Änderungen in der IT-Beschaffung durch Umsetzung der NIS-2-Richtline

Am 21.11.2025 hat auch der Bundesrat nach der Verabschiedung im Bundestag grünes Licht für den Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung gegeben.

Mit über einjähriger Verspätung setzt Deutschland damit voraussichtlich noch in diesem Jahr die „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“, kurz „NIS-2-Richtlinie“ der EU, um.

Ziel der NIS-2-Richtlinie ist die Stärkung der Cybersicherheit in der EU durch einen einheitlichen Rechtsrahmen mit Mindestvorgaben, um das Funktionieren des Binnenmarktes zu verbessern. Die NIS-2-Richtlinie verpflichtet mehr Unternehmen und Branchen zu einheitlichen europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus. Sie sieht zudem umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Außerdem soll die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen verbessert werden.

Mit der Umsetzung der Richtlinie gehen neue Pflichten sowohl für Unternehmen als auch für öffentliche Auftraggeber einher, die zentrale Aspekte der Beschaffung betreffen. Überwiegend treten die Pflichten unmittelbar nach Verkündung in Kraft; aufwendige Pflichten (z.B. Domain-Identitätsprüfung) zum Teil ab 01.07.2026.

Der Adressatenkreis der Richtlinie geht weit über die Betreiber kritischer Anlagen (KRITIS-Betreiber) hinaus. Auch bestimmte Unternehmen im IT-, Energie-, Transport-, Finanzwesen- oder Gesundheitssektor sind künftig Adressaten eines Pflichten- und Sanktionsregimes. Betroffene Unternehmen sind gehalten, geeignete technische und organisatorische Risikomanagementmaßnahmen zu treffen und Sicherheitsvorfälle oder Cyberbedrohungen der Meldestelle des BSI und dem Bundesamt für Bevölkerungsschutz zu melden.

Der IT-Sicherheit wird künftig bei Vergaben eine noch höhere Bedeutung zukommen und muss in der Leistungsbeschreibung, in den Eignungs- und Zuschlagskriterien sowie vertraglich verankert werden. Es ist damit zu rechnen, dass einzelne Anforderungen noch konkretisiert werden, da Deutschland verpflichtet ist, eine nationale Cybersicherheitsstrategie zu entwickeln, die explizite Beschaffungskonzepte enthalten muss.

Bei der Erstellung der Leistungsbeschreibung werden Mindestanforderungen, technische Richtlinien und Referenzarchitekturen für die IT-Sicherheit in Bundesbehörden, die das BSI bereitstellt, bei IT-Vergaben zu berücksichtigen sein. Auf Eignungsebene werden insbesondere Zertifikate wie ISO 27001, 27002, 27701 und 27005 eine größere Rolle spielen. Vertraglich werden Auftragnehmer auf die Einhaltung von Informationssicherheit verpflichtet sein.

Die Vereinbarung von Kontroll- und Prüfrechten, Mitwirkungspflichten bei Sicherheitsvorfällen und Vertragsstrafen bei Verstößen wird, wo nicht bereits umgesetzt, künftig bei der IT-Beschaffung von zentraler Bedeutung sein. Es ist daher zu erwarten, dass auch eine Überarbeitung der EVB-IT-Musterverträge erfolgt, um den erhöhten IT-Sicherheitsanforderungen Rechnung zu tragen.

Ihr Vergabeteam von BHO Legal

Telefon: +49 221 / 270 956 – 0, E-Mail: vergabe@bho-legal.com