Neues Cybersicherheitsgesetz gilt seit dem 6. Dezember

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Rund 30.000 Unternehmen müssen damit strengere Vorgaben zur IT-Sicherheit erfüllen und unterliegen künftig der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unternehmen sollten jetzt prüfen, ob sie nach § 28 BSIG als „wichtige“ oder „besonders wichtige“ Einrichtung eingestuft werden. Die zeitnahe Einstufung entscheidet über alle weiteren Pflichten. Unternehmen müssen nun prüfen, ob sie betroffen sind.

Vorbereitung der Registrierung

BSI in Bonn, editorial use only — © nmann77/AdobeStock

Betroffene Unternehmen müssen sich zunächst über Mein Unternehmenskonto (MUK) für die digitalen Dienste des BSI anmelden. Das Unternehmenskonto bildet die Grundlage für die spätere Registrierung als NIS-2-Einrichtung. Ab dem 6. Januar 2026 ist die Registrierung im neuen BSI-Portal möglich und muss innerhalb von drei Monaten abgeschlossen werden. Die dafür erforderlichen Angaben nach § 33 BSIG sollten im Vorfeld zusammengestellt werden.

Risikomanagement und Meldepflichten

Parallel dazu müssen Unternehmen ihre Prozesse zur Informationssicherheit anpassen. Die Risikomanagementmaßnahmen nach § 30 BSIG sind vollständig umzusetzen und zu dokumentieren. Viele Betriebe orientieren sich hierfür an anerkannten Standards wie der ISO 27001. Neu geregelt ist auch der Umgang mit Sicherheitsvorfällen: Erhebliche IT-Vorfälle müssen künftig innerhalb von 24 Stunden gemeldet werden. Ab dem 6. Januar 2026 ist dafür das BSI-Portal vorgesehen, zu dem man mit dem MUK-Konto Zugang bekommt. Klare Verantwortlichkeiten und ein funktionierender Meldeprozess sind dafür unabdingbar.

Verantwortlichkeiten und Rolle der Geschäftsleitung

Das Gesetz verlangt außerdem die Benennung einer verantwortlichen Person für Informationssicherheit (z. B. ISB oder CISO). Diese Rolle kann intern oder extern besetzt werden, sollte aber mit belastbaren Vertretungsregelungen ausgestattet sein. Die Geschäftsleitung selbst ist stärker in die Pflicht genommen: Sie trägt die Verantwortung für die Überwachung der Maßnahmen und muss an verpflichtenden Schulungen teilnehmen (§ 38 BSIG).

Mit NIS-2 werden die Anforderungen an die Cybersicherheit deutlich erweitert. Unternehmen, die unter das Gesetz fallen, sollten die Umsetzung der neuen Vorgaben frühzeitig einleiten, um die gesetzlichen Fristen einzuhalten und das eigene Sicherheitsniveau zu stärken.

Weitere Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit.

Was nun zu tun ist:

Checkliste: Ist das Unternehmen bereit für NIS-2?
Was jetzt zu tun ist:
1. Betroffenheit prüfen (§ 28 BSIG)
  Schwellenwerte, Sektor und branchenspezifische Kriterien klären.
2. „Mein Unternehmenskonto“ anlegen
  Vorbereitung für die spätere BSI-Registrierung (Empfehlung: bis 31. Dezember 2025).
3. Registrierung im BSI-Portal
  Möglich ab 6. Januar 2026, Frist: drei Monate.
4. Risikomanagement umsetzen (§ 30 BSIG)
  Gap-Analyse, Planung und Dokumentation – Orientierung an ISO 27001.
5. Meldeprozesse einrichten (§ 32 BSIG)
  24-Stunden-Frist beachten, Verantwortlichkeiten definieren, Prozesse testen.
6. Verantwortliche Person benennen
  ISB/CISO intern oder extern; Vertretungsregelung sicherstellen.
7. Geschäftsleitung schulen (§ 38 BSIG)
  Schulungen und Überwachungspflichten liegen bei der Leitung.

IHK-Ansprechpartner:

Kerstin Weidner

Kontakt

Redaktion Wirtschaftsspiegel