neue Cybersicherheitsregeln - Verband Deutscher Garten-Center e.V.

NIS-2: Neue Cybersicherheitsregeln gelten jetzt auch für viele Handelsbetriebe

Mit der europäischen NIS-2-Richtlinie hat die EU die Anforderungen an die Cybersicherheit deutlich verschärft. Deutschland hat diese Vorgaben inzwischen in nationales Recht umgesetzt. Das entsprechende Gesetz ist im Dezember 2025 in Kraft getreten. Seitdem gelten die neuen Anforderungen verbindlich.

Der zentrale Unterschied zur bisherigen Rechtslage besteht darin, dass sich die Pflichten nicht mehr nur auf klassische Kritische Infrastrukturen beschränken. Mit NIS-2 wird der Kreis der betroffenen Unternehmen deutlich ausgeweitet. Künftig fallen auch viele mittelständische Betriebe unter die gesetzlichen Cybersicherheitsvorgaben, wenn sie eine bestimmte Größe erreichen oder in relevanten Wirtschaftsbereichen tätig sind.

Für den gärtnerischen Handel bedeutet das: Kleine, rein lokale Gartencenter sind in der Regel nicht direkt betroffen. Sobald jedoch die EU-Schwellenwerte für mittlere Unternehmen erreicht werden, kann ein Betrieb unter die NIS-2-Regeln fallen. Maßgeblich sind vor allem mehr als 50 Beschäftigte und über 10 Millionen Euro Jahresumsatz oder Bilanzsumme. Betroffen sind damit vor allem größere Gartencenter, Filialbetriebe oder Unternehmen mit umfangreicher IT-Struktur.

Für diese Betriebe ist Cybersicherheit jetzt eine gesetzliche Pflicht. Unternehmen müssen ihre IT-Systeme strukturiert absichern, Risiken bewerten und im Ernstfall Vorfälle melden. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gleichzeitig wird die Verantwortung ausdrücklich auf die Geschäftsleitung verlagert. IT-Sicherheit ist damit keine technische Nebenaufgabe mehr, sondern Teil der Unternehmensführung.

Auch Betriebe, die formal nicht unter NIS-2 fallen, werden die Folgen spüren. Größere Geschäftspartner müssen die neuen Anforderungen einhalten und werden deshalb verstärkt Sicherheitsstandards entlang ihrer Lieferketten einfordern. Cybersicherheit wird damit zum neuen Branchenstandard.

Was das konkret für Gartencenter bedeutet
Die neuen Regeln betreffen vor allem die digitalen Kernsysteme eines Betriebs, etwa:

Kassensysteme
Warenwirtschaft und Bestellprozesse
E-Mail-Systeme
Cloud-Dienste
Online-Shops und Kundenkonten
Fallen diese Systeme durch einen Cyberangriff aus, kann der Betrieb im schlimmsten Fall nicht mehr verkaufen. Genau hier setzt NIS-2 an: Unternehmen müssen ihre Systeme so organisieren, dass Ausfälle verhindert oder schnell behoben werden können.

Wer direkt unter NIS-2 fällt
Direkt betroffen sind Gartencenter oder Handelsbetriebe, die:

mehr als 50 Beschäftigte haben und
über 10 Millionen Euro Jahresumsatz oder Bilanzsumme liegen
und eine relevante Rolle in der Lieferkette oder Branche einnehmen

Diese Betriebe müssen sich beim BSI registrieren und die gesetzlichen Sicherheitsanforderungen umsetzen.

Welche Pflichten jetzt gelten
Für betroffene Unternehmen sind unter anderem verpflichtend:

strukturiertes IT-Risikomanagement
Schutz zentraler Systeme wie Kasse und Warenwirtschaft
Meldepflicht bei erheblichen Cybervorfällen
klare Verantwortlichkeit der Geschäftsleitung für IT-Sicherheit
Registrierung beim BSI

Was alle Gartencenter jetzt tun sollten
Unabhängig von der direkten Betroffenheit sind folgende Schritte sinnvoll:

prüfen, ob die eigenen Unternehmenszahlen unter NIS-2 fallen
zentrale IT-Systeme erfassen und bewerten
regelmäßige Updates und Datensicherungen sicherstellen
Zugriffsrechte im Betrieb überprüfen
einen Notfallplan für IT-Ausfälle festlegen

Fazit
NIS-2 ist seit Dezember 2025 geltendes Recht. Für größere Gartencenter sind die neuen Cybersicherheitsanforderungen bereits verpflichtend. Für kleinere Betriebe wird IT-Sicherheit durch Anforderungen von Partnern, Plattformen und Dienstleistern zum neuen Standard. Cybersicherheit gehört damit dauerhaft zu den zentralen Führungsaufgaben im Betrieb.

Name	Zweck	Dauer
gs.ocs.session.id	Sitzungscookie	1 Tag
gs.ocs.identifier.user	Benutzererkennung (ist Besucher angemeldet)	3 Monate
gs.ocs.identifier.basket	Warenkorbcookie und Merkzettel	3 Monate
gs.ocs.cookiemessageagreeed	Cookie-Einstellungen	1 Jahr

Name	Zweck	Dauer
APISID	Personalisiert Google-Anzeigen auf Websites auf der Grundlage der letzten Suchanfragen und Interaktionen.	2 Jahre
HSID	Sicherheits-Cookie zur Bestätigung der Authentizität des Besuchers, zur Verhinderung der betrügerischen Verwendung von Anmeldedaten und zum Schutz der Benutzerdaten vor unberechtigtem Zugriff.	2 Jahre
NID	Speichert die Präferenzen der Besucher und personalisiert Anzeigen auf Google-Websites auf der Grundlage der letzten Suchanfragen und Interaktionen.	6 Monate
SAPISID	Google sammelt Besucherinformationen für Videos, die von YouTube gehostet werden.	2 Jahre
SID	Sicherheits-Cookie zur Bestätigung der Authentizität des Besuchers, zur Verhinderung der betrügerischen Verwendung von Anmeldedaten und zum Schutz der Besucherdaten vor unberechtigtem Zugriff.	2 Jahre
SSID	Google sammelt Besucherinformationen für Videos, die von YouTube auf in Google Maps integrierten Karten gehostet werden.	2 Jahre
PREF	Mit diesem Cookie werden die Präferenzen und sonstige Informationen des Nutzers gespeichert. Dazu zählen insbesondere die bevorzugte Sprache, die Anzahl der auf der Seite anzuzeigenden Suchergebnisse sowie die Entscheidung, ob der Filter SafeSearch von Google aktiviert werden soll oder nicht.	2 Jahre

Name	Zweck	Dauer
1P_JAR	Auf der Grundlage der letzten Suchanfragen und früheren Interaktionen werden benutzerdefinierte Anzeigen auf Google-Webseiten geschaltet.	1 Woche
APISID	Personalisiert Google-Anzeigen auf Websites auf der Grundlage der letzten Suchanfragen und Interaktionen.	2 Jahre
CONSENT	Speichert die Vorlieben der Besucher und personalisiert die Werbung.	2 Jahre
HSID	Sicherheits-Cookie zur Bestätigung der Authentizität des Besuchers, zur Verhinderung der betrügerischen Verwendung von Anmeldedaten und zum Schutz der Benutzerdaten vor unberechtigtem Zugriff.	2 Jahre
NID	Speichert die Präferenzen der Besucher und personalisiert Anzeigen auf Google-Websites auf der Grundlage der letzten Suchanfragen und Interaktionen.	6 Monate
OTZ	Verknüpft Aktivitäten von Besuchern mit anderen Geräten, die zuvor über das Google-Konto eingeloggt sind. Auf diese Weise wird die Werbung auf verschiedene Geräte zugeschnitten.	1 Monat
SAPISID	Google sammelt Besucherinformationen für Videos, die von YouTube gehostet werden.	2 Jahre
SID	Sicherheits-Cookie zur Bestätigung der Authentizität des Besuchers, zur Verhinderung der betrügerischen Verwendung von Anmeldedaten und zum Schutz der Besucherdaten vor unberechtigtem Zugriff.	2 Jahre
SIDCC	Sicherheits-Cookie zur Bestätigung der Authentizität des Besuchers, zur Verhinderung der betrügerischen Verwendung von Anmeldedaten und zum Schutz der Besucherdaten vor unberechtigtem Zugriff.	3 Monate
SSID	Google sammelt Besucherinformationen für Videos, die von YouTube auf in Google Maps integrierten Karten gehostet werden.	2 Jahre
_ga	Bei diesem Cookie handelt es sich um einen dauerhaften Google Analytics-Cookie, der zur Unterscheidung einzelner Nutzer verwendet wird.	2 Jahre