Inhalt
Updates zur NIS-2 Umsetzung in Deutschland
⚠️ DRINGEND: NIS-2-Registrierung ist abgelaufen
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 in Kraft, das BSI-Portal zur Registrierung wurde am 6. Januar 2026 freigeschaltet. Die Registrierungspflicht für betroffene Unternehmen lief offiziell am 6. März 2026 ab.
Unternehmen in Fertigung, Maschinenbau, Lebensmittelproduktion, Pharmazie, Energie, Wasser und Logistik, die ab 50 Mitarbeitern oder 10 Mio. € Umsatz unter NIS‑2 fallen, waren verpflichtet, sich bis zu diesem Zeitpunkt beim BSI zu registrieren. Knapp 30.000 Einrichtungen gelten als betroffen.
Wer die Registrierung verpasst hat, handelt damit bereits in Verzug und bleibt trotzdem rechtlich verpflichtet, sich nachzuschalten. Die Frist ist zwar vorbei, die Pflicht aber nicht. Verstöße können mit Bußgeldern und Compliance-Risiken verbunden sein.
Aktueller Stand und Zeitplan im Gesetzgebungsverfahren
Damit hat sich der Charakter der Debatte grundlegend verändert. Es geht nicht mehr um die Frage, ob NIS-2 kommt, sondern darum, welche Unternehmen jetzt konkret handeln müssen, welche Pflichten bereits gelten und welche Risiken entstehen, wenn die Umsetzung zu spät oder unvollständig erfolgt.
Viele Unternehmen haben das Thema lange als regulatorisches Zukunftsprojekt betrachtet. Spätestens seit Anfang 2026 ist NIS-2 jedoch operative Realität. Geschäftsleitungen müssen sich mit ihrer Betroffenheit auseinandersetzen, Zuständigkeiten festlegen, Sicherheitsmaßnahmen nachschärfen und meldefähige Prozesse aufsetzen.
Unsere Akademie für Netzwerksicherheit hat in diesem Zusammenhang einen klaren Appell formuliert: “Führungskräfte tragen ab sofort nicht mehr nur die Verantwortung für Risikomanagement, Sicherheitsprozesse und Incident-Management, sondern unterliegen zusätzlich einer gesetzlichen Pflicht zur Schulung.“
Dieser Artikel dokumentiert die konkreten Entscheidungen und Änderungen aus der parlamentarischen Phase. Falls Sie noch nicht mit den grundlegenden Anforderungen der NIS-2-Richtlinie vertraut sind, empfehlen wir Ihnen zunächst unseren Basisartikel zu lesen. Dieser erläutert die konzeptionellen Anforderungen und den Aufbau der Richtlinie.
➤ Zum BasisartikelDie wesentlichen Etappen im Überblick
| Datum | Meilenstein | Status |
|---|---|---|
| 24.06.2025 | Veröffentlichung des Referentenentwurfs | ✓ Abgeschlossen |
| 30.07.2025 | Verabschiedung des Regierungsentwurfs | ✓ Abgeschlossen |
| 11.09.2025 | Erste Lesung im Bundestag | ✓ Abgeschlossen |
| 13.11.2025 | Verabschiedung durch Bundestag (2./3. Lesung) | ✓ Beschlossen |
| 21.11.2025 | Zustimmung durch Bundesrat | ✓ Beschlossen |
| 06.12.2025 | Inkrafttreten des Gesetzes | ✓ In Kraft |
| 06.01.2026 | BSI-Portal freigeschaltet | ✓ Live |
| 06.03.2026 | Registrierungsfrist endet | ✓ Abgelaufen |
Unternehmen müssen sich darauf einstellen, dass ab Inkrafttreten konkrete Fristen zur Umsetzung der neuen Anforderungen beginnen – insbesondere die Registrierung beim BSI innerhalb von 3 Monaten und die Etablierung von Meldeverfahren mit strikten Zeitfristen (24 Stunden Erstmeldung, 72 Stunden Konkretisierung, 30 Tage Abschlussbericht).
Konkrete nächste Schritte für Unternehmen (Stand Mai 2026)
Schritt 1 – SOFORT (unabhängig von der Frist)
- Betroffenheitsprüfung durchführen: BSI-Betroffenheitsprüfungs-Tool
- “Mein Unternehmenskonto” (MUK) einrichten (falls noch nicht geschehen)
- ELSTER-Zertifikate generieren
Schritt 2 – Registrierung im BSI‑Portal (jetzt bereits Pflicht)
- Registrierung im BSI-Portal durchführen
- Erforderliche Daten: Kontaktdaten (24/7-erreichbar), IP-Adressbereiche, kritische Komponenten
Schritt 3 – Nachfrist‑Status, aber rechtlich weiterhin verpflichtend
- Registrierung beim BSI abschließen (3-Monatsfrist nach Inkrafttreten)
- Meldeverfahren für Sicherheitsvorfälle etablieren
- Risikomanagement-Dokumentation erstellen
Noch nicht ausgenutzte Öffnungsklauseln der EU-Richtlinie
Zertifizierungspflichten (Artikel 24 Abs. 1 NIS-2)
Die EU-Richtlinie erlaubt Mitgliedsstaaten, verpflichtete Einrichtungen zur Nutzung von EU-zertifizierten IKT-Produkten und -Services zu verpflichten. Deutschland hat diese Öffnungsklausel bislang nicht konkretisiert. Das BMI könnte eine Verordnung erlassen, dies ist aber noch ausstehend. Experten warnen, dass eine solche Zertifizierungspflicht erhebliche Umsetzungshürden darstellt.
Massive Ausweitung des betroffenen Unternehmenskreises
Der Kreis der regulierten Einrichtungen wird von bisher ca. 4.500 auf rund 29.500 Unternehmen erweitert – eine nahezu siebenfache Steigerung. Neu einbezogen werden u.a.:
- Maschinenbau, Lebensmittelproduktion, Pharmazie, Logistik
- Post- und Lieferdienste, Abfallwirtschaft
- Digitale Dienste und digitale Infrastruktur
- Öffentliche Verwaltung (Bundesebene)
Schwellenwert: Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Mio. € Jahresumsatz.
Kritische Meilensteine
| Frist nach Inkrafttreten | Maßnahme |
| 3 Monate | Registrierung beim BSI für alle betroffenen Einrichtungen |
| Laufend | 24-Stunden-Erstmeldung erheblicher Sicherheitsvorfälle |
| 72 Stunden | Vertieftes Zwischenmeldeverfahren |
| 30 Tage | Abschlussbericht zu Sicherheitsvorfällen |
| 12 Monate | KRITIS-Betreiber: Nachweise nach altem Recht noch möglich |
| 3 Jahre | BSI kann formale Nachweise verlangen |
| 5 Jahre | Bundesverwaltung: Vollständige Umsetzung Sicherheitsmaßnahmen |
| Jährlich | Aktualisierung Versorgungskennzahlen und Komponententypen |
Handlungsbedarf für betroffene Unternehmen
Da keine längeren Übergangsfristen vorgesehen sind (außer 12 Monate für bestehende KRITIS), sollten Unternehmen unmittelbar nach Inkrafttreten handeln:
- Betroffenheitsprüfung durchführen: BSI-Tool nutzen zur Bestimmung der genauen Einstufung
- Registrierung vorbereiten: Alle erforderlichen Daten zusammenstellen
- Geschäftsleitungspflichten verankern: Klare Verantwortlichkeiten festlegen, regelmäßige Schulungen des Managements zur NIS-2-Compliance durchführen und die Wirksamkeit der Sicherheitsorganisation überwachen. Mehr dazu
- Schulung aller Mitarbeiter: Rollenspezifische Awareness- und Fachschulungen zu Cybersicherheit, Meldewegen und Umgang mit Vorfällen implementieren und regelmäßig auffrischen. Mehr dazu
- Meldeverfahren etablieren: 24/7-Erreichbarkeit für Sicherheitsvorfälle
- Gap-Analyse durchführen: Abgleich bestehender Maßnahmen mit § 30 BSIG-Anforderungen. Mehr dazu
- Lieferantenmanagement: Cybersicherheitsanforderungen in Verträge aufnehmen
Offizielle Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Pressemitteilung zur Verabschiedung des NIS2UmsuCG
- Deutscher Bundestag: Drucksache 21/2782 – Beschlussempfehlung des Innenausschusses
- Bundesgesetzblatt: Veröffentlichung des NIS-2-Umsetzungsgesetzes (erwartet Dezember 2025)
- EU-NIS-2-Richtlinie: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates
- BSI-Grundschutz: Richtlinien zur Informationssicherheit – www.bsi.bund.de/grundschutz
Hinweis: Der Blog-Artikel wurde auf den neuesten Stand vom 24. November 2025 aktualisiert. Alle Informationen beziehen sich auf die Verabschiedung durch Bundestag (13.11.2025) und Bundesrat (21.11.2025).