NIS2-Gesetz: Sofortige Pflichten für 30.000 deutsche Firmen

Deutschland hat heute die schärfsten Cybersicherheitsregeln seiner Geschichte aktiviert. Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft – einen Tag nach der Veröffentlichung im Bundesgesetzblatt. Rund 30.000 Unternehmen müssen nun sofort handeln, denn Übergangsfristen gibt es nicht. Parallel verschärft die EU mit neuen Leitlinien zum Cyber Resilience Act (CRA) den Druck auf Hersteller digitaler Produkte.

Die doppelte Regulierungswelle markiert einen Wendepunkt: Cybersicherheit ist nicht länger freiwillig, sondern gesetzliche Pflicht mit persönlicher Haftung für Geschäftsführer. Wer jetzt zögert, riskiert empfindliche Strafen.

Brancheninsider sprechen ironisch vom “Nikolausgeschenk” – schließlich trat das Gesetz am 6. Dezember in Kraft. Doch die Bescherung bringt vor allem Pflichten: Die Zahl der regulierten Unternehmen steigt von 4.500 auf fast 30.000. Das modernisierte BSI-Gesetz definiert zwei Kategorien: Wichtige Einrichtungen und Besonders Wichtige Einrichtungen.

Betroffen sind 18 Sektoren – von Energie über Transport bis Banking. Die Schwellenwerte liegen bei mindestens 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz.

Passend zum Thema Cybersicherheit: Viele Unternehmen sind nach der NIS2-Aktivierung weiterhin unvorbereitet – und Geschäftsführer haften nun persönlich. Unser kostenloses E‑Book erklärt praxisnah, welche Sofortmaßnahmen, Meldeprozesse (MUK) und technischen Basisschutzmaßnahmen jetzt Priorität haben, welche Fristen zu beachten sind und wie Sie interne Verantwortlichkeiten rechtssicher dokumentieren. Mit Checklisten, Musterprozessen für Vorfallmeldungen und konkreten Schritten zur Gap-Analyse – ideal für Geschäftsführung, IT-Leitung und Compliance-Teams. Jetzt Cyber-Security-Leitfaden für Unternehmen herunterladen

“Die Zeit der Vorbereitung ist vorbei, jetzt beginnt die Zeit der Umsetzung”, erklärte BSI-Präsidentin Claudia Plattner gestern. “Das novellierte BSI-Gesetz ist eine starke Antwort auf die angespannte Bedrohungslage. Es wird die Resilienz unseres Landes messbar erhöhen.”

Registrierungspflicht läuft bereits

Die erste Aufgabe für betroffene Unternehmen: die digitale Registrierung über die Plattform “Mein Unternehmenskonto” (MUK). Das BSI empfiehlt, diese bis Ende Dezember 2025 abzuschließen, um Bedrohungsinformationen und Sicherheitswarnungen zu erhalten.

Die wichtigsten Fristen:
* Sofort: Unternehmen müssen eigenständig prüfen, ob sie unter die Regulierung fallen
* Bis 31.12.2025: Empfohlene Registrierung im MUK-Portal
* Ab sofort: Meldepflicht für signifikante Cyberangriffe – Frühwarnung binnen 24 Stunden, detaillierte Meldung binnen 72 Stunden

Rechtsexperten der Kanzlei Noerr warnen eindringlich: “Es gibt keine Benachrichtigung von Behörden, die Ihnen mitteilt, dass Sie reguliert sind. Unternehmen müssen ihre Einstufung sofort selbst bewerten, um mögliche Bußgelder zu vermeiden.”

Kein Wunder also, dass in den Rechtsabteilungen deutscher Mittelständler derzeit Hochbetrieb herrscht.

Cyber Resilience Act: EU schaltet einen Gang höher

Während Deutschland sein NIS2-Gesetz aktiviert, legte die EU-Kommission am 3. Dezember nach. Sie veröffentlichte umfassende Leitlinien zum Cyber Resilience Act (CRA), der bereits im Dezember 2024 in Kraft trat. Das Gesetz verpflichtet Hersteller zu “Security by Design” für alle Produkte mit digitalen Elementen.

Die neuen Dokumente klären das Zusammenspiel: NIS2 reguliert die Betreiber kritischer Dienste, der CRA die Produkte (Hard- und Software), die sie einsetzen.

Zentrale Entwicklungen:
* Standardisierung: Die europäischen Normungsorganisationen (CEN, CENELEC, ETSI) arbeiten an harmonisierten Standards – Lieferung vor den regulatorischen Deadlines
* Meldepflichten: Ab 11. September 2026 müssen Hersteller aktiv ausgenutzter Schwachstellen diese melden – in nur neun Monaten

“Die Veröffentlichung der neuen CRA-Website am 3. Dezember signalisiert einen Wechsel von der Gesetzgebung zur Umsetzungsunterstützung”, analysieren Experten der Kanzlei CMS. “Hersteller haben weniger als ein Jahr für die Vorbereitung auf die erste Meldewelle.”

Zwischen Erleichterung und Zeitdruck

Die Reaktionen der Wirtschaft schwanken zwischen Aufatmen und Panik. Ursprünglich sollte Deutschland die NIS2-Richtlinie bis Oktober 2024 umsetzen – über ein Jahr Verspätung hinterließ Tausende Unternehmen in rechtlicher Schwebe.

“Die gestrige Veröffentlichung im Bundesgesetzblatt beendet eine lange Phase der Unsicherheit”, so ein Sprecher von OpenKRITIS, einer unabhängigen Plattform für KRITIS-Schutz. “Unternehmen haben endlich die Rechtssicherheit, um Budgets freizugeben und Compliance-Strategien zu finalisieren.”

Doch der “Kaltstart” stellt viele vor Probleme. Anders als frühere Regelungen bietet das NIS2-Gesetz keine Schonfrist – es gilt ab dem Tag nach der Veröffentlichung. Der Druck lastet nun direkt auf den Geschäftsleitungen.

Persönliche Haftung der Geschäftsführer

Das Herzstück des neuen Gesetzes: die explizite Verantwortung der obersten Führungsebene. Vorstände und Geschäftsführer müssen Cybersicherheitsmaßnahmen persönlich genehmigen, deren Umsetzung überwachen und verpflichtende Schulungen absolvieren.

“Unwissenheit ist keine gültige Verteidigung mehr”, mahnen Juristen. “Ab heute kann ein CEO die ultimative Verantwortung für Cyber-Resilienz nicht mehr delegieren.”

Kann eine Geschäftsleitung, die sich jahrelang nicht um IT-Sicherheit gekümmert hat, nun über Nacht zum Cyber-Experten werden? Viele Manager dürften sich diese Frage gerade stellen.

Der steinige Weg zum 6. Dezember

Die EU-NIS2-Richtlinie wurde Ende 2022 verabschiedet, Umsetzungsfrist war der 17. Oktober 2024. Deutschland verpasste diese Deadline wie mehrere andere Mitgliedstaaten – die Kommission leitete Vertragsverletzungsverfahren ein.

Der deutsche Gesetzgebungsprozess zog sich durch mehrere Entwürfe: vom “Referentenentwurf” 2023 bis zu den finalen Bundestagsdebatten Ende 2025. Die nun gültige Fassung enthält die EU-Kernvorgaben, betont aber die Rolle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Parallel entwickelt sich das KRITIS-Dachgesetz zur Umsetzung der EU-CER-Richtlinie für physische Resilienz – letzte Entwürfe wurden im November 2025 diskutiert.

Ausblick 2026: Das Jahr der Durchsetzung

Mit dem aktiven Rechtsrahmen wird 2026 zum Umsetzungsjahr. Das BSI kündigte verstärkte Überwachung an.

Die wichtigsten Meilensteine:
* Q1 2026: BSI konzentriert sich auf Registrierung und Aufbau von Meldestrukturen
* September 2026: Erste CRA-Meldepflichten für Produkthersteller greifen – neue Schwachstellendaten fließen zu ENISA und nationalen Behörden
* Audits: “Besonders Wichtige Einrichtungen” können jederzeit vom BSI überprüft werden; “Wichtige Einrichtungen” nur bei Verdacht oder nach Vorfällen

Für die 30.000 neu regulierten deutschen Unternehmen steht die Agenda für die verbleibenden Dezembertage fest: MUK-Registrierung, Gap-Analyse gegen BSIG-Anforderungen, Briefing der Geschäftsleitung über neue persönliche Haftungsrisiken.

BSI-Präsidentin Plattner bringt es auf den Punkt: “Das Gesetz steht. Jetzt beginnt die eigentliche Arbeit.”

Übrigens: Wer die neuen NIS2- und CRA-Anforderungen ernst nimmt, sollte sich jetzt schnell einen praxisnahen Überblick verschaffen. Dieses kostenlose E‑Book zur Cyber-Security-Awareness fasst aktuelle Bedrohungen, die neuen Meldepflichten (inkl. Fristen für MUK‑Registrierung und Vorfallmeldungen) sowie konkrete Schutzmaßnahmen zusammen und liefert sofort einsetzbare Checklisten für Vorfallreaktion und Compliance. Perfekt für Geschäftsführer, IT-Leiter und Compliance-Verantwortliche, die kurzfristig klare Handlungsschritte brauchen. Jetzt downloaden und Rechtsrisiken minimieren. Kostenlosen Cyber-Security-Awareness-Report herunterladen