17.11.2025
NIS2-Umsetzungsgesetz beschlossen: Das ist jetzt wichtig
Der Bundestag hat am 13. November 2025 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet – ein Meilenstein für die Informationssicherheit in Deutschland. Das neue Gesetz erweitert den bisherigen Rahmen der IT-Sicherheitsgesetze deutlich und setzt die zentralen Vorgaben der europäischen Network and Information Security Directive (NIS2) um. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der EU, klar definierte Meldewege bei Sicherheitsvorfällen und gestärkte Aufsichtsbefugnisse des BSI – unter anderem durch ein dreistufiges Melderegime und einen zentralen „CISO Bund“.
Dr. Jan Scharfenberg
Partner
Wen trifft das NIS2-Umsetzungsgesetz künftig?
Der Anwendungsbereich steigt deutlich. Erfasst werden künftig Unternehmen
- mit mindestens 50 Mitarbeitenden oder
- mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro
sofern sie in den EU-weit definierten „besonders wichtigen“ oder „wichtigen“ Sektoren tätig sind. Dazu gehören u. a. Energie, Gesundheit, Transport, Wasser, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel sowie große Teile des verarbeitenden Gewerbes.
Auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Kernpflichten: Risikomanagement, Governance, Meldewesen
Unternehmen müssen künftig ein systematisches IT-Sicherheits-Risikomanagement einführen – inklusive:
- Vorfallsmanagement
- Business Continuity & Notfallmanagement
- Lieferketten-Sicherheit
- Awareness-Maßnahmen im Bereich der Informationssicherheit
Der Nachweis erfolgt über Audits, Prüfungen oder Zertifizierungen. Hinzu kommen klare Registrierungs- und Meldepflichten bei Sicherheitsvorfällen.
Besonders relevant: Die Geschäftsleitung trägt explizite Organisations- und Aufsichtspflichten – Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Was Unternehmen jetzt tun sollten
Ein strukturiertes Vorgehen ist entscheidend:
1. Betroffenheitsanalyse & Scoping
Prüfung, ob das Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt, Zuordnung zu „besonders wichtigen“ bzw. „wichtigen“ Einrichtungen und Abgrenzung der relevanten Geschäftsprozesse und Systeme.
2. Gap-Analyse & Risikoaufnahme
Systematische Analyse bestehender Prozesse und Kontrollen entlang der NIS-2-Vorgaben – von Governance-Strukturen und ISMS über Incident-Management bis hin zu Lieferketten-Risiken – zur Identifikation konkreter Lücken.
3. Maßnahmenplan & Roadmap
Entwicklung eines priorisierten Maßnahmenplans mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen, der sowohl schnelle „Quick Wins“ als auch die Einführung oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. nach ISO 27001) umfasst.
4. Umsetzung, Schulung und kontinuierliche Verbesserung
Umsetzung der technischen und organisatorischen Maßnahmen, Aufbau eines wirksamen Melde- und Reporting-Regimes, Sensibilisierung der Mitarbeitenden sowie Etablierung eines kontinuierlichen Verbesserungsprozesses.
5. Registrierung beim BSI
Frühzeitige Identifikation als „wichtige“ oder „besonders wichtige“ Einrichtung und rechtssichere Registrierung beim BSI gemäß NIS2UmsuCG.
Wie ISiCO unterstützt
Als spezialisierte Beratung für Datenschutz, Informationssicherheit, KI und Datenstrategien begleitet ISiCO Unternehmen aller Größenordnungen bei der Umsetzung der NIS2-Anforderungen – von der Betroffenheitsanalyse über die Gap-Analyse bis zur Implementierung eines passgenauen ISMS und gezielter Awareness-Maßnahmen.
Ein frühzeitiger Einstieg, z. B. über einen kompakten NIS2-Check und ein Erstgespräch, hilft,
- Compliance-Risiken zu reduzieren,
- Ressourcen effizient zu steuern und
- die Cyberresilienz spürbar zu erhöhen.
Lassen Sie uns in einem persönlichen Erstgespräch einmal ganz unverbindlich besprechen, wie wir Ihre NIS2-Strategie gemeinsam aufbauen und umsetzen können.
Informationssicherheit, die schützt – und weiterdenkt
Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.
Weitere Neuigkeiten
08.01.2026
Müssen die neuen LEGO Smart Bricks den Cyber Resilience Act erfüllen?
LEGO sorgt aktuell für viel Aufmerksamkeit: Mit den neuen Smart Bricks verschmelzen klassische Bausteine mit digitaler Technik. Doch was auf den ersten Blick nach Spielspaß aussieht, wirft bei genauerem Hinsehen eine spannende regulatorische Frage auf: Fallen die Smart Bricks in den Anwendungsbereich des Cyber Resilience Act (CRA)?
Weiterlesen … Müssen die neuen LEGO Smart Bricks den Cyber Resilience Act erfüllen?
09.12.2025
Die 10 wichtigsten Fragen zur Datenstrategie
Daten sind (oder sollten) für jedes Unternehmen die wichtigste Grundlage für Geschäftsentscheidungen sein. Egal, ob im Marketing, Finanzen, Produktentwicklung oder HR – handfeste Zahlen und Fakten führen zu besseren Ergebnissen. Dafür müssen die Daten aber auch strukturiert und zugänglich sein. Das geht nur mit einer durchdachten Datenstrategie. Wir haben einmal die 10 wichtigsten Fragen zu diesem Thema für Sie zusammengefasst.
08.12.2025
NIS2-Umsetzungsgesetz ist in Kraft getreten
Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie im Bundesgesetzblatt verkündet – und trat damit am 6. Dezember 2025 in Kraft. Damit beginnt eine umfassende Modernisierung des deutschen Cybersicherheitsrechts mit spürbar höheren Anforderungen an Unternehmen und öffentliche Einrichtungen.