Von Veröffentlicht am

NIS-2-Umsetzungsgesetz in Kraft: Was Unternehmen und Behörden jetzt wissen müssen

Die Cybersicherheit steht vor einem historischen Wendepunkt

Am 5. Dezember 2025 ist es soweit: Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt in Kraft und bringt damit die größte Reform des deutschen Cybersicherheitsrechts seit Jahren auf den Weg. Was auf den ersten Blick wie ein weiteres bürokratisches Update klingt, ist in Wahrheit ein , der Tausende Unternehmen und Behörden vor völlig neue Herausforderungen stellt. Bisher waren vor allem Betreiber Kritischer Infrastrukturen (KRITIS), einige Anbieter digitaler Dienste und Einrichtungen im besonderen öffentlichen Interesse von den Regelungen des BSI-Gesetzes betroffen – insgesamt rund 4.500 Organisationen. Mit der NIS-2-Richtlinie steigt diese Zahl nun auf an. Das bedeutet: , ihre IT-Sicherheit auf ein völlig neues Niveau zu heben.

Doch warum dieser massive Ausbau? Die Antwort liegt in der . Cyberangriffe auf Unternehmen und öffentliche Einrichtungen haben in den letzten Jahren dramatisch zugenommen – von Ransomware-Attacken auf Krankenhäuser bis hin zu Sabotageversuchen auf Energieversorger. Die EU hat mit der NIS-2-Richtlinie reagiert, und Deutschland setzt sie nun um.

Doch was bedeutet das konkret für Unternehmen und Behörden? Wer ist überhaupt betroffen? Und welche Schritte müssen sofort eingeleitet werden, um Bußgelder in Millionenhöhe zu vermeiden?

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie führt zwei zentrale Kategorien ein, die darüber entscheiden, ob ein Unternehmen oder eine Behörde handeln muss: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Besonders wichtige Einrichtungen: Die High-Risk-Gruppe

Zu dieser Kategorie gehören unabhängig von der Größe vor allem Betreiber kritischer Anlagen wie Energieversorger, große Krankenhäuser oder Verkehrsleitsysteme. Auch große Unternehmen in systemrelevanten Sektoren wie Finanzwesen, Gesundheit oder digitale Infrastruktur fallen darunter, sofern sie die Schwellenwerte überschreiten oder in Anlage 1 des NIS-2-Umsetzungsgesetzes gelistet sind. KRITIS-Betreiber (nach § 2 Nr. 22 BSIG) gelten dabei automatisch als besonders wichtige Einrichtungen – unabhängig von Mitarbeiterzahl oder Umsatz – und unterliegen verschärften Auflagen, wie etwa dem Einsatz von Systemen zur Angriffserkennung (§ 31 BSIG).

Beispiele für besonders wichtige Einrichtungen: Ein Stromnetzbetreiber, der Teil der deutschen Energieversorgung ist, oder ein großes Logistikunternehmen, das Häfen oder Schienennetze steuert. Auch ein Krankenhaus der Maximalversorgung, das lebenswichtige medizinische Dienstleistungen erbringt, fällt in diese Kategorie. Wichtig: Selbst kleinere Unternehmen können betroffen sein, wenn sie in Anlage 1 gelistet sind – etwa DNS-Diensteanbieter oder Top-Level-Domain-Registries.

Wichtige Einrichtungen: Der erweiterte Kreis

Hierunter fallen mittelgroße Unternehmen in den Sektoren nach Anlage 1 und 2 des NIS-2-Umsetzungsgesetzes, die nicht systemkritisch sind, aber ein hohes Risikopotenzial bergen. Dazu zählen etwa Cloud-Diensteanbieter (Sektor: Digitale Infrastruktur, Anlage 1 Nr. 6.1.4), Rechenzentren (Anlage 1 Nr. 6.1.5), Hersteller von Medizinprodukten (Anlage 1 Nr. 4.1.5) oder Forschungseinrichtungen (Anlage 2 Nr. 7.1.1).

Die Schwellenwerte (§ 28 Abs. 2 BSIG) liegen hier bei mindestens 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro oder einer Bilanzsumme von über 10 Millionen Euro. Wichtig: Es reicht aus, eine dieser drei Grenzen (Mitarbeiterzahl, Umsatz oder Bilanzsumme) zu überschreiten – nicht alle gleichzeitig. Ausnahme: Rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft (z. B. kommunale IT-Dienstleister), die ausschließlich für die öffentliche Verwaltung tätig sind, sind nicht betroffen (§ 28 Abs. 9 BSIG).

Beispiele für wichtige Einrichtungen: Ein mittelständischer Cloud-Anbieter, der kritische Infrastruktur-Dienste (z. B. für Krankenhäuser oder Energieversorger) oder Dienstleistungen für andere Unternehmen hostet, oder ein Hersteller von Medizinprodukten der Klasse IIb (z. B. Beatmungsgeräte oder Dialysegeräte), der zwar nicht zu den globalen Playern gehört, aber dennoch eine wichtige Rolle in der Versorgungskette spielt.  Auch ein Forschungsinstitut, das mit sensiblen Daten arbeitet, kann hierunter fallen.

Betroffene Sektoren: Wer muss handeln?

Die definieren 18 Sektoren, in denen strengere Sicherheitsvorgaben gelten. Die Einordnung erfolgt sektorspezifisch und hängt von der Art der Einrichtung ab. Zu den wichtigsten Sektoren zählen:

Im Sektor Energie sind Stromnetzbetreiber, Gasversorger und Betreiber von LNG-Anlagen betroffen. Im Transport- und Verkehrssektor fallen Flughäfen, Eisenbahnverkehrsunternehmen und Hafenbetreiber unter die Regelungen. Der Gesundheitssektor umfasst Krankenhäuser, Hersteller von Medizinprodukten und EU-Referenzlaboratorien. Besonders relevant ist auch der Sektor Digitale Infrastruktur, zu dem Cloud-Anbieter, DNS-Dienste, Rechenzentren und Managed-Service-Provider gehören. Eine vollständige Liste mit genauen Einrichtungsarten findet sich in Anlage 1 und 2 des Gesetzes (ab Seite 120).

Wichtig: Für Einrichtungsarten, die ausdrücklich in Anlage 1 gelistet sind – wie z. B. Cloud-Computing-Dienste –, greifen die Schwellenwerte nicht. Sie gelten unabhängig von ihrer Größe automatisch als ‚besonders wichtige Einrichtungen‘.

Sonderfall: Einrichtungen der Bundesverwaltung

Nicht nur Unternehmen, sondern auch Einrichtungen der Bundesverwaltung (§ 29 BSIG) sind betroffen. Dazu zählen Bundesbehörden, öffentlich-rechtlich organisierte IT-Dienstleister des Bundes und Körperschaften des öffentlichen Rechts. Ausgenommen sind das Auswärtige Amt, der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz, die ergebnisäquivalenten Maßnahmen unterliegen (§ 29 Abs. 3 BSIG).

Die Pflichten für die Bundesverwaltung umfassen:

  • Die Umsetzung von IT-Risikomanagementmaßnahmen auf Basis des IT-Grundschutzes (§ 44 BSIG).
  • Die Einhaltung der .
  • Regelmäßige Schulungen der Geschäftsführungen in Cybersicherheitsfragen (§ 43 Abs. 2 BSIG).

Die drei zentralen Pflichten: Was muss getan werden?

Wer unter die NIS-2-Regelungen fällt, muss drei grundlegende Verpflichtungen erfüllen. Wer diese ignoriert, riskiert hohe Bußgelder – im schlimmsten Fall bis zu 2 % des weltweiten Jahresumsatzes.

1. Pflicht zur Registrierung: Der erste Schritt

Betroffene Unternehmen und Behörden müssen sich spätestens drei Monate nach Inkrafttreten – also bis zum 5. März 2026 – beim BSI-Portal registrieren.
Für bestimmte Einrichtungsarten – insbesondere Domain-Name-Registry-Dienstleister und DNS-Dienste – gilt nach § 34 BSIG eine unverzügliche Registrierungspflicht. Betreiber kritischer Anlagen hingegen unterliegen der regulären dreimonatigen Frist gemäß § 33 BSIG, auch wenn sie automatisch als besonders wichtige Einrichtungen eingestuft werden.

Das Registrierungsverfahren läuft in zwei Schritten ab: Zuerst muss bis zum 31. Dezember 2025 ein „Mein Unternehmenskonto“ (MUK) angelegt werden. MUK ist ein digitaler Dienst nach dem Onlinezugangsgesetz (OZG) und basiert auf der ELSTER-Technologie. Ab dem 6. Januar 2026 wird das neue BSI-Portal freigeschaltet; erst ab diesem Zeitpunkt ist die Registrierung mit dem MUK-Konto möglich. Das Portal dient anschließend als zentrale Meldestelle für erhebliche Sicherheitsvorfälle. Ohne diese Registrierung können keine Meldungen abgegeben werden!

Konsequenzen bei Fristversäumnis:

  • Bußgelder bis zu 500.000 Euro (§ 65 Abs. 2 Nr. 6 BSIG).
  • Keine Meldung von Sicherheitsvorfällen möglich, was im Ernstfall zu doppelten Strafen führen kann.

2. Meldepflicht bei Sicherheitsvorfällen: Schnell handeln, hohe Strafen vermeiden

Ein „erheblicher Sicherheitsvorfall“ (§ 2 Nr. 11 BSIG) liegt vor, wenn er schwerwiegende Betriebsstörungen verursacht, finanzielle Verluste nach sich zieht oder Dritte beeinträchtigt. Beinahevorfälle ohne tatsächliche Auswirkungen (z. B. abgewehrte Angriffe ohne Datenverlust) sind nicht meldepflichtig, können aber freiwillig gemeldet werden, um das BSI über neue Bedrohungslagen zu informieren (§ 5 Abs. 2 BSIG).

Die Meldefristen sind wie folgt geregelt:

  • Die Erstmeldung muss spätestens innerhalb von 24 Stunden nach erster Kenntnis eines Verdachts erfolgen – auch wenn der Vorfall noch nicht bestätigt ist. Sie enthält eine Kurzinformation über den Verdacht auf böswillige Handlung, betroffene Systeme/Daten und mögliche grenzüberschreitende Auswirkungen.
  • Die detaillierte Meldung ist innerhalb von 72 Stunden nach Feststellung der Erheblichkeit (§ 2 Nr. 11 BSIG) fällig und umfasst eine Bewertung des Schweregrads, der konkreten betroffenen Systeme/Daten sowie der ergriffenen ersten Gegenmaßnahmen.
  • Die Abschlussmeldung muss innerhalb eines Monats nach vollständiger Behebung des Vorfalls eingereicht werden und enthält eine umfassende Dokumentation der Ursachenanalyse, der ergriffenen Abhilfemaßnahmen und der Lessons Learned für zukünftige Prävention.

Wo wird gemeldet? Ab dem 6. Januar 2026 über das BSI-Portal (Voraussetzung: MUK-Account). Bis zur Registrierung kann das BSI-Online-Formular genutzt werden. KRITIS und Bundesbehörden nutzen vorerst ihre bisherigen Meldewege, müssen aber bis zum 31. März 2026 auf das BSI-Portal wechseln.

Konsequenzen bei Nichtmeldung:

  • Für wichtige Einrichtungen gelten Bußgelder von bis zu 7 Millionen Euro – oder 1,4 % des weltweiten Umsatzes, aber nur wenn dieser 50 Millionen Euro übersteigt.
  • Kleinere Unternehmen (Umsatz < 50 Mio. €) zahlen maximal 7 Millionen Euro als Festbetrag.

3. Risikomanagementmaßnahmen: Nicht nur melden, sondern vorbeugen

Alle betroffenen Einrichtungen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ ergreifen, um Sicherheitsvorfälle zu verhindern (§ 30 BSIG). Dazu gehören mindestens:

  • Risikoanalysen und Sicherheitskonzepte.
  • Backup-Management und Notfallwiederherstellung.
  • Sicherheit der Lieferkette (z. B. bei Cloud-Diensten).
  • Schulungen für Mitarbeiter und Geschäftsführungen.
  • Einsatz von Systemen zur Angriffserkennung (nur für KRITIS-Betreiber, § 31 Abs. 2 BSIG).

Besondere Anforderungen:

  • Betreiber kritischer Anlagen müssen einsetzen, die fortwährend Bedrohungen identifizieren.
  • Die Bundesverwaltung muss die BSI-Mindeststandards einhalten.
  • Finanzunternehmen unterliegen spezifischen Sektorregeln (z. B. BaFin-Vorgaben).
  • Die Europäische Kommission kann zusätzliche Anforderungen per Durchführungsrechtsakt festlegen (§ 30 Abs. 4 BSIG).

Konsequenzen bei Nichteinhaltung: Bußgelder, die wehtun

Wer die neuen Pflichten ignoriert, muss mit harten Sanktionen rechnen. Die Bußgelder sind abschreckend hoch und richten sich nach der Größe und Kategorie der Einrichtung. Bei besonders wichtigen Einrichtungen können (bei Umsatz > 500 Mio. €) verhängt werden. Für wichtige Einrichtungen gelten Bußgelder bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Wiederholte Verstöße führen zu höheren Strafen (§ 65 Abs. 3 BSIG).

Beispiele für Bußgelder:

  • Fehlende Risikomanagementmaßnahmen: Bis zu 10 Millionen Euro (besonders wichtige Einrichtungen) bzw. 7 Millionen Euro (wichtige Einrichtungen).
  • Nichtmeldung eines Sicherheitsvorfalls: Bis zu 10 Millionen Euro (oder 2 % des Umsatzes) bzw. 7 Millionen Euro (oder 1,4 % des Umsatzes).
  • Nichtregistrierung: Bis zu 500.000 Euro.

Hinweis: Die Ermittlung des Umsatzes erfolgt nach Artikel 3 der EU-Richtlinie 2013/34/EU (Jahresabschlussrichtlinie).

Was jetzt zu tun ist: Eine Schritt-für-Schritt-Anleitung

Die Zeit drängt – besonders für Unternehmen, die bisher nicht unter das BSI-Gesetz fielen. Hier ist ein konkreter Fahrplan, um die NIS-2-Anforderungen rechtzeitig umzusetzen:

Zuerst sollte die Betroffenheit geprüft werden:

  • Gehört das Unternehmen zu einem der 18 regulierten Sektoren (Anlage 1 oder 2)?
  • Werden die Schwellenwerte (mindestens 50 Mitarbeiter oder 10 Millionen Euro Umsatz) überschritten?
  • Ist das Unternehmen bereits als Betreiber kritischer Infrastruktur eingestuft? Falls ja, gelten automatisch die strengsten Regeln.

Als nächstes folgt die Registrierung:

Dann sollten Meldeprozesse etabliert werden:

  • Verantwortliche für die Meldung an das BSI benennen.
  • Vorlagen für die 24/72-Stunden-Meldungen vorbereiten.
  • Den Meldeprozess vorab testen (empfohlen vom BSI).

Anschließend müssen Risikomanagementmaßnahmen umgesetzt werden:

  • Das IT-Sicherheitskonzept aktualisieren oder erstellen.
  • Ein Schwachstellenmanagement einführen (regelmäßige Scans, Patching, Penetrationstests).
  • Die Lieferkettenrisiken prüfen (sind Cloud-Dienste oder externe IT-Dienstleister NIS-2-konform?).
  • Schulungen für Mitarbeiter und Geschäftsführungen durchführen.

Optional kann externe Unterstützung eingeholt werden:

  • IT-Sicherheitsdienstleister können bei Risikoanalysen oder Zertifizierungen helfen.
  • Rechtliche Beratung minimiert Haftungsrisiken.
  • Die BSI-Hotline bietet eine an.

Rechtlicher Hinweis

Dieser Artikel dient der ersten Orientierung und ersetzt keine individuelle Rechtsberatung. Die Angaben basieren auf dem Stand vom 5. Dezember 2025 (Inkrafttreten des NIS-2-Umsetzungsgesetzes) und können sich durch spätere Rechtsakte (z. B. EU-Durchführungsverordnungen) ändern. Für eine rechtsverbindliche Prüfung der Betroffenheit und Umsetzung empfiehlt sich eine Beratung durch IT-Sicherheitsexperten oder Juristen.

Fazit:

Die NIS-2-Richtlinie ist keine theoretische Übung, sondern eine konkrete Verpflichtung mit schweren Konsequenzen bei Nichteinhaltung. Während große Konzerne und KRITIS-Betreiber bereits Erfahrung mit Cybersicherheitsregularien haben, stehen Tausende mittelständische Unternehmen nun vor einer völlig neuen Herausforderung.

Die gute Nachricht: Wer jetzt handelt, hat noch genug Zeit, um die Anforderungen schrittweise umzusetzen. Die schlechte Nachricht: Wer die Fristen verpasst, riskiert existenzbedrohende Bußgelder und im schlimmsten Fall Betriebsunterbrechungen durch Cyberangriffe.

Drei Dinge sollten betroffene Unternehmen und Behörden daher sofort angehen:

  1. Klären, ob man betroffen ist (Sektor + Schwellenwerte).
  2. Bis Ende 2025 das „Mein Unternehmenskonto“ (MUK) anlegen.
  3. Ab dem 6. Januar 2026 im BSI-Portal registrieren und Meldeprozesse aufsetzen.