Skip to main content Scroll Top

NIS-2-Umsetzungsgesetz tritt am 6.12.2025 in Kraft! Was bedeutet das für Ihr Unternehmen?

NIS-2-Umsetzungsgesetz tritt am 6.12.2025 in Kraft! Was bedeutet das für Ihr Unternehmen?
PFD_5524
Von Carola Sieling Datenschutz E-Government EU-Recht IT-Sicherheit Telekommunikation 05. Dez.. 2025

Ab dem 6. Dezember 2025 tritt das neue NIS-2-Umsetzungsgesetz in Deutschland in Kraft. Damit wird das bestehende Cybersicherheitsrecht grundlegend modernisiert und der Anwendungsbereich des BSI-Gesetzes deutlich erweitert. 

Unternehmen müssen nun eigenverantwortlich prüfen, ob sie von den neuen Regelungen betroffen sind und welche Pflichten sich daraus ergeben.

Wer ist betroffen?

Bisher waren rund 4.500 Organisationen – vor allem Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI) – durch das BSI-Gesetz reguliert. Mit dem NIS-2-Umsetzungsgesetz steigt diese Zahl nach Schätzungen auf etwa 30.000 UnternehmenNeu hinzukommen sind Unternehmen in bestimmten Sektoren, die gesetzlich festgelegte Schwellenwerte bezüglich Mitarbeiterzahl, Umsatz und Bilanzsumme überschreiten.

Sie werden als „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ eingestuft.

Welche Pflichten gelten?

Betroffene Unternehmen müssen drei zentrale Pflichten erfüllen:

  • Registrierung als NIS-2-Unternehmen
  • Meldung erheblicher Sicherheitsvorfälle an das BSI
  • Implementierung und Dokumentation von Risikomanagementmaßnahmen

Zuvor als KRITIS qualifizierte Unternehmen gelten automatisch als besonders wichtige Einrichtungen und unterliegen damit den strengsten Anforderungen.

Wie erfolgt die Registrierung?

Das BSI hat einen zweistufigen Registrierungsprozess vorgesehen:

  1. Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK), das auf ELSTER-Technologie basiert.
  2. Das BSI empfiehlt die Registrierung im neuen BSI-Portal über das MUK-Konto bis Ende 2025 vorzunehmen.

Ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren (Freischaltung ab dem 6.1.2026).

    Bis zur Freischaltung des Portals können erhebliche Sicherheitsvorfälle über ein Online-Formular gemeldet werden; KRITIS und Bundesbehörden nutzen weiterhin ihre bisherigen Meldewege.

    Wollen Sie mehr über die Zusammenhänge und den Hintergrund verstehen, dann hören Sie sich die Podcastfolge mit uns bei der Rechtsbelehrung an. 

    Unser Tipp

    Wir beraten und unterstützen Unternehmen rund um das Thema IT-Sicherheitsrecht. 

    Mit dem NIS-2-Umsetzungsgesetz werden die Anforderungen an die IT-Sicherheit in Deutschland erheblich verschärft. Unternehmen sollten daher prüfen, ob sie betroffen sind, und sich rechtzeitig auf die neuen Pflichten vorbereiten.

    Carola Sieling / About Author
    More posts by Carola Sieling

    Verwandte Beiträge

    Podcast mit Carola Sieling über die NIS-2 Richtlinie: Pflicht zur Cybersicherheit

    Die NIS2-Richtlinie ist ein neuer Rechtsakt der Europäischen Union, der die Sicherheit von Netz- und Informationssystemen verbessern soll. Dazu hat Carola Sieling bereits einen informativen Beitrag erstellt, in dem sie ausführlich über die Richtlinie informiert. Zusätzlich gibt sie zusammen…

    18 Aug. 2023