Mit der Verkündung des NIS-2-Umsetzungsgesetzes im Bundesgesetzblatt am 05. Dezember 2025 und seinem Inkrafttreten am 06. Dezember 2025 beginnt eine neue Phase der Cybersicherheitsregulierung in Deutschland. Die neuen Vorgaben gelten ohne Übergangsfristen und betreffen nicht mehr nur klassische Betreiber Kritischer Infrastrukturen. Sie treffen nun große Teile der mittelständischen Wirtschaft und zahlreiche Unternehmen, die bislang nur am Rande mit IT-Sicherheitsrecht in Berührung kamen. Für rund 29.500 Unternehmen gelten damit ab sofort verbindliche Pflichten im Risikomanagement, bei Meldeprozessen sowie in der Governance der Informationssicherheit. Das Gesetz verändert die Art und Weise, wie Unternehmen über Cyberrisiken nachdenken und wie sie diese rechtlich beherrschen müssen.

Unsere Kanzlei erlebt seit Jahren, wie stark die Digitalisierung Lieferketten, Produktionsprozesse und unternehmensinterne Steuerungssysteme prägt. Mit NIS-2 wird diese Abhängigkeit erstmals in ein umfassendes, unmittelbar wirkendes Regelwerk übersetzt. Die Cybersicherheit wird damit zu einem strategischen Faktor, der Wettbewerbsfähigkeit, Haftung und Resilienz gleichermaßen bestimmt. Für viele Unternehmen wird es nun entscheidend sein, die neue Rechtslage schnell zu verstehen, zutreffend einzuordnen und die richtigen Schritte zu gehen.

Warum das Inkrafttreten ohne Übergangsfristen so bedeutsam ist

Mit dem Inkrafttreten am 06. Dezember 2025 gelten die Pflichten aus dem reformierten BSI-Gesetz bereits jetzt. Der Gesetzgeber reagiert damit auf den europäischen Umsetzungsdruck und das laufende Vertragsverletzungsverfahren. Für Unternehmen bedeutet dies, dass sie keine Schonfrist haben, um Strukturen anzupassen oder Prozesse aufzubauen. Selbst wenn einzelne Pflichten erst mit der Registrierung oder mit dem Start des neuen BSI-Portals im Januar 2026 vollständig operationalisiert werden, gilt das Grundprinzip ab sofort: Unternehmen müssen unverzüglich prüfen, ob sie als Einrichtung im Sinne des BSIG n. F. gelten, und entsprechende Maßnahmen einleiten.

Die sofortige Wirksamkeit verstärkt die Bedeutung einer rechtssicheren Einstufung. Wer sich in den nächsten Tagen und Wochen falsch einordnet, riskiert nicht nur Bußgelder, sondern auch einen Compliance-Befund, der später kaum zu korrigieren ist. Die Aufsicht stützt sich auf die Selbsteinschätzung der Unternehmen, erwartet jedoch eine professionelle, dokumentierte und nachvollziehbare Prüfung. Insofern ist die Eile des Gesetzgebers zugleich ein Gebot an die Unternehmensleitungen, sich jetzt aktiv mit den neuen Anforderungen auseinanderzusetzen.

Der Anwendungsbereich

Das Herzstück von NIS-2 ist der neue Anwendungsbereich. Er entscheidet darüber, ob ein Unternehmen Pflichten zum Risikomanagement, zur Meldung von Sicherheitsvorfällen und zur Governance erfüllen muss. Das alte Bild der Cybersicherheitsregulierung, wonach nur wenige Betreiber Kritischer Infrastrukturen betroffen sind, ist überholt. Der Gesetzgeber hat sich für eine europaweit harmonisierte Systematik entschieden, die zwei Elemente kombiniert: die Tätigkeit des Unternehmens in den in der Richtlinie genannten Sektoren und die Größenmerkmale nach der EU-KMU-Definition.

Unternehmen gelten als „wichtige Einrichtungen“, wenn sie in einem relevanten Sektor tätig sind und die Schwellenwerte eines mittleren Unternehmens überschreiten. Damit sind bereits Unternehmen betroffen, die mehr als 50 Mitarbeiter haben oder deren Umsatz und Bilanzsumme jeweils über 10 Millionen Euro liegen. „Besonders wichtige Einrichtungen“ sind große Unternehmen aus besonders sensiblen Sektoren wie Energie, Transport, Gesundheit oder digitaler Infrastruktur. Diese Einordnung ist nicht nur formeller Natur. Sie entscheidet über den Umfang der Pflichten und über die Höhe möglicher Sanktionen.

Die Prüfung des Anwendungsbereichs ist für viele Unternehmen komplexer, als sie zunächst erscheint. Ein Unternehmen wird nicht deshalb ausgenommen, weil sein operatives Kerngeschäft nicht kritisch ist. Entscheidend ist, ob es Tätigkeiten ausübt, die in den Anlagen zum BSIG n. F. genannt sind. Das kann auch dann der Fall sein, wenn das Unternehmen keine Versorgungsleistung im klassischen Sinn erbringt, sondern beispielsweise als Anbieter digitaler Dienste, als Hersteller bestimmter Güter oder als Betreiber von Datenverarbeitungsprozessen tätig ist. Das Gesetz spiegelt eine Realität wider, in der Cyberrisiken nicht nur Versorgungsstrukturen, sondern die gesamte digitale Wirtschaft betreffen.

Besondere Aufmerksamkeit verdienen Konzernstrukturen. Viele Unternehmensgruppen verfügen über zentralisierte IT-Funktionen, die konzernweit Netze, Systeme, Applikationen oder Sicherheitsprozesse bereitstellen. Diese Tätigkeiten können die Muttergesellschaft oder eine interne IT-Servicegesellschaft in den Anwendungsbereich ziehen, selbst wenn ihre eigene Belegschaft klein ist. Entscheidend ist die funktionale Rolle der Einheit und die Abhängigkeit anderer Konzernunternehmen von ihren IT-Leistungen. Unternehmen sollten daher nicht allein auf die formale Größe einzelner Gesellschaften abstellen, sondern das Zusammenspiel von Tätigkeiten, Abhängigkeiten und IT-Architekturen berücksichtigen.

Hinzu kommen zwei nationale Besonderheiten, die rechtlich anspruchsvoll sind: die Vernachlässigungsklausel und die IT-Unabhängigkeitsklausel. Die Vernachlässigungsklausel erlaubt es, einzelne Geschäftstätigkeiten auszublenden, wenn sie im Gesamtbild unbedeutend sind. Diese Ausnahme ist hilfreich, schafft aber Unsicherheit, weil der Begriff nicht abschließend definiert ist. Die IT-Unabhängigkeitsklausel wiederum erlaubt es, bei der Schwellenberechnung verbundene Unternehmen außer Betracht zu lassen, wenn eine technische und organisatorische Unabhängigkeit vorliegt. Beide Mechanismen erfordern eine sorgfältige rechtliche Bewertung und eine saubere Dokumentation, um spätere Diskussionen mit der Aufsicht zu vermeiden.

Die wesentlichen Pflichten im Überblick

Neben dem erweiterten Anwendungsbereich stellen die Risikomanagementpflichten den Kern des Gesetzes dar. Unternehmen müssen ein angemessenes und dokumentiertes System aufbauen, das ihre wesentlichen Risiken identifiziert, bewertet und beherrscht. Dieser Pflichtenkatalog reicht von klassischen IT-Sicherheitsmaßnahmen wie Schwachstellenmanagement, Patching und Zugriffskontrolle bis hin zu organisatorischen Anforderungen an Notfallmanagement, Krisenkommunikation, Lieferkettensicherheit und Wiederherstellungsprozesse. Entscheidend ist, dass der Gesetzgeber einen Mindeststandard definiert, der in allen relevanten Sektoren gilt. Wie weit dieser Standard im Einzelfall auszulegen ist, hängt vom Risikoprofil des Unternehmens ab.

Der zweite zentrale Bereich betrifft die Meldungen. Das neue Meldesystem verpflichtet Unternehmen, erhebliche Sicherheitsvorfälle in drei Stufen zu melden. Bereits innerhalb von 24 Stunden muss ein erster Bericht beim BSI eingehen. Innerhalb von 72 Stunden folgt eine vertiefte Meldung, und spätestens nach einem Monat ein Abschlussbericht. Diese Taktung erfordert klare Verantwortlichkeiten, funktionierende Kommunikationswege und die Fähigkeit, Vorfälle frühzeitig zu erkennen. Sie verlangt zudem die Koordination mit datenschutzrechtlichen Meldepflichten, da viele Cybervorfälle zugleich personenbezogene Daten betreffen.

Der dritte Bereich betrifft die Governance. Die Geschäftsleitung steht nun ausdrücklich in der Pflicht, das Risikomanagement nicht nur einzuführen, sondern auch zu überwachen. Damit schließt der Gesetzgeber eine Lücke der Vergangenheit. Entscheider können sich künftig nicht mehr darauf berufen, Cybersicherheit sei eine rein technische Aufgabe ihrer IT-Abteilung. Die Verantwortung liegt bei den Organen der Unternehmensführung, und Verstöße können zu persönlicher Haftung führen. Parallel dazu müssen Geschäftsleiter Schulungen absolvieren, die sie in die Lage versetzen, Risiken angemessen zu verstehen und Entscheidungen zu treffen.

Die Registrierung als NIS-2-Einrichtung

Unternehmen, die in den Anwendungsbereich fallen, sind verpflichtet, sich innerhalb von drei Monaten beim BSI zu registrieren. Der Registrierungsprozess ist zweistufig und beginnt mit der Einrichtung eines Nutzerkontos auf der Plattform „Mein Unternehmenskonto“. Dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Ab dem 6. Januar 2026 wird dann das neue BSI-Portal freigeschaltet, das als zentrale Meldestelle dient.

Die Registrierung ist der erste formale Schritt in die staatliche Cyberaufsicht und verlangt daher besondere Sorgfalt. Unternehmen bestätigen mit ihrer Registrierung, dass sie sich selbst als verpflichtete Einrichtung einstufen. Eine vorschnelle Registrierung kann unnötige Pflichten auslösen, während eine verspätete Registrierung ein Bußgeldrisiko birgt. Die Selbstklassifizierung ist daher ein Prozess, der juristische, organisatorische und technische Aspekte verbindet und professionell begleitet werden sollte.

Rechtliche Prüfung als Fundament

Die zutreffende Einstufung eines Unternehmens ist keine mechanische Rechenaufgabe. Sie verlangt die Analyse der Tätigkeit, der Größe, der Konzernverhältnisse und der technischen Strukturen. Sie verlangt zudem die Berücksichtigung der Vernachlässigungsklausel und der IT-Unabhängigkeit, die jeweils eigene Begründungsanforderungen haben. Unternehmen müssen nachvollziehbar darlegen können, weshalb eine Tätigkeit vernachlässigbar ist oder weshalb technische Unabhängigkeit vorliegt. Der Gesetzgeber verlangt hier nicht nur formelle Dokumentation, sondern eine inhaltliche Prüfung, die standhält, wenn das BSI sie hinterfragt.

Die Prüfung des Anwendungsbereichs ist deshalb ein zentraler Bestandteil der Compliance-Strategie. Sie entscheidet über Pflichten, Risiken und Aufwände. Unternehmen sollten diesen Schritt in einem strukturierten Verfahren durchführen, das die relevanten Parameter erfasst, rechtlich bewertet und intern freigibt. Für viele Unternehmen kann eine externe Begutachtung sinnvoll sein, insbesondere wenn komplexe Konzernstrukturen oder grenzüberschreitende Tätigkeiten vorliegen.

Diese Prüfung und Auslegung regulatorischer Anforderungen erfordert eine rechtliche Bewertung, die Rechtsanwälten vorbehalten ist. Dienstleister aus dem Bereich der Cyber-Sicherheit, Auditoren oder anderen nichtanwaltliche Berater können hier lediglich unterstützen, aber keine belastbare rechtliche Prüfung durchführen.

Empfohlenes Vorgehen

Die erste Phase der Umsetzung besteht darin, Transparenz zu schaffen. Unternehmen müssen wissen, ob sie betroffen sind, wie weit ihre Pflichten reichen und welche Risiken bestehen. Danach beginnt die Phase der Umsetzung, die technische, organisatorische und rechtliche Maßnahmen umfasst. Für die Praxis hat sich ein Vorgehen in vier Schritten bewährt.

  1. Im ersten Schritt sollte das Unternehmen seinen möglichen Status als Einrichtung prüfen. Diese Prüfung umfasst die Tätigkeiten, die Sektorzuordnung, die Schwellenwerte und die Konzernverflechtungen. Wichtig ist auch die Analyse der IT-Architektur, um technische Abhängigkeiten zu erkennen oder auszuschließen. Dieser Schritt bildet das Fundament aller weiteren Maßnahmen.
  2. Im zweiten Schritt folgt eine Gap-Analyse. Unternehmen sollten prüfen, welche Anforderungen aus dem Risikomanagement sie bereits erfüllen und welche fehlen. Die Analyse sollte nicht nur technische Systeme abbilden, sondern auch Prozesse, Schulungen, Notfallstrukturen und die Kommunikation in Lieferketten. Sie dient dazu, Defizite sichtbar zu machen und Prioritäten festzulegen.
  3. Im dritten Schritt beginnt die Umsetzung. Unternehmen sollten zunächst die Governance stärken, da die Geschäftsleitung unmittelbar für die Überwachung verantwortlich ist. Danach folgen der Ausbau des Informationssicherheitsmanagements, die Etablierung von Meldeketten, die Anpassung der Lieferkettenverträge und die Implementierung fehlender technischer Maßnahmen. In dieser Phase zeigt sich, dass Cybersicherheit kein isoliertes Projekt ist. Sie erfordert die enge Zusammenarbeit von IT, Recht, Compliance, Einkauf, Personal und Geschäftsleitung.
  4. Im vierten Schritt sollte das Unternehmen die Registrierung vorbereiten und interne Ansprechpersonen benennen. Auch wenn der formelle Akt erst im BSI-Portal stattfindet, müssen Ansprechpartner, Entscheidungswege und Dokumente bereits jetzt vorliegen. Idealerweise erstellen Unternehmen eine interne Richtlinie, die Zuständigkeiten festlegt und den Umgang mit Sicherheitsvorfällen standardisiert.

Dieses schrittweise Vorgehen schafft Klarheit und ermöglicht zugleich, die Anforderungen des Gesetzes mit angemessenen Ressourcen umzusetzen. Es verhindert, dass Unternehmen sich allein auf technische Maßnahmen konzentrieren und dabei die rechtliche und organisatorische Dimension vernachlässigen.

Ausblick

Das Inkrafttreten des Gesetzes macht deutlich, dass Cybersicherheit zu einem strukturellen Bestandteil der Unternehmensführung wird. Der Gesetzgeber hat mit NIS-2 einen Rahmen geschaffen, der technische Sicherheit, organisatorische Verantwortung und rechtliche Haftung miteinander verbindet. Unternehmen, die diese Entwicklung frühzeitig annehmen, können nicht nur Risiken reduzieren, sondern auch Vertrauen schaffen. In einer zunehmend digital vernetzten Wirtschaft ist dies ein Wettbewerbsvorteil, der nicht zu unterschätzen ist.

Für alle betroffenen Unternehmen gilt jetzt: Handeln ist wichtig. Die rechtliche Prüfung des Anwendungsbereichs, der strukturierte Aufbau eines Risikomanagements und die Vorbereitung der Registrierung sind Schritte, die nicht aufgeschoben werden dürfen.

Unsere Kanzlei unterstützt Unternehmen dabei mit Erfahrung, Weitblick und einem tiefen Verständnis für die Herausforderungen moderner Informationssicherheit. Die neue Rechtslage ist anspruchsvoll, aber mit klarer Strategie und vorausschauender Planung beherrschbar.

Christian Krösch
Letzte Artikel von Christian Krösch (Alle anzeigen)