Seit dem 06. Dezember 2025 gilt das NIS-2-UmsCG in Deutschland. Es überführt die europäische NIS-2-Richtlinie in das BSI-Gesetz und verschärft die Anforderungen an die IT-Sicherheit deutlich. Cybersicherheit wird damit zur festen Aufgabe.
Wer ist betroffen?
Erfasst werden Unternehmen in 18 Sektoren – Energie, Verkehr, Gesundheit, digitale Infrastruktur, Industrie und weitere Bereiche. Entscheidend sind Größe und wirtschaftliche Bedeutung, gemessen an Schwellenwerten (Mitarbeiterzahl oder Jahresumsatz und -bilanzsumme).
In der Praxis stehen vor allem mittlere und größere Unternehmen im Fokus, da sie eine zentrale Rolle für Wirtschaft und Versorgung spielen. Zugleich werden auch einzelne Akteure unabhängig ihrer Größe erfasst. Je nach Einstufung als „wichtige“ oder „besonders wichtige“ Einrichtung gelten für betroffene Unternehmen abgestufte Pflichten.
Was fordert NIS2?
Unternehmen müssen angemessene technische und organisatorische Maßnahmen zur Cybersicherheit umsetzen. Dazu zählen Risikoanalysen, Lieferkettensicherheit, Krisenmanagement, Cyberhygiene sowie Verschlüsselung und Multi-Faktor-Authentifizierung. Sicherheitsvorfälle müssen zeitnah und in mehreren Stufen gemeldet werden.
Was Unternehmen jetzt tun sollten
Betroffene müssen sich eigenständig binnen drei Monaten ab Gesetzesgeltung beim BSI registrieren. Wer dies innerhalb der Frist bis zum 6. März noch nicht getan hat, sollte dies umgehend nachholen.
Darüber hinaus gilt: NIS2 erfordert die Umsetzung in den IT-Prozessen: Zuständigkeiten klären, Schwachstellen erkennen und Maßnahmen implementieren. Wer früh handelt, behält die Kontrolle über die Risiken. Ergänzend lohnt sich auch ein Blick auf den Cyber Resilience Act.
