NIS2 Umsetzung in Deutschland — Status und Gesetz (NIS2UmsuCG)
Letzte Aktualisierung: 23. März 2026
Die NIS2 Umsetzung Deutschland erfolgt durch das NIS2UmsuCG, das die EU-Richtlinie 2022/2555 mit deutlicher Verzögerung nach der verpassten Frist vom 17.10.2024 in deutsches Recht überführt hat. Für Unternehmen ist der entscheidende Punkt im März 2026 nicht mehr die Frage, ob das Gesetz noch kommt, sondern dass es seit 6. Dezember 2025 gilt, rund 29.000 Einrichtungen erfasst und mit Registrierung, Risikomanagement, Meldepflichten und Geschäftsleiterverantwortung sofort praktische Folgen auslöst.
Wer klären möchte, ob das eigene Unternehmen überhaupt in den Anwendungsbereich fällt, sollte zuerst die Beiträge zur NIS2-Betroffenheit prüfen, zu den NIS2-Fristen und Deadlines 2026 und zu den NIS2-Anforderungen nach Artikel 21 lesen. Für den rechtlichen Einstieg in die Richtlinie selbst ist zudem unser Überblick Was ist die NIS2-Richtlinie? hilfreich.
NIS2-Umsetzung in Deutschland — Aktueller Stand März 2026
Die NIS2-Umsetzung in Deutschland ist im März 2026 nicht mehr nur ein Gesetzgebungsvorhaben, sondern geltendes Recht. Deutschland hat die unionsrechtliche Frist aus Art. 41 der Richtlinie (EU) 2022/2555 zum 17. Oktober 2024 verpasst und dadurch ein Vertragsverletzungsverfahren der EU-Kommission riskiert beziehungsweise ausgelöst. Entscheidend für die Praxis ist jedoch: Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, wurde am 13. November 2025 im Bundestag beschlossen, am 20. November 2025 vom Bundesrat gebilligt und trat am 6. Dezember 2025 in Kraft.
Der Unterschied zwischen politischem Verzug und praktischer Rechtslage ist wichtig. Viele Veröffentlichungen aus 2024 und 2025 beschrieben Deutschland noch als Nachzügler im Gesetzgebungsverfahren. Diese Einordnung war damals richtig, ist für März 2026 aber überholt. Das BSI behandelt die Registrierungs- und Meldepflichten ausdrücklich als geltendes Recht und verweist für betroffene Unternehmen auf das BSI-Portal unter portal.bsi.bund.de.
Für Unternehmen bedeutet das: Wer zu den besonders wichtigen oder wichtigen Einrichtungen gehört, muss nicht auf weitere politische Entscheidungen warten. Maßgeblich sind jetzt die materiellen Pflichten des novellierten BSIG. Dazu gehören insbesondere angemessene technische und organisatorische Maßnahmen nach § 30 BSIG, die Meldelogik aus § 32 BSIG, die Registrierungspflicht nach § 33 BSIG sowie die Leitungsorganpflichten aus § 38 BSIG. Der Anwendungsbereich selbst wird in § 28 BSIG definiert.
Die zeitliche Entwicklung lässt sich in einer kompakten Timeline zusammenfassen:
| Datum | Ereignis | Bedeutung |
|---|---|---|
| 17.10.2024 | EU-Umsetzungsfrist für NIS2 endet | Deutschland verpasst die Frist |
| 07.05.2025 | EU-Kommission verschärft Druck im Vertragsverletzungsverfahren | Politischer und regulatorischer Handlungsdruck steigt |
| 13.11.2025 | Bundestag beschließt das NIS2UmsuCG | Nationale Umsetzung wird parlamentarisch abgeschlossen |
| 20.11.2025 | Bundesrat billigt das Gesetz | Gesetzgebungsverfahren beendet |
| 06.12.2025 | Inkrafttreten des NIS2UmsuCG | BSIG-Novelle gilt ohne generelle Übergangsfrist |
| 06.03.2026 | Dreimonatsfrist für viele Registrierungen | Unternehmen müssen registriert sein oder befinden sich im Verzug |
Die wichtigste Management-Frage lautet deshalb nicht mehr „Wann kommt das deutsche NIS2-Gesetz?“, sondern „Welche Pflichten gelten bereits und wie schnell müssen wir sie belastbar umsetzen?“ Genau dafür lohnt sich ergänzend unser Beitrag zu NIS2-Bußgeldern und Strafen, weil die Verzögerung der Gesetzgebung keinen Schutz vor Sanktionen nach Inkrafttreten bietet.
Das NIS2UmsuCG — Deutschlands Umsetzungsgesetz
Das NIS2UmsuCG ist Deutschlands zentrales Umsetzungsgesetz für die NIS2-Richtlinie und trägt den vollständigen Titel „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung sowie zur Änderung weiterer Vorschriften“. In der Praxis wird vor allem über seine Wirkung auf das BSI-Gesetz gesprochen, weil die NIS2-Umsetzung in Deutschland im Kern als umfassende BSIG-Novelle ausgestaltet wurde.
Die Richtlinie (EU) 2022/2555 arbeitet unionsrechtlich mit den Kategorien „essential entities“ und „important entities“. Das deutsche Gesetz übersetzt diese Logik in besonders wichtige Einrichtungen und wichtige Einrichtungen. Für die Abgrenzung ist § 28 BSIG entscheidend. Dort werden die betroffenen Einrichtungstypen, Größenkriterien und sektoralen Zuordnungen normiert. Deutschland bindet die Einordnung dabei eng an die Anhänge der NIS2-Richtlinie und an die Anlagen 1 und 2 des BSIG.
Die wesentliche regulatorische Verschiebung besteht darin, dass Deutschland nicht mehr nur eine relativ kleine Zahl klassischer KRITIS-Betreiber im Blick hat. Statt rund 4.500 regulierten KRITIS-Betreibern geht das BSI nun von etwa 29.000 betroffenen Einrichtungen aus. Damit wird NIS2 zum Massenregime für Cybersicherheits-Compliance in Deutschland. Besonders relevant sind Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Post, Abfall, Lebensmittel, Chemie, Forschung und verschiedene Industriebranchen.
Für Unternehmen ist außerdem wichtig, dass das NIS2UmsuCG keine rein symbolische Richtlinienumsetzung ist. Die BSIG-Novelle verknüpft neue Pflichten mit konkreten Aufsichtsbefugnissen und Bußgeldtatbeständen. Das Gesetz regelt nicht nur abstrakte Grundsätze, sondern gibt dem BSI Instrumente an die Hand, Nachweise zu verlangen, Meldungen zu verarbeiten, Aufsicht auszuüben und bei Verstößen Sanktionen durchzusetzen.
Ein kurzer Vergleich zeigt, was sich durch die BSIG-Novelle strukturell verändert:
| Bereich | Vor NIS2 | Nach NIS2UmsuCG |
|---|---|---|
| Regulierter Kreis | Vor allem KRITIS-Betreiber | Rund 29.000 besonders wichtige und wichtige Einrichtungen |
| Rechtslogik | Stark anlagenbezogen | Unternehmens- und einrichtungsbezogen |
| Management-Verantwortung | Weniger ausdrücklich normiert | § 38 BSIG mit Umsetzungs-, Überwachungs- und Schulungspflicht |
| Meldearchitektur | Vor allem nationale KRITIS-Logik | 24h/72h/1-Monat-System nach § 32 BSIG |
| Registrierung | Für viele Unternehmen keine ausdrückliche Pflicht | Registrierungspflichten nach § 33 und § 34 BSIG |
Wenn Sie das Zusammenspiel zwischen Richtlinie und nationalem Recht besser einordnen möchten, lesen Sie ergänzend unseren Artikel Was ist die NIS2-Richtlinie?. Dort wird die europäische Ausgangslage erläutert, auf deren Basis das NIS2UmsuCG in Deutschland umgesetzt wurde.
Die BSIG-Novelle — Was sich konkret ändert
Die BSIG-Novelle verändert die Cybersicherheits-Compliance in Deutschland konkret an fünf Kernstellen: Anwendungsbereich, Risikomanagement, Vorfallmeldung, Unterrichtungspflichten und Organverantwortung. Wer nur den politischen Titel des Gesetzes kennt, unterschätzt oft die operative Tiefe der neuen Normen.
Erstens definiert § 28 BSIG den erweiterten Anwendungsbereich. Dort ist geregelt, welche Einrichtungen als besonders wichtig oder wichtig gelten. Für die Praxis ist § 28 deshalb das Eintrittstor in die Regulierung. Er beantwortet die Frage, ob ein Unternehmen aufgrund von Sektor, Größe und Rolle überhaupt in das Regime fällt. Gerade für mittelgroße Unternehmen in Industrie, Gesundheitswesen, Digitalwirtschaft oder Logistik ist diese Norm häufig der Ausgangspunkt jeder Betroffenheitsanalyse.
Zweitens normiert § 30 BSIG die eigentlichen Risikomanagementmaßnahmen. Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme zu schützen. Der Gesetzestext nennt ausdrücklich unter anderem Risikoanalyse, Incident Handling, Backup- und Wiederherstellungskonzepte, Krisenmanagement, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitskontrollen, grundlegende Schulungen, Kryptographie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Das ist die nationale Konkretisierung der Anforderungen aus Art. 21 NIS2.
Drittens verschärft § 31 BSIG die Anforderungen für Betreiber kritischer Anlagen zusätzlich. Für diese Unternehmen gelten über das allgemeine Schutzniveau hinausgehende Maßnahmen als verhältnismäßig, wenn der Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls steht. Zudem müssen Systeme zur Angriffserkennung eingesetzt werden. Damit bleibt KRITIS nicht nur erhalten, sondern wird innerhalb des NIS2-Regimes weiter verschärft.
Viertens regelt § 32 BSIG die Meldepflichten. Besonders wichtige und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle gestuft melden: eine frühe Erstmeldung binnen 24 Stunden, eine qualifiziertere Meldung binnen 72 Stunden und eine Abschlussmeldung grundsätzlich binnen eines Monats. Diese Fristen sind für viele Unternehmen der sichtbarste Teil der NIS2-Umsetzung in Deutschland. Operativ zwingt § 32 zu schnellen internen Eskalationswegen, klaren Meldeverantwortlichkeiten und belastbaren Entscheidungsprozessen.
Fünftens enthält § 35 BSIG die Unterrichtungspflichten gegenüber Empfängern von Diensten, wenn ein erheblicher Sicherheitsvorfall deren Nutzung beeinträchtigen könnte. Im politischen und fachlichen Diskurs wird häufig auch § 32 im weiteren Sinn als Unterrichtungssystem beschrieben, rechtlich sauber ist aber die Trennung zwischen behördlicher Vorfallmeldung in § 32 und externer Unterrichtung in § 35.
Sechstens verschärft § 38 BSIG die Verantwortung der Geschäftsleitung. Die Norm ist besonders relevant, weil Geschäftsleitungen die Risikomanagementmaßnahmen nicht nur billigen, sondern umsetzen und überwachen müssen. Hinzu kommt eine ausdrückliche Schulungspflicht. Die persönliche Haftung richtet sich nach den gesellschaftsrechtlichen Regeln, wird aber durch § 38 BSIG regulatorisch nachgeschärft. Wer mehr zur Organperspektive lesen möchte, findet Vertiefungen in unseren Beiträgen zu NIS2-Bußgeldern und Strafen und zur NIS2-Betroffenheit prüfen.
Schließlich bilden §§ 60 bis 65 BSIG das Durchsetzungsgerüst. § 60 ordnet für bestimmte digitale Dienste die zentrale EU-Zuständigkeit des BSI an, §§ 61 und 62 regeln Aufsichts- und Durchsetzungsmaßnahmen gegenüber besonders wichtigen beziehungsweise wichtigen Einrichtungen, § 63 erlaubt Zwangsgelder und § 65 enthält die Bußgeldvorschriften. Verstöße gegen Risikomanagement-, Melde- oder Registrierungspflichten bleiben damit nicht theoretisch, sondern können in formelle Durchsetzung münden.
BSI als zentrale Aufsichtsbehörde
Das BSI ist die zentrale deutsche Aufsichts-, Registrierungs- und Meldebehörde für das NIS2-Regime. Diese Zentralisierung ist einer der wichtigsten Unterschiede zur früheren Wahrnehmung, wonach Cybersicherheitsregulierung vor allem einzelne KRITIS-Betreiber betraf. Mit der NIS2-Umsetzung wird das BSI zur zentralen Anlaufstelle für einen erheblich größeren Teil der deutschen Wirtschaft.
Praktisch umfasst diese Rolle mehrere Funktionen gleichzeitig. Erstens betreibt das BSI das Registrierungs- und Meldeportal. Das Amt weist ausdrücklich darauf hin, dass Registrierungen nach NIS2 ausschließlich über das dafür vorgesehene BSI-Portal unter portal.bsi.bund.de erfolgen. Zweitens nimmt das BSI Vorfallmeldungen entgegen und organisiert den behördlichen Meldeweg. Drittens kann das BSI Aufsichts- und Durchsetzungsmaßnahmen ergreifen, Nachweise verlangen, Audits anordnen und bei Pflichtverstößen Sanktionen vorbereiten oder festsetzen.
Für Unternehmen ist relevant, dass das BSI nicht nur reaktiv auf Meldungen wartet. Die Behörde hat durch §§ 61 und 62 BSIG umfassende Befugnisse, die Einhaltung der Anforderungen zu überprüfen. Bei besonders wichtigen Einrichtungen ist die Aufsicht intensiver ausgestaltet. Wichtige Einrichtungen unterliegen stärker anlassbezogenen Prüfungen. Dieses abgestufte Modell folgt der Logik der NIS2-Richtlinie, berücksichtigt aber zugleich das deutsche Verwaltungs- und Aufsichtsrecht.
Die zentrale Rolle des BSI hat auch eine europäische Dimension. Die NIS2-Richtlinie baut auf enger Zusammenarbeit mit ENISA, den nationalen CSIRTs und den Kooperationsmechanismen zwischen den Mitgliedstaaten auf. Deutschland setzt diese Logik dadurch um, dass das BSI nationale Meldungen entgegennimmt, Informationen weiterleitet und für bestimmte digitale Dienste sogar eine unionsweit zentrale Zuständigkeit haben kann. Das ist besonders für Cloud-, DNS-, CDN- oder Managed-Service-Anbieter relevant.
Für die Praxis lässt sich die Rolle des BSI so zusammenfassen:
| Funktion des BSI | Praktische Folge für Unternehmen |
|---|---|
| Registrierung | Unternehmen müssen ihre Betroffenheit prüfen und sich fristgerecht über das BSI-Portal anmelden |
| Meldestelle | Erhebliche Sicherheitsvorfälle müssen strukturiert an das BSI gemeldet werden |
| Aufsicht | Das BSI kann Nachweise, Unterlagen, Audits und Auskünfte verlangen |
| Durchsetzung | Bei Verstößen drohen Anordnungen, Zwangsgelder und Bußgelder |
| EU-Koordination | Grenzüberschreitende Sachverhalte werden in europäische Kooperationsstrukturen eingebunden |
Unternehmen sollten das BSI deshalb nicht nur als „Empfänger einer Meldung“ verstehen, sondern als dauerhafte Aufsichtsbehörde. Wer seine Meldewege, Dokumentation und Governance nur für den Krisenfall baut, aber nicht für laufende Nachweis- und Aufsichtsgespräche, setzt die NIS2-Pflichten unvollständig um. Für die operative Vorbereitung lohnt sich ergänzend unser Beitrag zu NIS2-Anforderungen nach Artikel 21.
Registrierungspflicht — Was Unternehmen melden müssen
Die Registrierungspflicht nach NIS2 in Deutschland beträgt grundsätzlich drei Monate ab dem Zeitpunkt, zu dem eine Einrichtung erstmals oder erneut als besonders wichtige oder wichtige Einrichtung gilt. Rechtlich steht diese Pflicht in § 33 BSIG; § 28 BSIG bleibt trotzdem wichtig, weil dort überhaupt erst festgelegt wird, wer reguliert ist. Wer also von „Registrierung nach § 28 BSIG“ spricht, meint häufig den Anwendungsbereich, während die eigentliche Registerübermittlung in § 33 BSIG geregelt ist.
Nach § 33 Absatz 1 BSIG müssen betroffene Unternehmen insbesondere folgende Angaben an das BSI übermitteln:
| Pflichtangabe | Beispiel |
|---|---|
| Name der Einrichtung | Gesellschaftsname, Rechtsform, Handelsregisternummer |
| Anschrift und Kontaktdaten | Postanschrift, E-Mail-Adresse, Telefonnummer |
| Sektor oder Branche | etwa Energie, Gesundheit, digitale Infrastruktur, Industrie |
| EU-Mitgliedstaaten der Dienstleistungserbringung | relevante Staaten bei grenzüberschreitenden Diensten |
| Zuständige Aufsichtsbehörden | fachlich einschlägige Bundes- oder Landesaufsicht |
| Öffentliche IP-Adressbereiche | technische Erreichbarkeit und Zuordnung |
Das BSI verlangt die Registrierung ausschließlich über das BSI-Portal. Die deutsche NIS2-Registrierung läuft also nicht formlos per E-Mail, sondern über einen strukturierten Online-Prozess. Für bestimmte Konstellationen gelten zusätzliche Besonderheiten, etwa bei Einrichtungstypen aus § 34 BSIG mit unionsweiter Dienstleistungserbringung.
Unternehmen sollten die Registrierung nicht als reine Verwaltungsformalität behandeln. Die Angaben sind der behördliche Ausgangspunkt für Aufsicht, Vorfallkommunikation und Zuständigkeitsklärung. Fehlerhafte, unvollständige oder verspätete Angaben können deshalb nicht nur organisatorische Probleme verursachen, sondern auch bußgeldrelevant werden. Wer seine Pflichten priorisieren möchte, sollte nach der Betroffenheitsprüfung in dieser Reihenfolge vorgehen:
- Anwendungsbereich nach § 28 BSIG prüfen.
- Registrierungspflicht und Registerdaten nach § 33 BSIG erfassen.
- Risikomanagement nach § 30 BSIG dokumentieren.
- Meldeprozess für § 32 BSIG aufbauen.
- Geschäftsleitung nach § 38 BSIG formell einbinden und schulen.
NIS2 und KRITIS — Was bleibt, was sich ändert
NIS2 ersetzt das deutsche KRITIS-Regime nicht vollständig, sondern baut darauf auf und erweitert es erheblich. Für die Praxis ist der wichtigste Effekt die Größenordnung: Aus rund 4.500 klassisch regulierten KRITIS-Betreibern wird ein Kreis von ungefähr 29.000 NIS2-regulierten Einrichtungen. Der Sprung ist deshalb so groß, weil die Regulierung nicht mehr primär an wenigen besonders kritischen Anlagen hängt, sondern viel stärker an Unternehmen, Sektoren und Größenkriterien.
Was bleibt, ist die besondere Stellung kritischer Anlagen. Betreiber kritischer Anlagen sind auch im neuen BSIG weiterhin besonders streng reguliert. § 31 BSIG sieht für sie über das allgemeine NIS2-Schutzniveau hinausgehende Maßnahmen vor, insbesondere den verpflichtenden Einsatz von Systemen zur Angriffserkennung. KRITIS verschwindet also nicht, sondern bleibt als besonders anspruchsvolle Teilmenge innerhalb des erweiterten Cybersicherheitsrechts bestehen.
Was sich ändert, ist die regulatorische Perspektive. Unter NIS2 werden nun auch viele Unternehmen erfasst, die nie klassische KRITIS-Betreiber waren: mittelgroße Industrieunternehmen, Teile des Gesundheitswesens, digitale Diensteanbieter, Logistikunternehmen, Forschungsorganisationen oder Anbieter digitaler Infrastruktur. Damit verschiebt sich die Compliance-Frage von „Sind wir KRITIS?“ zu „Sind wir nach § 28 BSIG eine besonders wichtige oder wichtige Einrichtung?“
Für bisherige KRITIS-Unternehmen bedeutet das nicht Entlastung, sondern zusätzliche Governance. Sie müssen bestehende Sicherheitsarchitekturen, Meldewege und Nachweisprozesse an die neue Systematik anpassen. Das betrifft vor allem die strengere Management-Verantwortung nach § 38 BSIG, die breitere Lieferkettenperspektive nach § 30 BSIG, die 24-Stunden-Frühwarnung nach § 32 BSIG und die Registerlogik des BSI-Portals.
Ein Vergleich zeigt die praktische Verschiebung:
| Punkt | Bisherige KRITIS-Logik | NIS2-Logik in Deutschland |
|---|---|---|
| Prüfungsfokus | Kritische Anlage | Unternehmen oder Einrichtung |
| Betroffener Kreis | Rund 4.500 Betreiber | Rund 29.000 Einrichtungen |
| Meldearchitektur | Nationale KRITIS-Meldelogik | 24h/72h/1-Monat nach § 32 BSIG |
| Governance | Weniger explizite Organpflicht | § 38 BSIG mit Überwachung und Schulung |
| Lieferkette | Eher implizit | Ausdrücklich Teil des Risikomanagements |
Wenn Sie die Abgrenzung vertiefen möchten, lesen Sie unseren Vergleich NIS2 vs. KRITIS. Gerade für Unternehmen mit bestehender KRITIS-Erfahrung ist diese Einordnung wichtig, weil bekannte Prozesse nicht automatisch ausreichen, um die neue NIS2-Systematik vollständig abzudecken.
Vergleich: NIS2-Umsetzung in Deutschland vs. anderen EU-Ländern
Deutschland gehört bei der NIS2-Umsetzung nicht zu den Vorreitern, auch wenn das Gesetz inzwischen gilt. Länder wie Belgien, Kroatien und Ungarn haben ihre Umsetzung deutlich früher abgeschlossen. Belgien setzte NIS2 bereits im April 2024 um, also noch vor Ablauf der unionsrechtlichen Frist. Deutschland dagegen verpasste die Frist vom 17. Oktober 2024 und holte die Umsetzung erst Ende 2025 nach.
Im europäischen Vergleich ist Deutschland damit kein Sonderfall, aber auch kein Positivbeispiel. Frankreich war im März 2026 weiterhin von Verzögerungen geprägt, während andere Mitgliedstaaten schon in der Aufsichtspraxis angekommen waren. Italien wird in allgemeinen Übersichten teils mit den frühen Umsetzern gezählt, was zeigt, wie wichtig die Prüfung aktueller Primärquellen ist und wie schnell Sekundärquellen veralten können.
Die Vergleichsperspektive hilft vor allem bei drei Fragen: Wann beginnt die praktische Aufsicht? Wie knapp sind Registrierungsfristen? Und wie stark weicht ein Mitgliedstaat im Detail von der Richtlinie ab? Deutschland folgt in den Grundstrukturen der NIS2-Richtlinie, kombiniert dies aber mit einer ausgeprägten Rolle des BSI und einer engen Einbettung in das bestehende BSIG-System.
| Land | Umsetzungsstand | Einordnung |
|---|---|---|
| Belgien | fristgerecht vor dem 17.10.2024 | Vorreiter mit früher Umsetzung |
| Kroatien | fristgerecht | Umsetzung ohne deutschen Zeitverzug |
| Ungarn | fristgerecht | früher in der operativen Anwendung |
| Deutschland | verspätet, aber seit 06.12.2025 in Kraft | Nachzügler mit inzwischen geltendem Recht |
| Frankreich | im März 2026 weiter verzögert | großes Mitgliedsland mit anhaltendem Verzug |
Für international tätige Unternehmen bedeutet das: Die Pflichtlage kann je nach Niederlassung und zuständigem Mitgliedstaat zeitlich unterschiedlich ausgelöst worden sein. Wer grenzüberschreitende Dienste erbringt, sollte die deutsche Umsetzung deshalb nie isoliert betrachten.
FAQ (Schema-relevant)
Wann wird das NIS2UmsuCG in Deutschland verabschiedet?
Das NIS2UmsuCG ist bereits verabschiedet. Der Bundestag beschloss das Gesetz am 13. November 2025, der Bundesrat stimmte am 20. November 2025 zu und das Gesetz trat am 6. Dezember 2025 in Kraft. Die im Markt lange erwartete Verabschiedung ist damit erfolgt; offen ist für Unternehmen nur noch die belastbare Umsetzung im eigenen Haus.
Was ändert sich durch die BSIG-Novelle?
Die BSIG-Novelle erweitert den Kreis der regulierten Unternehmen massiv und verschärft Pflichten in den Bereichen Risikomanagement, Vorfallmeldung, Registrierung, Lieferkette, Management-Verantwortung und behördliche Aufsicht. Besonders relevant sind § 30 BSIG für Maßnahmen, § 32 BSIG für Meldungen, § 33 BSIG für die Registrierung und § 38 BSIG für die Geschäftsleitung.
Wo muss ich mein Unternehmen für NIS2 registrieren?
Die Registrierung erfolgt ausschließlich über das BSI-Portal unter portal.bsi.bund.de. Das BSI stellt klar, dass die Registrierung nach NIS2 nicht über MIP2, sondern über das eigens vorgesehene BSI-Portal durchgeführt wird. Unternehmen sollten die Registerangaben früh vorbereiten, weil der Portalprozess fachliche und technische Angaben bündelt.
Ersetzt NIS2 die KRITIS-Verordnung in Deutschland?
Nein. NIS2 ersetzt die KRITIS-Systematik nicht vollständig, sondern erweitert sie. Betreiber kritischer Anlagen bleiben reguliert und müssen teilweise sogar zusätzliche Anforderungen erfüllen, während gleichzeitig viele neue Unternehmen als besonders wichtige oder wichtige Einrichtungen in den Anwendungsbereich kommen.
Welche Behörde ist für NIS2-Aufsicht in Deutschland zuständig?
Zentral zuständig ist das Bundesamt für Sicherheit in der Informationstechnik. Das BSI betreibt das Portal, nimmt Vorfallmeldungen entgegen, koordiniert den Informationsaustausch und kann Aufsichts- sowie Durchsetzungsmaßnahmen nach dem BSIG ergreifen. Für Unternehmen ist das BSI damit die maßgebliche Behörde im NIS2-Regime.
Wenn Ihr Unternehmen die neuen Pflichten aus NIS2 strukturiert verstehen, Verantwortlichkeiten im Management klären und ein belastbares Grundverständnis für Meldewege, Dokumentation und Aufsicht aufbauen soll, ist jetzt der richtige Zeitpunkt für die Jetzt NIS2-Schulung starten.