Zum Hauptinhalt springen
Machen Sie jetzt den
DSGVO Quick-Check!

NIS2-Umsetzungsgesetz: Neue Pflichten zur Cybersicherheit seit 5. Dezember 2025

zurück zur Übersicht

Cyberangriffe stellen für Unternehmen eine zunehmende wirtschaftliche Bedrohung dar. Vor diesem Hintergrund hat der europäische Gesetzgeber mit der NIS2-Richtlinie neue Maßstäbe für die Netzwerk- und Informationssicherheit gesetzt. Diese Vorgaben sind nun auch in Deutschland verbindlich umgesetzt.

Seit wann gilt das NIS2-Umsetzungsgesetz?

Das Gesetz zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) wurde am 5. Dezember 2025 verkündet und gilt unmittelbar ab dem 06. Dezember 2025. Eine allgemeine Übergangsfrist ist nicht vorgesehen.

Für welche Unternehmen ist das NIS2-Umsetzungsgesetz relevant?

Der Anwendungsbereich wurde im Vergleich zur bisherigen Rechtslage deutlich ausgeweitet. Maßgeblich sind insbesondere:

  • der betroffene Sektor (z. B. Energie, Gesundheit, digitale Infrastruktur, IT-Dienstleistungen, Industrie),
  • die Unternehmensgröße,
  • sowie die Erbringung von Dienstleistungen oder die Ausübung von Tätigkeiten innerhalb der EU.

Nach aktuellen Schätzungen sind mehr als 30.000 Unternehmen in Deutschland vom neuen Rechtsrahmen erfasst. Auch verbundene Unternehmen und Konzernstrukturen sind bei der Einordnung zu berücksichtigen.

Warum jetzt Handlungsbedarf besteht:

Das NIS2-Umsetzungsgesetz bringt wesentliche Neuerungen mit sich, darunter:

  • eine Ausweitung des Geltungsbereichs,
  • verschärfte Sicherheits- und Maßnahmenpflichten,
  • eine stärkere Verantwortung der Unternehmensleitung (Governance-Pflichten),
  • ein mehrstufiges Meldesystem für Sicherheitsvorfälle,
  • sowie erweiterte Aufsichts- und Befugnisse der Behörden und einen verschärften Bußgeldrahmen.

Gerade an der Schnittstelle von IT-Sicherheit, Datenschutz und Compliance ergeben sich neue organisatorische und rechtliche Anforderungen, die kurzfristig geprüft und umgesetzt werden sollten.

Registrierungspflicht beim BSI – Portal jetzt freigeschaltet

„Besonders wichtige“ und „wichtige Einrichtungen“ im Sinne des NIS2-Umsetzungsgesetzes müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Die Registrierung erfolgt zweistufig:

  1. über „Mein Unternehmenskonto“ (MUK)
  2. anschließend im BSI-Registrierungsportal (verfügbar seit dem 6. Januar 2026)

Die Registrierung muss innerhalb von drei Monaten nach Eintritt der NIS2-Betroffenheit erfolgen.
Für bestimmte Einrichtungen (z. B. kritische Anlagen, digitale Dienste/Infrastrukturen) können zusätzliche Pflichten gelten.

Quick Check: Fällt Ihr Unternehmen unter das NIS2-Umsetzungsgesetz?

Um eine erste Einschätzung zu erhalten, ob Ihre Organisation vom NIS2-Umsetzungsgesetz betroffen ist, stellen wir Ihnen einen kostenlosen Quick Check NIS2 zur Verfügung.
Jetzt den NIS2 Check durchführen

Beratungsbedarf

Gerne unterstützen wir Sie bei der Prüfung des Anwendungsbereichs, der Durchführung von GAP-Analysen sowie bei der rechtssicheren Umsetzung der neuen Pflichten – auch mit Blick auf datenschutzrechtliche Wechselwirkungen zur DSGVO. Weitere Informationen finden Sie hier.

Quelle: bsi.bund.de

Leistungen
Datenschutz

für Behörden

Internationaler Datenschutz

Data Privacy Framework

Künstliche Intelligenz

Telekommunikations­datenschutz

Telemedien & Digitale Dienste

Gesundheitsdatenschutz

Finanz- und Bankendatenschutz

Kirchlicher Datenschutz

Konzepte

Expertise

Individualität

Engagement

Kanzlei

Team

Standorte

Karriere

Philosophie

Impressum

Datenschutzerklärungen

Adenauerallee 136
D-53113 Bonn
Tel.: +49 (0) 228-227 226-0
Mail: info@scheja-partners.de

DSGVO Quick-Check