NIS2 ist in Kraft – ohne Übergangsfrist

Die meisten Geschäftsführer, mit denen wir sprechen, halten NIS2 weiterhin für ein Projekt für das nächste Quartal. Diese Annahme ist inzwischen ein halbes Jahr alt – und falsch.

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfrist. Betroffene Unternehmen müssen die Pflichten seit dem Tag der Verkündung erfüllen, nicht ab irgendeinem Stichtag in der Zukunft. Dieser Beitrag ordnet ein, was seit Dezember gilt, wer betroffen ist – direkt oder über die Lieferkette –, was das Gesetz konkret verlangt und warum die Geschäftsleitung das nicht vollständig delegieren kann.

Was seit dem 6. Dezember 2025 gilt

Nach über einem Jahr Verzögerung ging es am Ende schnell: Der Bundestag verabschiedete das „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (kurz NIS2UmsuCG) am 13. November 2025, der Bundesrat bestätigte es am 20. November, die Verkündung im Bundesgesetzblatt erfolgte Anfang Dezember. Seit dem 6. Dezember 2025 gilt es.

Die wichtigsten Fixpunkte:

• Keine Übergangsfrist. Anders als bei vielen Gesetzen gibt es keine Schonzeit. Die Sicherheitsanforderungen gelten ab dem ersten Tag.
• BSI-Portal seit 6. Januar 2026. Über das Portal MUK (muk.bsi.bund.de) registrieren sich betroffene Einrichtungen und melden Sicherheitsvorfälle.
• Registrierungsfrist abgelaufen. Die Frist für die Selbstregistrierung endete am 6. März 2026 – also vor rund drei Monaten. Wer betroffen ist und nicht registriert hat, befindet sich bereits in einer Compliance-Verletzung.
• Ergänzend das KRITIS-Dachgesetz seit 17. März 2026, das Betreiber kritischer Anlagen zusätzlich auf physische Resilienz verpflichtet (Sabotage, Ausfälle, Naturereignisse). Für die meisten Mittelständler ist das nicht relevant, gehört zur Vollständigkeit aber dazu.

In einem Satz: NIS2 ist kein angekündigtes Vorhaben mehr, sondern geltendes Recht – seit einem halben Jahr.

Bin ich überhaupt betroffen? Es gibt zwei Wege hinein

Die entscheidende Frage lautet nicht „Müssen wir irgendwann etwas tun?", sondern „Fallen wir unter das Gesetz – und wenn ja, wie?". Es gibt zwei Wege.

Weg 1: Direkt betroffen. Rund 29.500 Unternehmen in 18 Sektoren sind in Deutschland direkt erfasst. Maßgeblich sind zwei Dinge zusammen: der Sektor (u. a. Energie, Wasser, Logistik, Produktion und Maschinenbau, Lebensmittel, Chemie, Gesundheit, Abfall, digitale Dienste) und die Unternehmensgröße – als Faustregel ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, in einzelnen Bereichen auch darunter.

Das Gesetz unterscheidet dabei zwei Klassen:

• Besonders wichtige Einrichtungen (grob ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) – strengste Aufsicht.
• Wichtige Einrichtungen (grob ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) – etwas geringere, aber weitgehend gleiche Pflichten.

Die Selbsteinordnung dauert eine Stunde, nicht einen Tag. Das BSI stellt dafür eine interaktive Betroffenheitsprüfung auf seiner Website bereit.

Weg 2: Indirekt betroffen – über die Lieferkette. Und hier liegt der Punkt, der die meisten KMU in Handwerk, Einzelhandel und Dienstleistung übersehen: Wer nicht direkt unter das Gesetz fällt, kann trotzdem mittelbar verpflichtet werden. NIS2 zwingt die direkt betroffenen Unternehmen, Sicherheitsanforderungen vertraglich an ihre Lieferanten weiterzugeben. Wenn Sie an einen Hersteller, eine Klinik, einen Energieversorger oder einen größeren IT-Dienstleister liefern, kommen diese Pflichten über den nächsten Vertrag zu Ihnen – nicht über den Gesetzestext. (Diesen Mechanismus betrachten wir in einem eigenen Beitrag im Detail.)

In einem Satz: Sie müssen nicht im Gesetz stehen, um seine Wirkung zu spüren – manchmal genügt es, Zulieferer eines Betroffenen zu sein.

Was das Gesetz konkret verlangt

Drei Bereiche sind für Geschäftsführer zentral. Sie stehen im neugefassten BSI-Gesetz (BSIG).

1. Risikomanagementmaßnahmen (§ 30 BSIG). Das Gesetz fordert technische und organisatorische Maßnahmen in zehn Feldern – darunter Risikoanalyse, Vorfallbehandlung, Backup- und Krisenmanagement, Sicherheit der Lieferkette, Zugriffskontrolle und Multi-Faktor-Authentifizierung, Verschlüsselung und Mitarbeiterschulung. Es ist bewusst kein Produktkatalog, sondern ein Pflichtenrahmen, der zum jeweiligen Risiko passen muss.

2. Meldepflicht in Stufen (§ 32 BSIG). Bei einem erheblichen Sicherheitsvorfall greift eine gestaffelte Meldekette an das BSI:

• innerhalb von 24 Stunden eine erste Frühwarnung,
• innerhalb von 72 Stunden eine konkretere Meldung mit Bewertung,
• innerhalb von einem Monat ein Abschlussbericht.

Diese Fristen laufen unabhängig davon, ob der Vorfall am Ende harmlos war. Wer keine vorbereiteten Prozesse hat, verliert die 24 Stunden mit Suchen statt Melden.

3. Pflichten der Geschäftsleitung (§ 38 BSIG). Die Geschäftsführung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Sie haftet dafür persönlich. Das ist der Punkt, der NIS2 von einer reinen IT-Aufgabe zur Chefsache macht.

Der finanzielle Rahmen: Bußgelder reichen bei besonders wichtigen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Mindestens ebenso relevant: Cyberversicherer ziehen ihre Konditionen entsprechend nach und prüfen genauer, was tatsächlich umgesetzt ist.

Die Registrierung beim BSI – und was, wenn die Frist verpasst wurde?

Die Selbstregistrierung läuft über das BSI-Portal MUK. Voraussetzung ist ein Organisationskonto über ELSTER bzw. „Mein Unternehmenskonto". Eingetragen werden Stammdaten, die Sektorzuordnung und Kontaktstellen für Sicherheitsvorfälle.

Wenn Ihr Unternehmen direkt betroffen ist, die Frist vom 6. März aber verstrichen ist, gilt: Die Pflicht entfällt nicht, sie ist nur überfällig. Der richtige Schritt ist, die Betroffenheit sauber festzustellen, die Registrierung nachzuholen und parallel den Stand der Maßnahmen zu dokumentieren – nicht abzuwarten, bis ein Vorfall oder eine Nachfrage des BSI die Sache erzwingt.

Wie viel davon deckt ein bestehendes ISMS schon ab?

Eine häufige und berechtigte Frage: Reicht ein vorhandenes Informationssicherheits-Managementsystem nach ISO 27001? Die Erfahrung zeigt, dass ein gelebtes ISO-27001-ISMS rund 70 bis 80 % der NIS2-Anforderungen abdeckt. Die verbleibenden 20 bis 30 % sind NIS2-spezifisch: die BSI-Registrierung, das gestufte Meldeverfahren nach § 32 und die persönlichen Geschäftsleitungspflichten nach § 38.

In einem Satz: Wer schon ein ordentliches ISMS hat, baut keinen neuen Turm – er schließt gezielt einige Lücken. Wer keines hat, fängt mit der Bestandsaufnahme an.

Für ein KMU in NRW: der realistische Einstieg

Der Fehler, den wir am häufigsten sehen, ist der Sprung ins Zwölf-Monats-Programm, bevor überhaupt klar ist, ob und wie ein Betrieb betroffen ist. Die nüchterne Reihenfolge sieht anders aus:

1. Selbsteinordnung in einer Stunde. Sektor und Größe abklopfen – direkt betroffen, indirekt über Lieferkette, oder gar nicht. Das ist die wichtigste Stunde im ganzen Thema, weil sie über alles Weitere entscheidet.
2. Lücken priorisieren in einem zweiten Termin. Was ist schon da (oft mehr als gedacht), was fehlt, was hat das höchste Risiko? Daraus wird eine Reihenfolge, kein Wunschzettel.
3. Meldeprozess und Backup zuerst. Die zwei Dinge, die im Ernstfall zählen und die man nicht in 24 Stunden improvisieren kann.
4. Dokumentation mitlaufen lassen. Ohne belastbare IT-Dokumentation kein nachweisbares Risikomanagement – und ohne Nachweis keine Compliance.

Der eigentliche Aufwand liegt nicht im Wissen, was zu tun ist, sondern in der ehrlichen Bestandsaufnahme: gewachsene Berechtigungen, undokumentierte Systeme, ein „Backup", das nie zurückgespielt wurde. Genau hier ist ein Partner sinnvoll, der die Lage von außen nüchtern aufnimmt – ohne Eigeninteresse an einem möglichst großen Projekt.

Warum Geschäftsführer das nicht vollständig delegieren können

Man kann die Umsetzung delegieren. Die Verantwortung nicht. § 38 verankert die Billigungs-, Überwachungs- und Schulungspflicht ausdrücklich bei der Geschäftsleitung und knüpft die persönliche Haftung daran. Praktisch heißt das: Ein Geschäftsführer sollte drei Dinge benennen können – ob sein Unternehmen betroffen ist, wer im Vorfall die 24-Stunden-Meldung auslöst, und wo die dokumentierte Wiederanlaufzeit nach einem Ausfall steht. Wer diese drei Fragen nicht beantworten kann, hat die Aufgabe noch nicht angefasst, sondern nur verschoben.

Der nächste Schritt

Die ehrlichste erste Maßnahme kostet eine Stunde: die Selbsteinordnung. Welchen der drei Punkte – direkte Betroffenheit, Lieferketten-Pflichten, persönliche Haftung – haben Sie diese Woche schon mit Ihrer Geschäftsleitung besprochen?

Wenn Sie wissen möchten, wo Ihr Unternehmen wirklich steht, machen wir genau diese Selbsteinordnung gemeinsam – persönlich, vor Ort in NRW, und ohne aus einer Stunde Klärung ein Großprojekt zu machen. Eine erste Einordnung gibt es in unserem kostenlosen Erstgespräch. Mehr zu unserem Vorgehen bei Cybersecurity und NIS2 finden Sie auf der Leistungsseite Cybersecurity & NIS2.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Die konkrete Betroffenheit und die daraus folgenden Pflichten klären Sie verbindlich mit Ihrem Anwalt oder Compliance-Verantwortlichen.

---

Quellen

• BSI, Pressemitteilung „Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft", 05.12.2025 – bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
• BSI, NIS-2-Betroffenheitsprüfung (interaktiv) und Infopakete (#nis2know) – bsi.bund.de
• OpenKRITIS, „NIS2-Umsetzungsgesetz in Deutschland" (Übersicht, Sektoren, Kategorien) – openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
• DNV, „Umsetzungsgesetz der NIS-2-Richtlinie in Kraft getreten", 12/2025 – dnv.de/news/2025/nis-2-umsetzungsgesetz/
• Docusnap, „NIS-2-Richtlinie Umsetzung Deutschland" (Zeitplan, KRITIS-Dachgesetz, ISO-27001-Überlappung), 2026 – docusnap.com/it-dokumentation/nis-2-richtlinie-umsetzung-deutschland
• secjur, „NIS2 Umsetzung Deutschland: Gesetz, Fristen & Schritte", 2026 (§-Detail, Meldekette, MUK-Registrierung) – secjur.com/blog/nis2-umsetzung

Hinweis: BSI, OpenKRITIS und DNV liefern den herstellerneutralen Rahmen. Docusnap und secjur sind Anbieter-Quellen; ihre Faktendarstellung zu Fristen und Paragrafen ist solide, ihre Lösungsempfehlungen entsprechend einzuordnen.