NIS2-Umsetzungsgesetz 2026: Neue Pflichten für Unternehmen

/in /von

NIS2-
Umsetzungsgesetz 2026 NIS2-Umsetzungsgesetz 2026: Neue Pflichten für Unternehmen

NIS2-Umsetzungsgesetz verabschiedet:

Neue Pflichten für tausende Unternehmen ab 2026

Am 13. November 2025 hat der Deutsche Bundestag das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet, am 21. November 2025 folgte die Bestätigung durch den Bundesrat. Mit der Umsetzung der EU-NIS2-Richtlinie und der Novellierung des BSI-Gesetzes (BSIG) werden die Anforderungen an die Cyber- und Informationssicherheit in Deutschland ab Anfang 2026 deutlich verschärft.

Das Gesetz betrifft nicht mehr nur klassische kritischen Infrastrukturen (KRITIS), sondern auch tausende kleine und mittlere Unternehmen (KMU) vieler Branchen. Insgesamt fallen laut Gesetz künftig rund 29.500 Unternehmen unter die erweiterten Sicherheitsanforderungen. Der Beitrag gibt einen Überblick über Kategorien, Pflichten und Fristen.

Einordnung nach Kategorien „besonders wichtig“ und „wichtig“

Die NIS2-Richtlinie unterscheidet Unternehmen künftig nach den Kategorien besonders wichtig“ (§ 28 Abs. 6 BSIG) und „wichtig (§ 28 Abs. 7 BSIG). Entscheidend sind jeweils Sektor und Unternehmensgröße.

Besonders wichtige Einrichtungen (§ 28 Abs. 6 BSIG)

Großunternehmen aus den Bereichen:

  • Energie
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Gesundheitswesen
  • Trinkwasser, Abwasser
  • Informationstechnik und Telekommunikation
  • IKT-Dienste
  • Weltraum

Weitere besonders wichtige Einrichtungen (unabhängig von der Unternehmensgröße):

  • Betreiber kritischer Anlagen (KRITIS-Betreiber)
  • Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
  • Anbieter öffentlicher TK-Netze und TK-Dienste
  • Teile der Zentralregierung

Wichtige Einrichtungen (§ 28 Abs. 7 BSIG)

  • Mittlere Unternehmen aus den oben genannten Sektoren
  • Unternehmen der Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung
  • Vertrauensdienste
  • Hersteller von Rüstungsgütern und VS-IT
  • Betreiber Betriebsbereich obere Klasse

Die genaue Zuordnung erfolgt über die Size-Cap-Kriterien sowie branchenspezifische Einstufung.

Inkrafttreten und Fristen

Das NIS2UmsuCG soll Anfang 2026 in Kraft treten. Danach gelten:

  • „Besonders wichtige“ Einrichtungen (§ 33 BSIG): Registrierung innerhalb von drei Monaten
  • „Wichtige“ Einrichtungen (§ 34 BSIG): Registrierung innerhalb von sechs Monaten.

Es sind keine Übergangsfristen vorgesehen, die Pflichten gelten unmittelbar nach Ablauf der Registrierungsfristen.

Neue NIS2-Pflichten für betroffene Unternehmen

Unternehmen, die als „wichtig“ oder „besonders wichtig“ eingestuft werden, müssen umfassende technische und organisatorische Maßnahmen (TOM) zur Informationssicherheit nachweisen. Die wesentlichen Anforderungen umfassen:

  • Registrierung beim BSI
    Unternehmen müssen sich eigeninitiativ über das Melde- und Informationsportal (MIP) beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
  • Risikomanagement
    Einführung und Betrieb eines strukturierten Systems für Cyber- und Informationssicherheit bzw. Managementsystem für Informationssicherheit (ISMS) einschließlich geeigneter technischer und organisatorischer Maßnahmen.
  • Business Continuity Management (BCM)
    Aufbau eines Notfall- und Krisenmanagements sowie Erstellung eines Sicherheits- und Wiederanlaufkonzepts.
  • Meldung von Sicherheitsvorfällen
    Relevante Sicherheitsvorfälle müssen innerhalb definierter Fristen an das BSI gemeldet werden.
  • Dokumentationspflichten
    Alle sicherheitsrelevanten Maßnahmen und Reaktionen auf Vorfälle sind nachvollziehbar zu dokumentieren.
  • Schulungen und Sensibilisierung
    Regelmäßige Schulungen der Mitarbeitenden zur Förderung eines angemessenen Sicherheitsniveaus.

Bei Verstößen drohen empfindliche Bußgelder, behördliche Auflagen sowie Haftungsrisiken für die Geschäftsleitung.

NIS2-Betroffenheitsprüfung

Ob ein Unternehmen vom NIS2UmsuCG erfasst wird, lässt sich durch eine NIS2-Betroffenheitsanalyse feststellen. Als erste Orientierung bietet das BSI einen Fragenkatalog zur Einordnung an.

Sobald die Betroffenheit festgestellt ist, muss eine elektronische Registrierung über das MIP erfolgen. Erst nach der Bestätigung durch das BSI gilt die Einrichtung offiziell als „wichtig“ oder „besonders wichtig“ und unterliegt damit vollständig den NIS2-Pflichten sowie der behördlichen Aufsicht.

Weiterführende Informationen

Weitere Informationen zur NIS2-Richtline und den Anforderungen an Unternehmen finden Sie auf der Seite des BSI:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html

FAQ zur NIS-Richtlinie und zum NIS2UmsuCG

Was ist das NIS2-Umsetzungsgesetz
Das NIS2UmsuCG überführt die EU-NIS2-Richtlinie in deutsches Recht und erweitert die Cyber-Sicherheitsanforderungen für zahlreiche Unternehmen.

Welche Unternehmen sind betroffen?
Rund 29.500 Unternehmen aus über einem Dutzend Sektoren, darunter viele KMU, gelten künftig als „wichtig“ oder „besonders wichtig“ im Sinne des BSIG.

Wann tritt das Gesetz in Kraft?
Das Gesetz soll Anfang 2026 in Kraft treten.

Welche Fristen gelten für die Umsetzung?
Die Registrierungsfristen betragen drei bzw. sechs Monate.

Welche Pflichten entstehen durch NIS2?
Unternehmen müssen u.a. ein Risikomanagement einführen, Sicherheitsvorfälle melden, Dokumentationen führen, BCM-Strukturen etablieren und Mitarbeitende schulen.

Welche Rolle spielt das BSI?
Über das BSI wird die Registrierung getätigt, das BSI bestätigt diese und übernimmt Aufsicht, Annahme von Meldungen und die Prüfung der Sicherheitsnachweise.

Wichtige Begriffe

BCM

Business Continuity Management

BSI

Bundesamt für Sicherheit in der Informationstechnik

BSIG

BSI-Gesetz

ISMS

Information Security Management System/ Managementsystem für Informationssicherheit

KMU

kleine und mittlere Unternehmen

KRITIS

kritische Infrastrukturen

MIP

Melde- und Informationsportal des BSI

NIS

NIS2UmsuCG

Netzwerk- und Informationssystem

NIS2-Umsetzungsgesetz

TOM

technische und organisatorische Maßnahmen

Wir unterstützen Sie bei Betroffenheitsanalyse, Registrierung und Umsetzung.

Als erfahrener IT-Sicherheits- und ISO-Zertifizierungsberater begleiten wir als REX ITOC Sie ganzheitlich durch den gesamten NIS2-Prozess.

Erfahren Sie mehr über unser REX ITOC Vorgehensmodell zur NIS2 Compliance und unserem umfangreichen Leistungspaket.

Quellen:

https://dserver.bundestag.de/btd/21/027/2102782.pdf

https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138

https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251113_NIS-2-Umsetzungsgesetz.html

https://nis2-navigator.de/

https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html

https://www.secjur.com/blog/nis2umsucg