NIS-2-Umsetzungsgesetz in Kraft: Von 4.500 auf 29.500 regulierte Einrichtungen
Der neue Rechtsrahmen
Mit dem heutigen Inkrafttreten des NIS-2-Umsetzungsgesetzes wird das deutsche IT-Sicherheitsrecht grundlegend erweitert. Bisher waren rund 4.500 Organisationen reguliert – Betreiber kritischer Infrastrukturen, digitale Dienstleister und bestimmte öffentliche Einrichtungen. Diese Zahl steigt nun auf geschätzt 29.500 Einrichtungen.
Hintergrund ist die NIS-2-Richtlinie der Europäischen Union, die seit Januar 2023 in Kraft ist und eigentlich bis Oktober 2024 in nationales Recht hätte umgesetzt werden sollen. In Deutschland verzögerte sich das Verfahren – nun schafft das Gesetz Klarheit.
Wichtig, besonders wichtig, KRITIS: Die neuen Kategorien
Das Gesetz führt neben den bestehenden KRITIS-Betreibern zwei neue Kategorien ein: „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Die Zuordnung erfolgt anhand von Kriterien wie Mitarbeiterzahl, Umsatz oder Bilanzsumme.
Betroffen sind Unternehmen aus zahlreichen Branchen – IT-Dienstleister, Luftfahrt, Transport, Gesundheit, Energie, Versorgung und weitere Sektoren. Auch Einrichtungen der Bundesverwaltung unterliegen nun einheitlichen Vorgaben.
Damit weitet sich der Kreis der regulierten Organisationen erheblich aus. Unternehmen, die bisher nicht als kritisch galten, sollten prüfen, ob sie unter die neuen Kategorien fallen.
Registrierung, Risikomanagement, Meldepflichten
Die Pflichten lassen sich auf drei Kernbereiche verdichten. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren; für Behörden der Bundesverwaltung wird ein zentraler IT-Sicherheitskoordinator (CISO Bund) etabliert.
Hinzu kommen Anforderungen an Risikomanagement und technisch-organisatorische Maßnahmen – etwa die Implementierung eines Informationssicherheitsmanagements auf Basis des IT-Grundschutzes oder vergleichbarer Standards.
Bei erheblichen Sicherheitsvorfällen greift ein dreistufiges Melderegime: Erstmeldung, Folgemeldung und Abschlussbericht – mit engen Fristen, die in der Praxis eine enge Verzahnung von IT-Sicherheit und Datenschutz erfordern. Einen detaillierten Überblick über die Meldepflichten und die erweiterten BSI-Befugnisse bietet unser Beitrag vom November 2025.
Betroffenheitsprüfung als erster Schritt
Das Gesetz erfasst Unternehmen aus einer Vielzahl von Sektoren – von Energie und Gesundheit über Transport und Luftfahrt bis hin zu IT-Dienstleistern und digitaler Infrastruktur. Entscheidend für die Einstufung sind die neuen Schwellenwerte nach Mitarbeiterzahl, Umsatz oder Bilanzsumme. Gerade mittelständische Unternehmen könnten erstmals in den Anwendungsbereich fallen.
Falls ja, sollten Verantwortlichkeiten auf Leitungsebene verankert und in bestehende Governance-Strukturen eingebunden werden. Technische und organisatorische Sicherheitsmaßnahmen – Risikoanalysen, Notfallpläne, Verschlüsselung, Backups – sollten dokumentiert und praktisch umsetzbar sein.
Cybersicherheit als Compliance-Thema
Das NIS-2-Umsetzungsgesetz verschiebt das Verständnis von Cybersicherheit: weg von einer rein technischen Aufgabe der IT-Abteilung, hin zu einem Compliance-Thema mit Verantwortung auf Geschäftsleitungsebene.
Für Rechts- und Complianceabteilungen bedeutet das konkret: Registrierung, Meldewege, Risikomanagement und Nachweisführung müssen in bestehende Prozesse integriert werden. Die Frage, wer auf Führungsebene verantwortlich zeichnet und wie das Reporting strukturiert ist, sollte geklärt sein.
Fazit
Das NIS-2-Umsetzungsgesetz erweitert den Kreis der regulierten Einrichtungen erheblich und macht Cybersicherheit zur dokumentationspflichtigen Managementaufgabe. Ob ein Unternehmen betroffen ist, hängt von den neuen Schwellenwerten ab – eine Prüfung lohnt sich, bevor das BSI von sich aus nachfragt.
Benötigen Sie Unterstützung? Sprechen Sie uns gern an.
