Die Schulungspflicht gilt für jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist. Ziel ist es, dass jedes Mitglied der Geschäftsleitung über ausreichende Kenntnisse im Bereich Cybersicherheit verfügt, um ... mehr lesen

Im NIS-2-Umsetzungsgesetz ist ausdrücklich geregelt, dass die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen verpflichtet sind, die Risikomanagementmaßnahmen nach diesem Gesetz umzusetzen und deren Umsetzung zu überwachen. Außerdem ist vorgesehen, dass die Geschäftsleitungen regelmäßig an Schulungen teilnehmen müssen, um über ausreichende Kenntnisse im Bereich Cybersicherheit zu ... mehr lesen

Das BSIG sieht vor, dass Geschäftsleitungen regelmäßig an Cybersicherheitsschulungen teilnehmen. Das NIS-2-Umsetzungsgesetz gibt keine Intervalle zur Durchführung vor, aber in der Gesetzesbegründung ist eine Orientierung enthalten, wie oft Schulungen mindestens durchgeführt werden müssen. Schulungen im Sinne des NIS-2-Umsetzungsgesetzes sollten innerhalb von drei Jahren über eine Dauer von mindestens ... mehr lesen

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes verlängert sich der Nachweiszyklus von zwei auf drei Jahre. Betreiber kritischer Anlagen wurden vom BSI am 08.12.2025 über die hier registrierten Ansprechpersonen individuell über ihre Nachweisfristen nach neuer Rechtslage informiert. Das vom BSI mitgeteilte neue Nachweisdatum ersetzt grundsätzlich das Datum für den nächsten regelmäßigen Nachweis. ... mehr lesen

Auch wenn die IT komplett ausgelagert ist, bleiben Sie als besonders wichtige oder wichtige Einrichtung selbst verantwortlich. Sie müssen sicherstellen, dass Ihre Dienstleister die nötigen NIS-2-Vorgaben umsetzen, diese regelmäßig überprüft werden und dass Vorfälle ordnungsgemäß gemeldet werden. Verträge allein genügen nicht – die Geschäftsleitung bleibt in der ... mehr lesen

Nach dem NIS-2-Umsetzungsgesetz sind Unternehmen verpflichtet, die Umsetzung ihrer Risikomanagementmaßnahmen nachvollziehbar zu dokumentieren. Dazu gehört insbesondere, dass Prozesse, Zuständigkeiten und getroffene Sicherheitsmaßnahmen schriftlich festgehalten und regelmäßig überprüft werden. Nachweise (Aufzählung nicht abschließend) könnten z. B. durch folgende Mittel erbracht werden: interne Dokumentation und Berichte, Zertifizierungen ... mehr lesen

Was ist eine „wesentliche Einrichtung“?„Wesentliche Einrichtungen“ sind der EU-Begriff aus der NIS-2-Richtlinie („essential entities“). Ob Sie darunterfallen, hängt u. a. von Sektor (Anhang I/II), Rolle und Größe sowie bestimmten Ausnahmen ab. Warum spricht das deutsche Gesetz (BSIG) von „besonders wichtigen Einrichtungen (bwE)“ – ist das ... mehr lesen

Unternehmen fallen unter den Anwendungsbereich des NIS-2-Umsetzungsgesetzes wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anlagen 1 und 2 fallen und zudem die im Gesetz festgeschriebenen Größenschwellen für Mitarbeiterzahl oder Umsatz (vgl. § 28 Absatz 1 und 2 BSIG) erreichen oder überschreiten (sog. Size-Cap). Unabhängig von ... mehr lesen

Das NIS-2-Umsetzungsgesetz ist als Artikelgesetz ausgestaltet. Ein Artikelgesetz – auch Mantelgesetz oder Omnibusgesetz – bezeichnet ein Gesetzgebungsverfahren, in dem mehrere Gesetze gleichzeitig erlassen, geändert oder aufgehoben werden. Es ist in einzelne Artikel gegliedert, wobei jeder Artikel ein eigenes Gesetz ändert oder neu fasst. Solche Artikelgesetze werden ... mehr lesen

Das aktuell gültige BSIG findet sich auf Gesetze-im-Internet. Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht.