Was bedeutet das neue NIS-2-Umsetzungsgesetz für Ihr Unternehmen?
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ist in Deutschland in Kraft getreten und stellt die Cybersicherheitspflichten vieler Unternehmen auf eine neue gesetzliche Grundlage. Die Zahl der beaufsichtigten Einrichtungen steigt dabei erheblich. Das BSI hat das Inkrafttreten offiziell bestätigt.
Was ist passiert?
Der Weg zum Gesetz war lang. Der Bundestag verabschiedete das NIS-2-Umsetzungsgesetz am 13. November 2025, der Bundesrat stimmte am 21. November 2025 zu. Die Verkündung im Bundesgesetzblatt erfolgte am 5. Dezember 2025 (BGBl. 2025 I Nr. 301), das Inkrafttreten einen Tag später, am 6. Dezember 2025. Der genaue Fundstellennachweis findet sich im Bundesgesetzblatt.
Mit dem Gesetz setzt Deutschland die europäische NIS-2-Richtlinie um – und zwar über eine Novellierung des BSI-Gesetzes (BSIG). Bemerkenswert ist die Verzögerung: Die EU-Frist zur Umsetzung lief eigentlich bereits im Oktober 2024 ab. Deutschland kommt seiner Verpflichtung damit mit über einem Jahr Verspätung nach.
Deutlich mehr Einrichtungen unter Aufsicht
Die wohl folgenreichste Änderung betrifft den Kreis der betroffenen Organisationen. Während bislang rund 4.500 Einrichtungen unter die BSI-Aufsicht fielen, sind es künftig rund 29.500 – also etwa das Sechsfache.
Betroffen sind Unternehmen ab gesetzlich festgelegten Schwellenwerten in den geregelten Sektoren. Typischerweise greift die Regelung ab 50 Beschäftigten beziehungsweise 10 Millionen Euro Umsatz. Das Gesetz unterscheidet dabei zwei Kategorien:
- Wichtige Einrichtungen: Organisationen in den geregelten Sektoren, die die Schwellenwerte erreichen.
- Besonders wichtige Einrichtungen: größere Organisationen sowie KRITIS-Betreiber, die automatisch in diese Kategorie fallen.
Die Einstufung entscheidet über den Umfang der Pflichten und der Aufsicht.
Die drei Kernpflichten
Aus dem Gesetz ergeben sich für betroffene Einrichtungen drei zentrale Pflichten:
- Registrierung beim BSI: Betroffene Einrichtungen müssen sich beim Bundesamt registrieren und so erfassbar machen.
- Meldung erheblicher Sicherheitsvorfälle: Schwerwiegende Vorfälle müssen dem BSI gemeldet werden, damit ein aktuelles Lagebild entstehen kann.
- Risikomanagement: Einrichtungen müssen technisch-organisatorische Maßnahmen zur Risikobewältigung umsetzen und dokumentieren.
Wichtig: Für die technisch-organisatorischen Maßnahmen gibt es keine generelle Übergangsfrist. Unternehmen müssen ihre Betroffenheit eigenständig prüfen, denn eine automatische Benachrichtigung erfolgt nicht. Und die Verantwortung liegt ausdrücklich bei der Geschäftsleitung.
Was Sie jetzt tun sollten
Da keine generelle Schonfrist besteht und die Geschäftsleitung in der Pflicht steht, sollten Unternehmen zeitnah klären, ob sie unter NIS-2 fallen. Der erste Schritt ist eine ehrliche Bestandsaufnahme: Erreicht das Unternehmen die Schwellenwerte? Gehört es zu einem geregelten Sektor? Sind die geforderten Risikomanagementmaßnahmen bereits vorhanden und dokumentiert?
Wer hier unsicher ist, sollte den eigenen Stand strukturiert prüfen. Der Security Risk Check des IFCSD hilft Ihnen dabei, Ihre aktuelle Sicherheitslage einzuordnen und Handlungsbedarf zu erkennen.
Verwandte Meldungen
- BSI-Lagebericht 2025: IT-Sicherheitslage in Deutschland bleibt angespannt – die Bedrohungslage, auf die NIS-2 antwortet.
- Vodafone: DSGVO-Bußgeld von 45 Millionen Euro – warum die Einhaltung gesetzlicher Vorgaben teuer werden kann.
- NIS-2: BSI-Portal online – so registrieren sich Unternehmen jetzt – die konkreten nächsten Schritte zur Registrierung.
Fazit
Mit dem NIS-2-Umsetzungsgesetz weitet Deutschland die Cybersicherheitsaufsicht deutlich aus: Statt rund 4.500 fallen künftig etwa 29.500 Einrichtungen unter die Regeln des BSI. Für viele Unternehmen, insbesondere im Mittelstand, bedeutet das erstmals konkrete gesetzliche Pflichten – ohne generelle Übergangsfrist und mit Verantwortung bei der Geschäftsleitung. Wer betroffen sein könnte, sollte jetzt prüfen, wo er steht. Machen Sie den Anfang mit dem Security Risk Check des IFCSD.