NIS2: Neue Cybersicherheitsanforderungen für Unternehmen
NIS-2 gilt seit Dezember 2025
Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) gelten seit 6. Dezember 2025 neue Anforderungen an die Cybersicherheit von Unternehmen in Deutschland. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und ein einheitliches Sicherheitsniveau in besonders wichtigen Wirtschaftsbereichen zu schaffen.
Schätzungsweise rund 30.000 Unternehmen sind betroffen. Sie müssen unter anderem geeignete Risikomanagementmaßnahmen umsetzen, Sicherheitsvorfälle melden und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Kernelemente der NIS2-Richtlinie
Welche Sektoren und Einrichtungen deckt NIS II ab?
| Sektoren mit hoher Kritikalität | Weitere kritische Sektoren |
|---|---|
| Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff) | Post- und Kurierdienste |
| Verkehr (Luft, Schiene, Wasser und Straße) | Abfallbewirtschaftung |
| Banken | Chemikalien |
| Finanzmarktinfrastrukturen | Lebensmittel |
| Gesundheit (einschließlich Herstellung von Arzneimitteln und Impfstoffen) | Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten |
| Trinkwasser | Digitale Anbieter (z.B. Online-Marktplätze, Suchmaschinen, Social-Networking-Service-Plattformen) |
| Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur (z.B. Internet-Austauschstellen, DNS-Dienstleister, TLD-Namensregister, Cloud-Computing-Anbieter, Rechenzentrumsdienste, etc.) | Verarbeitendes Gewerbe |
| IKT-Dienstleistungsmanagement (z.B. verwaltete Dienstleister und Anbieter von Managed Security-Diensten, öffentliche Verwaltung) |
Ob ein Unternehmen tatsächlich unter die gesetzlichen Anforderungen fällt, hängt neben dem Tätigkeitsbereich insbesondere von seiner Unternehmensgröße sowie möglichen gesetzlichen Ausnahmen ab.
Welche Pflichten gelten für betroffene Unternehmen?
Unternehmen, die unter das NIS2UmsuCG fallen, müssen insbesondere:
- geeignete Risikomanagementmaßnahmen sowie Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Management) umsetzen,
- technische Schutzmaßnahmen wie Verschlüsselung, Kryptografie und Mehr-Faktor-Authentifizierung einsetzen,
- erhebliche Sicherheitsvorfälle an das BSI melden,
- ihr Unternehmen beim BSI registrieren,
- Informations- und Unterrichtungspflichten erfüllen sowie
- sicherstellen, dass die Geschäftsleitung die Cybersicherheitsmaßnahmen billigt, überwacht und regelmäßig geschult wird.
Registrierung beim BSI
Die Registrierung erfolgt in zwei Schritten:
-
Anmeldung beim digitalen Dienst Mein Unternehmenskonto (MUK). Das Nutzerkonto basiert auf der ELSTER-Technologie und verwendet ein ELSTER-Organisationszertifikat.
-
Anschließend erfolgt die Registrierung des Unternehmens über das BSI-Portal.
Weiterführende Informationen
Ob Ihr Unternehmen betroffen ist, welche Pflichten gelten und wie die Registrierung beim BSI erfolgt, erfahren Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Quellen
- Titelbild: Urupong_AdobeStock_237523422



