Zurück zur Übersicht
05.12.2025 Fachbeitrag

Ab jetzt gilt's: NIS2-Umsetzungsgesetz in Kraft!

Update Informationssicherheit Nr. 8

Mit der heutigen Verkündung des NIS2-Umsetzungsgesetzes erfolgt nach langer Verzögerung die lang erwartete Umsetzung der NIS2-Richtlinie in deutsches Recht. Das Gesetz gilt unmittelbar ab dem 6. Dezember 2025 und hebt das Schutzniveau sowohl für die Bundesverwaltung als auch für eine stark ausgeweitete Zahl privater Einrichtungen an und verankert klare Pflichten zur Cybersicherheit.

Kernaussagen auf einen Blick

Das novellierte BSI-Gesetz (BSIG) als zentraler Baustein des NIS2-Umsetzungsgesetzes weitet den Anwendungsbereich erheblich aus: Künftig unterliegen eine Vielzahl von Unternehmen und Organisationen den Bestimmungen des BSIG. Maßgeblich sind die vom Gesetz definierten Sektoren und – je nach Tätigkeitsbereich – die jeweiligen gesetzlich festgelegten Schwellenwerte zu Beschäftigtenzahl, Umsatz und Bilanzsumme.

Betroffene Unternehmen unterliegen umfangreichen Pflichten zur Cybersicherheit. Hierzu gehören insbesondere: Registrierung, Implementierung und Dokumentation von Informationssicherheits-Risikomanagement sowie Meldung erheblicher Sicherheitsvorfälle. Siehe hierzu auch die weiteren Informationen auf unserer Expertise-Webseite.

Daneben bringt das NIS2-Umsetzungsgesetz auch Änderungen in verschiedenen anderen Gesetzen, wie etwa dem Energiewirtschaftsgesetz (EnWG).

Welche weiteren Schritte sind nun zu unternehmen?

Das NIS2-Umsetzungsgesetz sieht keine Übergangsfrist vor. Somit gelten die neuen Anforderungen unmittelbar ab dem 6. Dezember 2025. Dies bedeutet insbesondere:

  • Betroffenheitsprüfung: Unternehmen sind verpflichtet, eigenständig zu prüfen, ob sie in den Anwendungsbereich des NIS2-Umsetzungsgesetzes fallen. Die Betroffenheitsprüfung sollte sauber dokumentiert werden, um diese bei Bedarf den Aufsichtsbehörden vorzulegen.
  • Bestandsaufnahme und Umsetzung: Betroffenen Unternehmen müssen prüfen, ob und inwieweit sie die gesetzlichen Vorgaben, insbesondere die neuen Meldepflichten sowie die Vorgaben zum Risikomanagement, bereits einhalten. Fehlende Maßnahmen und Prozesse Lücken sind schnellstmöglich zu schließen bzw. anzupassen, um die notwendige Compliance sicherzustellen. Hier ist auf eine prüffähige Dokumentation zu achten.
  • Registrierung: Das BSI sieht einen zweistufigen Registrierungsprozess vor. Demnach ist zunächst ein Account im digitalen Dienst „Mein Unternehmenskonto“ (MUK) vorzunehmen. Ab dem 6. Januar 2026 wird dann das neue BSI-Portal freigeschaltet. Dieses fungiert insbesondere zur Registrierung sowie als Meldestelle für erhebliche Sicherheitsvorfälle. Die Registrierung ist innerhalb von 3 Monaten nach Inkrafttreten vorzunehmen.

Kommt es vor der Registrierung im BSI-Portal zu einem erheblichen Sicherheitsvorfall, ist die Meldung über ein bereitgestelltes Online-Formular abzugeben. Damit ist sichergestellt, dass die Meldepflichten nahtlos erfüllt werden können, auch wenn die Portalinfrastruktur noch im Aufbau ist.

Fazit

Mit dem NIS2-Umsetzungsgesetz hat der deutsche Gesetzgeber die Vorgaben zur Cybersicherheit in Deutschland deutlich verschärft. Der organisatorische Aufwand – von der Betroffenheitsprüfung über die Registrierung bis zur operativen Umsetzung – ist dabei nicht zu unterschätzen.

Unternehmen, die die neuen gesetzlichen Anforderungen bislang noch nicht bzw. nicht vollständig erfüllen, sollten sich daher unverzüglich hiermit beschäftigen. Hierbei bietet sich folgendes Vorgehen an:

Kurzfristig sollte die Betroffenheitsprüfung, die Planung des Registrierungsprozesses und die Sicherstellung der Vorfalls-Meldefähigkeit im Vordergrund stehen. Parallel sollte damit begonnen werden, das Risikomanagement zu überprüfen und erforderliche Anpassungen vorzunehmen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
12.08.2025
Neuer Kabinettsbeschluss zum deutschen NIS2-Umsetzungsgesetz
25.07.2025
Neuer Anlauf beim deutschen NIS2-Umsetzungsgesetz
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
06.03.2025
Die neue Medizinprodukte-Betreiberverordnung ist in Kraft getreten – Neue Anforderungen an Software und IT-Sicherheit
04.03.2025
Schutz vor Drohneneinsätzen als Teil des Informationssicherheits-Risikomanagements
13.02.2025
Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
30.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz
02.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz und der neuen EU-Durchführungsverordnung
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.