Seit dem 6. Dezember 2025 ist das neue NIS-2-Umsetzungsgesetz in Deutschland in Kraft. Es überführt die europäische NIS-2-Richtlinie in nationales Recht
und hat einen klaren Auftrag. Die IT- und Cybersicherheit von Unternehmen und Organisationen soll grundlegend gestärkt werden.
Warum ist das Gesetz so wichtig?
Cyberangriffe, Systemausfälle und digitale Abhängigkeiten nehmen massiv zu. Um die wirtschaftliche und gesellschaftliche Stabilität zu schützen, verpflichtet das neue Gesetz Unternehmen dazu, ihre digitalen Systeme zu sichern, Risiken aktiv zu bewerten und schwerwiegende Sicherheitsvorfälle zu melden.
Das Umsetzungsgesetz ist mit 68 Seiten, 30 Artikeln und Änderungen in 28 Gesetzen ausgesprochen umfangreich. Im Zentrum steht das neu gefasste BSI-Gesetz (BSIG), das auf 46 Seiten zentrale Pflichten definiert – vor allem zum IT-Risikomanagement und zur Cybersicherheit.
Was müssen Unternehmen jetzt tun?
Die neuen Pflichten sind im BSI-Gesetz verankert und verlangen ein strukturiertes, dokumentiertes Sicherheitskonzept. Im Einzelnen bedeutet das:
- Unternehmen müssen definieren, wie ihre IT-Systeme geschützt und Risiken bewertet werden.
- Es muss klar geregelt sein, wie bei Cyberangriffen gehandelt wird inkl. Notfallplänen und Vertretungsregelungen.
- Sicherheitsprobleme müssen früh erkannt, bewertet und ggf. gemeldet werden.
- Auch Dienstleister, IT-Anbieter und Zulieferer sind in das Sicherheitskonzept einzubeziehen („Cyber Supply Chain Risk Management“).
- Sicherheitslücken müssen zügig geschlossen werden.
- Sensibilisierung der Beschäftigten im Umgang mit Phishing-Mails oder Passwörtern.
- Nur Berechtigte dürfen auf sensible Systeme zugreifen; Kommunikation ist zu verschlüsseln.
- Bei der Zwei-Faktor-Authentifizierung muss wohlmöglich eine zusätzliche Sicherheitsebene eingeführt werden.
Diese Maßnahmen sind stark an ein ISMS (Informationssicherheits-Managementsystem) angelehnt, eine vollwertige ISO-27001-Zertifizierung ist jedoch nicht erforderlich.
Wer ist betroffen?
Das Gesetz gilt nicht nur für kritische Infrastrukturen, sondern auch für viele mittlere Unternehmen. Laut § 28 BSIG gilt NIS-2 für Unternehmen mit mehr als 50 Beschäftigten oder über 10 Mio.€ Umsatz/Bilanzsumme, sofern die relevante Geschäftstätigkeit nicht vernachlässigbar ist.
Achtung! Auch Unternehmen innerhalb von Konzernen sollten prüfen, ob sie konsolidiert über der Schwelle liegen.
Einige Branchen fallen automatisch unter die NIS-2-Pflichten z.B., wenn sie Produkte oder Dienstleistungen gemäß der NACE-Systematik (siehe Anhang der NIS-2-Richtlinie) anbieten.
Und was ist mit der Lieferkette?
Obwohl es im Gesetzestext selbst nicht explizit steht, weist das BSI auf ein „Cyber Supply Chain Risk Management (C-SCM)“ hin. Wer als Auftragnehmer mit NIS-2-pflichtigen Unternehmen zusammenarbeitet, kann daher mittelbar betroffen sein und Sicherheitsnachweise erbringen müssen.
Keine Panik, aber handeln!
NIS-2 ist kein bürokratisches Monster, sondern ein klarer Aufruf zur systematischen IT-Sicherheit. Unternehmen sollten jetzt:
- prüfen, ob sie betroffen sind (inkl. Konzernstruktur und NACE-Abgleich),
- eine erste GAP-Analyse durchführen,
- ein angemessenes Sicherheitskonzept einführen oder aktualisieren,
- Sicherheitsmaßnahmen dokumentieren, idealerweise über ein ISMS
Je früher Sie mit der Umsetzung beginnen, desto besser können Aufwand und Ressourcen geplant werden.
