NIS-2 tritt in Kraft: Neue Anforderungen an Cybersicherheit – was Unternehmen jetzt wissen müssen

Am 05.12.2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie verkündet, und bereits ab dem Folgetag tritt es in Kraft. Damit beginnt eine umfassende Modernisierung des deutschen Cybersicherheitsrechts, die für Unternehmen und öffentliche Einrichtungen deutlich strengere Anforderungen mit sich bringt.

Mit der Novellierung des BSI-Gesetzes erweitert sich der Kreis der regulierten Organisationen deutlich. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der beaufsichtigten Einrichtungen von bislang rund 4.500 auf künftig etwa 29.500. Erfasst werden Unternehmen aus festgelegten Sektoren, sofern sie bestimmte Schwellenwerte etwa hinsichtlich Mitarbeiterzahl, Jahresumsatz oder Bilanzsumme überschreiten. Neu eingeführt werden zudem die Kategorien der „wichtigen Einrichtungen“ und der „besonders wichtigen Einrichtungen“. Betreiber Kritischer Infrastrukturen gelten dabei kraft Gesetzes als besonders wichtige Einrichtungen.

Zentrale Pflichten für betroffene Unternehmen umfassen:

Registrierungspflicht beim BSI
Registrierung als NIS-2-Einrichtung über das digitale Unternehmenskonto MUK („Mein Unternehmenskonto“) und später im neuen BSI-Portal.

Meldepflicht bei erheblichen Sicherheitsvorfällen
Relevante Vorfälle müssen fristgerecht gemeldet werden. Vor der offiziellen Portal-Freischaltung erfolgt dies über ein Online-Formular.

Risikomanagement und dokumentierte Sicherheitsmaßnahmen
Unternehmen müssen ein wirksames Risikomanagement etablieren sowie technische und organisatorische Maßnahmen zur Informationssicherheit umsetzen und dokumentieren.

Lieferkettenmanagement
Sicherheitsrisiken in der gesamten Supply Chain müssen erkannt, bewertet und vertraglich wie organisatorisch gesteuert werden.

Das BSI führt hierfür einen zweistufigen Registrierungsprozess ein:

Einrichtung des Unternehmenskontos MUK, basierend auf ELSTER-Zertifikaten – Empfehlung: bis spätestens Ende 2025.

Registrierung im neuen BSI-Portal, das am 06. Januar 2026 freigeschaltet wird.

Was Unternehmen jetzt tun sollten
Unternehmen sollten zeitnah prüfen, ob sie unter NIS-2 fallen, Verantwortlichkeiten klären, bestehende Sicherheitsstrukturen analysieren und gegebenenfalls ihr Informationssicherheitsmanagementsystem (ISMS) erweitern oder mit dem Aufbau beginnen. Ebenso wichtig ist die frühzeitige Erstellung von Meldewegen und Prozessen für Sicherheitsvorfälle sowie die Einrichtung des MUK-Kontos als Grundlage für die spätere Registrierung.

Bitte bedenken Sie: Es gibt keine Übergangsfristen. Das bedeutet, dass die Pflichten und Sanktionen seit Inkrafttreten des deutschen Gesetzes gelten.

Wie INFA unterstützt
Als erfahrenes Beratungsunternehmen unterstützt INFA seit vielen Jahren Kommunen und Unternehmen bei der Umsetzung regulatorischer Anforderungen. Auch im Kontext von NIS-2 kann INFA-Organisationen begleiten – von der Einordnung der Betroffenheit über die Gap-Analyse bis hin zur Entwicklung konkreter Handlungsstrategien und Schulungsmaßnahmen.

Gerne stehen wir für ein unverbindliches Erstgespräch zur Verfügung, um gemeinsam die nächsten Schritte zur NIS-2-konformen Organisation zu planen.

Informationen

Unternehmen

Themenschwerpunkte

Kontakt

Support