NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft getreten

Bereit für die neuen NIS2 Cybersecurity-Anforderungen?

Die NIS2-Regulierung verschärft die IT-Sicherheitsanforderungen.

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), welches im Wesentlichen das BSI-Gesetz (BSIG) mit den relevanten Regelungen neu fasst, wurde am 13.11.25 im Bundestag beschlossen und am 21.11.2025 vom Bundesrat gebilligt. Es wurde am 5.12.2025 veröffentlicht und trat am 6.12.2025 damit in Kraft.

Eine weitere Übergangszeit ist nach nunmehr 3 Jahren nicht mehr vorgesehen. Alle Verpflichtungen sind damit aktuell geltendes Recht. – Aufsichtsbehörde, Gerichte (insbes. bei Management-Haftung nach §38 BSIG) und Versicherer werden die Einhaltung künftig aktiv prüfen.
Handeln Sie jetzt!

Fachwissen aus NIS2-, ISO 27001-, TISAX- & BAIT-Projekten
Fokus auf kleine & mittelständische Unternehmen
Praxisnahe Checklisten & Vorlagen
Audit-erprobte Verfahren & persönliche Begleitung

Jetzt auf NIS2 vorbereiten

NIS2-ready Auditfähige Umsetzung

Experten-Team Praxisnahe NIS2-Beratung

End-to-End Analyse bis Umsetzung

Betroffenheitsanalyse

Prüfen Sie jetzt, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt

Die NIS2-Regulierung gilt nicht für alle – aber für immer mehr.
Wir prüfen für Sie die Anwendbarkeit nach BSIG (neu)
und zeigen klar, ob Sie als wichtige, besonders wichtige oder KRITIS-Einrichtung eingestuft werden.

NIS2-Betroffenheit prüfen

Wir analysieren, ob Ihr Unternehmen unter die NIS2-Richtlinie und das BSIG (neu) fällt und welche Einstufung gilt.

Gesetzliche Grundlagen verstehen

Klare, praxisnahe Einordnung der NIS2-Richtlinie und des BSIG – ohne juristisches Fachchinesisch.

Pflichten und ToDo's identifizieren

Übersicht über alle Anforderungen mit klar priorisierten Aufgaben für Ihren schnellen Start.

GAP-Analyse / Standortbestimmung

Transparente Bewertung Ihres aktuellen Sicherheitsniveaus und der bestehenden Lücken.

Maßnahmen umsetzen / Coaching

Begleitung bei der Umsetzung: Policies, Prozesse, Dokumentation und interne Schulungen.

Jetzt NIS2-Quick-Scan starten

Rechtliche Grundlagen

Pflichten

GAP

Reifegrad

Maßnahmen

Betroffenheitsanalyse

Welche NIS2-Anforderungen
gelten konkret für
Ihr Unternehmen?

Die NIS2-Regulierung wird über das NIS2UmsuCG in deutsches Recht umgesetzt und modernisiert das BSI-Gesetz (BSIG neu). Damit entstehen neue Pflichten für Betreiber wichtiger und besonders wichtiger Einrichtungen, um das Niveau der Cybersicherheit europaweit zu stärken.

Anforderungen verstehen

NIS2-Richtlinie

NIS2UmsuCG

BSIG (neu)

NIS2 Beratung

NIS2 ist kein Dokumentationsprojekt.

Unsere NIS2-Beratung führt Sie vom unsicheren Status quo zur nachweisbaren Compliance – strukturiert, KMU-gerecht und prüffest.

IST-ZUSTAND

Ihr aktueller NIS2-Status

⚠

Unklare Betroffenheit
⚠

Keine saubere Priorisierung
⚠

Dokumentation nicht prüffest
⚠

Haftungsrisiken für die Geschäftsführung

NIS2-Beratung

Klar. Nachvollziehbar. Umsetzbar.

ZIEL-ZUSTAND

Auditfähige NIS2-Compliance

✓

Klare Anforderungen
✓

Priorisierte Maßnahmen
✓

Saubere Governance
✓

Nachweise für Audits, Kunden & Behörden

NIS2-Beratung starten Ist-Zustand prüfen

Rechtstexte verstehen

NIS2 auf einen Blick

Hier finden Sie die zentralen Gesetze und Verordnungen rund um NIS2: von der EU-Richtlinie über das (neu gefasste) BSI-Gesetz bis zur NIS2UmsVO, dem KRITIS-Dachgesetz und DORA – inkl. Einordnung, Zweck und Relevanz für die Umsetzung.

NIS2

NIS2 Richtlinie

EU-Richtlinie zur Netzwerk- und Informationssicherheit

Die NIS2-Richtlinie der EU ist ein Rechtsakt, der in nationales Recht transformiert werden muss. Das geschieht in einem nationalen Umsetzungsgesetz, dem NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG), das aber im Wesentlichen das BSI-Gesetz (BSIG) neu fasst, das dann die konkreten Anforderungen enthält.

Zum Gesetzestext

BSIG

BSI Gesetz

Bundesamt für Sicherheit in der Informationstechnik

Das BSI-Gesetz (BSIG) wird durch das deutsche Umsetzungsgesetz neu gefasst. Dort sind u.a. die Aufgaben des BSI, die europäische Zusammenarbeit, aber eben auch die Verankerung

der Definition der verpflichteten Unternehmen in §28 BSIG (wichtige und besonders wichtige Einrichtungen),
der Verpflichtungen für bzw. Anforderungen an wichtige und besonders wichtige Unternehmen in §30 BSIG sowie
der Verantwortung, Haftung und Pflichten der Geschäftsleitung in §38 BSIG .

Zum Gesetzestext

UmsVO

NIS2UmsVO

NIS2-Umsetzungsverordnung

Die NIS2UmsVO ist ein Vorhaben der EU zur Harmonisierung der Auslegung der NIS2-Richtlinie insbes. für die Erbringung bestimmter, grenzübergreifender Dienstleistungen.

Zum Gesetzestext

KRITIS

KRITIS Dachgesetz

Kritische Infrastrukturen

Das KRITIS-Dachgesetz zielt darauf ab, erstmals bundesweit einheitliche und sektoren- übergreifende Regelungen für den Schutz Kritischer Infrastrukturen (KRITIS)

Zum Gesetzestext

DORA

DORA Verordnung

Digital Operational Resilience Act

Die Digital Operational Resilience Act (DORA) der EU legt umfassende Regeln fest, um die digitale operationale Resilienz im Finanzsektor zu stärken. Sie fordert Finanzunternehmen auf, IKT-Risiken systematisch zu identifizieren, zu verwalten und zu melden, um ihre digitale Widerstandsfähigkeit gegen Cyberbedrohungen und technische Störungen zu erhöhen. DORA zielt darauf ab, Lücken in bestehenden Sicherheitsregelungen zu schließen und für EU-weit harmonisierte Anforderungen zu sorgen.

Zum Gesetzestext

NIS2 FACT SHEET

Alles Wichtige zu NIS2

Die zweite EU-Richtlinie zur Stärkung der Cybersicherheit in kritischen Infrastrukturen und bei IT-Dienstleistern

Was ist die NIS2?

Die NIS2 ist die zweite EU-Richtlinie, die darauf abzielt bei Unternehmen der kritischen Infrastruktur sowie bei IT-Dienstleistern das Gesamtniveau der Cybersicherheit und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.

Zeitplan für betroffene Einrichtungen

18.10.2024

EU veröffentlicht NIS2UmsVO

26.06.2025

ENISA publiziert Umsetzungsleitfaden

13.11.2025

Bundestag beschließt NIS2-Umsetzungsgesetz

21.11.2025

Bundesrat billigt NIS2-Umsetzungsgesetz

Dez 2025 / Jan 2026

Veröffentlichung im Bundesanzeiger & Inkrafttreten

Wer ist von der NIS2 betroffen?

Die NIS2 unterscheidet in wesentliche und wichtige Einrichtungen – bis spätestens 17.04.2025 müssen die Mitgliedsstaaten der EU eine Liste mit den betroffenen Unternehmen erstellen:

Anhang I – Sektoren mit hoher Kritikalität

Energieversorger (z.B. Stromerzeuger)
Verkehrsunternehmen (z.B. Airlines, Eisenbahn)
Bankwesen (geregelt über DORA)
Gesundheitswesen (z.B. Krankenhäuser)
Digitale Infrastruktur (z.B. Cloud-Anbieter, RZ-Betreiber)
Verwaltung von IKT-Diensten (z.B. Hosting-Anbieter)
Öffentliche Verwaltung (z.B. Bundesministerien)

Anhang II – Sonstige kritische Sektoren

Post- und Kurierdienste (z.B. Post)
Anbieter digitaler Dienste (z.B. Onlinesuchmaschinen)
Forschungseinrichtungen

Sanktionen / Geldbußen

Die NIS2 sieht empfindliche Sanktionen bei Verstößen gegen die Cybersicherheits- und Meldepflichten vor. Die Höhe der Geldbußen richtet sich nach der Einstufung der Einrichtung.

Wesentliche Einrichtungen

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Maßgeblich ist der jeweils höhere Betrag.

Wichtige Einrichtungen

Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Maßgeblich ist der jeweils höhere Betrag.

Relevante Regelungsinhalte

Kapitel IV – Risikomanagement & Berichtspflichten

Governance (Art. 20) – Vorgaben zum Rahmen der Unternehmensführung:

Verantwortung auf Leitungsebene
Regelmäßige Schulungen der Geschäftsleitung zu Cybersicherheitsrisiken

Mindestanforderungen Risikomanagement (Art. 21)

Implementierung geeigneter und verhältnismäßiger Maßnahmen:

Verfahren zur Bewältigung von Sicherheitsvorfällen
Sicherheitsmaßnahmen für Netz- und Informationssysteme
Aufrechterhaltung des Betriebs (Backup & Wiederherstellung)
Grundlegende Verfahren für Cyberhygiene und Schulungen
Einsatz von Kryptografie und Verschlüsselung

Berichtspflichten (Art. 23)

Meldung erheblicher Sicherheitsvorfälle – Konkretisierung der Anforderungen durch Durchführungsrechtsakte.

Kapitel V – Spezifische Vorschriften

Zuständigkeiten und Registrierungspflichten für Einrichtungen digitaler Infrastruktur und digitaler Dienste (Art. 26–28).

Kapitel VI – Informationsaustausch

Freiwilliger Informationsaustausch zur Cybersicherheit zwischen betroffenen Einrichtungen (Art. 29–30).

NIS2 Richtlinie was ist genau zu beachten?

Häufig gestellte Fragen

Welche Unternehmen Einrichtungen im Sinne von NIS2?

Im Prinzip alle, aber nicht jede Einrichtung fällt unter NIS2.

geregelt in:

Artikel der NIS2-Rili
§ des BSIG

Ab welcher Mitarbeiterzahl ist NIS2 umzusetzen?

gem. Art. 2 NIS2-RiLi : Empfehlung 2003/361/EG

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32003H0361

Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) werden in der EU-Empfehlung 2003/361 definiert. Danach zählt ein Unternehmen zu den KMU, wenn es nicht mehr als 249 Beschäftigte hat und einen Jahresumsatz von höchstens 50 Millionen € erwirtschaftet oder eine Bilanzsumme von maximal 43 Millionen € aufweist.

https://www.ifm-bonn.org/definitionen/kmu-definition-der-eu-kommission

Nur mittelgroße Unternehmen mit mindestens 50 Mitarbeitern sind verpflichtet, die NIS2-Richtlinie umzusetzen, es sei denn, sie werden aufgrund ihrer besonderen Bedeutung in den Ausnahmen zu den Größenkriterien genannt.
Dennoch könnte es vorkommen, dass auch kleinere Unternehmen, die eigentlich nicht gesetzlich dazu verpflichtet sind, aufgrund des Drucks ihrer Kunden gezwungen werden, die Richtlinie zu implementieren.

Wann sind Umsetzungsnachweise nach NIS2 zu erbringen?

Das richtet sich nach dem Umsetzungsgesetz – geplant ist 3 Jahre nach Wirksamkeit des Umsetzungsgesetzes, d.h. frühestens Ende 2027.

Wann ist NIS2 anwendbar?

Die NIS2-Richtlinie ist bereits in Kraft getreten – Anwendbarkeit für Unternehmen und andere Einrichtungen besteht aber erst nach Inkrafttreten eines Umsetzungsgesetzes.
Und die Nachweispflicht der Umsetzung beginnt auch erst viel später.

Ist die NIS2-Richtlinie unmittelbar anwendbar?

Nein, das ist sie nicht. Wenn Deutschland die Umsetzungsfrist verpasst, besteht auch keine Verpflichtung der Unternehmen.

https://www.linkedin.com/pulse/nis2-richtlinie-verpasst-deutschland-die-frist-zur-umsetzung-hessel/

Und: Die Unternehmen müssen das nicht bis Oktober umgesetzt haben, sondern erst viel später…

Was ist der Unterschied zwischen der NIS2-Richtlinie und dem NIS2UmsuCG?

Die NIS2-Richtlinie und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland sind beide auf die Verbesserung der Cybersicherheit ausgerichtet. Allerdings haben sie unterschiedliche Funktionen und Anwendungsbereiche.

Die NIS2-Richtlinie ist eine EU-weite Vorschrift, die darauf abzielt, das Sicherheitsniveau der Cybersicherheit durch einheitliche Standards zu verbessern. Sie legt strengere Sicherheitsmaßnahmen fest und erweitert den Anwendungsbereich auf mehr Organisationen. Dies schließt ausführliche Anforderungen an das Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und eine stärkere Haftung der Geschäftsleitung ein.

Das NIS2-Umsetzungs und Cyberresilienz-Stärkungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um. Es definiert, welche Organisationen als kritische Infrastrukturen gelten und spezifiziert die notwendigen Schutzmaßnahmen für deren Netzwerke und Informationssysteme. Das Gesetz umfasst sowohl technische als auch organisatorische Maßnahmen, legt Standards zur Sicherheit der Lieferketten fest, betont die Verantwortlichkeit der Geschäftsleitung und fordert eine effektive Reaktion auf Sicherheitsvorfälle.

Das NIS2UmsuCG tut dies durch Novellierung des BSI-Gesetzes (BSIG), in dem die einzelnen Anforderungen spezifiziert sind.