Mit der nationalen Umsetzung der NIS-2-Richtlinie hat sich der regulatorische Rahmen für Cybersicherheit in Deutschland deutlich verschärft. Seit Anfang Dezember 2025 ist das Umsetzungsgesetz in Kraft. Viele Unternehmen sind damit erstmals unmittelbar von gesetzlichen Pflichten im Bereich IT-Sicherheit betroffen.
Auch wenn die operativen Meldeprozesse erst ab Anfang 2026 greifen, besteht für Geschäftsführungen bereits jetzt konkreter Handlungsbedarf.
Deutlich erweiterter Anwendungsbereich
Der Kreis der verpflichteten Unternehmen wurde erheblich ausgeweitet. Statt bislang rund 4.500 Organisationen fallen künftig etwa 29.500 Unternehmen unter die NIS-2-Regelungen. Betroffen sind sogenannte wichtige und besonders wichtige Einrichtungen aus zahlreichen Branchen, darunter Industrie, Energie, Gesundheit, IT-Dienstleistungen, Logistik und digitale Dienste.
Für viele Unternehmen stellt sich daher erstmals die Frage, ob sie unter die neuen Vorgaben fallen – unabhängig davon, ob sie sich bisher als „kritisch“ eingeordnet haben.
Neue Melde- und Registrierungspflichten ab 2026
Ab Januar 2026 wird ein zentrales Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Verfügung stehen. Über dieses Portal müssen erhebliche IT-Sicherheitsvorfälle innerhalb klar definierter Fristen gemeldet werden.
Voraussetzung für die Nutzung ist eine verpflichtende Registrierung über „Mein Unternehmenskonto (MUK)“, das auf der ELSTER-Infrastruktur basiert und eine deutsche Steuernummer sowie ein ELSTER-Organisationszertifikat erfordert. Das BSI empfiehlt, die Registrierung noch vor Jahresende 2025 abzuschließen, um Verzögerungen beim Start der Meldepflichten zu vermeiden.
Verantwortung liegt bei der Geschäftsleitung
NIS-2 ist kein reines IT-Thema. Das Gesetz weist die Verantwortung für ein angemessenes IT-Risikomanagement ausdrücklich der Geschäftsleitung zu. Dazu zählen unter anderem:
- klare Zuständigkeiten,
- strukturierte Risikobewertungen,
- sowie geeignete organisatorische und technische Schutzmaßnahmen.
Verstöße können mit empfindlichen Bußgeldern verbunden sein und in bestimmten Fällen auch persönliche Haftungsrisiken begründen.
NIS-2 und Datenschutz: kein Entweder-Oder
Sicherheitsvorfälle können gleichzeitig Meldepflichten nach NIS-2 und nach der DSGVO auslösen. Die Regelwerke bestehen nebeneinander und sind parallel zu beachten. Unternehmen sollten ihre internen Prozesse darauf ausrichten, beide Pflichten koordiniert erfüllen zu können.
Unser Hinweis zum Jahresende 2025
Geschäftsführungen sollten die verbleibende Zeit bis Anfang 2026 nutzen, um:
- die eigene Betroffenheit prüfen zu lassen,
- Zuständigkeiten festzulegen,
- und organisatorische Vorbereitungen für Registrierung und Meldeprozesse zu treffen.
Ein vertiefter Blick auf konkrete Umsetzungspflichten, Meldeabläufe und technische Anforderungen folgt in einem ausführlichen Beitrag im Februar 2026.