Die EU Richtlinie „Network and Information Security“ (NIS-2) in Deutschland gesetzlich umgesetzt

Mit NIS-2 hat Deutschland nun verspätet die EU-Vorgaben (Richtlinie (EU) 2022/2555) in ein deutsches Gesetz gegossen. Das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 06.12.25 in Kraft getreten und regelt damit rechtswirksam verbindlich für Unternehmen die Cybersicherheit. Ziel ist ein hohes, einheitliches Sicherheitsniveau für Netz- und Informationssysteme. Konkret bezieht sich das nationale Gesetz auf wesentliche Einrichtungen sensibler Infrastruktur (Energie, Wasser, Gesundheit, Verkehr, Digitales). Dazu gehören Post- und Kurierdienste, Abfallwirtschaft, Hersteller kritischer Produkte (u.a. Wehrindustrie und deren Zulieferer), aber auch IT-Dienstleister. Jedes Unternehmen ab 50 MitarbeiterInnen oder ab 10 Mio. € Umsatz sollte hier prüfen, ob es im Anwendungsbereich liegt. Wenn dies so ist, gelten komplexe Pflichten. Sicherheitskonzepte und Risikoanalysen müssen erstellt, der Umgang mit IT-Sicherheitsvorfällen muss definiert und Krisenpläne erstellt werden. Darüber hinaus müssen Meldepflichten bei Vorfällen eingehalten werden. Geschäftsleitungen sind hier in der Umsetzung und Implementierungspflicht.

Das Bundesamt für Sicherheit & Informationstechnik (BSI) hat nun Anfang Januar ein Portal zur Registrierung der betroffenen Stellen freigeschaltet. Entsprechende Fristen (z. B. bis Anfang März 2026) sind zu beachten.

Wir stehen Ihnen gerne bei Fragen zur Verfügung! Sprechen Sie uns einfach an!