NIS2-Gesetz: 30.000 deutsche Unternehmen müssen jetzt handeln

Seit Samstag gilt das neue Cybersicherheitsgesetz in Deutschland. Was jahrelang diskutiert wurde, ist nun Realität: Etwa 30.000 Unternehmen unterliegen erstmals der bundesweiten Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für Geschäftsführer und Vorstände wird IT-Sicherheit damit zur persönlichen Haftungsfrage.

Die Übergangszeit ist vorbei. Mit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes am 6. Dezember 2025 beginnt eine neue Ära der digitalen Verantwortung. Deutschland hat damit die europäische NIS2-Richtlinie in nationales Recht überführt – mit über einem Jahr Verspätung, aber nun mit voller Wucht.

Tausende Mittelständler, die bislang keine spezifischen Cybersicherheitspflichten hatten, wachen heute Morgen in einer völlig veränderten Rechtslage auf. Die Frage ist nicht mehr, ob man sich mit IT-Sicherheit beschäftigen sollte – sondern wie schnell man die neuen Anforderungen erfüllen kann.

Viele Mittelständler stehen seit dem Inkrafttreten des neuen Cybersicherheitsgesetzes plötzlich unter verschärfter Aufsicht – und müssen ihre IT-Resilienz sofort nachweisen. Unser kostenloses E‑Book erklärt praxisnah, welche Schutzmaßnahmen jetzt Priorität haben, wie Sie Reporting‑Prozesse für 24‑Stunden‑Meldungen einrichten und wie Geschäftsführer Haftungsrisiken minimieren können. Viele Maßnahmen lassen sich ohne große Budgets umsetzen, mit klaren Checklisten für IT‑Leiter und Entscheider. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Dimension des Wandels ist gewaltig. Während das bisherige IT-Sicherheitsgesetz primär Betreiber kritischer Infrastrukturen (KRITIS) im Fokus hatte, erfasst die neue Regelung nun 18 Sektoren – von der Energieversorgung über die Abfallwirtschaft bis zur Lebensmittelproduktion.

Das BSI veröffentlichte am vergangenen Freitag gemeinsam mit der Verkündung im Bundesgesetzblatt neue Zahlen: Statt rund 4.500 sind nun nahezu 30.000 Unternehmen reguliert. Neu hinzugekommen sind unter anderem Logistikdienstleister, Produktionsunternehmen und Forschungseinrichtungen.

„Der Regulierungsumfang hat sich quasi über Nacht vervielfacht”, heißt es in einer BSI-Mitteilung. KRITIS-Betreiber gelten automatisch als „besonders wichtige Einrichtungen”. Doch Tausende mittelständische Betriebe fallen nun in die Kategorie „wichtige Einrichtungen” – mit sofortiger Compliance-Pflicht.

Anders als bei früheren Gesetzen gibt es diesmal keine Schonfrist. Die drei Kernpflichten gelten ab dem 6. Dezember vollumfänglich:

• Risikomanagement: Umsetzung technischer und organisatorischer Maßnahmen nach dem Stand der Technik
• Meldepflicht: Einhaltung strenger Fristen bei Sicherheitsvorfällen
• Registrierung: Anmeldung beim BSI (Portal startet im Januar)

Schluss mit Delegation: Management haftet persönlich

Der wohl umstrittenste Punkt des neuen Gesetzes ist die verschärfte Haftung. Nach § 38 des novellierten BSI-Gesetzes liegt die Verantwortung für Cybersicherheit nun eindeutig bei der Geschäftsleitung.

Was bedeutet das konkret? Vorstände und Geschäftsführer können sich nicht länger hinter ihren IT-Abteilungen oder dem Chief Information Security Officer (CISO) verstecken. Sie haften persönlich dafür, dass die gesetzlichen Sicherheitsmaßnahmen umgesetzt werden. Bei grober Fahrlässigkeit kann das Unternehmen nicht einmal auf Schadensersatzansprüche gegen die Geschäftsführung verzichten.

„Die persönliche Haftung ist der Kern dieser Regelung”, analysieren Branchenexperten in ersten Stellungnahmen vom Wochenende. „Kommt es nach versäumten Schutzmaßnahmen zum Datenvorfall, trifft die Führungsebene die volle finanzielle Verantwortung.”

Um dieser neuen Rolle gerecht zu werden, schreibt das Gesetz regelmäßige Schulungen für das Top-Management vor. Das BSI veröffentlichte am 5. Dezember erste Leitlinien zu den verpflichtenden Weiterbildungen. Die Botschaft ist klar: Technisches Unwissen gilt nicht mehr als Entschuldigung.

24 Stunden Zeit: Der Wettlauf gegen die Uhr

In den IT-Abteilungen herrscht diese Woche Hochbetrieb. Die neue Meldepflicht folgt einem dreistufigen Eskalationsmodell, das den bisherigen freiwilligen Melderahmen ablöst:

Frühwarnung (24 Stunden): Sobald ein Unternehmen von einem erheblichen Sicherheitsvorfall erfährt, muss es innerhalb eines Tages eine erste Meldung ans BSI schicken – auch wenn Details noch fehlen.

Störungsmeldung (72 Stunden): Nach drei Tagen folgt ein detaillierterer Bericht mit erster Schweregradeinschätzung und Auswirkungsanalyse.

Abschlussbericht (30 Tage): Innerhalb eines Monats ist eine umfassende Ursachenanalyse samt Gegenmaßnahmen vorzulegen.

Das BSI stellte klar: Die 24-Stunden-Frist beginnt in dem Moment, in dem das Unternehmen Kenntnis vom Vorfall erlangt. Das setzt funktionierende Erkennungssysteme und schnelle interne Kommunikationswege voraus. Der Branchenverband eco hatte die Frist zuvor als unrealistisch kritisiert – ohne Erfolg. Der Bundestag verabschiedete das Gesetz am 13. November mit den strengen EU-Vorgaben.

Registrierungsportal öffnet im Januar

Während die Pflichten für Sicherheitsmaßnahmen und Meldungen seit dem 6. Dezember gelten, gibt es bei der administrativen Registrierung einen kurzen Aufschub. Das BSI kündigte am Freitag an, dass das digitale Meldeportal am 6. Januar 2026 online geht.

Ab diesem Zeitpunkt haben betroffene Unternehmen drei Monate Zeit für ihre Registrierung. Der Prozess läuft über eine Zwei-Faktor-Authentifizierung via „Mein Unternehmenskonto” (MUK).

„Die Registrierung ist mehr als Formsache”, betont das BSI in seinen aktuellen FAQ. „Sie ist die Grundlage für unsere Aufsichtstätigkeit.” Bis zur Portalöffnung sollten sich Firmen auf interne Bestandsaufnahmen konzentrieren und die nötige Dokumentation vorbereiten.

Lange Vorgeschichte: Von Brüssel nach Berlin

Die Verabschiedung des NIS2-Umsetzungsgesetzes war ein steiniger Weg. Deutschland verpasste gemeinsam mit mehreren EU-Staaten die ursprüngliche Umsetzungsfrist vom 17. Oktober 2024. Über ein Jahr lang schwebten deutsche Unternehmen in regulatorischem Niemandsland – mit der Drohung von EU-Vertragsverletzungsverfahren im Nacken.

Der finale Durchbruch kam erst vergangenen Monat, als der Bundestag das Gesetz am 13. November verabschiedete. Die schnelle Verkündung und das Inkrafttreten im Dezember zeigen den politischen Druck, die Compliance-Lücke zu schließen.

Die Reaktionen fallen gemischt aus. Während Cybersecurity-Anbieter die Rechtsklarheit begrüßen, warnen Verbände wie Bitkom vor einem „Kaltstart”. Viele neu regulierte Mittelständler verfügen nicht über ausgereifte Incident-Response-Prozesse für die 24-Stunden-Frist. Das Fehlen einer Übergangsfrist bedeutet: Zahlreiche Unternehmen sind technisch gesehen ab Tag eins nicht konform – bis ihre internen Kontrollen nachziehen.

Was jetzt kommt

Der Fokus verschiebt sich von der Gesetzesanalyse zur Vollzugspraxis. Das BSI wird seine Aufsichtstätigkeit voraussichtlich ausbauen, sobald die Registrierungsdatenbank ab Januar gefüllt wird.

Entscheidende Termine in den kommenden Wochen:

• 6. Januar 2026: Start des BSI-Registrierungsportals
• 1. Quartal 2026: Veröffentlichung sektorspezifischer Rechtsverordnungen mit detaillierten technischen Standards für Energie, Transport und Wasserwirtschaft
• April 2026: Ende der initialen Registrierungsfrist für Bestandsunternehmen

Die Botschaft aus Berlin ist eindeutig: Die Schonfrist ist Geschichte. Cyber-Resilienz ist ab dieser Woche gesetzlicher Standard. Und die Uhr tickt bereits.

PS: Sie möchten konkret wissen, welche Sofortmaßnahmen IT‑Teams in den nächsten 30 Tagen umsetzen sollten? Dieser Gratis‑Leitfaden fasst bewährte Schutzmaßnahmen, Muster-Checklisten für Incident Response und Empfehlungen zur Management‑Schulung zusammen – inklusive Praxisbeispielen aus dem Mittelstand, die schnell umgesetzt werden können. Perfekt für Geschäftsführer und IT‑Verantwortliche, die jetzt Compliance‑lücken schließen wollen. Kostenloses Umsetzungs‑Leitfaden herunterladen