17.11.2025

NIS2-Umsetzungsgesetz beschlossen: Das ist jetzt wichtig

Der Bundestag hat am 13. November 2025 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet – ein Meilenstein für die Informationssicherheit in Deutschland. Das neue Gesetz erweitert den bisherigen Rahmen der IT-Sicherheitsgesetze deutlich und setzt die zentralen Vorgaben der europäischen Network and Information Security Directive (NIS2) um. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der EU, klar definierte Meldewege bei Sicherheitsvorfällen und gestärkte Aufsichtsbefugnisse des BSI – unter anderem durch ein dreistufiges Melderegime und einen zentralen „CISO Bund“.

Jetzt unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner & Geschäftsführer

Wen trifft das NIS2-Umsetzungsgesetz künftig?

Der Anwendungsbereich steigt deutlich. Erfasst werden künftig Unternehmen

  • mit mindestens 50 Mitarbeitenden oder
  • mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro

sofern sie in den EU-weit definierten „besonders wichtigen“ oder „wichtigen“ Sektoren tätig sind. Dazu gehören u. a. Energie, Gesundheit, Transport, Wasser, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel sowie große Teile des verarbeitenden Gewerbes.

Auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 3 plus 2.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Kernpflichten: Risikomanagement, Governance, Meldewesen

Unternehmen müssen künftig ein systematisches IT-Sicherheits-Risikomanagement einführen – inklusive:

  • Vorfallsmanagement
  • Business Continuity & Notfallmanagement
  • Lieferketten-Sicherheit
  • Awareness-Maßnahmen im Bereich der Informationssicherheit

Der Nachweis erfolgt über Audits, Prüfungen oder Zertifizierungen. Hinzu kommen klare Registrierungs- und Meldepflichten bei Sicherheitsvorfällen.

Besonders relevant: Die Geschäftsleitung trägt explizite Organisations- und Aufsichtspflichten – Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Was Unternehmen jetzt tun sollten

Ein strukturiertes Vorgehen ist entscheidend:

1. Betroffenheitsanalyse & Scoping
Prüfung, ob das Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt, Zuordnung zu „besonders wichtigen“ bzw. „wichtigen“ Einrichtungen und Abgrenzung der relevanten Geschäftsprozesse und Systeme.

2. Gap-Analyse & Risikoaufnahme
Systematische Analyse bestehender Prozesse und Kontrollen entlang der NIS-2-Vorgaben – von Governance-Strukturen und ISMS über Incident-Management bis hin zu Lieferketten-Risiken – zur Identifikation konkreter Lücken.

3. Maßnahmenplan & Roadmap
Entwicklung eines priorisierten Maßnahmenplans mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen, der sowohl schnelle „Quick Wins“ als auch die Einführung oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. nach ISO 27001) umfasst.

4. Umsetzung, Schulung und kontinuierliche Verbesserung
Umsetzung der technischen und organisatorischen Maßnahmen, Aufbau eines wirksamen Melde- und Reporting-Regimes, Sensibilisierung der Mitarbeitenden sowie Etablierung eines kontinuierlichen Verbesserungsprozesses.

5. Registrierung beim BSI
Frühzeitige Identifikation als „wichtige“ oder „besonders wichtige“ Einrichtung und rechtssichere Registrierung beim BSI gemäß NIS2UmsuCG.

Wie ISiCO unterstützt

Als spezialisierte Beratung für Datenschutz, Informationssicherheit, KI und Datenstrategien begleitet ISiCO Unternehmen aller Größenordnungen bei der Umsetzung der NIS2-Anforderungen – von der Betroffenheitsanalyse über die Gap-Analyse bis zur Implementierung eines passgenauen ISMS und gezielter Awareness-Maßnahmen.

Ein frühzeitiger Einstieg, z. B. über einen kompakten NIS2-Check und ein Erstgespräch, hilft,

  • Compliance-Risiken zu reduzieren,
  • Ressourcen effizient zu steuern und
  • die Cyberresilienz spürbar zu erhöhen.

Lassen Sie uns in einem persönlichen Erstgespräch einmal ganz unverbindlich besprechen, wie wir Ihre NIS2-Strategie gemeinsam aufbauen und umsetzen können.

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

Zurück zur Newsübersicht

Weitere Neuigkeiten

30.04.2026

7 Tipps für effizienteren Datenschutz: Warum weniger manchmal mehr ist

Datenschutz muss nicht schwerfällig sein, um rechtssicher zu funktionieren. Wer Rollen klärt, Prozesse vereinfacht und Risiken gezielt priorisiert, entlastet Datenschutz-Teams und macht Datenschutz im Unternehmen wirksamer.

Weiterlesen …

20.04.2026

Schwachstellenmanagement: KI zwingt Unternehmen zum Umdenken

Das BSI warnt: KI-gestützte Systeme könnten Sicherheitslücken bald in großem Maßstab aufspüren. Für Unternehmen ist das kein Zukunftsszenario mehr – sondern ein Grund, ihr Schwachstellenmanagement jetzt grundlegend zu überdenken. Und die CRA-Uhr tickt bereits.

Weiterlesen …

10.04.2026

Der externe CISO in der Finanzbranche: Zwischen DORA, Cyberrisiken und IKT-Risikomanagement

Finanzunternehmen stehen unter besonderem Druck: Cyberrisiken steigen, DORA verschärft die Anforderungen und die Geschäftsleitung bleibt verantwortlich. Ein externer CISO kann helfen, Informationssicherheit strategisch, pragmatisch und prüfungssicher aufzustellen.

Weiterlesen …