What are the most pressing digital topics?
Insights und Analysen
Cybersicherheit in Immobilienunternehmen: Sind Sie NIS2-ready?
28 November 2025
Die Cybersicherheit gewinnt für Immobilienunternehmen zunehmend an Bedeutung – nicht zuletzt durch das neue NIS2UmsuCG, das strenge Anforderungen an IT-Sicherheit und Risikomanagement stellt. Auch wenn klassische Immobilienunternehmen im Gesetz nicht ausdrücklich genannt werden, können sie durch eigene Versorgungsstrukturen oder digitale Geschäftsbereiche mittelbar betroffen sein. Wer als „wichtige“ oder „besonders wichtige“ Einrichtung gilt, muss umfassende Pflichten erfüllen. Der Artikel zeigt, worauf Immobilienunternehmen jetzt achten müssen und warum eine frühzeitige rechtliche Prüfung und die Anpassung interner Prozesse unerlässlich sind. Erfahren Sie, wie Sie Ihr Unternehmen vor Risiken schützen und welche Tools Ihnen dabei helfen können – lesen Sie den ganzen Artikel!
Hintergrund
Die Cybersicherheit – auch als IT- oder Informationssicherheit bezeichnet – umfasst den Schutz informationstechnischer Systeme, Netzwerke, Daten und digitaler Dienste vor unbefugtem Zugriff, Manipulation, Verlust oder sonstigen Bedrohungen. Angesichts der zunehmenden Gefährdungslage durch Cyberangriffe hat die Europäische Union mit der Richtlinie (EU) 2022/2555 („NIS-2-Richtlinie“) einen einheitlichen Rechtsrahmen für ein hohes gemeinsames Cybersicherheitsniveau innerhalb der Union geschaffen.
Die Richtlinie verpflichtet die Mitgliedstaaten, insbesondere für Einrichtungen in kritischen und wichtigen Sektoren – etwa Energie, Verkehr, Gesundheitswesen, Trinkwasserversorgung oder digitale Infrastruktur – verbindliche Anforderungen an das Risikomanagement, Meldepflichten sowie Maßnahmen zur Aufsicht und Durchsetzung zu etablieren.
Zur Umsetzung dieser Vorgaben hat der Deutsche Bundestag am 13. November 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) verabschiedet. Das Gesetz trat am Tag nach seiner Verkündung in Kraft, gilt also bereits.
Anwendungsbereich: Wann sind Immobilienunternehmen betroffen?
Das NIS2UmsuCG findet Anwendung auf Einrichtungen, die gemäß § 28 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) in der neuen Fassung als „besonders wichtige“ oder „wichtige“ Einrichtungen eingestuft werden. Zwar werden klassische Immobilienunternehmen – wie Wohnungsbaugesellschaften, Immobilienverwalter oder Facility-Management-Dienstleister – in den Anlagen 1 und 2 zum Gesetz nicht ausdrücklich genannt, dennoch können sie mittelbar betroffen sein.
Dies ist insbesondere dann der Fall, wenn ein Immobilienunternehmen selbst als Betreiber kritischer Infrastrukturen (KRITIS) auftritt – etwa durch den Betrieb eigener Energie-, Wasser- oder IT-Versorgungsstrukturen – und dabei die gesetzlichen Schwellenwerte überschreitet. Maßgeblich sind dabei:
- mindestens 50 Beschäftigte oder
- ein Jahresumsatz und eine Jahresbilanzsumme von mindestens 10 Mio. Euro
Gemäß § 28 Abs. 3 BSIG n. F. sind jedoch Geschäftstätigkeiten, die einem kritischen Sektor zuzuordnen sind, dann nicht relevant, wenn sie im Verhältnis zur Gesamtgeschäftstätigkeit der Einrichtung als vernachlässigbar einzustufen sind. Die Gesetzesbegründung (BT-Drs. 21/1501) nennt als Indikatoren u. a. den Anteil der in diesem Bereich tätigen Mitarbeitenden, den hieraus generierten Umsatz sowie die Bilanzsumme. Auch eine ausdrückliche Nennung der Tätigkeit im Gesellschaftsvertrag oder in der Satzung kann ein Indiz für deren Relevanz sein.
Zur Orientierung stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Online-Tool zur Verfügung („NIS-2-Betroffenheitsprüfung“), das eine erste Einschätzung zur Anwendbarkeit des Gesetzes auf das jeweilige Unternehmen ermöglicht.
Immobilienunternehmen mit Geschäftsbereichen in den Bereichen Energieversorgung, digitale Gebäudetechnik oder IT-Dienstleistungen (z. B. PropTech) sollten eine sorgfältige Prüfung vornehmen, ob sie in den Anwendungsbereich des Gesetzes fallen.
Pflichten betroffener Unternehmen
Unternehmen, die als „wichtige“ oder „besonders wichtige“ Einrichtungen gelten, unterliegen umfassenden Pflichten. Dazu zählen insbesondere:
- Registrierungspflicht bei der gemeinsamen Registrierungsstelle von BSI und BBK (§§ 33, 34 BSIG n. F.),
- Einrichtung und Dokumentation eines Risikomanagementsystems zur Cybersicherheit (§ 30 BSIG n. F.),
- Umsetzung technischer und organisatorischer Maßnahmen, u. a.:
- Risikoanalyse und Sicherheitskonzepte,
- Vorfallmanagement und Notfallwiederherstellung,
- Lieferkettensicherheit,
- Schwachstellenmanagement,
- Zugriffskontrollen und Personalsicherheitskonzepte,
- Einsatz kryptographischer Verfahren,
- Multi-Faktor-Authentifizierung und Notfallkommunikation.
- Meldepflichten bei erheblichen Sicherheitsvorfällen (§ 32 BSIG n. F.),
- Schulungspflichten für die Geschäftsleitung (§ 38 BSIG n. F.).
Sanktionen bei Verstößen
Verstöße gegen die Pflichten des NIS2UmsuCG können erhebliche rechtliche und wirtschaftliche Konsequenzen nach sich ziehen:
- Für Unternehmen drohen Bußgelder von bis zu
- 10 Mio. Euro bzw. 2 % des weltweiten Gesamtumsatzes bei besonders wichtigen Einrichtungen,
- 7 Mio. Euro bzw. 1,4 % des weltweiten Gesamtumsatzes bei wichtigen Einrichtungen (§ 65 BSIG n. F.).
- Die Geschäftsleitung haftet persönlich mit ihrem Privatvermögen für schuldhaft verursachte Schäden gegenüber der eigenen Gesellschaft (§ 38 Abs. 2 BSIG n. F.). Zudem kann das BSI bei groben Pflichtverstößen die Wahrnehmung von Leitungsaufgaben vorübergehend untersagen (§ 61 BSIG n. F.).
- Das BSI verfügt über weitreichende aufsichtsrechtliche Befugnisse, darunter:
- Anordnungen zur Mängelbeseitigung,
- Verpflichtung zur Information der Öffentlichkeit,
- Durchführung von Sicherheitsprüfungen,
- Verhängung von Zwangsgeldern bis zu 100.000,- Euro.
Fazit
Das NIS2UmsuCG stellt die Immobilienwirtschaft vor neue Herausforderungen, insbesondere im Hinblick auf die Beurteilung der eigenen Betroffenheit und die Umsetzung technischer und organisatorischer Maßnahmen zur Cybersicherheit. Auch wenn Immobilienunternehmen nicht ausdrücklich im Gesetz genannt werden, können sie mittelbar erfasst sein – etwa durch eigene IT-, Energie- oder Versorgungsstrukturen.
Es empfiehlt sich daher, frühzeitig eine rechtliche Bewertung vorzunehmen, die internen Prozesse zu überprüfen und gegebenenfalls geeignete Compliance- und Sicherheitsmaßnahmen zu implementieren. Die Nutzung der BSI-Betroffenheitsprüfung kann dabei eine erste Orientierung bieten, ersetzt jedoch keine fundierte rechtliche Prüfung im Einzelfall.
Unabhängig davon - von einer Cyber-Attacke betroffen zu sein, ist kein Spaß. In Immobilienunternehmen werden eine Vielzahl personenbezogener Daten gespeichert. Auch wenn eine Verantwortlichkeit nach dem neuen NIS2UmsuCG die Immobilienbranche in der Regel nur mittelbar betreffen wird, gelten jedenfalls die datenschutzrechtlichen Vorschriften direkt.
Verfasst von Sabine Reimann und Kerstin Schoening.
Kontakt
Weitere Informationsquellen
- Deutscher Bundestag Drucksache 21/1501 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
- Deutscher Bundestag Drucksache 21/2782 Beschlussempfehlung und Bericht des Innenausschusses (4. Ausschuss) zu dem Gesetzentwurf der Bundesregierung – Drucksachen 21/1501, 21/2072, 21/2146 Nr. 1.11 – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
- Stellungnahme-ZIA-NIS-2-Richtlinie-21-1501
- BSI - NIS-2-Betroffenheitsprüfung
Ähnliche Inhalte
Suchen
