Am 21. November 2025 hat der Bundesrat das NIS-2-Umsetzungsgesetz endgültig verabschiedet. Dieses Gesetz setzt Vorgaben aus der EU-Richtlinie um und bringt strengere Sicherheitsanforderungen, erweiterte Melde- und Dokumentationspflichten sowie schärfere Sanktionen bei Verstößen mit sich.
Der ursprüngliche Referentenentwurf des Bundesministeriums des Innern (BMI) war so zu verstehen, dass alle TGA-Unternehmen, die bestimmte Schwellenwerte überschreiten, ohne Rücksicht auf die Art der erbrachten Dienstleistung in den Anwendungsbereich des Gesetzes fallen. Diese Auslegung wurde auch durch die NIS-2-Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestätigt, sodass die betroffenen TGA-Unternehmen mit den entsprechenden Pflichten und Anforderungen konfrontiert gewesen wären.
Der BTGA hatte deshalb angeregt, die Formulierung im Gesetzestext zu konkretisieren. Im Ergebnis regelt die Formulierung im Gesetzentwurf nunmehr unmissverständlich, dass vom Anwendungsbereich nur solche Einrichtungen unmittelbar erfasst werden, die einer der in den Anlagen 1 oder 2 des Gesetzes genannten Einrichtungsarten zuzuordnen sind – nicht jedoch deren Zulieferer und Dienstleister.
Am 24. Juli 2025 hat das Bundeskabinett den Gesetzentwurf mit dieser neuen Formulierung verabschiedet. Trotz dieser Änderung wurde die vom BSI angebotene Betroffenheitsprüfung nach Veröffentlichung des Gesetzentwurfs nicht sofort angepasst. Der BTGA hat daraufhin das BSI um eine dieser neuen Formulierung entsprechende Korrektur der Betroffenheitsprüfung gebeten.
Das BSI reagierte und stellte klar, dass Leistungen, die bei einer besonders wichtigen Einrichtung vorgenommen werden, nicht automatisch dazu führen, dass Dienstleister unter die Regelungen des NIS-2-Umsetzungsgesetzes fallen. Die entsprechende Frage der Betroffenheitsprüfung wurde modifiziert und kann nun mit „nein“ beantwortet werden.
Im weiteren Gesetzgebungsverfahren blieb dieser Teil der Definition des Anwendungsbereichs unverändert. Damit ist nun sichergestellt, dass TGA-Unternehmen auch bei Überschreiten der Schwellenwerte nicht pauschal vom NIS-2-Umsetzungsgesetz betroffen sind.
