NIS-2-Richtlinie in Kraft getreten

Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung des Informationssicherheitsmanagements in der Bundesverwaltung trat am 6. Dezember eine umfassende Modernisierung des Cybersicherheitsrechts in Kraft. Damit müssen sich ab Beginn des Jahres 2026 ca. 30.000 Unternehmen beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren, eigene Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren.

Wofür steht NIS?

NIS steht für Network and Information Security – zu Deutsch „Netz- und Informationssicherheit“. Das Gesetz zur Umsetzung der NIS-2-Richtlinie überführt die EU-Richtlinie in deutsches Recht und ist am 6. Dezember 2025 in Kraft getreten. Die NIS2-Richtlinie der EU ist die Nachfolgerin der NIS-1-Richtlinie, die bereits seit Januar 2023 in Kraft ist. Sie verfolgt das Ziel, in allen Mitgliedsstaaten einen einheitlichen Mindeststandard für Cybersicherheit zu schaffen, um Wirtschaft, kritische Infrastrukturen und Gesellschaft besser vor digitalen Angriffen zu schützen.
EU-Richtlinien müssen national umgesetzt werden. In Deutschland erfolgt dies über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz ergänzt. Der Bundestag hat das Gesetz am 13. November 2025 beschlossen.

Erweiterung des Anwendungsbereichs

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des bisherigen BSI-Gesetzes deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeitende, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“.

Wer ist betroffen?

Betroffen sind nicht nur klassische KRITIS-Betreiber: Dank der Size-Cap-Regel fallen nun auch viele mittelständische Unternehmen aus Industrie, Produktion, Logistik, Gesundheitswirtschaft oder digitalen Diensten unter NIS2. Ein zentrales Element und Pflicht des Unternehmens ist die NIS-2-Betroffenheitsprüfung. Das BSI stellt hiermit ein einfach einzusetzendes Tool für Unternehmen zur Ermittlung der Betroffenheit bereit. Zu beachten ist, dass unmittelbare Anbieter und Zulieferer der von NIS-2 direkt betroffenen Unternehmen ebenfalls mit einer indirekten Betroffenheit konfrontiert sein können (Sicherheit in der Lieferkette).
Die Betroffenheitsprüfung erfolgt zweistufig:
  • Qualitative Kriterien: Branche oder Sektor nach NIS2-Anhang I (hohe Kritikalität, z.B. Energie, Gesundheit, Verkehr) oder Anhang II (weitere kritische Sektoren).
  • Quantitative Kriterien:
    • Wichtige Einrichtungen: ab 50 Mitarbeitern oder Umsatz >10 Mio. € oder Jahresbilanz >10 Mio.
    • Besonders wichtige Einrichtungen: ab 250 Mitarbeitern, Jahresumsatz >50 Mio. € oder Jahresbilanz >43 Mio.
Insgesamt betrifft das in Deutschland rund 25.000 wichtige Einrichtungen und 5.000 bis 10.000 besonders wichtige Einrichtungen.

Was müssen die betroffenen Unternehmen tun?

Das BSI sieht für die ca. 30.000 betroffenen Unternehmen einen zweistufigen Registrierungsprozess vor. Sie müssen sich ab Beginn des Jahres 2026 beim BSI registrieren, eigene Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren.
  1. Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto für Unternehmen im Sinne des Onlinezugangsgesetzes (OZG). MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit. Das BSI empfiehlt, den Account bei "Mein Unternehmenskonto" bis spätestens zum Jahresende 2025 anzulegen.
  2. Die Unternehmen sollten sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal registrieren. Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle.

Für Unternehmen, die unter NIS2 fallen, gelten darüber hinaus konkrete Pflichten:

  • Aufbau eines Risikomanagements und eines Informationssicherheits-Managementsystems (ISMS)
  • Zeitnahe Meldung von Sicherheitsvorfällen an das BSI und die Übernahme der Verantwortung durch die Geschäftsleitung, inklusive persönlicher Haftung. Verstöße können mit empfindlichen Bußgeldern bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen geahndet werden.
  • Jede Cyberattacke sollte bei Ihrer örtlichen Polizei angezeigt und muss im Falle einer NIS-2-Betroffenheit binnen gewisser Fristen an das BSI gemeldet werden. Die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA Niedersachsen kann von der örtlichen Polizei hinzugezogen oder direkt von den Unternehmen kontaktiert werden.
Zusätzlich sieht das BSI NIS-2-Geschäftsführungsschulungen vor. Hierzu finden sich ausführliche Hinweise zu den erforderlichen Maßnahmen sowie ein FAQ auf der Homepage des BSI.
Stand: 09.12.2025