Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam

Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

[datensicherheit.de, 06.12.2025] Mit der Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab dem 6. Dezember 2025 „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft. Dieses Gesetz erhöhe die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Foto: BMI, Hennig Schacht

BSI-Präsidentin Claudia Plattner warnt: Die Cybersicherheitslage Deutschlands ist angespannt – insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar!

Inkrafttreten des NIS-2-Umsetzungsgesetzes erweitert BSIG Anwendungsbereich deutlich

Die nationale Umsetzung der EU-Richtlinie erfolgt demnach insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen müssten selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, „für welche neue gesetzliche Pflichten in der IT-Sicherheit gelten“.

• Bislang seien etwa 4.500 Organisationen durch das BSI-Gesetz reguliert worden – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes werde der Anwendungsbereich des BSIG deutlich erweitert: „Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien ,wichtige Einrichtungen’ und ,besonders wichtige Einrichtungen’.“

Auch Einrichtungen der Bundesverwaltung fallen unter das NIS-2-Umsetzungsgesetz

Diese Unternehmen müssten fortan auch drei zentralen Pflichten nachkommen: Sie seien gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren! KRITIS-Betriebe gälten automatisch als „besonders wichtige Einrichtungen“.

• Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind laut BSI Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.

Von den Einrichtungen der Bundesverwaltung verlange das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf „IT-Grundschutz“-Basis. Zusätzlich müsse die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, welche das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der BSI-Website abrufbar.

BSI-Präsidentin erwartet von NIS-2-Umsetzung deutliche Stärkung der Resilienz unseres Landes

Die BSI-Präsidentin, Claudia Plattner, kommentiert: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar! Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

• Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst müsse eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handele es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es diene juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stelle das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiere auf der „ELSTER“-Technologie und nutze „ELSTER“-Organisationszertifikate, welche üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI online bereit.

Das BSI empfiehlt, ein eigenes Konto unter der Rubrik „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Dieses BSI-Portal sollam 6. Januar 2026 freigeschaltet werden und u.a. als Meldestelle für erhebliche Sicherheitsvorfälle dienen. „Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Betroffenheitsprüfung

Bundesamt für Sicherheit in der Informationstechnik
#nis2know für Unternehmen: Viele Unternehmen und Einrichtungen, die mit NIS-2 erstmals durch das BSI reguliert werden, stehen vor der Frage, was sie jetzt tun müssen. / Lesen Sie hier, auf welche neuen Pflichten Sie sich einstellen müssen.

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: NIS-2-Meldepflicht / NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Informationssicherheit mit System

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

Bundesamt für Sicherheit in der Informationstechnik
Das NI2-Umsetzungsgesetz in der Bundesverwaltung

Bundesamt für Sicherheit in der Informationstechnik
Mein Unternehmenskonto (MUK) / Erster Schritt der NIS-2-Registrierung

Bundesamt für Sicherheit in der Informationstechnik, Melde- und Informationsportal
Meldung ohne Registrierung abgeben/ Bitte wählen Sie zunächst die Meldestelle, bei der Sie eine Meldung abgeben möchten. Anschließend werden Ihnen die verfügbaren Formulare angezeigt.

Bundesgesetzblatt, BGBl. 2025 I Nr. 301, 05.12.2025
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

MEIN UNTERNEHMENS-KONTO
Das Unternehmenskonto auf Basis von ELSTER / Die digitale Identität für Unternehmen in Deutschland

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden