Skip to Main Content

Neue Cyber-Security-Regeln in Deutschland—Registrierungspflicht Läuft Am 6. März 2026 Ab

Share via LinkedIn
Share via Twitter
Share via Facebook
Download PDF Version
Datum: 5 März 2026
EU Corporate and Policy and Regulatory Alert
By: Dr. Thomas Nietsch, Dr. Ulrike Elteste

Mit einer Verspätung von mehr als einem Jahr ist im Dezember 2025 das deutsche Umsetzungsgesetz zur NIS2-Richtlinie (Richtlinie (EU) 2022/2555 in Kraft getreten (Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung). Das Gesetz sieht erhebliche Änderungen und Neugestaltungen verschiedener Cyber-Security-Gesetze vor, insbesondere des BSI-Gesetzes.

Sehr viel mehr Unternehmen als zuvor fallen nun in den Anwendungsbereich des BSI-Gesetzes. Zuvor wurden im BSI-Gesetz nur klassische kritische Infrastruktur wie Transport und Verkehr, Energie, Finanzwesen, Gesundheit, Forschung und die Telekommunikationsindustrie reguliert. Jetzt ist auch der Digitalsektor erfasst, insbesondere Cloud Computing-Dienste, Rechenzentrumsbetreiber, Managed (Security) Services Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und sozialen Netzwerken. Auch Produktion und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmiteln sowie verschiedene Bereiche des verarbeitenden Gewerbs (Produktion von Waren) sind betroffen. Listen der erfassten Sektoren und Tätigkeiten sind hier und hier abrufbar. Das BSI bietet auf seiner Website eine Betroffenheitsprüfung an.

Obwohl von der Richtlinie so nicht vorgesehen, sieht das deutsche Umsetzungsgesetz eine de minimis-Ausnahme vor, wenn eine grundsätzlich erfasste Tätigkeit im Hinblick auf die Gesamttätigkeit eines Unternehmens vernachlässigbar sind. In diesen Fällen gelten die Anforderungen des BSI-Gesetzes nicht.

Erfasste Einrichtungen müssen sich bis zum 6. März 2026 auf der vom BSI bereitgestellten Plattform registrieren. Dies erfordert ein ELSTER-Organisationszertifikat.

Bei Verstoß droht ein Bußgeld von bis zu EUR€500.000. Aber auch unabhängig davon sollten Unternehmen gründlich prüfen, ob sie in den Anwendungsbereich des Gesetzes fallen und welche Pflichten das für sie mitbringt.

Weitere Pflichten von erfassten Unternehmen umfassen insbesondere:

  • Ergreifen von angemessenen Maßnahmen zur Vermeidung und Behebung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme;
  • Unverzügliche Meldung von erheblichen Sicherheitsvorfällen an eine einheitliche Meldestelle;
  • Schulungspflichten

Für Verstöße gegen diese Pflichten ist die Geschäftsführung ihrem Unternehmen gegenüber auf Schadensersatz haftbar.

Dr. Thomas Nietsch
Dr. Thomas Nietsch
Berlin
Dr. Ulrike Elteste
Dr. Ulrike Elteste
Frankfurt
Return to top of page

Email Disclaimer

We welcome your email, but please understand that if you are not already a client of K&L Gates LLP, we cannot represent you until we confirm that doing so would not create a conflict of interest and is otherwise consistent with the policies of our firm. Accordingly, please do not include any confidential information until we verify that the firm is in a position to represent you and our engagement is confirmed in a letter. Prior to that time, there is no assurance that information you send us will be maintained as confidential. Thank you for your consideration.

Accept Cancel