NIS-2, Gesetz

NIS-2: Gesetz in Kraft, Meldeportal offline – Unternehmen in der Pflichtfalle

16.12.2025 - 11:42:12

NIS-2: Gesetz in Kraft, Meldeportal offline – Unternehmen in der Pflichtfalle - Foto: über boerse-global.de
NIS-2: Gesetz in Kraft, Meldeportal offline – Unternehmen in der Pflichtfalle - Foto: über boerse-global.de

Deutschlands neue Cybersicherheits-Ära beginnt mit einem technischen Pannenstart. Seit dem 6. Dezember gilt das verschärfte IT-Sicherheitsgesetz NIS-2, doch das zentrale Meldeportal des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bleibt bis Januar offline. Rund 29.000 Unternehmen stehen nun in einer rechtlichen Grauzone: Sie müssen schwerwiegende Vorfälle melden, haben aber keinen offiziellen digitalen Weg dafür.

Das NIS-2-Umsetzungsgesetz markiert die größte Ausweitung der IT-Sicherheitsvorschriften seit Jahren. Nicht nur klassische Kritische Infrastrukturen (KRITIS) wie Energieversorger sind betroffen, sondern auch neue Sektoren wie die Lebensmittelproduktion, die Abfallwirtschaft und digitale Dienstleister. Der Knackpunkt: Das dafür vorgesehene Melde- und Informationsportal (MIP) wird für diese neuen Adressaten erst am 6. Januar 2026 freigeschaltet.

„Wir befinden uns aktuell in einer hybriden Phase, in der die rechtliche Realität die technische Umsetzung überholt hat“, kommentieren Rechtsexperten die Situation. Das BSI spricht von einer „Meldepflichtlücke“ und hat eine Übergangslösung parat. Bis das Portal online geht, müssen betroffene Unternehmen ein provisorisches Online-Formular auf der BSI-Webseite nutzen.

Drei-Stufen-Meldung gilt sofort – mit oder ohne Portal

Das BSI stellt diese Woche klar: Die gesetzliche Pflicht zur Meldung „erheblicher IT-Sicherheitsvorfälle“ besteht ab sofort. Die dreistufige Meldepflicht nach NIS-2 ist unabhängig vom technischen Kanal sofort anzuwenden:

Anzeige

Passend zum Thema IT-Sicherheit: Viele Unternehmen stehen seit dem NIS‑2‑Start vor neuen Meldepflichten, sind aber technisch noch nicht vorbereitet. Ein kostenloser Cyber‑Security‑Guide zeigt praxisnah, wie Sie Ihre Angriffsflächen schnell verkleinern, Incident‑Response‑Pläne an die 24‑Stunden‑Frist anpassen und erste Schritte zur sicheren Meldung über das Übergangs‑Formular organisieren. Inklusive Checklisten für Geschäftsführung und IT‑Verantwortliche, damit Sie gesetzeskonform und handlungsfähig bleiben. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

  1. Erstwarnung (24 Stunden): Innerhalb eines Tages nach Kenntnis muss eine erste Meldung erfolgen.
  2. Meldung (72 Stunden): Drei Tage nach dem Vorfall ist eine detailliertere Einschätzung mit Auswirkungen einzureichen.
  3. Abschlussbericht (1 Monat): Einen Monat nach der Erstwarnung muss ein vollständiger Analysebericht vorliegen.

BSI-Präsidentin Claudia Plattner betont, es gehe nicht nur um Formalien, sondern um aktive Abwehr. Unternehmen sollten vorrangig ihre Angriffsflächen verkleinern. Diese Aufforderung stützt sich auf den jüngsten BSI-Lagebericht 2025, der ungepatchte Sicherheitslücken und „digitale Nachlässigkeit“ als Haupteinfallstore für Angreifer identifiziert.

Bitkom kritisiert Umsetzung: „Rechtliche Unklarheit“

Der Digitalverband Bitkom begrüßt zwar das Ziel höherer Sicherheitsstandards, übt aber scharfe Kritik an der Umsetzung. Die Verzögerung beim Meldeportal schaffe „rechtliche Unklarheit“ und erhöhe den administrativen Aufwand für Unternehmen, die von Tag eins an compliant sein wollen.

Kritiker sehen in der „Meldepflichtlücke“ ein Symptom eines überhasteten Umsetzungsprozesses. Zudem moniert die Industrie mangelnde Abstimmung mit dem parallel entstehenden KRITIS-Dachgesetz. Die Gefahr: Überlappende Regelwerke könnten zu Doppelregulierung und Ineffizienz führen.

Das BSI versichert indes, das Übergangs-Formular sei ein rechtlich sicherer und gültiger Meldeweg. Bestehende KRITIS-Betreiber und Bundesbehörden sollen weiter ihre etablierten Kanäle nutzen, um Doppelmeldungen zu vermeiden.

Hintergrund: „Angespannte“ Cybersicherheitslage

Die Dringlichkeit der neuen Regeln unterstreicht die bedrohliche Lage. Der BSI-Lagebericht 2025 beschreibt die Situation als „angespannt“. Die Zahl neu entdeckter Schwachstellen stieg im Berichtszeitraum um 24 Prozent, und Ransomware bleibt die größte Bedrohung für den Mittelstand.

Die neuen Meldepflichten sollen dem BSI eine Echtzeit-Übersicht der Bedrohungslage ermöglichen, um andere Sektoren schneller warnen zu können. Die Wirksamkeit dieses „Cyberschilds“ hängt jedoch maßgeblich von der Qualität der eingehenden Daten ab – ein Fluss, der aktuell über ein Provisorium läuft.

Was passiert am 6. Januar 2026?

Die Übergangsphase endet planmäßig mit dem Start des zentralen Meldeportals am 6. Januar 2026. Dann soll die Meldung digital, verschlüsselt und standardisiert ablaufen.

Bis dahin rät das BSI allen Unternehmen zu drei Schritten:
* Klären Sie Ihren Status als „wichtiges“ oder „besonders wichtiges“ Unternehmen nach NIS-2.
* Passen Sie Ihre internen Incident-Response-Pläne an die 24-Stunden-Frist an.
* Machen Sie sich mit dem Übergangs-Formular vertraut, um für einen Vorfall vor dem Portallaunch gewappnet zu sein.

Die deutsche Wirtschaft navigiert durch die ersten Wochen des neuen Regimes. Der Fokus liegt darauf, nicht nur die Melde-, sondern vor allem die Sicherheitslücken zu schließen, die dieses Gesetz überhaupt nötig machen.

Anzeige

PS: Übrigens — die kombinierte Bedrohung durch Ransomware und unvollständige Meldeprozesse erhöht das Risiko teurer Betriebsunterbrechungen. Der kostenlose Cyber‑Security‑Awareness‑Report bietet konkrete Präventionsmaßnahmen, Anleitungen zur Umsetzung einfacher Schutzmaßnahmen ohne große Investitionen und Empfehlungen, wie Mittelstand und IT‑Leitung sich auf das zentrale Meldeportal am 6. Januar 2026 vorbereiten. Ideal für Entscheider, die sofort handeln müssen. Jetzt kostenlosen Awareness‑Report anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler