Das Gesetz ist da – aber kaum jemand ist bereit

Am 6. Dezember 2025 trat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Der Bundestag hatte es am 13. November verabschiedet, der Bundesrat stimmte am 21. November zu. Damit endet eine lange Phase des Abwartens – und beginnt eine Phase, in der Unternehmen konkret handeln müssen.

Das Problematische: Das Gesetz sieht keine Schonfrist vor. Die technischen und organisatorischen Maßnahmen (TOM) sind ab dem ersten Tag verbindlich. Wer noch keine Gap-Analyse durchgeführt hat, befindet sich faktisch bereits in einer Compliance-Lücke.

Wen trifft NIS2 überhaupt?

Das ist die entscheidende Frage, und die Antwort überrascht viele: Der Anwendungsbereich wurde gegenüber NIS1 massiv ausgeweitet. Waren bislang rund 4.500 Organisationen durch das BSI-Gesetz reguliert, sind es nun schätzungsweise 29.500 Einrichtungen.

Betroffen sind Unternehmen, die:

  • mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz haben, und
  • in einem der 18 regulierten Sektoren tätig sind – darunter Energie, Produktion, Logistik, IT-Dienstleistungen, Maschinenbau, Chemie und Gesundheitswesen.

Besonders wichtig: Unternehmen müssen selbst prüfen, ob sie betroffen sind. Das BSI informiert nicht aktiv. Wer es versäumt, riskiert Bußgelder und die persönliche Haftung der Geschäftsführung.

Die drei zentralen Pflichten

1. Registrierung beim BSI

Seit dem 6. Januar 2026 ist das BSI-Portal freigeschaltet. Für "besonders wichtige Einrichtungen" endet die Registrierungspflicht bereits im März 2026. Wer noch keinen Account bei "Mein Unternehmenskonto" (MUK) erstellt hat, sollte das unmittelbar nachholen – der zweistufige Prozess braucht Zeit.

2. Risikomanagementmaßnahmen implementieren

NIS2 fordert ein systematisches Sicherheitsmanagement: Risikoanalysen, technische Schutzmaßnahmen, Zugriffskontrollen, Verschlüsselung, Backup-Strategien und Business-Continuity-Planung. Wer bereits nach ISO/IEC 27001 zertifiziert ist, hat hier einen erheblichen Vorsprung – aber auch kein Freifahrtschein, da NIS2 eigene Anforderungen mitbringt.

3. Meldepflichten bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen gilt eine strikte Meldekette gegenüber dem BSI: innerhalb von 24 Stunden eine erste Frühwarnung, innerhalb von 72 Stunden ein detaillierter Bericht. Das setzt voraus, dass intern Prozesse und Verantwortlichkeiten klar definiert sind – lange bevor ein Vorfall eintritt.

Die Haftung trifft die Chefetage

NIS2 markiert einen Paradigmenwechsel: Cybersicherheit ist keine rein technische Aufgabe mehr, die man an die IT-Abteilung delegiert. Die Richtlinie macht klar, dass die Verantwortung bei der Geschäftsführung liegt – persönlich, dauerhaft und prüfbar. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Leitungsorgane.

Das ist keine abstrakte Drohung. Die ersten Verfahren werden folgen, sobald das BSI seinen Aufsichtsbetrieb vollständig aufgenommen hat.

Was jetzt zu tun ist

  1. Betroffenheitsprüfung: Nutzen Sie das BSI-Tool zur NIS2-Betroffenheitsprüfung. Wenn Zweifel bestehen, lassen Sie rechtlich prüfen.
  2. Gap-Analyse: Gleichen Sie Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen ab. Identifizieren Sie Lücken bei TOM, Meldeprozessen und Governance.
  3. Registrierung vorbereiten: Erstellen Sie den Account bei "Mein Unternehmenskonto" und registrieren Sie Ihr Unternehmen im BSI-Portal.
  4. Incident-Response-Prozess etablieren: Definieren Sie klare Verantwortlichkeiten und Meldeketten für den Ernstfall.
  5. Geschäftsführung einbeziehen: NIS2-Compliance ist Chefsache. Die Leitungsebene muss informiert sein und aktiv mitwirken.

Wer noch keine Informationssicherheitsstrategie etabliert hat, sollte jetzt nicht auf die nächste Budget-Runde warten. Die Uhr läuft bereits.