llr-full-service-kanzlei
ZURÜCK ZUR ÜBERSICHT

Die NIS2-Umsetzung ist da: Was Unternehmen jetzt wissen müssen

Das Cybersicherheitsrecht wurde kürzlich grundlegend reformiert. Wer betroffen ist und was Unternehmen jetzt beachten müssen, erklären die Rechtsanwälte von LLR.

iStock.com/anyaberkut

Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung („kurz: NIS2-Umsetzung“) wurde nunmehr nach über zweijährigem Gesetzgebungsverfahren am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Damit modernisiert Deutschland sein Cybersicherheitsrecht grundlegend: Rund 30000 Unternehmen sind betroffen und müssen entsprechende Maßnahmen zur Informationssicherheit ergreifen.

Vor allem das BSI-Gesetz wird damit umfangreich geändert und in seiner Anwendbarkeit erweitert.

1. Wer ist betroffen?

    Zahlreiche Unternehmen müssen nun prüfen, ob sie künftig zu den unter Aufsicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) fallenden Einrichtungen gehören. Die betroffenen Unternehmen in Deutschland lassen sich in drei bzw. vier Gruppen einteilen: Einrichtungen im Sinne der neuen NIS2-Systematik, Betreiber kritischer Anlagen (KRITIS) sowie bestimmte Bundeseinrichtungen.

    Zu den besonders wichtigen Einrichtungen nach § 28 BSIG-neu zählen

    1. Betreiber kritischer Anlagen,
    2. Qualifizierte Vertrauensdiensteanbieter, Betreiber von Top-Level-Domains, DNS- und Telekommunikationsanbieter (unabhängig von ihrer Größe),
    3. Anbieter für öffentlich zugängliche Telekommunikationsdienste oder Betreiber von öffentlichen telekommunikationsnetzen (mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro bzw. einer Bilanzsumme von mehr als 10 Millionen Euro),
    4. Anbieter bestimmter Waren oder Dienstleistungen (nach Anlage 1 BSIG) mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von 50 Millionen bzw. einer Jahresbilanzsumme von mehr als 43 Millionen Euro)

    Zu den ebenfalls regulierten wichtigen Einrichtungen zählen:

    1. Vertrauensdiensteanbeiter,
    2. Anbieter für öffentlich zugängliche Telekommunikationsdienste oder Betreiber von öffentlichen telekommunikationsnetzen (mit weniger als 50 Mitarbeitenden oder einem Umsatz bzw. einer Bilanzsumme von maximal 10 Millionen Euro),
    3. Anbieter bestimmter Waren oder Dienstleistungen (nach Anlage 1 und 2 BSIG) mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Bilanzsumme von mehr als 10 Millionen Euro).

    Die Betreiber kritischer Anlagen werden weiterhin nach der bewährten KRITIS-Methodik bewertet. Dabei wird die Betroffenheit einzelner Anlagen anhand definierter Schwellwerte je nach Sektor festgestellt– dies gilt auch im Rahmen des neuen KRITIS-Dachgesetzes. Ausnahmsweise können auch Einrichtungen der Bundesverwaltung miteinbezogen werden.

    Ausnahmsweise unberücksichtigt können Einrichtungsarten der Anlagen 1 und 2 bleiben, die anteilig an dem Gesamtgeschäft der Einrichtung „vernachlässigbar“ sind.

    2. Welche Pflichten ergeben sich?

      Der Geltungsbereich für betroffene Unternehmen wird durch die NIS2-Richtlinie erheblich ausgeweitet. Jede betroffene Einrichtung muss ein systematisches Risikomanagement einführen. Besonders wichtige Einrichtungen und wichtige Einrichtungen sind zudem verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen.

      Hinzu kommen Vorgaben für den Umgang mit Sicherheitsvorfällen – von der Erkennung über die Bewertung bis zur strukturierten Reaktion.

      Einrichtungen müssen außerdem sicherstellen, dass der Betrieb auch im Krisenfall aufrechterhalten werden kann. Dazu gehören funktionierendes Backup- und Wiederherstellungsmanagement, Notfallplanung und professionelles Krisenmanagement.

      Ein weiterer Schwerpunkt liegt auf der Sicherheit in der (digitalen) Lieferkette: Unternehmen müssen sicherstellen, dass auch Dienstleister und externe Anbieter ein angemessenes Sicherheitsniveau einhalten.

      Schließlich verlangt die NIS2-Umsetzung robuste Sicherheitsstandards über den gesamten Lebenszyklus von IT-Systemen hinweg – von der Entwicklung über die Beschaffung bis zur laufenden Wartung.

      Außerdem kommen auf betroffene Einrichtungen diverse Informations- und Meldepflichten zu. Auch die Geschäftsleitung steht stärker in der Verantwortung: Nach § 38 muss sie die Umsetzung der Sicherheitsmaßnahmen umsetzen und überwachen. Außerdem sieht das Gesetz eine verpflichtende Schulung der Geschäftsleitung vor.

      3. Registrierungspflicht

        Für von der NIS-2-Richtlinie betroffene Einrichtungen führt das BSI in Deutschland einen zweistufigen Registrierungsprozess ein. Im ersten Schritt müssen sich Unternehmen beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) anmelden – dem OZG-konformen Nutzerkonto für juristische Personen. Es dient als zentraler Zugang zu digitalen Verwaltungsleistungen und entspricht funktional der BundID für Privatpersonen.

        Das BSI empfiehlt, den MUK-Account bis spätestens Ende 2025 anzulegen, um sich anschließend ab Anfang 2026 mit diesem Nutzerkonto im neu entwickelten BSI-Portal zu registrieren. Das Portal wird am 6. Januar 2026 freigeschaltet und fungiert unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle.

        Kommt es bei einer meldepflichtigen, von NIS-2 betroffenen Einrichtung bereits vor der Registrierung im BSI-Portal zu einem erheblichen Sicherheitsvorfall, erfolgt die Meldung über ein vom BSI bereitgestelltes Online-Formular. KRITIS-Betreiber und Bundesbehörden nutzen bis zur vollständigen Umstellung weiterhin ihre bestehenden Meldewege.

        4. Fazit

          Mit der Verkündung der NIS2-Umsetzung beginnt für Unternehmen und öffentliche Stellen in Deutschland eine neue Phase der Cybersicherheitsregulierung. Der Anwendungsbereich wird massiv erweitert – Tausende Einrichtungen, die bisher nicht reguliert waren, fallen nun unter die neuen Kategorien „wichtige“ und „besonders wichtige“ Einrichtungen. Sie müssen ein umfassendes Risikomanagement etablieren, Sicherheitsmaßnahmen nach umsetzen, Meldepflichten erfüllen und sich verpflichtend beim BSI registrieren.

          Gleichzeitig steigen Verantwortung und Haftung der Unternehmensleitung. Die Anforderungen decken den gesamten Sicherheitslebenszyklus ab: von Risikoanalyse und Incident Response über Backup- und Krisenmanagement bis hin zur Lieferkettensicherheit und sicheren Entwicklung.

          Der zweistufige Registrierungsprozess über „Mein Unternehmenskonto“ und das neue BSI-Portal markiert den organisatorischen Kern der Umsetzung und sollte rechtzeitig vorbereitet werden.

          Für Unternehmen bedeutet all das: NIS2 ist kein isoliertes IT-Thema, sondern eine strategische Pflichtaufgabe, die Strukturen, Prozesse und Verantwortlichkeiten langfristig verändern wird.

          Für Einrichtungen, die noch nicht mit der Umsetzung begonnen haben, ist jetzt der richtige Zeitpunkt zu handeln. Die neuen Pflichten greifen unverzüglich, und frühzeitiges Vorgehen vermeidet Risiken, Aufwand und mögliche Sanktionen.

          Ihre Experten zu allen Fragen rund um die NIS2-Umsetzung


          Unsere Anwälte aus dem Bereich IT und Datenrecht unterstützen Sie dabei, die Anforderungen der NIS2-Umsetzung pragmatisch, wirksam und nachhaltig in Ihrem Unternehmen einzuführen.

          Jülide Kaya

          Rechtsanwältin mit Schwerpunkt IT-Recht und Datenschutz & zertifizierte Datenschutzbeauftragte

          Per Kristian Stöcker

          Rechtsanwalt mit Schwerpunkt IT-Recht und Datenschutz & zertifizierter Datenschutzbeauftragter

          Auf LinkedIn ansehen

          Autor

          Jülide Kaya

          Rechtsanwältin mit Schwerpunkt IT-Recht und Datenschutz & zertifizierte Datenschutzbeauftragte
          Linkedin