Seit dem 6. Dezember 2025 gilt das neue BSIG. Rund 29.000 Unternehmen sind betroffen, viele erstmals: neben Unternehmen aus den Bereichen Energie und Gesundheit auch z.B. Mittelständler aus IT, Maschinenbau, Medizintechnik, Forschung. Wer dazugehört, muss selbst prüfen – eine behördliche Einladung kommt nicht.
Das Gesetz kennt „besonders wichtige" und „wichtige" Einrichtungen, je nach Größe, Branche oder Systemrelevanz. Für beide gilt: Die Geschäftsleitung haftet persönlich. Schulungspflicht inklusive, mindestens alle drei Jahre, sauber dokumentiert.
Die Pflichten reichen weit: technische und organisatorische Maßnahmen, Lieferketten-Due-Diligence, lückenlose Dokumentation. Bei erheblichen Vorfällen tickt die Uhr – Erstmeldung beim BSI nach 24 Stunden, Bewertung nach 72, Abschlussbericht nach einem Monat. Bußgelder: bis zu 10 (in Einzelfällen sogar 20) Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes.
Ein vernünftig implementiertes Informationssicherheitsmanagementsystem kann bei der Erfüllung der Pflichten helfen. Ein Ordner voller Policies stoppt keinen Angreifer und hält keine 24-Stunden-Frist. Was zählt, sind gelebte Systeme – klare Verantwortlichkeiten, automatisierte Erkennung, getestete Meldewege, sorgfältig ausgewählte und vertraglich abgesicherte Lieferanten.
Unsere Empfehlung: Starten Sie mit einer ehrlichen Standortbestimmung. Wo arbeiten Prozesse, wo liegen nur Dokumente? Das BSI prüft nicht ab Tag eins – aber spürbare Fortschritte bei der Umsetzung von NIS2 werden erwartet. Mehr Informationen zu den NIS2-Pflichten und zur Umsetzung gibt es hier.
