Die NIS-2 ist da – was jetzt?

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 06. Dezember 2025 ist für viele Unternehmen ein entscheidender Wendepunkt erreicht. Deutlich mehr Organisationen als bisher müssen sich nun an die neuen Cybersicherheitsregeln halten. Die Anforderungen sind umfassend: von klaren Meldepflichten bei Sicherheitsvorfällen bis zu detaillierten Vorgaben für das Risikomanagement.

Viele Verantwortliche stellen sich jetzt die gleiche Frage: Gilt NIS-2 für mein Unternehmen und was muss ich konkret tun?

Was Unternehmen 2025 in Bezug auf das NIS-2-Umsetzungsgesetz beachten müssen

Die Umsetzung der NIS-2-Richtlinie ist nicht einfach ein neues Gesetz im Bundesgesetzblatt, sondern eine grundlegende Neuausrichtung der Cybersicherheit in Deutschland. Das BSI und weitere Aufsichtsbehörden setzen damit einen Rahmen, der weit über klassische KRITIS-Branchen hinausgeht. Der Anwendungsbereich wurde bewusst geöffnet. Nicht nur Betreiber kritischer Anlagen, sondern auch zahlreiche wichtige und besonders wichtige Einrichtungen, unabhängig von ihrer Größe, fallen nun unter die neuen Vorgaben. Unternehmen, die bislang nicht im Umfeld der kritischen Infrastrukturen unterwegs waren, müssen jetzt prüfen, ob sie zu den betroffenen Einrichtungen gehören. Und wer betroffen ist, muss innerhalb kurzer Zeit reagieren.

Was bedeutet das in der Praxis? Unternehmen müssen sich darauf einstellen, dass Informationssicherheit künftig stärker reguliert, strenger überwacht und enger mit anderen Anforderungen wie dem Digital Operational Resilience Act (DORA) verzahnt wird. Der Gesetzgeber will eine echte Harmonisierung erreichen, nicht nur zwischen dem NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz, sondern über alle Sektoren hinweg.

Bin ich eine „wichtige" oder „besonders wichtige" Einrichtung?

Im Rahmen der Umsetzung der NIS-2-Richtlinie und des geplanten Gesetzes zur Umsetzung der NIS-2-Richtlinie müssen Unternehmen prüfen, ob sie vom Anwendungsbereich des NIS2 betroffen sind. Maßgeblich sind der Sektor (kritische Infrastrukturen, digitale Infrastruktur, Gewerbe, Managed Services) sowie Schwellenwerte wie Mitarbeiterzahl, Jahresumsatz, Größe der Einrichtung. Eine detaillierte Auflistung der betroffenen Sektoren findet sich in den Anlagen 1 und 2 der entsprechenden BSI-Veröffentlichungen. Unabhängig von ihrer Größe können bestimmte Betreiber kritischer Anlagen oder Unternehmen der kritischen Infrastruktur als besonders wichtige Einrichtungen eingestuft werden.

Unternehmen, die bereits als KRITIS-Unternehmen gelten, werden durch die Harmonisierung mit dem KRITIS-Dachgesetz automatisch als besonders wichtige Einrichtungen eingestuft. Betroffene Unternehmen erhalten Unterstützung bei der Einordnung und Umsetzung der Anforderungen der NIS-2-Richtlinie sowie bei der Umsetzung wesentlicher Grundzüge des Informationssicherheitsmanagements sowohl für Einrichtungen der Bundesverwaltung als auch für Unternehmen in der Wirtschaft.

Wenn Sie unsicher sind, ob Ihr Unternehmen unter das NIS2-Umsetzungsgesetz fällt oder zu den betroffenen Einrichtungen gehört, ist jetzt der richtige Zeitpunkt, eine Betroffenheitsprüfung durchzuführen. Hierfür kann die offizielle NIS-2-Betroffenheitsprüfung des BSI genutzt werden. Bei weiteren Fragen oder Unterstützungsbedarf stehen Ihnen unsere Expertinnen und Experten bei SCHUTZWERK gerne beratend zur Seite.

Welche Pflichten gelten jetzt für Unternehmen nach NIS-2?

Mit dem Inkrafttreten des Gesetzes zur Umsetzung der NIS-2-Richtlinie ergeben sich für betroffene Einrichtungen mehrere zentrale Verpflichtungen. Dazu gehören insbesondere die Meldepflichten bei Sicherheitsvorfällen:

• Anmeldung beim digitalen Dienst „Mein Unternehmenskonto" (MUK) als zentraler Zugang zu digitalen Verwaltungsleistungen.
• Registrierung im neu entwickelten BSI-Portal, das ab Anfang Januar 2026 freigeschaltet wird und u. a. als Meldestelle für erhebliche Sicherheitsvorfälle dient.
• Einführung, Dokumentation und Einhaltung von Risikomanagementmaßnahmen sowie der technischen und methodischen Anforderungen an das Informationssicherheitsmanagement.

Diese Pflichten ergänzen bestehende Standards wie ISO 27001, IT-Grundschutz sowie branchenspezifische Sicherheitsmaßnahmen und -vorgaben. Die Aufsichtsbehörde legt Berichtspflichten fest und kann bei Nichteinhaltung Sanktionen verhängen. Die Geschäftsleitung ist für die Einhaltung verantwortlich.

Der neue Registrierungsprozess: MUK und BSI-Portal

Für alle betroffenen Unternehmen in Deutschland beginnt die NIS-2-Registrierung mit einem zweistufigen Verfahren, das sowohl die Identifizierung als auch die Meldung von Sicherheitsvorfällen abdeckt. Voraussetzung ist eine deutsche Steuernummer, die für die Beantragung der erforderlichen ELSTER-Organisationszertifikate genutzt wird.

Schritt 1: Registrierung bei „Mein Unternehmenskonto" (MUK)

MUK dient als zentrales Zugangssystem zu digitalen Verwaltungsleistungen für betroffene Unternehmen in Deutschland und basiert auf der bewährten ELSTER-Technologie. Jedes Unternehmen mit deutscher Steuernummer muss für seine Mitarbeitenden ELSTER-Organisationszertifikate beantragen, um sich sicher anzumelden und die Vorgaben der NIS2-Richtlinie sowie des NIS2-Umsetzungsgesetzes einzuhalten.

Die Aktivierung erfolgt in zwei Schritten: über E-Mail und einen postalischen Aktivierungsbrief, der üblicherweise innerhalb von fünf Werktagen zugestellt wird. Der erste Nutzer übernimmt automatisch die Rolle eines Verwalters, kann weitere Benutzer einladen und Zugriffsrechte sowie Rollen im Rahmen des Informationssicherheitsmanagements vergeben.

Schritt 2: Registrierung im neuen BSI-Portal ab Januar 2026

Mit der Freischaltung des BSI-Portals am 6. Januar 2026 müssen sich alle NIS-2-regulierten Einrichtungen verpflichtend registrieren. Das Portal dient später auch als zentrale Meldestelle für erhebliche Sicherheitsvorfälle. Kommt es vor der Registrierung zu einem Vorfall, können Meldungen vorübergehend über ein Online-Formular erfolgen. Betreiber kritischer Anlagen (KRITIS) und Bundesbehörden nutzen zunächst ihre bisherigen Meldewege.

Dieser zweistufige Registrierungsprozess bildet die formale Grundlage für die Meldung von Sicherheitsvorfällen und die Einhaltung der NIS-2-Pflichten. Die tatsächliche Umsetzung von Risikomanagementmaßnahmen sowie aller technischen und methodischen Anforderungen an die Informationssicherheit obliegt weiterhin den betroffenen Unternehmen.

Was die betroffenen Unternehmen jetzt vorbereiten sollten

Die ersten Monate nach dem Inkrafttreten des Gesetzes zur Umsetzung der NIS-2-Richtlinie sind entscheidend, um eine nachhaltige Compliance und eine stabile Informationssicherheit im Unternehmen sicherzustellen. Unternehmen sollten jetzt systematisch prüfen, ob sie zu den betroffenen Einrichtungen zählen und welche Maßnahmen erforderlich sind, um die Anforderungen des NIS2-Umsetzungsgesetzes sowie der NIS2-Richtlinie zu erfüllen.

Es ist empfehlenswert, mindestens zwei verantwortliche Personen zu benennen, die die Koordination der Informationssicherheit übernehmen. Diese sollten befähigt sein, Risikomanagementmaßnahmen, Reaktion auf Sicherheitsvorfälle und Backup- sowie Wiederherstellungsprozesse zu überwachen und zu dokumentieren. Die Unternehmensleitung trägt künftig ausdrücklich Verantwortung für das Risikomanagement und die Einhaltung gesetzlicher Berichtspflichten. Schulungen und Sensibilisierung auf Führungsebene sind daher unerlässlich, um die Resilienz der digitalen Infrastruktur zu stärken und sicherzustellen, dass die Sicherheitsmaßnahmen in der Informationstechnik effizient umgesetzt werden. Für viele Unternehmen ist dies der erste praxisnahe Schritt. Je nach Größe der Einrichtung und Sektor kann ein individueller Ansatz sinnvoll sein.

Informationssicherheit systematisch weiterentwickeln

Die NIS2-Anforderungen gehen weit über formale Registrierungspflichten hinaus. Unternehmen müssen u. a. folgende Bereiche kontinuierlich optimieren:

• Risikomanagement und systematische Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
• Vorfallreaktion und Krisenmanagement
• Backup- und Wiederherstellungsprozesse
• Lieferkettensicherheit und Integration von Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung
• Sichere Software- und Systementwicklung sowie technische und methodische Anforderungen an das Informationssicherheitsmanagement
• Schulungen und regelmäßige Sensibilisierung der Mitarbeitenden
• Zugriffs- und Berechtigungskonzepte, die die digitalen Ressourcen schützen
• Verlässliche Prozesse für Warnungen und Lageberichte, damit sicherheitsrelevante Mitteilungen rund um die Uhr empfangen und verarbeitet werden können

Durch diese Maßnahmen erhöhen Unternehmen nicht nur die Resilienz der digitalen Infrastruktur, sondern erfüllen gleichzeitig die gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes, stärken die Sicherheit in der Informationstechnik und reduzieren das Risiko von Sicherheitsvorfällen signifikant.

Jetzt starten, um die Cybersicherheit langfristig zu sichern

NIS-2 ist mehr als ein weiteres Compliance-Thema. Das novellierte Gesetz zur Umsetzung der NIS-2-Richtlinie zielt darauf ab, die digitale Resilienz von Unternehmen und der kritischen Infrastruktur in Deutschland nachhaltig zu stärken. Für Unternehmen bedeutet das: frühzeitig planen, Verantwortlichkeiten klären, Strukturen für Informationssicherheit aufbauen und Risikomanagementmaßnahmen dokumentieren.

Wir unterstützen Sie gerne dabei, die Betroffenheit Ihres Unternehmens zu prüfen und eine Reifegradanalyse der Informationssicherheit durchzuführen. So können Sie sicherstellen, dass alle Meldepflichten bei Sicherheitsvorfällen, Risikomanagementmaßnahmen und Anforderungen an die Informationssicherheit erfüllt werden.

Kontaktieren Sie uns , um gemeinsam die nächsten Schritte für Ihr Unternehmen zu planen und langfristige Sicherheit in der digitalen Infrastruktur zu gewährleisten.