Ihr Blog für digitale Sicherheit
NIS 2 Umsetzungsgesetz

NIS‑2‑Umsetzungsgesetz veröffentlicht, was bedeutet das?

Am 05.12.2025 wurde das NIS‑2‑Umsetzungsgesetz im Bundesgesetzblatt veröffentlicht, damit tritt es am 06.12.2025 in Deutschland in Kraft. Mit diesem Schritt setzt Deutschland die europäische NIS‑2‑Richtlinie vollständig in nationales Recht um, wodurch ein umfassend aktualisierter Rechtsrahmen für Cybersicherheit entsteht.

Hintergrund und Zielsetzung der NIS‑2‑Richtlinie

Die NIS‑2‑Richtlinie der Europäischen Union verfolgt das Ziel, die Sicherheit von Netz und Informationssystemen im gesamten Binnenmarkt anzuheben. Sie schafft verbindliche Mindeststandards für Cybersicherheit, fördert ein einheitlich hohes Schutzniveau und stärkt die Widerstandsfähigkeit gegenüber Cyberangriffen. Deutschland musste diese Vorgaben gesetzlich umsetzen, was nun durch das NIS‑2‑Umsetzungsgesetz erfolgt.

Deutliche Ausweitung des Kreis der verpflichteten Einrichtungen

Während zuvor etwa 4.500 Organisationen unter das bisherige BSI‑Gesetz fielen, weitet das neue Gesetz diesen Kreis erheblich aus. Rund 29.000 bis 30.000 weitere Unternehmen und Einrichtungen werden künftig reguliert. Dazu zählen besonders wichtige Einrichtungen sowie wichtige Einrichtungen, deren Einstufung sich nach Kriterien wie Unternehmensgröße, Branche oder Bedeutung für Gesellschaft und Wirtschaft richtet.

Auch Einrichtungen der Bundesverwaltung werden einbezogen, da sie künftig ein verbindliches Informationssicherheitsmanagement einführen müssen.

Neue Pflichten, die ab 06.12.2025 gelten

Registrierungspflicht

Alle betroffenen Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren, zudem eine zentrale Kontaktstelle benennen.

Meldepflicht bei Sicherheitsvorfällen

Erhebliche IT‑Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden, damit Risiken für Wirtschaft und Verwaltung frühzeitig erkannt werden können.

Risikomanagement und Schutzmaßnahmen

Unternehmen und öffentliche Einrichtungen müssen geeignete technische und organisatorische Maßnahmen umsetzen, die die Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme sicherstellen. Dazu gehören Verfahren für Notfallmanagement, Wiederherstellung, Zugriffsschutz und kontinuierliche Überwachung.

Schulungspflicht für Führungskräfte

Die Geschäftsleitung trägt künftig ausdrücklich Verantwortung für Cybersicherheit und muss sich regelmäßig schulen lassen, um Risiken korrekt einschätzen und Maßnahmen freigeben zu können.

Kontrollen und Nachweispflichten

Das BSI erhält erweiterte Prüf und Durchsetzungsbefugnisse. Besonders wichtige Einrichtungen müssen regelmäßig nachweisen, dass ihre Sicherheitsmaßnahmen wirksam sind. Wichtige Einrichtungen unterliegen risikobasierten und anlassbezogenen Prüfungen.

Bedeutung für Wirtschaft und Verwaltung

Mit dem neuen Gesetz verfolgt Deutschland das Ziel, die digitale Resilienz der gesamten Wirtschaft und der öffentlichen Verwaltung zu stärken. Die steigende Zahl komplexer Angriffe sowie die zunehmende Digitalisierung erfordern robuste Schutzmechanismen. Das NIS‑2‑Umsetzungsgesetz schafft dafür einen verbindlichen Rahmen, der nicht nur große Konzerne, sondern auch viele mittelständische Unternehmen betrifft.

Was betroffene Einrichtungen jetzt tun sollten

Unternehmen sollten umgehend prüfen, ob sie unter die neuen Vorgaben fallen. Das BSI stellt hierfür eine Betroffenheitsprüfung bereit, die eine erste Orientierung gibt. Anschließend sind Registrierung, Aufbau eines geeigneten Risikomanagements sowie Dokumentation aller Sicherheitsmaßnahmen erforderlich. Führungskräfte sollten zeitnah entsprechende Schulungen planen.

Ein frühzeitiger Start erleichtert die Umsetzung der Pflichten, die bei Nichteinhaltung zu erheblichen Sanktionen führen können.

Schulungspflicht beachten

Im Rahmen des NIS‑2‑Umsetzungsgesetzes ist die Durchführung von Schulungen zur Cybersicherheit ausdrücklich vorgeschrieben. Laut §38 Absatz 1 gilt:

„Die Leitungsebene einer Einrichtung trifft geeignete und verhältnismäßige Maßnahmen zur Schulung in Bezug auf Cybersicherheitsrisiken und deren Management.“

Konkret bedeutet das:

  • Die Geschäftsleitung ist verpflichtet, sich aktiv mit Cybersicherheitsrisiken auseinanderzusetzen und entsprechende Schulungsmaßnahmen sicherzustellen.
  • Die Schulungspflicht umfasst sowohl den Umgang mit Risiken als auch das Verständnis des Risikomanagements.
  • Diese Verantwortung ist nicht delegierbar, sondern liegt ausdrücklich bei der Leitungsebene der jeweiligen Einrichtung.

Praxisrelevanz

Die gesetzliche Regelung verpflichtet Unternehmen dazu, ihre Führungskräfte gezielt für Cybersicherheitsthemen zu sensibilisieren. Awareness‑Schulungen werden damit zu einem festen Bestandteil der Sicherheitsstrategie.

Ein bewährter Bestandteil solcher Schulungsmaßnahmen können z.B. Phishing‑Simulationen sein, mit denen das Erkennen und Vermeiden von Social-Engineering-Angriffen trainiert wird.

Darüber hinaus stärkt die Vorschrift die sogenannte Security Governance auf Leitungsebene – also die strukturierte Einbindung der Geschäftsführung in strategische und operative Fragen der Informationssicherheit.

Registrierungspflicht: Vorbereitung auf das neue BSI-Portal

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt betroffenen Einrichtungen, bis spätestens Ende 2025 einen Zugang zum Portal Mein Unternehmenskonto (MUK) einzurichten.

Ab 6. Januar 2026 wird das neu entwickelte BSI-Portal freigeschaltet. Über dieses Portal erfolgt die verpflichtende Registrierung gemäß NIS‑2 und künftig auch die Meldung erheblicher Sicherheitsvorfälle.

Wichtige Hinweise für meldepflichtige Einrichtungen

  • Die Registrierung im BSI-Portal setzt ein MUK-Nutzerkonto voraus.
  • Falls vor der Registrierung ein erheblicher Sicherheitsvorfall eintritt, muss dieser über ein Online-Formular an das BSI gemeldet werden.
  • KRITIS-Betreiber und Einrichtungen der Bundesverwaltung nutzen bis auf Weiteres ihre bestehenden Meldekanäle.

Die frühzeitige Einrichtung eines Unternehmenskontos stellt sicher, dass Fristen und Meldepflichten eingehalten werden können.

Fazit zum neuen NIS‑2‑Umsetzungsgesetz

Wenn auch mit viel Verzögerung, beginnt in Deutschland ein neues Kapitel der Cybersicherheit. Das NIS‑2‑Umsetzungsgesetz verpflichtet eine große Zahl an Unternehmen und Behörden zu klar definierten Sicherheitsmaßnahmen, wodurch ein höheres Schutz und Vertrauensniveau in der digitalen Infrastruktur erreicht werden soll. Einrichtungen, die frühzeitig handeln, stärken nicht nur ihre Compliance, sondern auch ihre eigene Stabilität gegenüber wachsenden Cyberbedrohungen.

05.12.2025 Sven Nawrath

Sven Nawrath ist Mitgründer von Klicktester und in weltweit führende Unternehmen zur Cybersicherheit investiert.

Sven Nawrath
Weitere Beiträge
Phishing Simulation mit Klicktester

Testen Sie bis zu 5 Mitarbeiter dauerhaft kostenlos

Jetzt kostenlos starten!
Ihre Privatsphäre ist uns wichtig
Um unseren Webauftritt und unsere Dienstleistungen für Sie verbessern zu können, möchten wir Ihren Besuch bei uns analysieren. Dazu verwenden wir Cookies. Das sind Textdateien, die in Ihrem Browser gespeichert werden und die uns eine Analyse der Benutzung der Website durch Sie ermöglichen.
Unsere Webseite wird bei Hetzner gehostet. Hetzner speichert ganz allgemeine Daten zu Ihrem Besuch, beispielsweise Ihre anonymisierte IP-Adresse, die Version Ihres Browsers, sowie Zeitpunkt des Webseitenaufrufs.
Ermöglicht eine Analyse des Nutzerverhaltens auf unserer Webseite.
Ermöglicht zielgerichtetes Marketing über das LinkedIn-Netzwerk und die Erfassung anonymisierter Nutzerdaten zur Optimierung von Werbemaßnahmen.
Ermöglicht die Analyse von Website-Besuchen und zielgerichtetes Marketing über das Meta / Facebook Werbenetzwerk.