NIS2-Umsetzungsgesetz: Jetzt wird es ernst für Unternehmen in Deutschland

NIS2-Umsetzungsgesetz: Jetzt wird es ernst für Unternehmen in Deutschland

Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) wird die NIS2-Richtlinie in deutsches Recht übertragen. Eine EU-Richtlinie ist (im Gegensatz zu einer EU-Verordnung) nicht unmittelbar anwendbares Recht – sie muss in nationales Recht umgesetzt werden.
Genau das leistet das NIS2UmsuCG.

Die wichtigsten Punkte:

• Das NIS2UmsuCG ändert eine Vielzahl von Gesetzen, vor allem aber das BSI-Gesetz (BSIG).

• Im BSIG-neu werden u. a. geregelt:

  • der Anwendungsbereich – wer als „wichtige“ oder „besonders wichtige Einrichtung“ gilt (§28 BSIG)

    • hier wird geregelt, ob Sie als NIS2-relevante Stelle gelten oder nicht und welcher „Klasse“ Sie angehören
    • kann auch einfach über den Betroffenheits-Checker beim BSI gemacht werden

  • die Pflichten zum Risikomanagement und zu technischen/organisatorischen Maßnahmen (§30 BSIG)

    • Das sind die eigentlichen IT-Sicherheitspflichten, überschaubar und generisch formuliert.
    • Es bleibt die Frage was das konkret bedeutet, das ist im Annex der EU-NIS2-Umsetzungsverordnung (NIS2UmsVO) nachlesbar.
      Zudem hat die ENISA (Aufsicht auf EU-Level) einen guten und umfangreichen NIS2-Implementierungsleitfaden herausgegeben (in Engl.).

  • Meldeplicht (§32 BSIG)

    • Schwerwiegende Cybervorfälle sind binnen 24h der zuständigen Aufsicht zu melden (in DE: an das BSI)
      Das setzt entsprechende organisatorische Einbettung des Incident-Management und Vollmachten voraus!
    • Was als schwerwiegend gilt, ist in besagter NIS2UmsVO geregelt.
    • Das BSI stellt ein Meldeportal dazu bereit (allerdings erst ab 6. Januar 2026).
    • Weitere Infos u.a. im Angebot von NIS2Know auf der BSI-Seite

  • Registrierungspflichten (§33 BSIG)

    • Unternehmen sind verpflichtet, ihre Betroffenheit regelmäßig zu prüfen.
    • Sind sie von NIS2 betroffen, müssen sie sich bei der zuständigen Aufsicht – dem BSI – registrieren.
    • Die zu machenden Angaben ergeben sich aus §33 BSIG):
      eine 7/24 erreichbare Kontaktstelle ist demnach nur für Kritis-Unternehmen vorgesehen,
      nicht aber für wichtige / besonders wichtige Einrichtungen
    • Dafür muss zunächst ein „Mein Unternehmenskonto“ (MUK) angelegt werden,
      sodann ein individueller Zugang mit Elster-Zertifikat für jeden Nutzer.
      (Ja, das hätte man vielleicht weniger technisch verschnörkelt machen können!)

  • besondere Pflichten der Geschäftsleitung (§38 BSIG)

    • persönliche Haftung der Geschäftsleitung – auch gegenüber Gesellschaftern und geschädigten Dritten
    • persönliche Umsetzungspflicht – mindestens aktive Kontrolle des Umsetzungsprojektes
    • Schulungspflicht auch der Geschäftsleitung, nicht nur der Mitarbeiter
      • Die GL muss wissen, was zu tun ist und wie Sie sicherstellt, dass die Organisation das auch umsetzt.
      • Das BSI hat hier eine Broschüre veröffentlicht, was die Geschäftsleitungs-Schulung enthalten muss.

Für die NIS2-Umsetzung im Mittelstand heißt das:

• es jetzt konkrete Paragrafen im BSIG-neu, diese sind verabschiedet und seit 6.12.2025 rechtswirksam
• Ein Projekt aufsetzen, wenn das noch nicht geschehen ist – wir bieten Support dabei!
• Eine GAP-Analyse durchführen! – Erstellung eines priorisierten Umsetzungsfahrplans!

Kurze Version: Die Übergangsfrist war bereits von 2022 bis 2024 :

• Die eigentliche Übergangsphase war 2022–2024 – seit Inkrafttreten der NIS2-Richtlinie bis zur geplanten Frist der nationalen Umsetzung.
  Deutschland hat die Umsetzungsfrist der NIS2-Richtlinie (bis 17.10.2024) verpasst, das Gesetzgebungsverfahren musste nach dem Bruch der Ampel-Koalitionneu gestartet werden.

• In der Richtlinie stand drin, was (mindestens) im nationalen Umsetzungsgesetz stehen sollte, denn bei der Umsetzung darf nicht Untererfüllt werden. Unklar war nur, ob Deutschland wieder „Goldplating“ betreibt, die EU-Standards übererfüllt und sich noch strengere Standards gibt.
  Die Aussage „Wir wissen ja noch nicht was drinsteht!“ war eine Schutzbehauptung.

• Nach Beschluss des Umsetzungsgesetzes ist also „keine weitere Übergangsfrist mehr vorgesehen“ – diese Zeit ist bereits abgelaufen.
  Mit der Verkündung im Bundesgesetzblatt am 5.12.2025 gelten die Pflichten aus BSIG-neu grundsätzlich unmittelbar ab 6.12.2025.

Gleichzeitig gehen viele Analysen davon aus, dass Nachweispflichten (z. B. regelmäßige Audits) erst mit zeitlichem Abstand greifen – teilweise ist von mehreren Jahren die Rede. Auch ist es unwahrscheinlich, dass Aufsichtsbehörden Unternehmen danach fragen. – Abschlussprüfer und Versicherungen sowie Kunden aber vermutlich schon.

Für die Praxis heißt das:  NIS2-Compliance lässt sich nicht „auf den letzten Drücker“ oder „wenn jemand danach fragt“ herstellen.

Eine der wichtigsten Fragen lautet: „Fallen wir überhaupt unter NIS2 und das neue BSIG?“

Die Antwort hängt im Wesentlichen von Sektor und Unternehmensgröße ab.
Die Kriterien finden sich in der NIS2-Richtlinie und in §28 BSIG-neu.

👉 NIS2-Betroffenheitsanalyse: Checkliste zur Ermittlung, ob Ihr Unternehmen unter die NIS2-Regulierung fällt

Dort finden Sie eine verständliche Erklärung der Kriterien aus §28 BSIG sowie eine praxisnahe Checkliste, um Ihre NIS2-Betroffenheit zu prüfen.

Sind Sie betroffen, stellt sich die nächste Frage:
Welche Pflichten ergeben sich konkret aus NIS2, BSIG-neu und NIS2UmsuCG?

Auf unserer Seite NIS2-Anforderungen aus NIS2-Richtlinie, BSIG & NIS2UmsuCG haben wir die Anforderungen systematisch aufbereitet – von Governance und Risikomanagement bis hin zu Incident-Handling, Business Continuity, Lieferketten und Schulungen.

Ein Schwerpunkt liegt dabei auf der Rolle der Geschäftsleitung:

• Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen haben eine Umsetzungs-, Überwachungs- und Schulungspflicht (§38 BSIG-neu).

• Informationssicherheit und NIS2-Compliance werden damit zu einem zentralen Baustein der Unternehmensführung – nicht nur eine technische Aufgabe der IT.

• Verstöße können zu persönlichen Haftungsrisiken für Mitglieder der Geschäftsleitung führen (Stichwort Managerhaftung unter NIS2).

Wenn Sie sich einen Überblick verschaffen möchten, welche konkreten Maßnahmen NIS2 verlangt, ist die Seite zu den NIS2-Anforderungen Ihr zentraler Einstiegspunkt.

Unser Fazit:

• Die Inhalte von BSIG-neu stehen fest und sind seit 5.12.2025 anwendbar.

• Es ist nicht realistisch, eine vollständige NIS2-Umsetzung „über Nacht“ nachzuziehen.

• Wer zu spät beginnt, riskiert Bußgelder (ok, eher unwahrscheinlich),
  aber ggf. Kunden-Verlust und vor allem erhöhte persönliche Haftungsrisiken für die Geschäftsleitung,
  insbesondere bei Cyber-Vorfällen.

Deshalb empfehlen wir:

1. NIS2-Betroffenheit klären → mit unserer NIS2-Betroffenheitsanalyse.

2. NIS2-Anforderungen verstehen
   → überblicksartig auf nis2-anforderungen, vertieft anhand von BSIG-neu und NIS2UmsVO.

3. GAP-Analyse und risikobasierte Roadmap erstellen
   → GAP-Analyse erstellen und ToDo’s priorisieren
   → von Quick Wins (z. B. Policies, erste Prozesse) bis zu mittelfristigen Projekten (z. B. ISMS, Lieferketten-Risiken, SOC).

4. NIS2-Umsetzung im Mittelstand pragmatisch planen
   → mit praxisnaher Unterstützung aus unserem NIS2-Beratungspaket.

Gerade für KMU und mittelständische Unternehmen ist es wichtig, die NIS2-Umsetzung mit überschaubarem Budget und pragmatischem Aufwand zu realisieren. Genau darauf zielt unser Angebot:

👉 Effiziente NIS2-Umsetzung: Lösungen für den Mittelstand

Dort erhalten Sie:

• NIS2-Coaching mit Checklisten, Umsetzungsfahrplan und Vorlagen,

• einen NIS2-Umsetzungsfahrplan speziell für Mittelständler,

• Unterstützung bei GAP-Analyse, Risikomanagement, Meldeprozessen und Governance,

• Schulungskonzepte, um Management und Mitarbeitende fit für NIS2 zu machen.

Ziel ist immer: NIS2-Compliance, die im Alltag funktioniert – nicht nur auf dem Papier.
Mittelstands-orientiert, professionell, pragmatisch, hands-on.

Mit diesem Beitrag starten wir auf nis2-umsetzung.com/blog unsere Reihe „NIS2 in der Praxis“.

In den kommenden Wochen erwarten Sie dort u. a.:

• NIS2 in der Praxis: Governance & Security-Policy

• Risikomanagement nach BSIG-neu: Vom Register zum echten Steuerungsinstrument

• Meldepflichten & Incident-Handling nach NIS2: Was im Ernstfall zählt

• Business Continuity & Backups: Wie Sie Ihre Verfügbarkeit NIS2-konform absichern

• NIS2 und Lieferkette: Anforderungen an Dienstleister und Provider

• Schulungen, Cyberhygiene & Managementhaftung

Jeder LinkedIn-Post der Reihe verweist auf einen ausführlicheren Blogbeitrag, in dem wir konkrete Umsetzungsschritte, Beispiele und Formulierungshilfen bereitstellen.

Zum Schluss die Frage, die Sie sich im Management stellen sollten:

Wo stehen wir aktuell bei der NIS2-Umsetzung – noch in der Bestandsaufnahme, mitten im Projekt oder schon beim Feinschliff?

• Wenn Sie noch ganz am Anfang stehen, starten Sie mit der NIS2-Betroffenheitsanalyse.

• Wenn Sie bereits wissen, dass Sie betroffen sind, verschaffen Sie sich einen Überblick über die NIS2-Anforderungen.

• Wenn Sie einen strukturierten Fahrplan wollen, der zu Ihrem Unternehmen passt, nutzen Sie unser NIS2-Beratungsangebot.

So wird aus dem NIS2-Umsetzungsgesetz kein abstraktes Risiko, sondern ein konkretes Projekt, mit dem Sie die Cybersicherheit und Resilienz Ihres Unternehmens nachhaltig stärken.