08.12.2025

NIS2-Umsetzungsgesetz ist in Kraft getreten

Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie im Bundesgesetzblatt verkündet – und trat damit am 6. Dezember 2025 in Kraft. Damit beginnt eine umfassende Modernisierung des deutschen Cybersicherheitsrechts mit spürbar höheren Anforderungen an Unternehmen und öffentliche Einrichtungen.

Jetzt unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner & Geschäftsführer

Was ändert sich durch das NIS2-Umsetzungsgesetz?

Mit dem NIS2-Umsetzungsgesetz wird insbesondere das BSI-Gesetz (BSIG) novelliert. Der Kreis der regulierten Unternehmen wächst damit erheblich:

  • Bisher: ca. 4.500 regulierte Organisationen
  • Künftig: rund 29.500 durch das BSI beaufsichtigte Einrichtungen

Betroffen sind Unternehmen, die

  • in bestimmten Sektoren tätig sind und
  • festgelegte Schwellenwerte hinsichtlich Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten.

Es werden zwei neue Kategorien eingeführt:

  • Wichtige Einrichtungen
  • Besonders wichtige Einrichtungen

Betreiber Kritischer Infrastrukturen (KRITIS) gelten automatisch als besonders wichtige Einrichtungen.

Alle Infos zum Anwendungsbereich und den Pflichten finden Sie in unserem ausführlichen Beitrag zur NIS2-Richtlinie.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 1 und 6?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Zentrale Pflichten für betroffene Unternehmen

Unternehmen, die unter den Anwendungsbereich der NIS2-Umsetzung fallen, müssen nun insbesondere vier Kernpflichten erfüllen:

  1. Registrierungspflicht beim BSI: Registrierung als NIS2-betroffene Einrichtung im künftigen BSI-Portal.
  2. Meldepflicht bei erheblichen Sicherheitsvorfällen: Relevante Sicherheitsvorfälle müssen dem BSI fristgerecht gemeldet werden.
  3. Risikomanagementmaßnahmen umsetzen und dokumentieren: Implementierung geeigneter technischer und organisatorischer Maßnahmen der Informationssicherheit sowie deren Dokumentation.
  4. Lieferkettenmanagement: Sicherheitsrisiken in der gesamten Lieferkette erkennen, bewerten und aktiv managen – durch technische, organisatorische und vertragliche Maßnahmen.

NIS2-Registrierung in 2 Schritten

Das BSI sieht für betroffene Einrichtungen einen zweistufigen Prozess vor:

1. Registrierung bei „Mein Unternehmenskonto“ (MUK)

  • MUK ist das digitale Unternehmenskonto als Zugang zu Verwaltungsleistungen.
  • Es basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate.
  • Empfehlung des BSI: Anlage des Accounts bis spätestens Jahresende 2025.

2. Registrierung im neuen BSI-Portal

  • Das BSI-Portal wird am 6. Januar 2026 freigeschaltet.
  • Es dient u. a. als Meldestelle für erhebliche Sicherheitsvorfälle.

Für meldepflichtige Einrichtungen gilt:

Tritt ein erheblicher Sicherheitsvorfall ein, bevor die Registrierung im BSI-Portal abgeschlossen ist, erfolgt die Meldung über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.

Trotz der BSI-Empfehlung gibt es aber keinen Grund zur Panik. Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut in den Anwendungsbereich fallen, registrieren.

Was sollten Unternehmen jetzt tun?

Aus unserer Sicht sind insbesondere folgende Schritte wichtig:

  1. Prüfen, ob das eigene Unternehmen unter die Regelungen der NIS2-Umsetzung fällt
  2. Verantwortlichkeiten für Informationssicherheit und Compliance klar definieren
  3. Risikomanagement und ISMS (Informationssicherheitsmanagement) prüfen, ggf. auf- oder ausbauen
  4. Meldewege und Prozesse für Sicherheitsvorfälle festlegen
  5. „Mein Unternehmenskonto“ (MUK) rechtzeitig einrichten, um für die Registrierung im BSI-Portal ab Anfang 2026 bereit zu sein

Wie wir Sie unterstützen können

  • Prüfung, ob Ihr Unternehmen unter NIS2 fällt
  • Gap-Analyse zwischen aktuellem Stand Ihrer Informationssicherheit und den NIS2-Anforderungen
  • Entwicklung eines Umsetzungsfahrplans (Prioritäten, Maßnahmen, Zeitplan)
  • Schulungen für Management und Mitarbeitende zu Pflichten nach NIS2 und Meldeprozessen

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

Zurück zur Newsübersicht

Weitere Neuigkeiten

29.05.2026

Microsoft 365 & Datenschutz: Risiken erkennen, Maßnahmen umsetzen, DSGVO-konform arbeiten

Ob sich Microsoft 365 datenschutzkonform einsetzen lässt, ist weder pauschal mit Ja noch mit Nein zu beantworten — entscheidend ist der konkrete Einsatz im jeweiligen Unternehmen. Die Lage hat sich seit 2022 verbessert, doch Teile der damaligen Behördenkritik bestehen fort. Wir zeigen die tatsächlichen Risiken, die aktuelle Behördenhaltung und die Maßnahmen, die jetzt zählen.

Weiterlesen …

26.05.2026

NIS2 Tools für KMUs — warum Tools helfen, aber keine Compliance erkaufen

Kein Tool macht ein Unternehmen automatisch NIS2-konform. Tools beschleunigen die Umsetzung nur, wenn Risiken, Verantwortlichkeiten und Prozesse vorher geklärt sind. Wir zeigen, welche Tool-Kategorien Sie wirklich brauchen, wie ein pragmatischer Basis-Stack aussieht und welche Fragen Sie vor jedem Kauf klären sollten.

Weiterlesen …

21.05.2026

Datenschutz & IT-Sicherheit im M&A-Verfahren — Prüfrahmen für Datenwert, Risiken und Deal-Folgen

Daten erhöhen den Unternehmenswert nur, wenn sie wirtschaftlich nutzbar, rechtlich verwertbar und technisch geschützt sind. Fehlende Rechtsgrundlagen, schwache IT-Sicherheit oder unklare Datenqualität können aus einem vermeintlichen Werttreiber ein konkretes Deal-Risiko machen. Wir zeigen, wie Private-Equity-Investoren und Deal Teams Datenwert, Datenschutz und IT-Sicherheit in der Due Diligence strukturiert prüfen und in konkrete Deal-Mechanik übersetzen.

Weiterlesen …