UPDATE: Aktueller Stand zur NIS2-Umsetzung in Deutschland

Mit der Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ ist am 6. Dezember 2025, eine umfassende Modernisierung des deutschen Cybersicherheitsrechts in Kraft getreten. (Info vom BSI)

Das Gesetz erhöht die Anforderungen an die Cybersicherheit sowohl der Bundesverwaltung als auch bestimmter Unternehmen und Einrichtungen. Die nationale Umsetzung der EU-Richtlinie erfolgt dabei im Wesentlichen über eine Novellierung des BSI-Gesetzes (BSIG). Künftig werden rund 29.500 Einrichtungen durch das BSI beaufsichtigt – bislang waren es etwa 4.500.

Unternehmen, die in bestimmten Sektoren tätig sind und gesetzliche Schwellenwerte (Mitarbeiterzahl, Umsatz, Bilanzsumme) überschreiten, werden als „wichtige Einrichtungen“ bzw. „besonders wichtige Einrichtungen“ eingestuft. Für sie gelten insbesondere folgende Pflichten:

• Registrierung als NIS-2-Unternehmen bei den zuständigen Stellen (über das BSI).
• Meldung erheblicher Sicherheitsvorfälle innerhalb enger Fristen.
• Einführung und Dokumentation eines angemessenen IT-Risikomanagements, inklusive technischer und organisatorischer Maßnahmen.

KRITIS-Betreiber gelten dabei automatisch als „besonders wichtige Einrichtungen“. 

Was Sie jetzt tun müssen:

Zweistufiger Registrierungsprozess über „Mein Unternehmenskonto“ (MUK) - Das BSI sieht für betroffene Einrichtungen einen zweistufigen Registrierungsprozess vor:

• Anlage eines Kontos bei „Mein Unternehmenskonto“ (MUK)
  • MUK ist ein zentrales Nutzerkonto für juristische Personen im Sinne des Onlinezugangsgesetzes (OZG) und nutzt ELSTER-Organisationszertifikate.
  • Empfehlung des BSI: MUK-Account bis spätestens Ende 2025 anlegen, um im nächsten Schritt startklar zu sein
• Registrierung im neuen BSI-Portal ab 06. Januar 2026
  • Ab diesem Zeitpunkt können sich NIS-2-Einrichtungen im BSI-Portal registrieren.
  • Das Portal dient außerdem als zentrale Meldestelle für erhebliche Sicherheitsvorfälle.
  • Bis zur Registrierung im BSI-Portal melden betroffene Einrichtungen erhebliche Vorfälle über ein Online-Formular; KRITIS und Bundesbehörden nutzen übergangsweise ihre bisherigen Meldewege.

Wir unterstützen sie bei der Einführung von Informationssicherheitsmaßnahmen.

Von der ersten Analyse¹ bis hin zur Unterstützung der Maßnahmenumsetzung² sowie der Einführung von Security-Lösungen³ bieten wir Ihnen einen umfassenden Beratungsservice, um sicherzustellen, dass Ihr Unternehmen den neuen Anforderungen gerecht wird. Als Experten für Informationssicherheit können wir Ihr Unternehmen bei der Umsetzung von NIS-2 an die Hand nehmen. 

Rufen Sie uns an oder senden Sie direkt eine Mail an Matthias Kraft. 

---

(Hinweis: Der folgende Text stammt aus unserem ursprünglichen Beitrag unmittelbar nach Bundestags- und Bundesratsbeschluss im November 2025. Die dortigen Aussagen zum Zeitplan wurden durch das obige Update inzwischen konkretisiert.)

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet.

Nur wenige Tage später, am 21. November 2025, wurde es in der 1059. Sitzung auch vom Bundesrat gebilligt. Damit sind alle parlamentarischen Schritte abgeschlossen und der Weg für die endgültige Verabschiedung frei. Das Gesetz wird künftig rund 30.000 Unternehmen in Deutschland direkt betreffen (und weitaus mehr Unternehmen sind indirekt betroffen).

Wann tritt das Gesetz in Kraft?

Nach der Billigung durch den Bundesrat folgt noch die Ausfertigung durch den Bundespräsident sowie die Verkündung im Bundesgesetzblatt. Wenn dieser Prozess zügig verläuft, könnte dies bereits im Dezember der Fall sein.

Was müssen betroffene Unternehmen tun?

Sobald das Gesetz in Kraft ist, gelten kurze Umsetzungsfristen. Wesentliche Punkte sind:

• Meldepflichtige Unternehmen müssen sich innerhalb von drei Monaten beim BSI oder den zuständigen Behörden der Bundesländer registrieren.
• Erhebliche IT-Sicherheitsvorfälle müssen zeitnah gemeldet werden. Unternehmen sollten entsprechende Abläufe in ihren Notfall- und Kommunikationsplänen verbindlich verankern.
• Risikomanagement (Informationssicherheitsmanagement) umsetzen: Dazu gehören eine umfassende Risikoanalyse, technische und organisatorische Schutzmaßnahmen sowie klare Verantwortlichkeiten im Unternehmen.

Nachfolgendes ist im Detail zu tun, um die Anforderungen zu erfüllen:

• Betroffenheit prüfen (Analyse Sektoren, Schwellwerte, Lieferketten-Abhängigkeit)
• Registrierungspflicht für direkt betroffene Unternehmen
• Verantwortung übernehmen, Verantwortlichkeiten festlegen (Cybersecurity ist Chefsache!)
• Ist-Stand der IT-Sicherheit im Unternehmen feststellen¹ (Maßnahmen ableiten und einplanen)
• IT-Risikomanagement etablieren (Cyberrisiken beherrschen, Auswirkungen von Sicherheitsvorfällen vermeiden)
• Geschäftskontinuität sicherstellen (Notfallverfahren üben, resiliente Aufbauorganisation gewährleisten)
• Meldepflichten berücksichtigen (Angriffe erkennen und melden, Meldeverfahren für Sicherheitsvorfälle einrichten)
• weitere Regelungen beachten (Schulung, MFA, Verschlüsselung, Backup-/Wiederherstellungsmanagement etc.)

Quellen:

• https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Pflichten/nis-2-pflichten_node.html
• https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251113_NIS-2-Umsetzungsgesetz.html
• https://www.datev-magazin.de/nachrichten-steuern-recht/recht/mehr-digitale-sicherheit-umsetzung-der-nis-2-richtlinie-im-bundesrat-beschlossen-143053