NIS2-Umsetzungsgesetz 2026: Neue Pflichten für Unternehmen

/in /von

NIS2-
Umsetzungsgesetz 2026 NIS2-Umsetzungsgesetz 2026: Neue Pflichten für Unternehmen

NIS2-Umsetzungsgesetz verabschiedet:

Neue Pflichten für tausende Unternehmen ab 2026

Am 13. November 2025 hat der Deutsche Bundestag das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet, am 21. November 2025 folgte die Bestätigung durch den Bundesrat. Mit der Umsetzung der EU-NIS2-Richtlinie und der Novellierung des BSI-Gesetzes (BSIG) werden die Anforderungen an die Cyber- und Informationssicherheit in Deutschland ab Anfang 2026 deutlich verschärft.

Das Gesetz betrifft nicht mehr nur klassische kritischen Infrastrukturen (KRITIS), sondern auch tausende kleine und mittlere Unternehmen (KMU) vieler Branchen. Insgesamt fallen laut Gesetz künftig rund 29.500 Unternehmen unter die erweiterten Sicherheitsanforderungen. Der Beitrag gibt einen Überblick über Kategorien, Pflichten und Fristen.

Einordnung nach Kategorien „besonders wichtig“ und „wichtig“

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht unterscheidet das BSI-Gesetz (BSIG) zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen (§ 28 BSIG).

Ob ein Unternehmen von NIS2 betroffen ist, hängt im Wesentlichen von Sektor und Unternehmensgröße ab. In bestimmten Fällen gilt die Einstufung unabhängig von der Größe.

Die Einordnung erfolgt auf Grundlage der gesetzlichen Kriterien des BSIG und seiner Anlagen.

Da Fehlklassifizierungen erhebliche Bußgelder und Haftungsrisiken nach sich ziehen können, empfiehlt sich bei Unklarheiten eine fachliche Prüfung. Unser NIS2-Betroffenheits-Check  gibt eine kostenfreie, unverbindliche Ersteinschätzung.

Neue NIS2-Pflichten für betroffene Unternehmen

Unternehmen, die als „wichtig“ oder „besonders wichtig“ eingestuft werden, müssen umfassende technische und organisatorische Maßnahmen (TOM) zur Informationssicherheit nachweisen. Die wesentlichen Anforderungen umfassen:

  • Registrierung beim BSI
    Unternehmen müssen sich eigeninitiativ über das Melde- und Informationsportal (MIP) beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
  • Risikomanagement
    Einführung und Betrieb eines strukturierten Systems für Cyber- und Informationssicherheit bzw. Managementsystem für Informationssicherheit (ISMS) einschließlich geeigneter technischer und organisatorischer Maßnahmen.
  • Business Continuity Management (BCM)
    Aufbau eines Notfall- und Krisenmanagements sowie Erstellung eines Sicherheits- und Wiederanlaufkonzepts.
  • Meldung von Sicherheitsvorfällen
    Relevante Sicherheitsvorfälle müssen innerhalb definierter Fristen an das BSI gemeldet werden.
  • Dokumentationspflichten
    Alle sicherheitsrelevanten Maßnahmen und Reaktionen auf Vorfälle sind nachvollziehbar zu dokumentieren.
  • Schulungen und Sensibilisierung
    Regelmäßige Schulungen der Mitarbeitenden zur Förderung eines angemessenen Sicherheitsniveaus.

Bei Verstößen drohen empfindliche Bußgelder, behördliche Auflagen sowie Haftungsrisiken für die Geschäftsleitung.

NIS2-Betroffenheitsprüfung

Ob ein Unternehmen vom NIS2UmsuCG erfasst wird, lässt sich durch eine NIS2-Betroffenheitsanalyse feststellen. Als erste Orientierung bietet das BSI einen Fragenkatalog zur Einordnung an.

Sobald die Betroffenheit festgestellt ist, muss eine elektronische Registrierung über das MIP erfolgen. Erst nach der Bestätigung durch das BSI gilt die Einrichtung offiziell als „wichtig“ oder „besonders wichtig“ und unterliegt damit vollständig den NIS2-Pflichten sowie der behördlichen Aufsicht.

Weiterführende Informationen

Weitere Informationen zur NIS2-Richtline und den Anforderungen an Unternehmen finden Sie auf der Seite des BSI:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html

FAQ zur NIS-Richtlinie und zum NIS2UmsuCG

Was ist das NIS2-Umsetzungsgesetz
Das NIS2UmsuCG überführt die EU-NIS2-Richtlinie in deutsches Recht und erweitert die Cyber-Sicherheitsanforderungen für zahlreiche Unternehmen.

Welche Unternehmen sind betroffen?
Rund 29.500 Unternehmen aus über einem Dutzend Sektoren, darunter viele KMU, gelten künftig als „wichtig“ oder „besonders wichtig“ im Sinne des BSIG.

Wann tritt das NIS2-Umsetzungsgesetz in Kraft?
Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten.

Welche Frist gilt für die Umsetzung?
Die Registrierungsfrist beträgt drei Monate.

Welche Pflichten entstehen durch NIS2?
Unternehmen müssen u.a. ein Risikomanagement einführen, Sicherheitsvorfälle melden, Dokumentationen führen, BCM-Strukturen etablieren und Mitarbeitende schulen.

Welche Rolle spielt das BSI?
Über das BSI wird die Registrierung getätigt, das BSI bestätigt diese und übernimmt Aufsicht, Annahme von Meldungen und die Prüfung der Sicherheitsnachweise.

Wichtige Begriffe

BCM

Business Continuity Management

BSI

Bundesamt für Sicherheit in der Informationstechnik

BSIG

BSI-Gesetz

ISMS

Information Security Management System/ Managementsystem für Informationssicherheit

KMU

kleine und mittlere Unternehmen

KRITIS

kritische Infrastrukturen

MIP

Melde- und Informationsportal des BSI

NIS

NIS2


NIS2UmsuCG

Network and Information Security/ Netzwerk- und Informationssicherheit

Network and Information Security Directive 2/ Zweite Netzwerk- und Informationssicherheitsrichtlinie

NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

TOM

technische und organisatorische Maßnahmen

Wir unterstützen Sie bei Betroffenheitsanalyse, Registrierung und Umsetzung.

Als erfahrener IT-Sicherheits- und ISO-Zertifizierungsberater begleiten wir als REX ITOC Sie ganzheitlich durch den gesamten NIS2-Prozess.

Erfahren Sie mehr über unser REX ITOC Vorgehensmodell zur NIS2 Compliance und unserem umfangreichen Leistungspaket.

Quellen:

https://dserver.bundestag.de/btd/21/027/2102782.pdf

https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138

https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251113_NIS-2-Umsetzungsgesetz.html

https://nis2-navigator.de/

https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html

https://www.secjur.com/blog/nis2umsucg

Hinweis/ Disclaimer

Die Inhalte dieser Seite dienen der allgemeinen Information zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Sie stellen keine Rechtsberatung dar und können eine individuelle Prüfung des Einzelfalls nicht ersetzen.

Trotz sorgfältiger Erstellung wird keine Gewähr für Vollständigkeit, Richtigkeit oder Aktualität übernommen. Maßgeblich sind ausschließlich die jeweils geltenden gesetzlichen Vorschriften sowie die Veröffentlichungen der zuständigen Behörden, insbesondere des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ob und in welchem Umfang ein Unternehmen als wichtig oder besonders wichtige Einrichtung im Sinne der §§ 33 ff. BSIG gilt, ist im Rahmen einer individuellen Betroffenheitsanalyse zu prüfen.