NIS-2-Gesetz, Firmen

NIS-2-Gesetz beschlossen: 30.000 Firmen unter Zugzwang

27.11.2025 - 05:40:12

NIS-2-Gesetz beschlossen: 30.000 Firmen unter Zugzwang - Foto: über boerse-global.de
NIS-2-Gesetz beschlossen: 30.000 Firmen unter Zugzwang - Foto: über boerse-global.de

Die Schonfrist ist vorbei. Nach der Zustimmung von Bundestag und Bundesrat am 21. November steht Deutschlands schärfstes IT-Sicherheitsgesetz kurz vor dem Inkrafttreten. Rund 30.000 Unternehmen müssen sich ab Anfang 2026 auf DSGVO-ähnliche Strafen und persönliche Haftung des Managements einstellen.

Das BSI und Rechtsexperten drängen betroffene Firmen zum sofortigen Handeln. Die Botschaft ist unmissverständlich: Wer wartet, riskiert Millionenbußen. Denn anders als bei früheren Regulierungen gibt es diesmal keine Übergangsfrist – ab Inkrafttreten gilt volle Compliance-Pflicht.

Der markanteste Unterschied zur bisherigen Rechtslage: Die Anzahl regulierter Unternehmen explodiert regelrecht. Während frühere Vorschriften hauptsächlich kritische Infrastrukturen wie Energie- und Wasserversorger erfassten, zieht das NIS-2-Umsetzungsgesetz nun etwa 29.500 Organisationen in die Pflicht.

Anzeige

Passend zum Thema IT-Sicherheit: Studien zeigen, dass viele Unternehmen nicht ausreichend gegen Cyberangriffe gewappnet sind. Mit dem neuen NIS‑2-Umsetzungsgesetz steigen Pflichten, Meldefristen und Haftungsrisiken für Geschäftsführung. Der kostenlose Leitfaden “Cyber Security Awareness Trends” erklärt praxisnah, welche Sofortmaßnahmen, organisatorischen Prozesse und technischen Vorkehrungen jetzt Vorrang haben – inklusive Checkliste für Incident-Response und Lieferkettensicherheit. Ohne teure Investitionen zeigt der Report praktikable Schritte für kleine und mittlere Unternehmen. Gratis Cyber-Security-Leitfaden für Unternehmen herunterladen

Das Gesetz teilt betroffene Einrichtungen in zwei Kategorien:

  • Besonders wichtige Einrichtungen: Großunternehmen in kritischen Sektoren wie Energie, Verkehr, Finanzen, Gesundheit und Trinkwasserversorgung.
  • Wichtige Einrichtungen: Diese breitere Kategorie umfasst bislang unregulierte oder schwach regulierte Bereiche – darunter Abfallwirtschaft, produzierendes Gewerbe (Chemie, Automotive, Maschinenbau), Lebensmittelproduktion und digitale Dienstleister.

Die Unterscheidung entscheidet über die Aufsichtsintensität: Besonders wichtige Einrichtungen unterliegen proaktiver BSI-Kontrolle ohne konkreten Anlass. Wichtige Einrichtungen werden reaktiv überwacht – also erst bei Verdacht auf Verstöße oder nach Sicherheitsvorfällen.

Strikte Meldefristen und drakonische Strafen

Für tausende neu regulierte Betriebe wird die dreistufige Meldepflicht bei erheblichen Sicherheitsvorfällen zur härtesten Bewährungsprobe. Das Gesetz definiert kompromisslose Zeitfenster:

  1. Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme eines Vorfalls
  2. Störungsmeldung: Detailliertes Update binnen 72 Stunden
  3. Abschlussbericht: Umfassende Analyse innerhalb eines Monats

Wer diese Fristen versäumt oder unzureichende Risikomanagement-Maßnahmen implementiert, zahlt teuer. Die Strafstruktur orientiert sich an der DSGVO:

  • Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt
  • Wichtige Einrichtungen: Maximal 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Doch damit nicht genug: Das Gesetz führt erstmals persönliche Managerhaftung ein. Geschäftsführer und Vorstände können Cybersecurity nicht mehr delegieren. Sie müssen Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen. Bei grober Fahrlässigkeit droht persönliche Schadenshaftung.

BSI wird zur Super-Behörde

Mit Inkrafttreten des Gesetzes wandelt sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) von der Beratungsstelle zur Vollzugsbehörde mit weitreichenden Befugnissen. Die Registrierung zehntausender Unternehmen soll über ein digitales Portal abgewickelt werden.

„Wir bewegen uns vom freiwilligen Ansatz zu verbindlichen Mindeststandards”, erklärte ein BSI-Sprecher. Die Behörde hat bereits Informationspakete veröffentlicht (#nis2know), um Firmen bei der Statusbestimmung zu helfen. Die Warnung ist deutlich: Es gibt keine Übergangsphase. Ab Tag eins der Geltung wird Compliance erwartet.

Das BSI kann besonders wichtige Einrichtungen künftig auch ohne konkreten Verdacht prüfen – eine deutliche Verschärfung gegenüber dem bisherigen Regime. Die Behörde bereitet sich bereits auf die Flut von Registrierungen vor.

Industrie zwischen Klarheit und Bürokratiesorgen

Die deutsche Umsetzung der EU-NIS-2-Richtlinie gilt als eine der strengsten in Europa – insbesondere bei der Auslegung der Managementhaftung. Während Cybersecurity-Anbieter und Verbände wie Bitkom die Rechtssicherheit begrüßen, warnen mittelständische Hersteller vor Überregulierung.

Besonders brisant: Die Lieferkettensicherheits-Anforderungen bedeuten, dass selbst nicht direkt regulierte Unternehmen unter Druck ihrer größeren Kunden geraten könnten. Wer nicht nachweist, cyber-resilient zu sein, riskiert Auftragseinbußen.

Die Debatte im Bundestag offenbarte den Balanceakt zwischen Sicherheitsbedürfnis und Bürokratieabbau. Das finale Gesetz spiegelt einen Kompromiss wider – allerdings einen, der klar auf nationale Resilienz gegen Hybrid-Bedrohungen und Ransomware-Angriffe setzt.

Was Unternehmen jetzt tun müssen

Nach der Bundesrats-Zustimmung fehlen nur noch Unterschrift des Bundespräsidenten und Verkündung im Bundesgesetzblatt. Beides wird für Dezember 2025 erwartet, Inkrafttreten voraussichtlich Anfang 2026.

Sofortmaßnahmen für betroffene Firmen:

  • Statusprüfung: Fällt das Unternehmen unter „wichtige” oder „besonders wichtige” Einrichtung?
  • Gap-Analyse: Abgleich mit den Risikomanagement-Anforderungen (Artikel 21 der Richtlinie/§ 30 des deutschen Gesetzes) – Incident-Handling, Lieferkettensicherheit, Verschlüsselung
  • Ressourcenplanung: Budget und Personal für Compliance-Maßnahmen bereitstellen

Für 30.000 deutsche Betriebe endet die Ära freiwilliger Cybersecurity. Die kommenden Monate werden zum Wettlauf gegen die Zeit – bevor das BSI seine neuen Aufsichtsbefugnisse voll ausschöpft. Wer jetzt noch zögert, spielt mit dem Feuer.

Anzeige

PS: Sie stehen vor der Pflicht, Meldefristen und Management-Haftung nach NIS‑2 einzuhalten? Dieser Praxisleitfaden zeigt, wie Sie Ihre IT-Sicherheit mit überschaubarem Aufwand stärken, Verantwortlichkeiten rollen und Mitarbeiterschulungen etablieren können, ohne sofort teures Personal einstellen zu müssen. Plus: konkrete Vorlagen für Risikoanalysen und Compliance-Checks, die Sie sofort anwenden können. Der Leitfaden enthält Praxisbeispiele aus dem Mittelstand und eine Checkliste für die schnelle Gap‑Analyse. Jetzt kostenlosen Cyber-Security-Leitfaden sichern

@ boerse-global.de
Die besten Black Friday Angebote für