Teil 1 - Allgemeine Vorschriften
Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen
Teil 4 - Datenbanken der Domain-Name-Registrierungsdaten
Teil 5 - Zertifizierung, Konformitätserklärung und Kennzeichen
Teil 6 - Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten
Teil 7 - Aufsicht
Teil 8 - Bußgeldvorschriften
Teil 9 - Anlagen

BSIG – Entwurf nach NIS2UmsuCG

NEUFASSUNG des BSI-Gesetzes nach dem NIS2-Umsetzungsgesetz

Das das „NIS2-Umsetzungs-und Cyberresilienzstärkungsgesetz (NIS2UmseCG)“ setzt die NIS2-Richtlinie 2022/2555 in deutsches Recht um.
Dabei wird das BSI-Gesetz (BSIG) neu gefasst und die Verpflichtungen für dort definierten sog. Einrichtungen (Unternehmen und andere Organisationen) dort verankert.

Relevant für die Umsetzung der NIS2-Anforderungen in Unternehmen sind diese §§ des BSIG:
(Ausgehend von „Regelfällen“ – keine Berücksichtigung von KRITIS bzw. besondere Einrichtungen nach §60 BSIG.)

  • §28 BSIG – für die Frage, ob als Einrichtung unter NIS2 fallend  (vgl. auch Check!)
  • §30 BSIG – Verpflichtung zum Risikomanagement
  • §32 BSIG – Meldepflichten bei Cybervorfällen
  • §33 BSIG – Registrierungspflicht für wichtige / besonders wichtige Einrichtungen
  • §38 BSIG – besondere Pflichten der Geschäftsleitungen

Das Umsetzungsgesetz wurde am 13.11.2025 im Bundestag beschlossen und am 21.11.2025 vom Bundesrat gebilligt. Die Verabschiedung sollte eigentlich bereits bis 17. Oktober 2024 geschehen, das hat nicht geklappt. Nach dem Bruch der Ampel-Koalition griff der Grundsatz der Diskontinuität, d.h. alle Gesetzgebungsvorhaben wurden beendet und mussten neu gestartet werden.

Nun steht einer Veröffentlichung und einem unmittelbaren Inkrafttreten am Tag nach der Verkündung  nichts mehr im Wege, eine weitere Übergangszeit ist nicht mehr vorgesehen, denn diese gab es bereits von 2022-2024.
Es ist daher zu empfehlen, bereits jetzt mit der Feststellung der Betroffenheit und ggf. der Umsetzung der Anforderungen zu beginnen.

Die NIS2-Richtlinie der EU ist bereits in Kraft und an ihr kann man sich ebenfalls orientieren. Sie ist aber hinsichtlich der Anforderungen ebenso vage wie das Umsetzungsgesetz bzw. das BSIG (neu).
Ferner hat die EU-Kommission eine NIS2-Umsetzungsverordnung (NIS2UmsVO) als delegierten Umsetzungsrechtsakt beschlossen, die die NIS-Umsetzung für grenzüberschreitende Dienste EU-weit einheitlich regelt. Sie ist deutlich detaillierter in den Anforderungen, die insbesondere in deren Annex beschrieben sind.

Teil 1 - Allgemeine Vorschriften

§1 BSIG – Bundesamt für Sicherheit in der Informationstechnik
§2 BSIG – Begriffsbestimmungen

Teil 2 - Das Bundesamt

Kapitel 1 - Aufgaben und Befugnisse
§3 BSIG – Aufgaben des Bundesamtes
§4 BSIG – Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
§5 BSIG – Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
§6 BSIG – Informationsaustausch
§7 BSIG – Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
§8 BSIG – Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
§9 BSIG – Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes
§10 BSIG – Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen
§11 BSIG – Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
§12 BSIG – Bestandsdatenauskunft
§13 BSIG – Warnungen
§14 BSIG – Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen
§15 BSIG – Detektion von Angriffsmethoden und von Sicherheitsrisiken für die Netz- und IT-Sicherheit
§16 BSIG – Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten
§17 BSIG – Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von digitalen Diensten
§18 BSIG – Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten
§19 BSIG – Bereitstellung von IT-Sicherheitsprodukten
Kapitel 2 - Datenverarbeitung
§20 BSIG – Verarbeitung personenbezogener Daten
§21 BSIG – Beschränkungen der Rechte der betroffenen Person
§22 BSIG – Informationspflicht bei Erhebung von personenbezogenen Daten
§23 BSIG – Auskunftsrecht der betroffenen Person
§24 BSIG – Recht auf Berichtigung
§25 BSIG – Recht auf Löschung
§26 BSIG – Recht auf Einschränkung der Verarbeitung
§27 BSIG – Widerspruchsrecht

Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

Kapitel 1 Anwendungsbereich
§28 BSIG – Besonders wichtige Einrichtungen und wichtige Einrichtungen
§29 BSIG – Einrichtungen der Bundesverwaltung
Kapitel 2 - Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§30 BSIG – Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§31 BSIG – Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen
§32 BSIG – Meldepflichten
§33 BSIG – Registrierungspflicht
§34 BSIG – Besondere Registrierungspflicht für bestimmte Einrichtungsarten
§35 BSIG – Unterrichtungspflichten
§36 BSIG – Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen
§37 BSIG – Ausnahmebescheid
§38 BSIG – Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§39 BSIG – Nachweispflichten für Betreiber kritischer Anlagen
§40 BSIG – Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen
§41 BSIG – Untersagung des Einsatzes kritischer Komponenten
§42 BSIG – Auskunftsverlangen
Kapitel 3 Informationssicherheit der Einrichtungen der Bundesverwaltung
§43 BSIG – Informationssicherheitsmanagement
§44 BSIG – Vorgaben des Bundesamtes
§45 BSIG – Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung
§46 BSIG – Informationssicherheitsbeauftragte der Ressorts
§47 BSIG – Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes
§48 BSIG – Amt des Koordinators für Informationssicherheit

Teil 4 - Datenbanken der Domain-Name-Registrierungsdaten

§49 BSIG – Pflicht zum Führen einer Datenbank
§50 BSIG – Verpflichtung zur Zugangsgewährung
§51 BSIG – Kooperationspflicht

Teil 5 - Zertifizierung, Konformitätserklärung und Kennzeichen

§52 BSIG – Zertifizierung
§53 BSIG – Konformitätsbewertung und Konformitätserklärung
§54 BSIG – Nationale Behörde für die Cybersicherheitszertifizierung
§55 BSIG – Freiwilliges IT-Sicherheitskennzeichen

Teil 6 - Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten

§56 BSIG – Ermächtigung zum Erlass von Rechtsverordnungen
§57 BSIG – Einschränkung von Grundrechten
§58 BSIG – Berichtspflichten des Bundesamtes

Teil 7 - Aufsicht

§59 BSIG – Zuständigkeit des Bundesamtes
§60 BSIG – Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten
§61 BSIG – Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
§62 BSIG – Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
§63 BSIG – Verwaltungszwang
§64 BSIG – Zuwiderhandlungen durch Institutionen der sozialen Sicherung

Teil 8 - Bußgeldvorschriften

§65 BSIG – Bußgeldvorschriften

Teil 9 - Anlagen

Anlage 1 – Sektoren besonders wichtiger und wichtiger Einrichtungen
Anlage 2 – Sektoren wichtiger Einrichtungen