Herauszufinden welches Unternehmen von NIS-2 betroffen ist, stellt sich als ziemlich komplexe Angelegenheit dar und teilweise kann dies nicht eindeutig beurteilt werden. Das BSI selbst bietet unterschiedliche Hilfestellungen an, dennoch ist keine davon zu hundert Prozent aussagekräftig. Die nachfolgende Übersicht erklärt die Voraussetzungen für die Einteilung in besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE) (§ 28 BSIG). Für Unternehmen, die entgeltlich Waren und Dienstleistung anbieten, müssen vor allem Anlage 1 und Anlage 2 genau gelesen werden und weitere Richtlinien, Verordnung oder ähnliches berücksichtigt werden.

[…]

Was ist das NIS-2-Umsetzungsgesetzes?
Durch das am 06.12.2025 in Kraft getretene NIS‑2‑Umsetzungsgesetz, wurde die NIS‑2‑Richtlinie (EU 2022/2555) in deutsches Recht umgesetzt. Dieses Gesetz umfasst eine umfangreiche Modernisierung des Cybersicherheitsrechts, sowie neue gesetzliche Pflichten in der IT-Sicherheit. Dadurch soll eine stabilere und sichere IT-Infrastruktur erschaffen werden, die Unternehmen/Organisationen gegenüber Cyberangriffen und technischen Ausfällen wappnet.

[…]

Die EU-Kommission stellte am 19. November 2025 ein umfassendes Gesetzespaket zur Vereinfachung von Regeln, Harmonisierung überlappender Gesetze und dem Bürokratieabbau vor. Die neue Verordnung 2025/837 trägt den Namen „Digital-Omnibus“.

Vier Regulierungsbereiche sind hauptsächlich betroffen:

• der Datenschutz DS-GVO
• Regeln für die Datennutzung ePrivacy
• der Umgang mit Cybersicherheitsvorfällen NIS2
• KI-Verordnung

[…]

In Zukunft können Unternehmen auf folgende Entwicklungen von Microsoft für die Erfüllung ihrer Datenschutzpflichten zurückgreifen:

• M365-Kit: Zentrale Hilfestellung für die Datenschutzkommunikation
• Cloud Compendium: Umfassende FAQ zur Cloud Compliance
• Vorlagen für Datenschutz-Folgenabschätzungen: Praktische Vorlagen für DSFA

Dadurch sollte es Unternehmen nun leichter fallen, die datenschutzkonforme Nutzung von Microsoft-Diensten nachzuweisen.

[…]