländern bleibt die Richtlinien-Ansicht konstant. Der nationale Aufsatz (Behörde, Portal, Bußgeldhöhe) ändert sich pro Land. Wir erweitern dasselbe Modell schrittweise auf weitere Mitgliedstaaten (NL, AT, FR).

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 41 (Umsetzung) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestagsdrucksache und Bundesgesetzblatt
  • BSI-Gesetz (BSIG), §§28, 30, 32, 33, 38, 65 in der durch das NIS2UmsuCG geänderten Fassung
  • Vertragsverletzungspaket der Europäischen Kommission vom November 2024, Aufforderungsschreiben wegen verspäteter NIS-2-Umsetzung
  • ENISA-Übersicht zum NIS-2-Umsetzungsstand
NIS 2 und BSIG nebeneinander führen
Jede Anforderung in der Plattform zeigt den Richtlinienartikel und den BSIG-Paragrafen. Kostenlos, Open Source, kein Lock-in.
Zur kostenfreien Plattform