Alle Beiträge
· 2 Min. Lesezeit

NIS-2 ist in Kraft: Diese Pflichten gelten jetzt

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Registrierung beim BSI, Meldepflichten, Risikomanagement — was betroffene Unternehmen jetzt konkret tun müssen.

FristenPflichtenBSI

Die Zeit des Abwartens ist vorbei: Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Eine lange Übergangsfrist gibt es nicht mehr — betroffene Unternehmen müssen die Anforderungen erfüllen und sich registrieren. Wer jetzt handelt, vermeidet Zeitdruck und Haftungsrisiken. Das sind die vier zentralen Pflichten.

Pflicht 1: Sich selbst beim BSI registrieren

Betroffene Einrichtungen müssen sich aktiv beim BSI registrieren — eine automatische Benachrichtigung erfolgt nicht. Die Verantwortung, die eigene Betroffenheit festzustellen und sich zu melden, liegt vollständig beim Unternehmen. Der erste Schritt ist deshalb immer: Betroffenheit klären.

Pflicht 2: Risikomanagement umsetzen (Art. 21)

NIS-2 verlangt technische und organisatorische Mindestmaßnahmen. Dazu gehören unter anderem:

  • Konzepte für Risikoanalyse und Informationssicherheit
  • Bewältigung von Sicherheitsvorfällen (Incident Handling)
  • Business Continuity, Backup-Management und Krisenmanagement
  • Sicherheit in der Lieferkette
  • Sicherheit bei Beschaffung, Entwicklung und Wartung
  • Konzepte zur Bewertung der Wirksamkeit der Maßnahmen
  • grundlegende Cyberhygiene und Schulungen
  • Kryptografie und Verschlüsselung
  • Zugriffskontrolle, Asset-Management und Multi-Faktor-Authentifizierung

Pflicht 3: Sicherheitsvorfälle melden

Für erhebliche Sicherheitsvorfälle gilt eine gestaffelte Meldekette an das BSI:

  • innerhalb von 24 Stunden: unverzügliche Erstmeldung (Frühwarnung)
  • innerhalb von 72 Stunden: detailliertere Meldung des Vorfalls
  • innerhalb eines Monats: Abschlussbericht

Diese Fristen sind knapp — die Meldewege sollten vorab definiert und eingeübt sein, nicht erst im Ernstfall.

Pflicht 4: Die Geschäftsleitung steht in der Verantwortung

Die Leitung muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Cybersicherheit ist damit ausdrücklich Chefsache — mehr dazu in unserem Beitrag zur persönlichen Haftung der Geschäftsleitung.

Was jetzt konkret zu tun ist

  1. Betroffenheit feststellen — Sektor, Größe, Sonderfälle.
  2. Ist-Stand erheben — welche der Art.-21-Maßnahmen sind schon vorhanden?
  3. Lücken schließen — Maßnahmenplan mit klarem Zeitrahmen.
  4. Beim BSI registrieren und Meldeprozesse etablieren.
  5. Geschäftsleitung schulen.

Schritt 1 dauert nur zwei Minuten: Starten Sie den kostenlosen NIS-2-Betroffenheits-Check.

Dieser Beitrag bietet eine erste Orientierung und ersetzt keine Rechtsberatung.