NIS2-Gesetz: Deutschland regelt Cybersicherheit neu

Nach über einem Jahr Verzögerung ist es vollbracht: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde heute, am Freitag, den 5. Dezember 2025, im Bundesgesetzblatt veröffentlicht. Damit ist die Cybersicherheits-Reform rechtskräftig – und bringt für Zehntausende Unternehmen drastische Änderungen. Was kaum jemand auf dem Schirm hatte: Gleichzeitig wird das Hinweisgeberschutzgesetz massiv ausgeweitet.

Die Veröffentlichung erfolgt nur wenige Wochen, nachdem der Bundesrat Ende November grünes Licht gegeben hatte. Deutschland hatte die ursprüngliche EU-Frist im Oktober 2024 verpasst und musste sich monatelang Druck aus Brüssel gefallen lassen. Im Mai 2025 leitete die Europäische Kommission sogar ein Vertragsverletzungsverfahren ein.

Laut Bundesgesetzblatt tritt das Gesetz größtenteils bereits am Tag nach der Veröffentlichung in Kraft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert es unmissverständlich: “Mit der heutigen Veröffentlichung ist das Warten vorbei. Die Rechtssicherheit ist hergestellt – jetzt muss sofort umgesetzt werden.”

Viele Unternehmen unterschätzen, dass Hinweisgebersysteme nun ausdrücklich auch Cyber-Sicherheitslücken abdecken müssen. Wer Meldestellen nicht DSGVO-konform und technisch sicher aufsetzt, riskiert Bußgelder, BSI-Sanktionen und interne Enthüllungen. Unser kostenloser Praxisleitfaden erklärt Schritt für Schritt, wie Sie das Hinweisgeberschutzgesetz nach der NIS2-Änderung rechtskonform umsetzen – inklusive Checklisten für interne Meldestellen und Musterprozessen. Jetzt Praxisleitfaden zum Hinweisgeberschutzgesetz herunterladen

Was in der öffentlichen Debatte weitgehend unterging: Artikel 14 des neuen Gesetzes ändert das Hinweisgeberschutzgesetz fundamental. Sicherheitslücken und Verstöße gegen Cyberpflichten werden damit zu ausdrücklich geschützten Meldetatbeständen.

Konkret bedeutet das: Mitarbeiter, die gravierende Sicherheitslücken melden, erhebliche IT-Vorfälle aufdecken oder die Nichterfüllung technisch-organisatorischer Maßnahmen (TOMs) anprangern, genießen denselben rechtlichen Schutz wie Whistleblower bei Finanzbetrug oder Datenschutzverstößen.

Die Änderung verschiebt zudem die Schwellenwerte. Bisher orientierte sich das Hinweisgeberschutzgesetz stark an der Mitarbeiterzahl (in der Regel ab 50 Beschäftigte). Nun rücken die Kategorien “Wesentliche Einrichtungen” und “Wichtige Einrichtungen” in den Fokus:

• Wesentliche Einrichtungen: Kritische Infrastrukturen wie Energieversorger, Verkehrsbetriebe, Banken und Gesundheitseinrichtungen
• Wichtige Einrichtungen: Abfallwirtschaft, verarbeitendes Gewerbe, Chemie und Lebensmittelproduktion

Laut Daten von OpenKRITIS fallen etwa 29.500 bis 30.000 Unternehmen in Deutschland unter diese Definitionen. Viele kleinere Zulieferer in sensiblen Lieferketten müssen nun strengere Whistleblower-Systeme einrichten – unabhängig von ihrer genauen Mitarbeiterzahl.

BSI erhält Durchgriffsrechte

Das neue Gesetz schreibt nicht nur bessere Sicherheit vor – es erzwingt sie. Unternehmen der beiden Kategorien müssen nachweisen, dass sie “angemessene, verhältnismäßige und wirksame” technische und organisatorische Maßnahmen ergriffen haben.

Die Meldefristen sind knallhart:
1. Frühwarnung: Innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls
2. Vorfallsmeldung: Innerhalb von 72 Stunden mit erster Bewertung von Schwere und Auswirkung
3. Abschlussbericht: Innerhalb eines Monats nach Abschluss der Vorfallbehandlung

Wer diese Fristen missachtet, begeht einen Verstoß – der wiederum nach dem geänderten Hinweisgeberschutzgesetz meldepflichtig ist. Eine Zwickmühle für nachlässige Unternehmen: Sie riskieren Sanktionen vom BSI und gleichzeitig interne Enthüllungen durch geschützte Whistleblower.

Das BSI selbst erhält erheblich erweiterte Befugnisse. Erstmals kann die Behörde auch Telekommunikationsanbietern mit weniger als 100.000 Kunden Anweisungen erteilen, wenn eine erhebliche Bedrohung festgestellt wird. Diese Klausel wurde in den finalen Parlamentsdebatten im November eingefügt, um eine Sicherheitslücke bei regionalen Anbietern zu schließen.

Wirtschaft zwischen Erleichterung und Alarmstimmung

Die Reaktionen aus der Wirtschaft fallen gemischt aus. Der Deutsche Industrie- und Handelskammertag (DIHK) erklärte heute Morgen: “Die Veröffentlichung ist der Startschuss für einen Compliance-Marathon. Während viele Großkonzerne sich seit 2024 vorbereitet haben, müssen Tausende ‘Wichtige Einrichtungen’ in der Lieferkette jetzt sofort ihren Status prüfen und ihre Whistleblower-Systeme anpassen.”

Rechtsexperten warnen vor einer neuen Haftungslandschaft. “Das Management kann IT-Sicherheitswarnungen von Mitarbeitern nicht mehr ignorieren”, so Compliance-Juristen einer Berliner Kanzlei. “Wenn ein Mitarbeiter intern eine Schwachstelle meldet und diese ignoriert wird, und diese Schwachstelle später zu einem Vorfall führt, wird die Dokumentation im Whistleblower-System zum Beweis grober Fahrlässigkeit.”

Was jetzt passiert

Mit der Veröffentlichung gelten folgende Fristen:

• Inkrafttreten: Die Kernbestimmungen treten morgen, Samstag, den 6. Dezember 2025, in Kraft
• Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren. Das neue Portal soll Anfang nächster Woche online gehen
• Bußgelder: Der neue Sanktionsrahmen gilt ab sofort. Für wesentliche Einrichtungen drohen Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Unternehmen wird dringend geraten, umgehend ihren Status unter den neuen Definitionen zu prüfen und ihre internen Meldesysteme für Cybersicherheitsvorfälle zu aktualisieren. Das Wochenende dürfte in vielen IT- und Compliance-Abteilungen kurz ausfallen.

PS: Sie müssen Ihre internen Meldesysteme bis sofort anpassen? Der Gratis-Leitfaden zeigt, welche Prozesse, Dokumentationen und Datenschutzmaßnahmen jetzt Pflicht sind und wie Sie Fristen, Meldekanäle und Nachverfolgung rechtssicher organisieren – ohne teure Berater. Holen Sie sich die Checklisten und Praxisbeispiele für Compliance-Manager und IT-Verantwortliche. Kostenloser Leitfaden: Hinweisgeberschutzgesetz & NIS2 herunterladen