NIS-2 offiziell in Kraft: Neue Cybersecurity-Pflichten für 30.000 Firmen

Mit der Veröffentlichung im Bundesanzeiger am 5. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland offiziell in Kraft getreten. Damit endet eine mehr als zweijährige Phase der Ausarbeitung, Konsultation und Abstimmung. Das Gesetz überführt die europäischen Mindeststandards der EU-NIS2-Richtlinie in verbindliche deutsche Rechtsvorgaben – und hat erhebliche Auswirkungen auf Unternehmen nahezu aller Branchen.

 

Was regelt das NIS2-Umsetzungsgesetz?

Kern des Gesetzes ist die nationale Umsetzung der NIS2-Richtlinie sowie die Festlegung der wesentlichen Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Neben den bisherigen KRITIS-Betreibern werden nun auch wichtige und besonders wichtige Einrichtungen reguliert. Dadurch steigt die Zahl der betroffenen Unternehmen in Deutschland auf über 30.000.

Neben der NIS2-Regulierung entsteht parallel das KRITIS-Dachgesetz, das die Resilienz kritischer Infrastrukturen umfassender adressiert. Die Anforderungen orientieren sich dabei stark an etablierten Normen wie ISO 27001, den bestehenden KRITIS-Vorgaben sowie dem noch entstehenden NIS2 Implementing Act.

 

Wer ist betroffen?

Zu den verpflichteten Organisationen gehören:

  • Betreiber kritischer Anlagen (KRITIS)
  • wichtige und besonders wichtige Einrichtungen gemäß Unternehmensgröße
  • Bundesbehörden und einzelne Sonderbereiche
  • Unternehmen aus Sektoren wie Energie, Gesundheitswesen, Transport, Abfallwirtschaft, Verwaltung, digitale Dienste und vielen weiteren Wirtschaftszweigen

Damit werden große Teile der deutschen Wirtschaft in ein einheitliches Cybersecurity-Regelwerk eingebunden.

 

Sind Sie von NIS-2 betroffen?

Das Entscheidungsdiagramm von tec4net verschafft Ihnen einen ersten Überblick, ob Ihr Unternehmen unter die neuen Regelungen fällt.
https://tec4net.com/public/it-security/NIS-2-KRITIS-Entscheidungsdiagramm.pdf

Hinweis: In einzelnen Branchen können zusätzliche gesetzliche Vorgaben und branchenspezifische Regelungen relevant sein.

 

Welche Anforderungen kommen auf Unternehmen zu?

Das Gesetz bringt umfangreiche Änderungen und Pflichten mit sich, darunter:

  • Risikomanagement und Sicherheitsmaßnahmen: Technische und organisatorische Vorkehrungen müssen implementiert werden. 
  • Meldepflichten: Sicherheitsvorfälle sind umgehend zu melden. 
  • Governance-Anforderungen: Die Unternehmensleitung trägt die Verantwortung für die Einhaltung der Vorgaben. 

     

  • Dokumentations- und Nachweispflichten: Maßnahmen und Prozesse müssen nachvollziehbar dokumentiert werden. 
  • Regelmäßige Prüfungen: 
    • KRITIS-Betreiber: Auditpflicht alle drei Jahre 
    • Einrichtungen: Dokumentation und stichprobenartige Kontrollen 
  • Behördliche Aufsicht: Verstärkte Kontrollen durch BSI, BBK und BNetzA 
  • Relevante Gesetzesänderungen: Das Gesetz führt zudem Anpassungen in weiteren Gesetzen ein, etwa im TKG, EnWG sowie für Finanzsektorunternehmen in DORA.

 

Sanktionen: Deutlich verschärfte Bußgelder

Die Sanktionen wurden massiv ausgeweitet. Je nach Verstoß können Bußgelder zwischen 100.000 Euro und bis zu 20 Millionen Euro verhängt werden – teilweise orientiert am weltweiten Jahresumsatz des Unternehmens.

 

Stand der Dinge

Nach zahlreichen Entwürfen, Konsultationsfassungen und Kabinettsbeschlüssen seit 2023 wurde die finale Fassung des Gesetzes am 13.11.2025 verabschiedet. Mit der Verkündung im Bundesgesetzblatt ist das NIS2-Umsetzungsgesetz nun seit 05.12. 2025 rechtskräftig. Für Unternehmen beginnt damit eine Übergangsphase, in der Strukturen, Prozesse und technische Maßnahmen an die neuen Anforderungen angepasst werden müssen.

Die kommenden Monate werden entscheidend dafür sein, ob betroffene Organisationen die erweiterten Sicherheitsstandards rechtzeitig erfüllen können – und ob Deutschland den europäischen Anspruch einer gestärkten digitalen Resilienz erreicht.

 

NIS-2 sicher umsetzen – mit tec4net

Unternehmen stehen mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes vor einer Vielzahl neuer technischer und organisatorischer Anforderungen. Genau hier unterstützen wir Sie mit langjähriger Erfahrung in den Bereichen Informationssicherheit, Datenschutz und normbasierten Managementsystemen.

 

Unser Angebot für Sie:

  • NIS-2-Betroffenheitsprüfung und Gap-Analyse
  • Erstellung Ihres Risikomanagement- und Sicherheitskonzepts
  • Unterstützung bei Incident-Reporting und Lieferkettensicherheit
  • Vorbereitung auf BSI-/BNetzA-Prüfungen und KRITIS-Nachweise
  • Schulungen für Geschäftsführung und Technik-Teams

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu DSGVO und Website-Compliance.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

NIS-2-Anforderungen sicher umsetzen – mit der tect4net GmbH
https://www.tec4net.com/web/it-security/

Fragen und Antworten zu NIS-2 und Kritis
https://www.tec4net.com/web/category/wissen-nis-2/

Infoblatt zu NIS-2 der tec4net
https://www.tec4net.com/web/wp-content/uploads/2025/01/tec4net_Infoblatt_NIS-2.pdf

Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555

Openkritis – NIS2-Umsetzungsgesetz
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html

Stellungnahme Bundesverband WindEnergie e. V. zum KRITIS-Dachgesetz
https://www.wind-energie.de/fileadmin/redaktion/dokumente/publikationen-oeffentlich/themen/04-politische-arbeit/06-europa/20250904_BWE_Stellungnahme__Kritis_DACH_Gesetz.pdf

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com