NIS-2-Umsetzungsgesetz ab 6. Dezember in Kraft

Am 5. Dezember 2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ im Bundesgesetzblatt veröffentlicht – es tritt am darauf folgenden Tag in Kraft. Damit sei nun eine „umfassende Modernisierung des Cybersicherheitsrechts“ erfolgt, kommentiert das BSI. Schließlich erhöht das Gesetz die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Die nationale Umsetzung der EU-Richtlinie erfolgt dazu allem voran im Rahmen einer Novellierung des BSI-Gesetzes (BSIG): Unternehmen müssen selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den fast 30000 durch das BSI beaufsichtigten Einrichtungen gehören, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten. Zuvor waren nur etwa 4500 Organisationen durch das BSI-Gesetz reguliert – besonders Betreiber kritischer Infrastruktur (KRITIS), Anbieter digitaler Dienste (DSP) sowie sogenannte „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des BSIG deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Diese müssen drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich als „NIS-2-Unternehmen“ zu registrieren, müssen dem BSI erhebliche Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren – KRITIS-Betreiber gelten automatisch als besonders wichtige Einrichtungen.

BSI-Präsidentin Claudia Plattner kommentierte: „Die Cybersicherheitslage Deutschlands ist angespannt. Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

Für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, sieht das BSI einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen – dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Dieses Konto dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID für Bürger dar. Weitere Informationen zur Registrierung bei MUK stellt das BSI unter www.bsi.bund.de/dok/muk bereit.

Das BSI empfiehlt, den Account bei „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim (unter anderem für NIS-2) neu entwickelten BSI-Portal zu registrieren, das ab dem 6. Januar 2026 freigeschaltet werden soll. Dieses Portal dient unter anderem auch als Meldestelle für erhebliche Sicherheitsvorfälle. Sollten meldepflichtige Organisationen, die von NIS-2 betroffen sind, noch vor der Registrierung(smöglichkeit) im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, können sie diesen dem BSI über ein Online-Formular melden – KRITIS-Betreiber und Bundesbehörden sollen jedoch vorübergehend ihre bisherigen Meldewege weiter nutzen.