Deutschland – Schluss mit der Aufschubfrist: Seit heute, Samstag, 6. Dezember 2025, gilt die neue NIS-2-Umsetzungsgesetz – und stellt die deutsche Wirtschaft vor vollendete Tatsachen. Nach monatelangen Verzögerungen und wachsendem EU-Druck hat die Bundesregierung die zweite EU-Richtlinie zur Netz- und Informationssicherheit endlich in nationales Recht gegossen. Die Folge: Rund 30.000 Unternehmen müssen von heute an strengste Cybersecurity-Vorgaben erfüllen – ohne Übergangsfrist.

Mit der Verkündung im Bundesgesetzblatt am gestrigen 5. Dezember endet eine lange Phase der Rechtsunsicherheit. Das neue BSI-Gesetz löst den bisherigen IT-Sicherheitsrahmen ab und vollzieht einen Paradigmenwechsel: Cybersecurity ist nicht länger Chefsache der IT-Abteilung, sondern persönliche Verantwortung der Geschäftsführung. Für die deutsche Wirtschaft beginnt heute ein Regime, in dem “Vorsicht ist besser als Nachsicht” zur rechtlichen Pflicht wird – mit empfindlichen Strafen bei Verstößen.

Der Weg bis zum heutigen Inkrafttreten war alles andere als geradlinig. Ursprünglich hätten alle EU-Mitgliedstaaten die NIS-2-Richtlinie bis zum 17. Oktober 2024 umsetzen müssen. Deutschland verpasste diese Deadline gemeinsam mit mehreren anderen Ländern – und kassierte prompt ein Vertragsverletzungsverfahren der EU-Kommission Ende 2024.

Erst im Schlussspurt des Jahres 2025 kam Bewegung in den Gesetzgebungsprozess. Am 13. November 2025 verabschiedete der Bundestag schließlich das “Gesetz zur Umsetzung der NIS-2-Richtlinie”. Nur eine Woche später, am 20. November, nickte auch der Bundesrat ab – die letzte Hürde vor Unterschrift und Verkündung war genommen.

Anzeige

Viele Unternehmen stehen durch das heutige Inkrafttreten der NIS‑2-Regeln plötzlich vor massiven Sicherheits- und Meldepflichten. Wer jetzt nicht schnell technische Basisschutzmaßnahmen wie Mehr-Faktor-Authentifizierung, Verschlüsselung und ein strukturiertes Schwachstellenmanagement etabliert, riskiert Bußgelder und persönliche Haftungsfolgen für die Geschäftsführung. Unser kostenloses E‑Book fasst praxisnah die wichtigsten Schritte zur schnellen Compliance zusammen und zeigt, welche Maßnahmen Sie sofort priorisieren sollten. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Die Hektik der letzten Wochen spiegelt die Bedrohungslage wider. “Die Cybersicherheitslage in Deutschland ist angespannt”, erklärte BSI-Präsidentin Claudia Plattner gestern in einer Pressemitteilung. “Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird zu einer spürbaren und messbaren Verbesserung der Resilienz unseres Landes führen.”

Von 4.500 auf 30.000: Der große Compliance-Sprung

Die gravierendste Änderung ist die massive Ausweitung des Anwendungsbereichs. Während frühere Regelungen vor allem Betreiber Kritischer Infrastrukturen (KRITIS) wie Energieversorger und Wasserwerke betrafen, wirft NIS-2 nun ein deutlich breiteres Netz aus.

Ab heute unterscheidet das Gesetz zwischen “besonders wichtigen Einrichtungen” und “wichtigen Einrichtungen”. Diese Einstufung hängt maßgeblich von Unternehmensgröße und Branche ab.

  • Sektoren: Die Regulierung umfasst nun 18 Bereiche – neben den klassischen KRITIS-Sektoren auch Abfallwirtschaft, Lebensmittelproduktion, Chemie, Post und digitale Dienstleister.
  • Schwellenwerte: Generell fallen Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz unter die neuen Regeln, sofern sie in einem der designierten Sektoren tätig sind.

Nach Schätzungen des Bundesinnenministeriums schnellt die Zahl der regulierten Einrichtungen in Deutschland von rund 4.500 auf knapp 30.000 hoch. Für Tausende mittelständische Betriebe beginnt heute der erste Tag als reguliertes Unternehmen unter Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Sofortpflichten und Manager-Haftung: Kein Pardon

Einer der umstrittensten Aspekte des neuen Gesetzes: Es gibt keine Übergangsfrist. Die Pflichten greifen ab Inkrafttreten – also heute. Betroffene Unternehmen müssen nun sofort drei zentrale Säulen erfüllen:

  1. Registrierung: Betroffene Einrichtungen müssen sich beim BSI registrieren. Die Behörde hat bereits ein Registrierungsportal hochgefahren, um den Ansturm zu bewältigen.

  2. Meldepflichten: Ein striktes dreistufiges Melderegime für erhebliche Cybervorfälle ist ab sofort aktiv. Unternehmen müssen eine “Frühwarnung” binnen 24 Stunden nach Kenntnisnahme einreichen, gefolgt von einer detaillierten Vorfallsmeldung binnen 72 Stunden und einem Abschlussbericht binnen eines Monats.

  3. Risikomanagement-Maßnahmen: Unternehmen sind rechtlich verpflichtet, “angemessene und verhältnismäßige” technische und organisatorische Maßnahmen umzusetzen. Dazu zählen obligatorische Mehr-Faktor-Authentifizierung (MFA), Verschlüsselung, Schwachstellenmanagement und – besonders brisant – Lieferkettensicherheit.

Der vielleicht größte Weckruf für das Management in Deutschland: die persönliche Haftung der Geschäftsführung. Das neue Gesetz macht Geschäftsführer und Vorstände explizit persönlich verantwortlich für die Umsetzung der Cybersecurity-Maßnahmen. Fahrlässigkeit in diesem Bereich kann nicht mehr an die IT-Abteilung delegiert werden. Führungskräften, die die Compliance-Anforderungen nicht sicherstellen, drohen nicht nur Bußgelder für das Unternehmen – bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes bei “besonders wichtigen Einrichtungen” – sondern auch der mögliche Entzug der Berufszulassung.

Wirtschaft zwischen Erleichterung und Alarmstimmung

Das abrupte Inkrafttreten löst gemischte Reaktionen in der deutschen Unternehmenslandschaft aus. Branchenverbände begrüßen zwar die Rechtssicherheit, kritisieren aber die Härte der Umsetzung.

“Wir haben endlich Klarheit über die Spielregeln, das ist positiv”, erklärte der Sprecher eines großen deutschen Digitalverbands diese Woche. “Der ‘Kaltstart’ ohne Übergangsfrist stellt aber eine enorme Herausforderung dar, vor allem für die Tausenden KMU, die erstmals mit regulatorischen Anforderungen dieser Größenordnung konfrontiert sind.”

Sicherheitsexperten betonen, dass die praktische Umsetzung trotz Inkrafttreten ein Marathon wird, kein Sprint. “Viele Unternehmen starten heute bei null”, erklärt ein IT-Sicherheitsberater aus München. “Die Anforderung, die Lieferkette abzusichern, wird einen Dominoeffekt auslösen. Große KRITIS-Betreiber werden umgehend Compliance-Nachweise von ihren Zulieferern verlangen und kleinere Player zwingen, ihr Sicherheitsniveau rasant hochzufahren.”

Das BSI als neue Superbehörde

Mit dem Inkrafttreten des Gesetzes verlagert sich der Fokus nun auf Durchsetzung und Aufsicht. Das BSI wurde zur zentralen Aufsichtsbehörde mit erweiterten Befugnissen umgebaut. In den kommenden Monaten wird die Behörde voraussichtlich die Registrierung der neuen Einrichtungen vorantreiben und Leitlinien zur Interpretation spezifischer Anforderungen herausgeben.

Für Unternehmen steht als erster Schritt die Selbsteinschätzung an. Anders als bei früheren Regimen, wo Behörden kritische Betreiber designierten, kehrt das NIS-2-Gesetz die Beweislast um: Unternehmen müssen selbst ermitteln, ob sie unter den Anwendungsbereich fallen, und sich entsprechend registrieren. Bereits die Unterlassung der Registrierung stellt einen Gesetzesverstoß dar.

Deutschland betritt damit eine neue Ära regulierter Cybersecurity. Die Botschaft aus Berlin ist unmissverständlich: In einer digitalisierten Wirtschaft ist Cyber-Resilienz keine Option mehr – sie ist die Lizenz zum Geschäftsbetrieb. Die Zeiten freiwilliger Selbstverpflichtungen sind vorbei. Das Zeitalter der Compliance-Pflicht hat begonnen.

Anzeige

PS: Sie müssen nicht erst eine große IT‑Abteilung aufbauen, um NIS‑2‑Pflichten zu erfüllen. Der Gratis‑Leitfaden erklärt kompakt, wie KMU mit einfachen, sofort umsetzbaren Maßnahmen (Checklisten, Anti‑Phishing‑Schutz und Lieferketten‑Checks) ihre Resilienz erhöhen und Nachweispflichten erfüllen. Ideal für Geschäftsführer und Datenschutzbeauftragte, die jetzt schnell reagieren müssen. Gratis Cyber‑Security‑Guide für Unternehmen sichern