Khfd - stock.adobe.com
NIS2 ist in Kraft: Was Unternehmen beachten müssen
Ab dem 6. Dezember 2025 ist das Gesetz zur Umsetzung von NIS2 in Kraft. Damit gelten für viele Unternehmen neue Vorgaben in Sachen Cybersicherheit, Risikomanagement und Resilienz.
Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung verkündet. Damit ist es seit dem 6. Dezember 2025 in Kraft. Dies ist die nationale Umsetzung der Vorgaben der der EU-Richtlinie 2022/2555 (NIS2-Richtlinie).
Kurz gefasst: Organisationen beziehungsweise Unternehmen, die unter die NIS2-Richtlinie fallen, sind gesetzlich verpflichtet, sich als NIS2-Unternehmen zu registrieren (siehe unten). Die Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren.
Es gibt viele gute Gründe für eine Verbesserung der Situation. Zum einen ist die Bedrohungslage für alle Organisationen sehr ernst, wie auch der BSI-Lagebericht festgestellt hat. Und das Allianz Risk Barometer 2025 hat ergeben, dass Cybergefahren das größte Geschäftsrisiko für Unternehmen aller Größen sind. Und nicht zuletzt haben viele Untersuchungen ergeben, dass insbesondere bei kleinen und mittleren Unternehmen häufig noch deutlicher Nachholbedarf beim Sicherheitsmanagement und entsprechenden Maßnahmen herrscht.
Wenn sich die Situation der von NIS2-betroffenen Unternehmen in Sachen Cybersicherheit und Resilienz verbessert, bedeutet dies ein Plus an Sicherheit für alle in der Bevölkerung. Das betont auch BSI-Präsidentin Claudia Plattner: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“
Wichtige Aspekte der NIS2-Richtlinie
Im Mittelpunkt der NIS2-Richtlinie stehen die Themen Cybersicherheit und Resilienz. So beinhalteten die Vorgaben ein Sicherheits- und Risikomanagement.
Nachfolgend einige der Aspekte, die durch die NIS2-Richtlinie unter anderem abgedeckt werden, ohne Anspruch auf Vollständigkeit:
- Risikomanagement
- Bewältigung von Sicherheitsvorfällen
- Business Continuity, inklusive Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement
- Lieferkettensicherheit, betrifft auch Dienstleister und Lieferanten, die indirekt verbunden sind, dazu gehören auch
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung
- Schulungen zur Informationssicherheit,
- Systematischer Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.
Mit NIS2 kommt darüber hinaus der Geschäftsführung von Unternehmen besondere Bedeutung im Hinblick auf die Sicherheit zu. Die Geschäftsführung muss sicherstellen, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements ist. So wird diese Verantwortung gesetzlich vorgeschrieben. Darüber hinaus existiert eine Schulungspflicht für die Geschäftsleitung. Das BSI stellt hierzu gesonderte Informationen bereit.
Meldepflichten nach NIS2
Mit NIS2 ändern sich auch die Meldepflichten von Sicherheitsvorfällen. Statt des bisherigen Verfahrens kommt nun ein dreistufiges Meldeverfahren zum Einsatz. So sind wichtige und besonders wichtige Einrichtungen sowie Betreiber kritischer Anlagen verpflichtet, erhebliche Sicherheitsvorfälle an das BSI zu melden.
Was wird in diesem Zusammenhang unter erheblichen Sicherheitsvorfällen verstanden? Das BSI zählt dazu etwa Vorfälle, die zu schwerwiegenden Betriebsstörungen von Diensten oder finanziellen Verlusten geführt haben oder führen können.. Oder auch, wenn andere natürliche oder juristische Personen erhebliche materielle oder immaterielle Schäden beeinträchtigt werden oder werden können.
Die frühe Erstmeldung muss binnen 24 Stunden nach Kenntniserlangung des Vorfalls erfolgen. Innerhalb von 72 Stunden muss dann eine detaillierte Meldung erfolgen, hier geht es auch bereits um Schweregrad und Bewertung des Vorfalls. Anspruchsvoll ist auch die Abschlussmeldung, die spätestens nach einem Monat erfolgen muss. Hier geht es um ausführliche Beschreibungen, inklusive der getroffenen Abhilfemaßnahmen.
Welche Unternehmen sind von NIS2 betroffen?
Festzustellen, ob man als Unternehmen von der NIS2-Richtlinie betroffen ist, obliegt dem Unternehmen selbst. Bei der Anzahl der Unternehmen, die von der neuen Gesetzgebung spricht das BSI von einer Größenordnung von 29.500 Organisationen. Zum Vergleich: durch das bisherige BSI-Gesetz wurden 4.500 Organisationen reguliert.
Wenn Unternehmen in bestimmten Bereichen aktiv sind, und bestimmte Schwellenwerte im Hinblick auf Mitarbeitende, Umsatz und Bilanz überschreiten, können sie unter die NIS2-Richtlinie fallen. Es existieren dabei die Kategorien wichtige Einrichtungen und besonders wichtige Einrichtungen. KRITIS gelten automatisch als besonders wichtige Einrichtungen.
Als Orientierungshilfe für Unternehmen bietet das BSI eine NIS2-Betroffenheitsprüfung. Hier wird ein an der NIS2-Gesetzgebung orientierter Fragenkatalog abgearbeitet, um die Einordnung des Unternehmens zu ermitteln. Rechtlich verbindend sei dies Einordnung nicht, so das BSI.
Was betroffene Unternehmen tun sollten
Ist ein Unternehmen von der NIS2-Richtlinie betroffen, dann sieht das BSI einen zweistufigen Registrierungsprozess vor. So müssen sich Unternehmen beim Dienst Mein Unternehmenskonto (MUK) registrieren. Über diesen wird der Zugang zu den digitalen Dienstleistungen umgesetzt, sprich MUK dient der Identifizierung, Authentifizierung und Kommunikation. Technisch basiert der Dienst auf ELSTER-Technologie und nutzt Zertifikate, wie sie auch beim Steuerverfahren eingesetzt werden.
Dabei sollte angesichts der ohnehin oftmals stressigen Jahresendphase keine schuldhafte Verzögerung an den Tag gelegt werden. So rät das BSI dazu den Account bei Mein Unternehmenskonto spätestens bis zum Jahresende 2025 anzulegen.
Mit diesem Nutzerkonto können sich Unternehmen dann beispielsweise bei einem neu entwickelten BSI-Portal für NIS2 registrieren. Nach Angaben des BSI wird dieses Portal am 6. Januar 2026 freigeschaltet. Dort können Unternehmen dann beispielsweise der sich aus dem Gesetz ergebenen Meldepflicht nachkommen und Sicherheitsvorfälle dem BSI melden. Bis diese Möglichkeit zur Verfügung steht, könnten betroffene Einrichtungen ein Online-Formular zur Meldung von Sicherheitsvorfällen nutzen.
