Am 16. Januar 2023 war die NIS2-EU-Richtlinie zum Schutz Kritischer Infrastrukturen in Kraft getreten. Die ehemalige Bundesregierung hatte daraufhin einen Regierungsentwurf für das „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) verabschiedet. Nun wurde am 5. Dezember 2025 das NIS2UmsuCG im Bundesgesetzblatt verkündet, am 6. Dezember ist das Gesetz in Kraft getreten.
Anwendbarkeit auf die Parken-Branche
Von einer Betroffenheit von Parkhausunternehmen und entsprechenden Handlungserfordernissen sei grundsätzlich nicht auszugehen, wie Christian Rauch, Geschäftsführer der Würzburger Stadtverkehrs-GmbH und stellvertretender Vorsitzender im Bundesverband Parken e.V., beim letztjährigen Kompetenzforum Parken darlegte.
Eine Ausnahme bilden Betreiber von E-Ladestationen und dynamischen Parkleitsystemen, wenn sie über bestimmten Schwellenwerten liegen. Dies kann für Unternehmen ab 50 Beschäftigten oder einem Jahresumsatz über zehn Millionen Euro sowie einer Jahresbilanzsumme von über zehn Millionen Euro der Fall sein. Laut dem NIS-2 Umsetzungsgesetz gelten für diese Gruppe abgestufte Nachweis- und Aufsichtsregime. Dazu zählen technische und organisatorische Cybersicherheitsmaßnahmen sowie eine Meldepflicht bei Cybersicherheitsvorfällen. Eine Ex-post-Aufsicht durch den BSI kann dann eintreten, wenn Hinweise vorliegen, dass Maßnahmen nicht umgesetzt wurden.
Für noch größere Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro sowie einer Jahresbilanzsumme über 43 Millionen Euro gelten darüber hinaus erhöhte Bußgeldrahmen. Betreiber kritischer Anlagen, die die vorgenannten Bedingungen erfüllen, wie etwa größere Stadtwerke unterliegen zudem erhöhten Anforderungen an Cybersicherheitsmaßnahmen, einer Ex-ante-Aufsicht durch das BSI sowie einer Pflicht zur Durchführung unabhängiger Audits.