News

Mit der Umsetzung der NIS‑2‑Richtlinie (EU) 2022/2555 verfolgt der Gesetzgeber das Ziel, in Deutschland und in der gesamten EU ein hohes gemeinsames Cybersicherheitsniveau zu erreichen. Für zahlreiche Unternehmen werden die Anforderungen an die Cybersicherheit in Deutschland deutlich verschärft. Das Gesetz verankert Cybersicherheit in der Verantwortung der Geschäftsleitung. Verstöße werden mit erheblichen Bußgeldern geahndet. Was ist zu tun?

I. Betroffenheit prüfen

Der betroffene Adressatenkreis wurde erheblich ausgeweitet. Die Neuregelung unterscheidet:

1. „Besonders wichtige Einrichtungen“ (bwE):

Große Unternehmen mit mehr als 250 Beschäftigten, über 50 Mio. Euro Jahresumsatz oder über 43 Mio. Euro Bilanzsumme sowie Tätigkeit in einem der betroffenen Sektoren, darunter:

• Energie (Netze, Anlagen, Lieferanten; inkl. Wasserstoff‑Erzeugung/Speicherung/Transport).
• Verkehr (u. a. Luftfahrt, See-/Binnenschifffahrt, Straßenverkehrsinfrastrukturen).
• Digitale Infrastruktur (Internet Exchange Points, DNS‑Dienste, Cloud, Rechenzentren, Content Delivery, öffentliche TK‑Dienste).
• Wasser/Abwasser, Abfall,
• Gesundheit,
• Finanzmarkt‑Infrastrukturen (unter Beachtung von Spezialgesetzen wie DORA).
• Post/Kurier, Raumfahrt‑Bodeninfrastruktur, Forschung u. a. (je nach Tätigkeit).
• Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) werden ausdrücklich erfasst, sofern sie einen tatsächlichen Zugriff und bestimmenden Einfluss auf die IT von Kunden ausüben.

2. „Wichtige Einrichtungen“ (wE):

• Mittlere Unternehmen mit mindestens 50 und weniger als 250 Beschäftigten und einem Umsatz zwischen 10 und 50 Mio. Euro oder einer Bilanzsumme zwischen 10 und 43 Mio. Euro – wiederum abhängig von der Sektorzugehörigkeit.

Die Prüfung erfolgt in der Regel auf Gruppenebene, also unter Einbeziehung verbundener Unternehmen. Einzelne Nebentätigkeiten können ausgenommen sein. Für Branchen mit spezialgesetzlicher Regelung (z. B. Finanzwesen, Telekommunikation) bleiben Ausnahmen und spezielle Bestimmungen bestehen.

II. Verpflichtungen erfüllen

Sind Sie betroffen, müssen Sie insbesondere folgende Anforderungen erfüllen:

1. Risikomanagement:

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) ergreifen, um Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT‑Systeme, ‑Komponenten und ‑Prozesse zu schützen, die sie zur Erbringung ihrer Dienste nutzen. Die Maßnahmen müssen dem Stand der Technik entsprechen und einschlägige Standards (BSI-IT-Grundschutz oder ISO 27001) berücksichtigen. Sie umfassen mindestens:

• Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
• Sicherheit der Lieferkette (inkl. vertraglicher Regelungen)
• Security by Design und bei der Wartung informationstechnischer Systeme, Komponenten und Prozessen (inkl. Schwachstellen‑Management)
• Wirksamkeitsbewertungen
• Schulungen und Sensibilisierungsmaßnahmen
• Kryptokonzeptionen
• Personal‑ und Zugriffsmanagementkonzepte
• starke Authentifizierungslösungen sowie eine gesicherte Notfallkommunikation.

2. Melde- und Registrierungspflichten:

• Einführung eines dreistufigen Meldesystems bei erheblichen Sicherheitsvorfällen (Frühwarnmeldung binnen 24 Stunden, Detailmeldung binnen 72 Stunden, Abschlussmeldung spätestens nach einem Monat).
• Verpflichtende elektronische Registrierung betroffener Unternehmen innerhalb von drei Monaten ab Feststellung der Betroffenheit und regelmäßige Aktualisierung.

3. Nachweise, Audits und Aufsicht:

Sie müssen Nachweise über die Einhaltung der Anforderungen bereithalten, mit stichprobenhaften oder anlassbezogenen Prüfungen durch das BSI rechnen und bei besonders wichtigen Einrichtungen auch regelmäßige externe Audits ermöglichen.

4. Governance und Verantwortlichkeit:

Die Geschäftsleitung ist verpflichtet, die Umsetzung der Anforderungen zu veranlassen und zu überwachen und in regelmäßigen Abständen an Schulungen teilzunehmen, um ausreichende Kenntnisse zu Risiken, Maßnahmen und Auswirkungen auf die erbrachten Dienste zu erlangen. Sie haftet im Falle von Pflichtverletzungen u.U. persönlich.

III. Was droht?

Das neue Gesetz sieht deutliche Verschärfungen bei Bußgeldern und Sanktionen vor, u.a.: Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes (je nachdem, was höher ist). Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Vorjahresumsatzes.

IV. Fazit

Mit einer Ausfertigung und Verkündung des Gesetzes ist noch in diesem Jahr zu rechnen. Mit Inkrafttreten der NIS-2-Vorgaben wird Cybersicherheit zum strategischen Pflichtprogramm. Übergangsfristen gibt es nicht. Es gilt nun zu prüfen, ob Sie unter die Neuregelung fallen und ggf. geeignete Compliance-Prozesse zu implementieren.

Bitte kommen Sie auf uns zu. Wir unterstützen Sie gern bei der Prüfung und Umsetzung. nis2@haver-mailaender.de

The bee year has begun - bees and beekeepers are busy.

With our own garden on site and the sponsorship of a BEEFUTURE beehive, we are providing determined start-up support - for take-off, nectar collection and a healthy bee colony. While our bees are busy producing honey, we are equally committed to achieving reliable results in the legal interests of our clients.

Whether beehive or law: we act early, personally and with foresight - for our clients and for the world of tomorrow.

This is how we set an example for sustainability and responsibility.

COMMITTED, CONNECTED, AND IN THE MIDST OF IT ALL – IN TÜBINGEN

Our colleagues Alexander Hans and Julian Munder represented our law firm at the FAKULTÄTSKARRIERETAG JURA 2025 at the Eberhard Karls University of Tübingen - and with great commitment!

There was a lively crowd, exciting discussions and an open exchange with numerous motivated students.

We are delighted with the great interest and the successful day.

HAVER & MAILÄNDER - because personality and commitment count.

Lawyers need a strong, reliable back office.

With dedicated IT, careful bookkeeping and a warm welcome, our team in the background ensures that everything runs smoothly in the foreground - and that success is possible.

🎉 Welcome to the team, Tabea Zielke, Suzan Kilinc and Luca Weigel!

We stay on the ball - also in the coming season! 🏐

HAVER & MAILÄNDER remains a premium partner of Allianz MTV Stuttgart, the reigning German women's volleyball champions, and continues to support top volleyball in the region.

We are very proud to have you at our side - and look forward to many more special moments together!

Photo (from left to right): Dr. Peter Mailänder; Aurel Irion, Managing Director at Allianz MTV Stuttgart; Dr. Timo Alte

The public procurement market in the EU member states is particularly interesting for bidders from third countries in the area of critical infrastructure such as railroad networks and rolling stock. In its “Kolin” ruling of 22.10.2024, the ECJ clearly rejected any equation of third-country bidders with companies from the EU using the example of a bidder from Turkey. In the “CRRC Qingdao Sifang” ruling of 13.03.2025, the ECJ confirmed this protection of companies based in the EU. “The participation of companies from third countries in procurement procedures” is the subject of the current article by Dr. Alexander Hübner in issue 2 of the Zeitschrift für das gesamte Vergaberecht (VergabeR 2025, 113).

Contact: Dr. Alexander Hübner

WHAT GOAL ARE YOU PURSUING DURING YOUR TRAINEESHIP? I would like to gain as many (real) insights as possible into different career models and law firms so that I can make the right career choice later on.

WHICH AREA OF LAW AROUSES YOUR PARTICULAR INTEREST? During my studies, I was particularly interested in corporate law, followed by inheritance law relatively early on in my legal traineeship and finally family law. I find the holistic advice in these areas with all its interfaces particularly exciting because the mutual effects have to be taken into account, which makes it challenging but also interesting.

WHY AN ELECTIVE POSITION AT HAVER & MAILÄNDER? Haver & Mailänder already made a positive impression on me through an event during my studies. As a medium-sized law firm with an excellent reputation, I expect challenging and professional work with flexibility and a good working atmosphere.

MAILÄNDER & ALTE: AWARD IN M&A: MID-CAP!

We are pleased to announce that Dr. Peter Mailänder and Dr. Timo Alte have been awarded by Décideurs Fusions & Acquisitions (Leaders League & Ficade) in the category “Pratique Réputée”! 🏆

This recognition confirms our expertise and our commitment to excellence in mid-cap M&A advisory.

MAILÄNDER & ALTE - a perfect match for M&A!

Working passionately together for the reliably best... transaction outcome.

A big thank you to our clients who value our interdisciplinary expertise and place their trust in us!