NIS2-Gesetz in Kraft: Compliance-Wende für 30.000 deutsche Firmen

Deutschland hat das Wochenende mit einer fundamentalen Verschärfung seines Cybersicherheitsrechts beendet. Am Samstag, 6. Dezember 2025, trat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft – nur einen Tag nach seiner Verkündung im Bundesgesetzblatt. Gleichzeitig legte die Bundesregierung am 3. Dezember den Entwurf zum Datengesetz-Durchführungsgesetz (DADG) vor. Für Unternehmen bedeutet das: Die Zeit des Abwartens ist vorbei. Verschärfte Cybersicherheitspflichten, persönliche Haftung für Geschäftsführer und eine neu organisierte Aufsichtsstruktur bestimmen ab sofort den Alltag.

Was nach monatelangem politischen Ringen nun Realität wurde, trifft die deutsche Wirtschaft mit voller Wucht. Rund 30.000 Unternehmen müssen sich plötzlich auf strenge Meldepflichten, Risikomanagement‑Vorgaben und durchgreifende Kontrollen einstellen. Die Zahl der betroffenen Firmen hat sich im Vergleich zur bisherigen Regulierung mehr als versechsfacht – von etwa 4.500 auf nahezu 30.000.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ am Wochenende keinen Zweifel aufkommen: „Die Veröffentlichung im Bundesgesetzblatt am 5. Dezember beseitigt jede verbleibende Unklarheit. Unternehmen, die unter die neuen Schwellenwerte fallen, müssen sofort ihren Status prüfen und sich auf die Registrierung vorbereiten.”

Chefsache Cybersicherheit: Persönliche Haftung wird Realität

Der wohl einschneidendste Aspekt des neuen Gesetzes: Cybersicherheit ist ab sofort Chefsache – und zwar mit persönlichen Konsequenzen. Das NIS2-Umsetzungsgesetz verankert im novellierten § 38 des BSI-Gesetzes (BSIG) eine direkte Verantwortlichkeit der Geschäftsführung. CEOs und Vorstände können die Haftung für Sicherheitsmaßnahmen nicht mehr delegieren.

Passend zum Thema Cybersicherheit: Viele Unternehmen sind auf die neuen NIS2‑Pflichten nicht vorbereitet – Studien zeigen, dass über zwei Drittel kritische Sicherheitslücken übersehen. Ein kostenloses E‑Book für Geschäftsführer und IT‑Verantwortliche erklärt kompakt, welche technischen und organisatorischen Maßnahmen jetzt Priorität haben, wie Sie persönliche Haftungsrisiken mindern und eine sofort umsetzbare Checkliste für den Mittelstand nutzen. Ideal für Compliance‑Teams, die schnell rechtskonform handeln müssen. Jetzt kostenloses Cyber-Security-E‑Book für Entscheider herunterladen

Was bedeutet das konkret? Bei Verstößen gegen die Risikomanagement-Vorgaben drohen empfindliche Bußgelder – und im Extremfall ein zeitweiliges Verbot, Führungsaufgaben wahrzunehmen. „Die persönliche Haftung verändert die Dynamik in den Chefetagen grundlegend”, kommentiert Dr. Elena Weber vom Berliner Institut für Digitales Recht. „Vorstände müssen Cybersicherheit nun mit derselben Priorität behandeln wie Bilanzfragen oder Compliance.”

Betroffene Unternehmen werden in zwei Kategorien eingeteilt: „Wichtige Einrichtungen” und „Besonders wichtige Einrichtungen”. Die Klassifizierung richtet sich nach Branche und Größe. Energieversorger, Gesundheitseinrichtungen, digitale Dienste, Transportfirmen und Teile des verarbeitenden Gewerbes zählen zu den regulierten Sektoren.

Datengesetz: Bundesnetzagentur wird Datenwächter

Während Unternehmen noch mit der NIS2-Umsetzung ringen, hat die Bundesregierung bereits die nächste regulatorische Welle eingeleitet. Der am 3. Dezember vorgelegte Entwurf zum Datengesetz-Durchführungsgesetz (Bundestags-Drucksache 21/2998) schafft die nationale Grundlage für die EU-Datenverordnung, die den Zugang zu industriellen Daten demokratisieren soll.

Die zentrale Weichenstellung: Die Bundesnetzagentur (BNetzA) wird als nationale Durchsetzungsbehörde und „Datenkoordinator” eingesetzt. Diese Entscheidung beendet eine monatelange Debatte darüber, ob Datenschutzbehörden oder eine Bundesbehörde die Federführung übernehmen sollten.

Die BNetzA wird künftig Beschwerden bearbeiten und Datenzugangsrechte durchsetzen. Doch der Gesetzentwurf bewahrt explizit die Zuständigkeiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für personenbezogene Daten. Der BfDI bleibt Aufsichtsbehörde für alle Datenschutzfragen, die im Rahmen des Datengesetzes entstehen – eine wichtige Garantie, dass industrielle Datenzugangsrechte nicht die DSGVO- und BDSG-Schutzstandards aushöhlen.

BDSG im Zentrum: Doppelte Meldepflichten werden Alltag

Die Konvergenz von NIS2 und Datengesetz formt das Umfeld des Bundesdatenschutzgesetzes (BDSG) neu. Rechtsexperten betonen: Die neuen NIS2-Anforderungen hebeln weder DSGVO noch BDSG aus. Stattdessen schaffen sie einen parallelen Compliance-Strang.

Ein Praxisbeispiel verdeutlicht die Komplexität: Bei einer Datenpanne mit personenbezogenen Daten greifen nun duale Meldepflichten:

1. An die Datenschutzbehörde (BfDI/Landesbeauftragte): Gemäß Art. 33 DSGVO innerhalb von 72 Stunden
2. An das BSI: Nach dem neuen NIS2-Regime – Frühwarnung binnen 24 Stunden, vollständiger Bericht binnen 72 Stunden

Der DADG-Entwurf vom 3. Dezember zementiert dieses Zwei-Gleise-System durch eine vorgeschriebene enge Kooperation zwischen BNetzA und BfDI. Dieses Modell der „kooperativen Aufsicht” soll regulatorische Reibungen vermeiden – Wirtschaftsverbände warnen allerdings vor zunehmender bürokratischer Komplexität.

Der Compliance-Tsunami trifft den Mittelstand

Branchenbeobachter sprechen von einem „Compliance-Tsunami”, der besonders den deutschen Mittelstand erfasst. „Die Veröffentlichung des NIS2-Gesetzes am 5. Dezember war der Startschuss, doch viele Unternehmen stehen noch an der Startlinie”, analysiert Dr. Elena Weber. „Das sofortige Inkrafttreten am 6. Dezember bedeutet: Es gibt keine Schonfrist. Firmen, die ihre Gap-Analyse in der Hoffnung auf eine Verschiebung verzögert haben, sind jetzt technisch gesehen nicht-konform.”

Die Entscheidung, die BNetzA zur zentralen Datengesetz-Behörde zu machen, gilt weithin als wirtschaftsfreundlicher Schritt. Ein einheitlicher Vollzug über alle 16 Bundesländer hinweg soll Rechtssicherheit schaffen. Gleichzeitig fungiert die Einbindung des BfDI als Kontrollinstanz, die sicherstellt, dass die traditionell strenge deutsche Datenschutzauslegung eine Schranke gegen unkontrollierten Datenaustausch bleibt.

Registrierung startet: BSI vor Belastungsprobe

Mit NIS2 nun in Kraft, liegt der unmittelbare Fokus auf dem Registrierungsprozess. Betroffene Unternehmen müssen sich beim BSI registrieren – ein Vorgang, der die Verwaltungskapazität der Behörde auf die Probe stellen dürfte. Das BSI plant, im ersten Quartal 2026 ein digitales Portal für die Anmeldung bereitzustellen. Bis dahin müssen Unternehmen ihre Einstufung eigenständig prüfen.

Beim Datengesetz steht der parlamentarische Prozess bevor. Der Entwurf (DADG) durchläuft Anfang 2026 die Bundestagsausschüsse. Da die EU-Datenverordnung bereits seit September 2025 anwendbar ist, lastet erheblicher Zeitdruck auf dem Gesetzgeber. Verzögerungen könnten Vertragsverletzungsverfahren nach sich ziehen.

Für Compliance-Verantwortliche in deutschen Unternehmen ist die Botschaft aus Berlin glasklar: Die Ära freiwilliger digitaler Verantwortung ist beendet. Gesetzliche Pflichten, abgesichert durch persönliche Haftung und empfindliche Bußgelder, sind nun geltendes Recht.

Kann die deutsche Wirtschaft diesen regulatorischen Doppelschlag binnen weniger Monate bewältigen? Die kommenden Monate werden zeigen, ob die Behörden genug Kapazität für Beratung und Vollzug bereitstellen – oder ob der Mittelstand zwischen den Anforderungen zerrieben wird.

PS: Die neuen Melde- und Registrierungs­pflichten verlangen klare Prozesse zwischen IT, Geschäftsführung und Datenschutz. Dieser kostenlose Praxis‑Leitfaden zeigt, wie Sie IT‑Sicherheit ohne große Budgets stärken, Meldewege nach NIS2 und DSGVO richtig abbilden und Verantwortlichkeiten intern sauber dokumentieren – ein schneller Fahrplan für CEOs und Compliance‑Verantwortliche. Jetzt Praxisleitfaden Cyber‑Security kostenlos sichern