Lange wurde es verschoben, jetzt ist es da: Am 6. Dezember 2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft getreten — die deutsche Umsetzung der europäischen NIS2-Richtlinie. Eine Schonfrist gibt es nicht. Die Pflichten gelten ab dem ersten Tag.
Bin ich überhaupt betroffen?
Die wichtigste und am häufigsten falsch beantwortete Frage. Grob gilt die Schwelle von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz — wenn das Unternehmen in einem der 18 regulierten Sektoren tätig ist. Dazu zählen unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel sowie große Teile des verarbeitenden Gewerbes — Maschinenbau, Automotive, Medizinprodukte, Chemie.
Schätzungen zufolge fallen 30.000 bis 40.000 deutsche Unternehmen als „wichtige“ oder „besonders wichtige“ Einrichtungen unter das Gesetz. Viele davon wissen es noch nicht — und genau das ist das Problem. Wichtig zu verstehen: Auch wer selbst knapp unter der Schwelle liegt, wird oft indirekt erfasst, weil regulierte Kunden ihre Lieferkette in die Pflicht nehmen.
„Wir sind zu klein dafür“
ist 2026 keine Risikoanalyse.
Was das Gesetz verlangt
Im Kern fordert NIS2 ein angemessenes Risikomanagement — also nachweisbare technische und organisatorische Maßnahmen: Zugriffskontrolle, Verschlüsselung, Backup- und Notfallkonzepte, Lieferkettensicherheit, regelmäßige Tests. Hinzu kommen Meldepflichten bei erheblichen Sicherheitsvorfällen mit engen Fristen — eine Erstmeldung binnen 24 Stunden — sowie die Registrierung beim BSI. Das Registrierungsportal ist seit Januar 2026 aktiv; die erste Registrierungsfrist lief am 6. März 2026 ab.
Neu und oft unterschätzt: Die Geschäftsleitung haftet persönlich für die Umsetzung und muss die Maßnahmen nicht nur billigen, sondern auch überwachen. Cybersicherheit ist damit endgültig Chefsache — nicht delegierbares IT-Thema.
Die ersten drei Schritte
- Betroffenheit klären: Sektor, Mitarbeiterzahl, Umsatz — und die Rolle in fremden Lieferketten.
- Ist-Stand erheben: Welche Maßnahmen existieren bereits, wo klaffen Lücken zu den NIS2-Anforderungen?
- Nachweisbarkeit schaffen: Prozesse dokumentieren, Verantwortlichkeiten festlegen, Meldewege etablieren.
Die gute Nachricht: Vieles, was NIS2 fordert, ist schlicht solide IT-Sicherheit, die ohnehin sinnvoll ist. Wer hier strukturiert vorgeht, erfüllt nicht nur eine Pflicht, sondern wird tatsächlich widerstandsfähiger. Wo Sie stehen, lässt sich mit einer Bestandsaufnahme im Security-Hub einordnen.
Quellen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), in Kraft seit 6. Dezember 2025; BSI-Registrierungsportal. Dieser Beitrag ersetzt keine Rechtsberatung.