NIS-2-Regelung in Deutschland in Kraft getreten: Was Unternehmen jetzt wissen und tun müssen

Was Unternehmen jetzt wissen und tun müssen

Nach einer längeren Verzögerung ist das NIS-2-Umsetzungsgesetz im Dezember 2025 in Kraft getreten. Damit gelten die Anforderungen der europäischen NIS-2-Richtlinie (Network and Information Security Directive 2) nun auch hierzulande verbindlich. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betrifft dies mehr als 29.000 Unternehmen.

Mit dem neuen NIS-2-Umsetzungsgesetz zieht die EU die Schrauben bei der IT-Sicherheit deutlich an. Dabei unterscheidet das Gesetz zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Beide gelten als systemrelevant – sie sichern das tägliche Funktionieren von Wirtschaft und Gesellschaft hierzulande.

KRITIS im Fokus

Zu den besonders wichtigen Einrichtungen zählen vor allem Betreiber kritischer Infrastrukturen (KRITIS). Das sind Organisationen, die für das Gemeinwesen unverzichtbar sind. Fallen hier ITK-Systeme aus, kann das weitreichende Folgen haben: von Versorgungsengpässen bis hin zu massiven Störungen der öffentlichen Sicherheit.
Ende September 2025 waren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 1.177 KRITIS-Betreiber registriert. Sie stammen aus den Bereichen Energie, IT und Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Abfallentsorgung.
Mit NIS-2 kommen weitere Bereiche hinzu. Nun rücken auch Unternehmen aus dem verarbeitenden Gewerbe, der Forschung und der Digitalwirtschaft in den Geltungsbereich. Sie alle müssen sektorübergreifende IT-Sicherheitsanforderungen erfüllen.

Selbstverpflichtung

Unternehmen sind verpflichtet, selbst zu ermitteln, ob sie unter NIS-2 fallen und welcher Kategorie sie angehören. Maßgeblich sind dabei Schwellenwerte wie Mitarbeiterzahl und Umsatz. Für „wichtige Einrichtungen“ gelten als Richtwert: weniger als 50 Mitarbeitende oder ein Jahresumsatz beziehungsweise eine Bilanzsumme von maximal 10 Millionen Euro. Zur Orientierung stellt das BSI ein Online-Tool und einen Entscheidungsbaum bereit, mit denen Unternehmen ihre Einstufung überprüfen können.

Was Unternehmen jetzt tun müssen

Unabhängig von ihrer Kategorie gelten für alle Einrichtungen zentrale Pflichten.

Registrierung:
Zunächst müssen sich Unternehmen über „Mein Unternehmenskonto“ (MUK) anmelden, anschließend über das BSI-Portal. Das BSI bietet dazu umfassende Hilfeseiten an („NIS-2-Betroffenheitsprüfung“).

Vorfallsmanagement:
Sicherheitsrelevante Zwischenfälle – etwa gravierende Betriebsstörungen – müssen dem BSI gemeldet werden. Dazu sind Prozesse nötig, die Vorfälle erkennen, bewerten, bearbeiten und nachverfolgen.

Risikomanagement:
Ziel ist es, erhebliche Sicherheitsvorfälle von vornherein zu vermeiden. Dafür müssen technische und organisatorische Schutzmaßnahmen eingeführt und dokumentiert werden.

Das BSI nennt als Mindeststandard zehn zentrale Maßnahmen:

Risikoanalyse und IT-Sicherheitskonzepte
Incident Response und Notfallbewältigung
Business Continuity Management inklusiv Backup und Krisenmanagement
Sicherheit in der Lieferkette und bei Dienstleistern
Sichere Entwicklung, Wartung und Beschaffung von IT-Systemen
Wirksamkeitsprüfung der Sicherheitsmaßnahmen
IT-Sicherheitsschulungen und Sensibilisierung
Nutzung von Kryptografie-Konzepten
Zugriffskontrolle, Personal- und Asset-Management
Einsatz von Multi-Faktor-Authentifizierung und gesicherter Kommunikation

Die Verantwortung für die Umsetzung liegt bei der Unternehmensleitung – sie haftet persönlich und ist gesetzlich zu einer Schulung verpflichtet. Das BSI hat dafür eine eigene Handreichung mit Empfehlungen veröffentlicht.
Einrichtungen der Kategorie „besonders wichtig“ stehen zusätzlich unter Aufsicht des BSI. Gefordert sind regelmäßige Audits, engmaschige Prüfungen. Bei Verstößen drohen harte Sanktionen.

Fortschritte und Ausblick

Die Umsetzung der NIS-2-Anforderungen läuft in vielen Betrieben bereits auf Hochtouren. Allerdings ist einer aktuellen Umfrage von Statista im Auftrag des Sicherheitsanbieters G Data jedes vierte Unternehmen noch gar nicht aktiv geworden und damit in Verzug. Wichtig zu wissen: Das Gesetz gilt ohne Übergangsfrist – Verstöße können schon jetzt teuer werden.

NIS-2 in Zahlen

Von den rund 29.500 Unternehmen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, haben sich nach Angaben des BSI bisher rund 11.500 Unternehmen über das BSI-Portal registriert, was verpflichtend vorgeschrieben ist. Allein in der letzten Woche vor Ablauf der Frist kamen mehr als 4.000 Registrierungen neu hinzu.

29.500

Unternehmen von NIS-2 betroffen

11.500

Unternehmen haben sich fristgerecht registriert

Allerdings verfolgt das BSI bisher einen eher beratenden Ansatz und unterstützt Unternehmen bei der Umsetzung, anstatt sofort zu sanktionieren.

Schutzschild

NIS-2 soll kein Bürokratiemonster sein, sondern ein Schutzschild gegen wachsende Cybergefahren. BSI-Präsidentin Claudia Plattner rechnet damit, dass die IT-Sicherheitslage in Deutschland durch die Umsetzung deutlich stabiler wird.

Die zeitnahe Umsetzung von NIS-2 bleibt insbesondere für kleinere Unternehmen mit begrenzten Ressourcen eine große Herausforderung.
Das Team von SEC-COM unterstützt ihr Unternehmen gerne bei allen Fragen und Anforderungen zu NIS-2. Am besten nehmen Sie noch heute Kontakt zu uns auf.

Foto: istock – Vitalii Gulenok

Wie können Sie Ihr Unternehmen sicher digitalisieren – ohne unnötige Risiken einzugehen?

Finden wir es gemeinsam heraus – vereinbaren Sie jetzt Ihren Beratungstermin!

+49 2361 9322 445

SEC-COM Team

SEC-COM hat seine Wurzeln im Ruhrgebiet und ist über drei Jahrzehnte nach der Firmengründung bundesweit eines der erfolgreichsten ITK-Systemhäuser Beratungs- und Lösungskompetenz sind für uns und unsere Kunden von größter Bedeutung - die konsequente Ausrichtung auf Zukunftstechnologien ist unsere Erfolgsbasis.

Alle Beiträge