NIS-2-Umsetzungsgesetz tritt in Kraft:
Was Unternehmen ab dem 06.12.2025 beachten müssen
Am 6. Dezember 2025 tritt das NIS-2-Umsetzungsgesetz in Deutschland in Kraft. Damit verschärft der Gesetzgeber die Anforderungen an die Cybersicherheit erheblich. Unternehmen sind nun gefordert, ihre internen Prozesse zeitnah an die neuen Vorgaben anzupassen.
- Wer ist betroffen?
Die NIS-2-Richtlinie erfasst Unternehmen, die in einem der insgesamt 18 Sektoren der kritischen und wichtigen Infrastrukturen tätig sind. Voraussetzung ist, dass bestimmte Schwellenwerte hinsichtlich Mitarbeitendenzahl, Jahresumsatz oder Jahresbilanzsumme überschritten werden.
Betroffene Unternehmen werden in die neuen Kategorien
- „wichtige Einrichtungen“ und
- „besonders wichtige Einrichtungen“
eingeordnet.
Für beide Gruppen gilt künftig:
- Einführung eines angemessenen und nachweisbaren Risikomanagements im Bereich Cybersicherheit,
- Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI),
- Meldung erheblicher Sicherheitsvorfälle innerhalb gesetzlicher Fristen,
- Organhaftung: Die Verantwortung für die Umsetzung liegt ausdrücklich bei der Geschäftsleitung.
- Wie ist jetzt vorzugehen? – Zweistufiges Registrierungsverfahren
Das BSI sieht eine zweistufige Registrierung vor, die bereits 2025 beginnt:
Schritt 1: Registrierung im „Mein Unternehmenskonto“ (MUK)
Bis spätestens 31. Dezember 2025 ist ein Unternehmenskonto im digitalen Dienst „Mein Unternehmenskonto“ (MUK) einzurichten. MUK dient als zentraler Zugang zu Verwaltungsdiensten des Bundes und basiert auf der ELSTER-Technologie. Das BSI stellt hierzu detaillierte Hinweise bereit.
Schritt 2: Registrierung im neuen BSI-Portal (ab Januar 2026)
Ab 6. Januar 2026 können Unternehmen das bereits eingerichtete MUK-Nutzerkonto zur Registrierung im neuen BSI-Portal nutzen. Dieses Portal dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle und bildet die technische Infrastruktur der NIS-2-Pflichten ab.
Meldung vor der Registrierung
Kommt es vor der Registrierung im BSI-Portal zu einem meldepflichtigen Sicherheitsvorfall, muss dieser über das vom BSI bereitgestellte Online-Formular übermittelt werden.
KRITIS-Einrichtungen und Bundesbehörden nutzen vorübergehend ihre bestehenden Meldewege.
- Unsicher, ob Ihr Unternehmen betroffen ist?
Zur ersten Orientierung bietet das BSI eine anonyme NIS-2-Betroffenheitsprüfung an. Diese liefert eine unverbindliche Einschätzung, ersetzt jedoch keine rechtliche Prüfung und erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit.
- Empfehlung für kleine und mittlere Unternehmen
Für kleine und mittlere Unternehmen (50–250 Mitarbeitende) in Nordrhein-Westfalen empfiehlt sich die kostenfreie Erstberatung der NIS2-Anlaufstelle NRW.
Die Anlaufstelle wird vom eurobits e.V., Bochum, betrieben und durch das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie NRW gefördert.
- Sie benötigen Unterstützung?
Gerne begleiten wir Sie bei allen Schritten – von der Betroffenheitsanalyse über die rechtssichere Umsetzung bis zur Meldestruktur.
Kontaktieren Sie die Kanzlei. Wir führen Sie gemeinsam durch die NIS-2-Pflichten.
Heike Mareck ist Anwältin. Ihre Tätigkeitsschwerpunkte liegen in der Beratung, Vertragsgestaltung und Vertretung auf dem Gebiet des IT-, Medien-, Datenschutz-, Arbeitsrechts und dem Hinweisgeberschutz. Als externe Datenschutzbeauftragte betreut sie zahlreiche Unternehmen. Daneben ist sie als Referentin sowie als Interviewpartnerin und (Gast-)Autorin sehr gefragt und steht für alle diese Tätigkeiten gern zur Verfügung.