Blog
IT- und Cybersicherheit

NIS-2-Umsetzungsgesetz und SaaS-Unternehmen

Dr. Eduard Hofert
Dr. Eduard Hofert
07.04.2026

Key Takeaways

  • Schnell im Anwendungsbereich: SaaS-Unternehmen können, ohne es aktiv zu merken, in den Anwendungsbereich der NIS-2-Richtlinie fallen. Entscheidend ist eine frühzeitige Betroffenheitsprüfung des Unternehmens.
  • Drei zentrale Pflichten im Fokus: Das BSIG statuiert insbesondere die Pflichten einer rechtzeitigen Registrierung des SaaS-Unternehmens, eines abgestuften Meldeverfahrens für Sicherheitsvorfälle und die Implementierung sowie Dokumentation bestimmter Risikomanagementmaßnahmen.
  • Cybersicherheit als Managementaufgabe: IT-Risikomanagement ist keine reine IT-Frage mehr, sondern Aufgabe der Geschäftsleitung.

Das NIS-2-Umsetzungsgesetz ist da! Und jetzt?

Mit dem NIS-2-Umsetzungsgesetz hat Deutschland die europäische NIS-2-Richtlinie in nationales Recht umgesetzt. Das am 06. Dezember 2025 in Kraft getretene Gesetz sieht insbesondere eine umfassende Novellierung des BSI-Gesetzes (BSIG) vor. Das Cybersicherheitsrecht erfährt eine umfassende Modernisierung.

Wann betrifft die NIS-2-Richtlinie dich als SaaS-Anbieter?

Die NIS-2-Richtlinie regelt die IT- und Cybersicherheit von Unternehmen. Betroffen sind nicht nur Betreiber kritischer Infrastrukturen, sondern auch viele mittelständische Unternehmen im öffentlichen und privaten Sektor. Ob dein SaaS-Unternehmen von den Regelungen der Richtlinie betroffen ist, musst du selbstständig prüfen. Die Richtlinie findet Anwendung auf dein Unternehmen, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Dein Unternehmen beschäftigt mindestens 50 Mitarbeitende oder
  • dein Unternehmen erzielt einen Jahresumsatz von mindestens 10 Mio. EUR oder
  • dein Unternehmen ist Teil der Lieferkette von Unternehmen, die die NIS-2-Richtlinie beachten müssen.

Welche Pflichten musst du als SaaS-Anbieter beachten?

Fällst du als SaaS-Anbieter in den Anwendungsbereich der Richtlinie ist der tatsächliche Umfang der Pflichten von der Größe deines Unternehmens abhängig. Das BSIG differenziert zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Im Vergleich zu den wichtigen Einrichtungen, bestehen für besonders wichtige Einrichtungen im Detail erhöhte Anforderungen. Je nachdem, in welche Kategorie dein Unternehmen fällt, ist daher eine umfassendere oder eine pragmatisch ausgestaltete Umsetzung geboten. Eine besonders wichtige Einrichtung liegt vor, wenn mindestens 250 Mitarbeiter beschäftigt werden oder ein Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro erzielt wird. Eine wichtige Einrichtung muss mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro erzielen.

Dem BSIG lassen sich drei zentrale Pflichten entnehmen, welche beide Unternehmenskategorien betreffen:

1. Registrierungspflicht

Spätestens drei Monate nachdem dein SaaS-Unternehmen erstmals oder erneut von den Regelungen des BSIG betroffen ist, hast du dein Unternehmen beim Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu registrieren. Erfolgt die Registrierung verspätet, fehlerhaft oder gar nicht, drohen Bußgelder nach dem BSIG in Höhe von bis zu 500.000 Euro.

2. Meldepflichten

Daneben besteht ein abgestuftes Meldeverfahren für Sicherheitsvorfälle, die ebenfalls über das Portal gemeldet werden müssen. Ein erheblicher Sicherheitsvorfall ist beispielsweise eine schwerwiegende Betriebsstörung von Diensten, die zu finanziellen Verlusten für Dritte führt. Innerhalb von 24 Stunden nach Kenntniserlangung eines solchen Vorfalls hat eine frühe Erstmeldung an das BSI zu erfolgen. Innerhalb von 72 Stunden ist die Erstmeldung zu bestätigen. Spätestens einen Monat nach der Bestätigungsmeldung ist dann ein detaillierter Bericht an das BSI zu übermitteln. Um diese strengen Meldepflichten einhalten zu können, muss dein Unternehmen im Vorhinein entsprechende Prozesse implementieren. Das führt uns zum nächsten Punkt:

3. Verpflichtendes IT-Risikomanagement

Als SaaS-Unternehmen bist du nach dem BSIG dazu verpflichtet, bestimmte Risikomanagementmaßnahmen zu implementieren und zu dokumentieren. Diese Maßnahmen müssen alle informationstechnischen Systeme und Prozesse umfassen, die dein Unternehmen zur Erbringung der SaaS-Leistungen nutzt. Wichtige Beispiele sind technische und organisatorische Maßnahmen für den Umgang mit Sicherheitsvorfällen, die Sicherstellung von Business Continuity, regelmäßige Backup- und Wiederherstellungstests sowie Schulungen und Sensibilisierungsmaßnahmen im Bereich IT-Sicherheit. Die Verantwortung für die Überwachung liegt dabei nicht nur bei der IT, sondern insbesondere bei der Geschäftsleitung. Somit wird IT-Sicherheit zur zentralen Managementaufgabe.

Bereits gut aufgestellt?

Wenn dein SaaS-Unternehmen bereits über ein IT-Managementsystem verfügt, weil du beispielsweise eine ISO-27001-Zertifizierung besitzt oder die DSGVO-Vorgaben umgesetzt hast, sind schon viele Anforderungen erfüllt. Jetzt kommt es vor allem darauf an, die bereits bestehenden Sicherheitsorganisationen an die Anforderungen des BSIG anzupassen und vollständig sowie nachvollziehbar zu dokumentieren. So verlangt das BSIG beispielsweise zusätzlich zu den DSGVO-Vorgaben Meldewege zum BSI, wobei auch Meldungen erfasst sind, die keine personenbezogenen Daten betreffen.  

Fazit

Es ist folglich nicht unwahrscheinlich, dass dein SaaS-Unternehmen in den Anwendungsbereich des BSIG fällt. Führe daher rechtzeitig eine Betroffenheitsprüfung sowie eine Risikoanalyse durch und setze gegebenenfalls fehlende Sicherheitsmaßnahmen gezielt um. Behalte dabei stets im Blick, dass das BSIG IT- und Cybersicherheit nicht als einmaliges Projekt betrachtet, sondern als dynamischen Risikomanagementprozess, der durch kontinuierliche Überprüfung und Weiterentwicklung eine entsprechende Unternehmenskultur schafft. Wenn du NIS-2-Compliance umsetzt, vermeidest du nicht nur unnötige Bußgelder, sondern verschaffst deinem Unternehmen auch einen entsprechenden Marketingvorteil.

Dr. Eduard Hofert
Partner

Tech/Data/Web3 Lawyer mit Fokus auf komplexe Tech-Verträge wie Enterprise-Deals oder strategische Partnerschaften. Berät außerdem zu regulatorischen Rahmenbedingungen bei komplexen Technologien (insbesondere KI und Web3) – pragmatisch und umsetzungsorientiert.

Willkommen auf unserem Blog

Hier teilen wir unser Erfahrungen aus der Praxis aus einer Vielzahl von komplexen Vertragsverhandlungen über Umsetzungen von Legal-Ops-Strategien bis zur pragmatischen Umsetzung neuer Regulierungen.

Beratungsbedarf?

Wir unterstützen Softwareanbieter pragmatisch und mit tiefer Branchenkenntnis bei komplexen Vertragsverhandlungen und der Umsetzung von Digitalregulierung.

Kostenloses Erstgespräch

Leistungspakete für eure Rechtsprobleme

Partnerprogramme & Reseller-Verträge
Partnerprogramme & Reseller-Verträge
Wir setzen mit euch zusammen ein marktübliches Partnerprogramm auf – aus Softwareanbieter- oder Reseller-Sicht.
Vertragsverhandlungen beim Vertrieb von Software
Vertragsverhandlungen beim Vertrieb von Software
Wir führen die Vertragsverhandlungen für euren SaaS-Deal von der ersten Redline bis zum Abschluss.
Marktübliche Verträge & AGB für Softwareanbieter
Marktübliche Verträge & AGB für Softwareanbieter
Skalierbare, rechtssichere Vertragsgrundlagen für Software- und SaaS-Modelle – für Vertrieb und Einkauf
Verträge und Prozesse für Enterprise-Deals
Verträge und Prozesse für Enterprise-Deals
Wir schaffen eine Grundlage für den Vertrieb von Software an Enterprise-Kunden.
Legal Counsel as a Service
Legal Counsel as a Service
Interims General Counsel, die sich direkt in deine Prozesse integrieren
Legal Foundation - deine erste Rechtsabteilung
Legal Foundation - deine erste Rechtsabteilung
Aufbau einer vollständigen Legal-Organisation von Grund auf und gleichzeitige Begleitung als Interims General Counsel