NIS2 ist scharf: Das deutsche Umsetzungsgesetz gilt – ohne Übergangsfrist

NIS2 ist scharf: Das deutsche Umsetzungsgesetz gilt – ohne Übergangsfrist

Was das NIS2UmsuCG seit Dezember 2025 für rund 29.500 Unternehmen bedeutet – und welche Fristen bereits verstrichen sind

Die Zeit der Entwürfe ist endgültig vorbei. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag verabschiedet, am 20. November 2025 vom Bundesrat bestätigt und ist am 6. Dezember 2025 in Kraft getreten. Es reformiert das BSI-Gesetz grundlegend (BSIG-neu). Wichtig für die Praxis: Es gibt keine Übergangsfrist für die Umsetzung der Sicherheitsmaßnahmen.

Fristen, die bereits verstrichen sind: Das Meldeportal des BSI ging am 6. Januar 2026 online, die BSI-Registrierungsfrist für betroffene Einrichtungen lief bereits am 6. März 2026 ab. Wer hier noch offen ist, sollte das umgehend nachholen.

Wer ist betroffen?

NIS2 erweitert den Kreis der regulierten Organisationen massiv. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren – nicht mehr nur klassische KRITIS-Betreiber (Energie, Wasser, Gesundheit), sondern auch Sektoren wie industrielle Produktion, Lebensmittelversorgung, Postdienste und digitale Verwaltung. Die grobe Schwelle für „wichtige” und „wesentliche” Einrichtungen:

Mindestens 50 Mitarbeitende oder mindestens 10 Mio. € Umsatz / Bilanzsumme in einem der erfassten Sektoren. Auch kleinere Zulieferer geraten über Lieferketten-Anforderungen (z. B. TISAX® im Automotive-Umfeld) faktisch in die Pflicht.

Die fünf Paragraphen, die Sie kennen müssen

§ Thema
§ 28 Betroffenheit – wer unter das Gesetz fällt
§ 30 Risikomanagement – technische und organisatorische Maßnahmen (TOM)
§ 32 Meldepflichten – verschärfte Fristen für Sicherheitsvorfälle
§ 38 Geschäftsleitungspflichten – persönliche Verantwortung des Managements
§ 65 Bußgelder – bis zu 10 Mio. €

Besonders unterschätzt wird § 38: Die Geschäftsleitung ist persönlich für die Umsetzung der Risikomanagementmaßnahmen verantwortlich und haftbar. Cybersicherheit ist damit endgültig Chefsache.

Was technisch zu tun ist

§ 30 BSIG verlangt einen risikobasierten Ansatz mit dokumentierten Maßnahmen. Für Windows-/AD-Umgebungen heißt das konkret unter anderem:

  • Asset- und Risikoinventar inklusive Active Directory und privilegierter Konten
  • Härtung nach anerkanntem Standard (BSI IT-Grundschutz, mappbar auf ISO 27001)
  • Patch- und Schwachstellenmanagement mit Nachweisführung
  • Zugriffskontrolle, MFA, Tiering-Modell für administrative Konten
  • Logging/Monitoring und ein belastbarer Meldeprozess für Vorfälle
  • Backup-, Notfall- und Wiederanlaufkonzepte

Praxis-Tipp: Die Umsetzung lässt sich erheblich erleichtern, wenn Sie auf bestehende Mappings setzen – etwa BSI IT-Grundschutz und ISO 27001. So vermeiden Sie Doppelarbeit und schaffen eine prüffähige Dokumentation aus einer Quelle.

Fazit

NIS2 ist kein Zukunftsthema mehr, sondern geltendes Recht ohne Schonfrist. Wer betroffen ist, muss die Maßnahmen nach § 30 ab dem ersten Tag nachweisen können – und die Registrierungspflichten sind teils bereits abgelaufen. Der pragmatische Weg führt über eine saubere Betroffenheitsprüfung, ein dokumentiertes Risikomanagement und eine Härtung, die sich auf etablierte Standards abstützt.

NIS2-Betroffenheit und Maßnahmen sauber nachweisen?

Ich unterstütze Sie bei Betroffenheitsprüfung, TOM-Umsetzung und prüffähiger Dokumentation – mit Tools wie dem ISW NIS2 Compliance Manager und passgenauer Beratung zu BSI IT-Grundschutz und ISO 27001. Mehr auf isw-adtools.de.

© 2026 IT-Service Walter · der-windows-papst.de · Alle Angaben ohne Gewähr und ohne Rechtsberatung. Quellen: OpenKRITIS, BVMW, secjur, BSI.