Seit dem 21.11.2025 ist NIS-2 geltendes Recht in der Bundesrepublik. Es gibt keine Übergangsfristen mehr! Betroffene Organisationen müssen sich daher bereits registrieren haben und die geforderten Sicherheitsmaßnahmen bereits vollständig nachweisbar umgesetzt haben. So weit wie Theorie.
Wenn Sie/ihr Unternehmen/Ihre Verwaltung noch nicht reagiert hat, dann ist jetzt der Zeitpunkt, aktiv zu werden.

NIS-2: Mit Verzögerung, aber weitreichend

Mit mehr als zwei Jahren Verspätung hat der Bundestag am 13. November 2025, das Gesetz zur Erhöhung der Sicherheit von Netzen und Informationssystemen beschlossen und damit die EU-Richtlinie NIS-2 in deutsches Recht überführt. Inhaltliche Änderungen gab es nicht, dafür ein deutlich höheres Tempo in der Cybersicherheit.

1. Erweiterter Kreis der Verpflichteten

NIS-2 gilt für:

• Mittlere und große Unternehmen (ab 50 Mitarbeitenden oder >10 Mio. Euro Umsatz/Bilanzsumme)
• Bestimmte öffentliche Einrichtungen
• Sowie besonders regulierte Bereiche wie digitale Infrastruktur, öffentliche Verwaltung KRITIS, unabhängig von der Größe

Damit müssen viele Organisationen erstmals umfassende Sicherheitsanforderungen erfüllen.

2. Verschärfte Sicherheitsmaßnahmen

Zu den verbindlichen Anforderungen gehören u.a.:

• Risikomanagement und Bedrohungsanalysen
• Notfall- und Kontinuitätsplanung
• Backup- und Wiederherstellungsprozesse
• Technische Maßnahmen wie Zugriffskontrollen und Verschlüsselung
• Sicherheitsvorgaben für Dienstleister und Lieferketten
• Regelmäßige Mitarbeiterschulungen

3. Meldepflicht binnen 24 Stunden

Cybervorfälle müssen spätestens binnen 24 Stunden an das BSI gemeldet werden. Bei Verstößen drohen spürbare Bußgelder. Wer Meldeprozesse, Verantwortlichkeiten und Sicherheitskontrollen früh definiert, reduziert Aufwände und Risiken erheblich.

👉​Nutzen Sie den Jahreswechsel, um Ihre Sicherheitsmaßnahmen zu festigen und 2026 compliant zu beginnen.