Cyber Security und Informationssicherheit für Unternehmen

Das Wichtigste im Überblick

  • Informationssicherheit (Cyber Security) bedeutet, physische sowie elektronische/digitale Daten vor unberechtigtem Zugriff zu schützen. Legaldefiniert ist „Informationssicherheit“ nun als der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (§ 2 Nr. 17 BSIG).
  • Um Informationssicherheit zu gewährleisten und für den Ernstfall gewappnet zu sein, etablieren Unternehmen einen Cyber-Vorstand; das neue Recht verankert die Letztverantwortung der Leitungsorgane sogar ausdrücklich (§ 38 BSIG).
  • Pflichten entstehen aus der DSGVO und – seit dem 6.12.2025 – aus dem neugefassten BSIG zur Umsetzung der NIS-2-Richtlinie. Hinzu treten der unmittelbar geltende Cyber Resilience Act, die neue Produkthaftungsrichtlinie, DORA für den Finanzsektor sowie das KRITIS-Dachgesetz.

Was ist Informationssicherheit (Cyber Security)?

Bei der Informationssicherheit geht es darum, (unternehmensinterne) Informationen vor unberechtigtem Zugriff, vor Erlangung und/oder Nutzung durch Dritte sowie vor Verlust zu schützen. Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen, und zwar – anders als oft angenommen – nicht nur bei elektronischen, sondern auch bei physischen Informationen. Diese Trias ist mittlerweile gesetzlich verankert (§ 2 Nr. 17 BSIG).

Der digitalen Informationssicherheit, in Deutschland regelmäßig als IT-Sicherheit bezeichnet, kommt besonderer Stellenwert zu. Eingesetzt werden Firewalls, Zugriffskontrollen, Verschlüsselung und Sicherheitsrichtlinien. Ein wesentlicher Baustein ist die Absicherung, dass erkannte Sicherheitslücken in Software und digitalen Produkten durch Updates in angemessener Zeit geschlossen werden – eine Pflicht, die der Cyber Resilience Act nun produktbezogen ausgestaltet (Bereitstellung von Sicherheitsaktualisierungen für die Lebensdauer, mind. fünf Jahre). Da Risiken vor allem durch Unwissenheit und Unachtsamkeit der Mitarbeitenden entstehen, sind regelmäßige Schulungen unverzichtbar.

Was ist ein Cyber-Vorstand und warum wird er eingesetzt?

Ein Cyber-Vorstand ist meist weder Informatiker/-in noch Jurist/-in. Vielmehr gilt: Alle Leitungsorgane müssen sich aber mit den Cyber-Sicherheitsthemen beschäftigen und sich darin schulen lassen.

Diese Verantwortung hat durch das neue Recht erheblich an rechtlicher Bedeutung gewonnen: Nach § 38 BSIG müssen die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen die Risikomanagementmaßnahmen umsetzen und ihre Umsetzung überwachen, bleiben auch bei Delegation letztverantwortlich und unterliegen einer Schulungspflicht (regelmäßig, in der Regel alle drei Jahre). Die Haftung der Leitungsebene richtet sich dabei nach den Regeln des Gesellschaftsrechts (§ 93 Abs. 2 S. 1 AktG, § 43 Abs. 2 GmbHG).

IT-Sicherheitspflichten für Unternehmen – der aktuelle Rechtsstand

Die zentrale Neuerung seit Ende 2025: Die NIS-2-Richtlinie (EU) 2022/2555 ist in Deutschland nun umgesetzt. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 5.12.2025 im Bundesgesetzblatt (BGBl. 2025 I Nr. 301) verkündet und ist nach Art. 30 NIS2UmsuCG am 6.12.2025 in Kraft getreten – ohne Übergangsfristen. Damit erfolgte die Umsetzung mit über einem Jahr Verspätung gegenüber der eigentlichen Umsetzungsfrist zum 17.10.2024 (Art. 41 NIS-2), maßgeblich verzögert durch die Neuwahlen im Frühjahr 2025. Das von der Kommission deshalb im November 2024 eingeleitete Vertragsverletzungsverfahren wurde dadurch für die Zukunft gegenstandslos.

Herzstück ist die Neufassung des BSI-Gesetzes (BSIG) in Art. 1 NIS2UmsuCG; Art. 2 ff. NIS2UmsuCG passen sektorspezifische Fachgesetze an (u. a. TKG, EnWG, AtG, SGB V). Der Adressatenkreis wurde drastisch erweitert: Statt der bisher rund 1.200 KRITIS-Anlagenbetreiber sind nun rund 30.000 Einrichtungen reguliert – besonders wichtige und wichtige Einrichtungen, teils größenunabhängig, im Übrigen ab 50 Mitarbeitenden bzw. 10 Mio. Euro Jahresumsatz und -bilanzsumme (§ 28 BSIG). Zuständige Behörde bleibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Kernpflichten sind:

  • Registrierung beim BSI über das zweistufige Verfahren („Mein Unternehmenskonto” und BSI-Portal), grundsätzlich spätestens drei Monate nach erstmaliger Betroffenheit (§ 33 BSIG).
  • Risikomanagement mit geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen unter Berücksichtigung des Stands der Technik (§ 30 BSIG).
  • Meldepflichten bei erheblichen Sicherheitsvorfällen, mehrstufig: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussmeldung binnen eines Monats (§ 32 BSIG).
  • Leitungspflichten und Schulungen der Geschäftsleitung (§ 38 BSIG). Diese bieten wir seit 2024 in Kooperation mit der Bitkom Akademie an: https://bitkom-akademie.de/workshop/NIS-2-Geschaeftsleiterschulung

Bei Verstößen drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes (besonders wichtige Einrichtungen) bzw. bis zu 7 Mio. Euro oder 1,4 % (wichtige Einrichtungen) (§ 65 BSIG).

Registrierungsfristen und die „Akzeptanz-“Frist bis Ende Juni 2026

Die reguläre Registrierungsfrist lief – drei Monate nach Inkrafttreten des BSIG – am 6.3.2026 ab. Eine Vielzahl von Unternehmen registrierte sich nicht fristgemäß. Noch leitet das BSI deshalb – obwohl möglich – nach unserem Kenntnisstand keine Bußgeldverfahren ein. Dem Hören-Sagen nach erwartet das BSI letzte Registrierungen bis Ende Juni 2026. Da die Registrierung bußgeldbewehrt ist (bis zu 500.000 Euro, § 65 Abs. 2 Nr. 6, Abs. 5 BSIG), sollten betroffene Einrichtungen diese Frist nicht ausreizen, sondern die Registrierung unverzüglich nachholen.

Sollten Unternehmen erstmalig in den Anwendungsbereich fallen, so hat die Registrierung innerhalb von 3 Moanten zu erfolgen.

Wesentliche weitere EU-Rechtsakte für eine verbesserte Cyber-Sicherheit in der EU:

  • Cyber Resilience Act (Verordnung (EU) 2024/2847): verabschiedet am 23.10.2024, im Amtsblatt veröffentlicht am 20.11.2024, in Kraft seit 10.12.2024, im Wesentlichen anwendbar ab 11.12.2027 (Art. 71 CRA); Meldepflichten für aktiv ausgenutzte Schwachstellen gelten bereits ab 11.9.2026, Vorschriften zur Notifizierung ab 11.6.2026. Er erklärt Cybersicherheitsmängel digitaler Produkte zum Mangel und sieht Marktüberwachung bis hin zum Produktrückruf vor.
  • Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853): ordnet Software als Produkt ein; die nationale Umsetzung hat bis zum 9.12.2026 zu erfolgen (Art. 22 ProdHaftRL). Die Einstellung von Sicherheitsupdates wird damit zum erheblichen, verschuldensunabhängigen Haftungsrisiko.
  • DORA (Verordnung (EU) 2022/2554): gilt für den Finanzsektor unmittelbar seit 17.1.2025 und gilt neben der NIS-2. Einige Pflichten der NIS-2-Umsetzung im BSIG sind auf Finanzunternehmen aber nicht anwendbar.
  • CER-Richtlinie / KRITIS-Dachgesetz: Das KRITISDachG wurde am 16.3.2026 verkündet und gilt seit dem 17.3.2026; es stärkt die physische Resilienz kritischer Anlagen ergänzend zum BSIG.
  • Cyber Solidarity Act (Verordnung (EU) 2025/38) spannt einen unionsweiten Schutzschirm (EU-Cybersicherheitsschild, EU-CYCLONe).

Daneben bestehen sektorspezifische Pflichten (Energie, Telekommunikation, Gesundheit) fort, und auf EU-Ebene zeichnen sich mit dem Cybersicherheitspaket 2 / Digital Omnibus (Kommissionsvorschläge vom 21.1.2026/19.11.2025) Vereinfachungen ab, u. a. ein zentrales Meldeportal.

Die DSGVO bleibt unberührt; jede Verarbeitung personenbezogener Daten im Rahmen von NIS-2 muss DSGVO-konform sein (Art. 2 Nr. 12 NIS-2-RL).

FAQ

Was sind die 3 Grundsätze der Informationssicherheit? Vertraulichkeit, Verfügbarkeit und Integrität.

Unterschied IT-Sicherheit, Informationssicherheit und Cyber Security? Informationssicherheit ist der weiteste Begriff (auch physische Bestände, Richtlinien); IT-Sicherheit ist der auf digitale Daten bezogene Teilaspekt. „Cyber Security” wird durch die EU-Rechtsakte eingeführt und sollte synonym zur Informationssicherheit verwendet werden.

Sind Cyber Security/Informationssicherheit dasselbe wie Datenschutz? Nein. Datenschutz betrifft speziell personenbezogene Daten und geht über die reine Sicherheit hinaus (z. B. Transparenzpflichten); die Schnittmenge ist die Datensicherheit.

Ihre Ansprechpartnerin: Dr. Kristina Schreiber

Dr. Kristina Schreiber ist Fachanwältin für Verwaltungsrecht und CIPP/E und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes, der Datennutzung und der Cyber-Sicherheit. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, ist Lehrbeauftragte an der Universität Köln und an der FernUniversität Hagen sowie Referentin auf diversen Fachveranstaltungen.