Inhalt
Updates zur NIS-2 Umsetzung in Deutschland
⚠️ DRINGEND: NIS-2-Registrierung läuft
Das Gesetz ist in Kraft. Die Registrierung ist live. Die Zeit läuft.
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 in Kraft. Das BSI-Portal zur Registrierung ist seit 6. Januar 2026 freigeschaltet. Deadline: 6. März 2026.
Unternehmen in Fertigung, Maschinenbau, Lebensmittelproduktion, Pharmazie, Energie, Wasser und Logistik (ab 50 Mitarbeitern oder 10 Mio. € Umsatz) müssen sich jetzt registrieren. Rund 30.000 deutsche Einrichtungen sind betroffen. Wer nicht registriert ist, wenn die Frist ausläuft, begeht eine Compliance-Verletzung. Und das ist erst der Anfang.
Aktueller Stand und Zeitplan im Gesetzgebungsverfahren
Nach über einjähriger Verzögerung hat der Deutsche Bundestag am 13. November 2025 das NIS-2-Umsetzungsgesetz verabschiedet. Der Bundesrat stimmte am 21. November zu. Mit Inkrafttreten am 6. Dezember 2025 trat eine neue Verantwortungsebene in Kraft: Geschäftsführer und Aufsichtsräte unterliegen nun gesetzlicher Haftung für Cyberrisiken.
Unsere Akademie für Netzwerksicherheit hat in diesem Zusammenhang einen klaren Appell formuliert: “Führungskräfte tragen ab sofort nicht mehr nur die Verantwortung für Risikomanagement, Sicherheitsprozesse und Incident-Management, sondern unterliegen zusätzlich einer gesetzlichen Pflicht zur Schulung.“
Dieser Artikel dokumentiert die konkreten Entscheidungen und Änderungen aus der parlamentarischen Phase. Falls Sie noch nicht mit den grundlegenden Anforderungen der NIS-2-Richtlinie vertraut sind, empfehlen wir Ihnen zunächst unseren Basisartikel zu lesen. Dieser erläutert die konzeptionellen Anforderungen und den Aufbau der Richtlinie.
➤ Zum BasisartikelDie wesentlichen Etappen im Überblick
| Datum | Meilenstein | Status |
|---|---|---|
| 24.06.2025 | Veröffentlichung des Referentenentwurfs | ✓ Abgeschlossen |
| 30.07.2025 | Verabschiedung des Regierungsentwurfs | ✓ Abgeschlossen |
| 11.09.2025 | Erste Lesung im Bundestag | ✓ Abgeschlossen |
| 13.11.2025 | Verabschiedung durch Bundestag (2./3. Lesung) | ✓ Beschlossen |
| 21.11.2025 | Zustimmung durch Bundesrat | ✓ Beschlossen |
| 06.12.2025 | Inkrafttreten des Gesetzes | ✓ IN KRAFT |
| 06.01.2026 | BSI-Portal freigeschaltet | ✓ LIVE |
| 06.03.2026 | Registrierungsfrist endet | ⏳ BEVORSTEHEND |
Unternehmen müssen sich darauf einstellen, dass ab Inkrafttreten konkrete Fristen zur Umsetzung der neuen Anforderungen beginnen – insbesondere die Registrierung beim BSI innerhalb von 3 Monaten und die Etablierung von Meldeverfahren mit strikten Zeitfristen (24 Stunden Erstmeldung, 72 Stunden Konkretisierung, 30 Tage Abschlussbericht).
Konkrete nächste Schritte für Unternehmen (Stand Januar 2026)
Schritt 1 – SOFORT (bis Ende Januar):
- Betroffenheitsprüfung durchführen: BSI-Betroffenheitsprüfungs-Tool
- “Mein Unternehmenskonto” (MUK) einrichten (falls noch nicht geschehen)
- ELSTER-Zertifikate generieren
Schritt 2 – AB 06.01.2026 (jetzt live):
- Registrierung im BSI-Portal durchführen
- Erforderliche Daten: Kontaktdaten (24/7-erreichbar), IP-Adressbereiche, kritische Komponenten
Schritt 3 – VOR 06.03.2026 (Deadline):
- Registrierung beim BSI abschließen (3-Monatsfrist nach Inkrafttreten)
- Meldeverfahren für Sicherheitsvorfälle etablieren
- Risikomanagement-Dokumentation erstellen
Noch nicht ausgenutzte Öffnungsklauseln der EU-Richtlinie
Zertifizierungspflichten (Artikel 24 Abs. 1 NIS-2)
Die EU-Richtlinie erlaubt Mitgliedsstaaten, verpflichtete Einrichtungen zur Nutzung von EU-zertifizierten IKT-Produkten und -Services zu verpflichten. Deutschland hat diese Öffnungsklausel bislang nicht konkretisiert. Das BMI könnte eine Verordnung erlassen, dies ist aber noch ausstehend. Experten warnen, dass eine solche Zertifizierungspflicht erhebliche Umsetzungshürden darstellt.
Massive Ausweitung des betroffenen Unternehmenskreises
Der Kreis der regulierten Einrichtungen wird von bisher ca. 4.500 auf rund 29.500 Unternehmen erweitert – eine nahezu siebenfache Steigerung. Neu einbezogen werden u.a.:
- Maschinenbau, Lebensmittelproduktion, Pharmazie, Logistik
- Post- und Lieferdienste, Abfallwirtschaft
- Digitale Dienste und digitale Infrastruktur
- Öffentliche Verwaltung (Bundesebene)
Schwellenwert: Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Mio. € Jahresumsatz.
Kritische Meilensteine
| Frist nach Inkrafttreten | Maßnahme |
| 3 Monate | Registrierung beim BSI für alle betroffenen Einrichtungen |
| Laufend | 24-Stunden-Erstmeldung erheblicher Sicherheitsvorfälle |
| 72 Stunden | Vertieftes Zwischenmeldeverfahren |
| 30 Tage | Abschlussbericht zu Sicherheitsvorfällen |
| 12 Monate | KRITIS-Betreiber: Nachweise nach altem Recht noch möglich |
| 3 Jahre | BSI kann formale Nachweise verlangen |
| 5 Jahre | Bundesverwaltung: Vollständige Umsetzung Sicherheitsmaßnahmen |
| Jährlich | Aktualisierung Versorgungskennzahlen und Komponententypen |
Handlungsbedarf für betroffene Unternehmen
Da keine längeren Übergangsfristen vorgesehen sind (außer 12 Monate für bestehende KRITIS), sollten Unternehmen unmittelbar nach Inkrafttreten handeln:
- Betroffenheitsprüfung durchführen: BSI-Tool nutzen zur Bestimmung der genauen Einstufung
- Registrierung vorbereiten: Alle erforderlichen Daten zusammenstellen
- Geschäftsleitungspflichten verankern: Klare Verantwortlichkeiten festlegen, regelmäßige Schulungen des Managements zur NIS-2-Compliance durchführen und die Wirksamkeit der Sicherheitsorganisation überwachen. Mehr dazu
- Schulung aller Mitarbeiter: Rollenspezifische Awareness- und Fachschulungen zu Cybersicherheit, Meldewegen und Umgang mit Vorfällen implementieren und regelmäßig auffrischen. Mehr dazu
- Meldeverfahren etablieren: 24/7-Erreichbarkeit für Sicherheitsvorfälle
- Gap-Analyse durchführen: Abgleich bestehender Maßnahmen mit § 30 BSIG-Anforderungen. Mehr dazu
- Lieferantenmanagement: Cybersicherheitsanforderungen in Verträge aufnehmen
Offizielle Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Pressemitteilung zur Verabschiedung des NIS2UmsuCG
- Deutscher Bundestag: Drucksache 21/2782 – Beschlussempfehlung des Innenausschusses
- Bundesgesetzblatt: Veröffentlichung des NIS-2-Umsetzungsgesetzes (erwartet Dezember 2025)
- EU-NIS-2-Richtlinie: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates
- BSI-Grundschutz: Richtlinien zur Informationssicherheit – www.bsi.bund.de/grundschutz
Hinweis: Der Blog-Artikel wurde auf den neuesten Stand vom 24. November 2025 aktualisiert. Alle Informationen beziehen sich auf die Verabschiedung durch Bundestag (13.11.2025) und Bundesrat (21.11.2025).