Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 verankert Deutschland den europäischen Rechtsrahmen zur Cybersicherheit in nationales Recht. Das Gesetz führt zu einer grundlegenden Modernisierung der bestehenden Cybersicherheitsstandards und passt die rechtlichen Anforderungen an ein zunehmend vernetztes, digitalisiertes Wirtschafts- und Verwaltungsumfeld an. Unternehmen und Behörden sind nun gefordert, sich den neuen gesetzlichen Anforderungen anzupassen.
Was steckt hinter der Umsetzung?
Vor dem Hintergrund der wachsenden Anzahl von Cyberangriffen, komplexer werdende Lieferketten und die zunehmend kritischere Abhängigkeit von digitalen Diensten verabschiedete die EU 2022 die NIS-2-Richtlinie und ersetzte damit die 2016 geschaffenen Regularien im Bereich der Netzwerk- und Informationssicherheit, um ein einheitlich hohes Cybersicherheitsniveau in allen EU-Mitgliedstaaten zu schaffen. Die Richtlinie erweitert den Anwendungsbereich erheblich, harmonisiert die nationalen Gesetze und stärkt die europäische Zusammenarbeit in Cybersicherheitsfragen.
Mit dem Umsetzungsgesetz überträgt Deutschland diese Anforderungen nicht nur verbindlich in nationales Recht, sondern integriert zugleich neue Regelungen für die Verwaltung. Dadurch weitet sich der Kreis der betroffenen Einrichtungen aus und die Ansprüche an Daten- und Informationssicherheit werden verschärft.
Wer fällt unter das Gesetz?
Während bislang nur rund 4.500 Organisationen reguliert waren, darunter Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse, steigt die Zahl der durch das Gesetz erfassten Einrichtungen auf rund 29.500. Unterschieden wird in besonders wichtige und wichtige Entrichtungen.
Erfasst sind nach § 28 NIS2UmsuCG Unternehmen, die in (hoch)kritischen Sektoren tätig sind und/oder gesetzlich definierte Schwellenwerte für Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten. Daher können auch Kleinstunternehmen Pflichten treffen, wenn sie in einem als relevant eingestuften Bereich tätig sind. Daneben gelten die verbindlichen Cybersecurity-Regeln für Einrichtungen der Bundesverwaltung, etwa Behörden, öffentlich-rechtliche IT-Dienstleister sowie bestimmte Körperschaften und Stiftungen des öffentlichen Rechts, soweit sie Betreiber einer kritischen Anlage sind. Unabhängig von dem Grund ihrer Adressierungen stehen Organisationen jedoch vor neuen Pflichten:
Welche Standards für Cybersicherheit und Dokumentation verlangt die Umsetzung?
Das Umsetzungsgesetz übernimmt den Katalog der Mindestanforderungen der Richtlinie (Art. 21 NIS-2 Richtlinie) und setzt auf einen risikobasierten Ansatz. Regulierte Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen implementieren, die wenigsten die in § 30 Abs. 2 NIS2UmsuCG definierten, zehn Mindestmaßnahmen umfassen.
Registrierung, Meldewege und Aufsicht
Teil Drei des Umsetzungsgesetzes schafft zudem neue regulatorische Pflichten für Unternehmen. Unter das Gesetz fallende Einrichtungen müssen sich künftig beim Bundesamt für Sicherheit und Informationstechnik (BSI) registrieren. Teil dessen ist der Schritt über das digitale Portal „Mein Unternehmenskonto“ (MUK), das zur Identifizierung und Kommunikation dient. Für erhebliche Sicherheitsvorfälle gilt das dreistufige Melde-System: Frühwarnung; Incident-Meldung und Abschlussmeldung. Korrespondierend mit den neuen Pflichten erhält das BSI erweiterte Aufsichts- und Kontrollbefugnisse.
Keine Übergangsfrist
Das Umsetzungsgesetz sieht keine Übergangsfrist vor. Unternehmen sind mit Inkrafttreten verantwortlich für die Einhaltung der Vorgaben. Unter dem Stichwort der Cyber-Resilienz fordert das Gesetz betroffene Einrichtungen auf, ihre Informationsmanagement- und Cybersicherheitsprozesse umgehend anzupassen.
Was Unternehmen jetzt tun sollten
Angesichts der neuen gesetzlichen Anforderungen empfiehlt sich für Unternehmen ein konsequentes, strukturiertes Vorgehen: (1) die eigene Betroffenheit klären (2) Gap-Analyse durchführen und das eigene Sicherheitsniveau prüfen (3) interne Verantwortlichkeit klären (4) Vorfall- und Meldewege einrichten (5) ISMS aufbauen oder modernisieren und (6) Schulungen für Geschäftsverantwortliche und Führungskräfte starten.
Schnelles Handeln ist gefragt
Das Umsetzungsgesetz läutet einen Paradigmenwechsel der europäische Sicherheitsrahmen für Cybersicherheit hin zu systematischem Risikomanagement, Transparenz und Verantwortlichkeit ein. Wer schnell reagiert, kann sich gegenüber Behörden, Kunden und Geschäftspartnern gut positionieren und gegen Cyberangriffen und gesetzlichen Sanktionen wappnen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
