Am 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft getreten – ohne Übergangsfristen. Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) verpflichtet nun erstmals große Teile der deutschen Wirtschaft zu verbindlichen Cybersicherheitsstandards.
Hintergrund und Zielsetzung
Die NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu erreichen. Die verschärfte sicherheitspolitische Lage – einschließlich zunehmender Cyberangriffe durch Kriminelle und ausländische Nachrichtendienste – macht diese Regulierung notwendig.
| Aspekt | Details |
| Inkrafttreten | 6. Dezember 2025 (ohne Übergangsfrist) |
| Betroffene Unternehmen | Ca. 30.000 (vorher: 4.500) |
| Aufsichtsbehörde | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Geschätzte Kosten | 2,2 Mrd. EUR einmalig + 2,3 Mrd. EUR jährlich |
| Registrierungsfrist | Besonders wichtige Einrichtungen: bis 6. März 2026 |
Betroffene Sektoren und Einrichtungen
Das Gesetz unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Betroffen sind unter anderem:
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport und Verkehr
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharma)
- Trinkwasser und Abwasser
- Digitale Infrastruktur und IT-Dienste
- Öffentliche Verwaltung
- Herstellung kritischer Produkte (Chemie, Medizinprodukte)
NIS2-Richtlinie – Das neue Cybersicherheitsgesetz
Kernpflichten für Unternehmen
Risikomanagement
Unternehmen müssen ein umfassendes Risikomanagement implementieren, das den gesamten Lebenszyklus ihrer IT-Systeme abdeckt:
- Risikoanalyse und Sicherheitskonzepte
- Technische und organisatorische Maßnahmen (TOMs)
- Business Continuity Management
- Supply-Chain-Sicherheit (Lieferketten-Risikomanagement)
Meldepflichten
Bei Sicherheitsvorfällen gelten strenge Meldefristen:
| Frist | Anforderung |
| 24 Stunden | Erstmeldung an das BSI nach Bekanntwerden |
| 72 Stunden | Detaillierte Folgemeldung mit Bewertung |
| 1 Monat | Abschlussbericht mit Maßnahmen |
Geschäftsführer-Verantwortung
NIS2 macht Cybersicherheit zur Chefsache: Geschäftsleitungen sind persönlich verpflichtet, die Risikomanagementmaßnahmen umzusetzen und zu überwachen. Sie müssen sich regelmäßig (alle 3 Jahre) zu Cybersicherheit schulen lassen. Verstöße können zu persönlicher Haftung führen.
| Handlungsempfehlung
Unternehmen sollten sofort mit einer Gap-Analyse beginnen und ihre Betroffenheit prüfen. Die Registrierung beim BSI erfolgt über ‘Mein Unternehmenskonto’ (MUK). Das BSI empfiehlt, den Account bis spätestens Ende 2025 anzulegen. |