Zum Inhalt springen
Startseite » Fachbeiträge » NIS-2 in Kraft: Was Unternehmen jetzt wissen müssen

NIS-2 in Kraft: Was Unternehmen jetzt wissen müssen

Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung im Bundesgesetzblatt veröffentlicht.
Bereits ab dem 6. Dezember 2025 sind die neuen Vorgaben vollumfänglich anwendbar – eine Übergangsfrist gibt es praktisch nicht.

Damit stehen viele Unternehmen kurzfristig vor der Aufgabe, ihre IT-Sicherheitsstrukturen rechtlich und organisatorisch neu einzuordnen.

Gerade vor dem Hintergrund der fehlenden Übergangsfrist ist es entscheidend, bei IT-Sicherheitsvorfällen strukturiert und nachvollziehbar reagieren zu können – insbesondere in den ersten Stunden nach Bekanntwerden eines Vorfalls. Ein entsprechendes Vorgehensmodell bietet der praxisorientierte Leitfaden für IT-Sicherheitsvorfälle in KMU.

Nach Angaben des Bundesinnenministeriums sind mehr als 30.000 Unternehmen in Deutschland betroffen.

Was ist das Ziel des NIS-2-Umsetzungsgesetzes?

Mit dem NIS-2-Umsetzungsgesetz wird das Ziel verfolgt,
das Cybersicherheitsniveau in Deutschland deutlich zu erhöhen und die Resilienz von Unternehmen gegenüber IT-Sicherheitsvorfällen zu stärken.

Der Gesetzgeber setzt dabei bewusst auf:

  • verbindliche Mindestanforderungen an Informationssicherheit
  • klare Zuständigkeiten auf Leitungsebene
  • eine stärkere Rolle des BSI
  • verpflichtende Meldungen bei erheblichen Sicherheitsvorfällen

Welche Unternehmen sind betroffen?

Das Gesetz gilt für Unternehmen aus 18 Wirtschaftssektoren, darunter unter anderem:

  • Energie
  • Verkehr und Transport
  • Gesundheitswesen
  • Digitale Infrastruktur
  • IT-Dienstleistungen
  • Abfall- und Wasserwirtschaft
  • Öffentliche Verwaltung
  • Teile der verarbeitenden Industrie

Entscheidend ist nicht nur die Branche, sondern auch:

  • Unternehmensgröße
  • Bedeutung der Dienstleistung
  • Abhängigkeiten anderer Unternehmen oder öffentlicher Stellen

Viele Unternehmen, die sich bisher nicht als „kritisch“ eingeordnet haben, fallen nun unter die neuen Regelungen.

Ab wann gelten die Pflichten?

Die neuen Anforderungen gelten seit dem 6. Dezember 2025 unmittelbar.

Das bedeutet:
Unternehmen müssen jetzt prüfen, ob sie betroffen sind und ob ihre bestehenden Sicherheitsstrukturen den gesetzlichen Anforderungen entsprechen.

Zentrale Pflichten für betroffene Unternehmen

1. Einführung eines strukturierten IT-Risikomanagements

Betroffene Unternehmen müssen ein systematisches Risikomanagement für Informationssicherheit etablieren.
Dazu gehören unter anderem:

  • Risikoanalysen
  • organisatorische und technische Schutzmaßnahmen
  • klare Zuständigkeiten
  • regelmäßige Überprüfung der Wirksamkeit

Ein „informelles Sicherheitsniveau“ reicht nicht mehr aus.

2. Registrierung beim BSI

Betroffene Unternehmen sind verpflichtet, sich beim
Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.

Damit wird das Unternehmen Teil der nationalen Sicherheitsarchitektur und unterliegt der Aufsicht des BSI.

3. Meldepflicht bei erheblichen IT-Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen künftig verpflichtend gemeldet werden.

Dazu zählen insbesondere Vorfälle, die:

  • den Geschäftsbetrieb erheblich beeinträchtigen
  • zu Datenverlusten oder -abflüssen führen
  • die Verfügbarkeit zentraler Systeme gefährden

Eine strukturierte Vorfallserkennung und -dokumentation wird damit zwingend erforderlich.

Um Meldepflichten gegenüber dem BSI rechtssicher erfüllen zu können, benötigen Unternehmen klare Abläufe, definierte Zuständigkeiten und eine nachvollziehbare Dokumentation der getroffenen Entscheidungen. Diese Elemente sind Bestandteil des Leitfadens zum Umgang mit IT-Sicherheitsvorfällen in Unternehmen.

4. Verantwortung der Geschäftsleitung

Ein zentraler Punkt des Gesetzes:
Die Verantwortung für Cybersicherheit liegt ausdrücklich bei der Geschäftsleitung.

Geschäftsführungen müssen:

  • angemessene Sicherheitsmaßnahmen sicherstellen
  • Entscheidungen zur IT-Sicherheit aktiv treffen
  • sich regelmäßig informieren lassen

Bei Verstößen drohen Sanktionen und persönliche Haftungsrisiken.

Was sollten Unternehmen jetzt konkret tun?

Angesichts des sehr kurzfristigen Inkrafttretens empfiehlt sich ein strukturiertes Vorgehen:

  1. Betroffenheit prüfen
    Branche, Größe und Rolle des Unternehmens einordnen
  2. Ist-Analyse der IT-Sicherheitsstrukturen
    Welche Maßnahmen existieren bereits? Wo bestehen Lücken?
  3. Zuständigkeiten festlegen
    Klare Verantwortlichkeiten auf Management-Ebene definieren
  4. Vorfallmanagement überprüfen
    Erkennung, Meldung und Dokumentation von Sicherheitsvorfällen sicherstellen
  5. Prioritäten setzen
    Nicht alles gleichzeitig – aber die rechtlich relevanten Punkte zuerst

Fazit

Das NIS-2-Umsetzungsgesetz markiert einen deutlichen Paradigmenwechsel in der Informationssicherheit.
IT-Sicherheit ist nicht länger ein rein technisches Thema, sondern eine unternehmerische Pflichtaufgabe.

Gerade für kleine und mittlere Unternehmen stellt die kurzfristige Umsetzung eine organisatorische Herausforderung dar.
Ein strukturiertes Vorgehen hilft dabei, Risiken zu reduzieren und handlungsfähig zu bleiben.

Dies gilt insbesondere für die ersten 48 Stunden nach einem Sicherheitsvorfall, in denen organisatorische und rechtliche Weichenstellungen erfolgen müssen.

Projekt86 unterstützt Unternehmen bei der strukturierten Umsetzung von Anforderungen im Bereich Informationssicherheit und Compliance.
Eine individuelle Beratung erfolgt stets auftragsbezogen und nach vorheriger Abstimmung.