17.11.2025
NIS2-Umsetzungsgesetz beschlossen: Das ist jetzt wichtig
Der Bundestag hat am 13. November 2025 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet – ein Meilenstein für die Informationssicherheit in Deutschland. Das neue Gesetz erweitert den bisherigen Rahmen der IT-Sicherheitsgesetze deutlich und setzt die zentralen Vorgaben der europäischen Network and Information Security Directive (NIS2) um. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der EU, klar definierte Meldewege bei Sicherheitsvorfällen und gestärkte Aufsichtsbefugnisse des BSI – unter anderem durch ein dreistufiges Melderegime und einen zentralen „CISO Bund“.
Dr. Jan Scharfenberg
Partner Informationssicherheit & Geschäftsführer
Wen trifft das NIS2-Umsetzungsgesetz künftig?
Der Anwendungsbereich steigt deutlich. Erfasst werden künftig Unternehmen
- mit mindestens 50 Mitarbeitenden oder
- mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro
sofern sie in den EU-weit definierten „besonders wichtigen“ oder „wichtigen“ Sektoren tätig sind. Dazu gehören u. a. Energie, Gesundheit, Transport, Wasser, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel sowie große Teile des verarbeitenden Gewerbes.
Auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Kernpflichten: Risikomanagement, Governance, Meldewesen
Unternehmen müssen künftig ein systematisches IT-Sicherheits-Risikomanagement einführen – inklusive:
- Vorfallsmanagement
- Business Continuity & Notfallmanagement
- Lieferketten-Sicherheit
- Awareness-Maßnahmen im Bereich der Informationssicherheit
Der Nachweis erfolgt über Audits, Prüfungen oder Zertifizierungen. Hinzu kommen klare Registrierungs- und Meldepflichten bei Sicherheitsvorfällen.
Besonders relevant: Die Geschäftsleitung trägt explizite Organisations- und Aufsichtspflichten – Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Was Unternehmen jetzt tun sollten
Ein strukturiertes Vorgehen ist entscheidend:
1. Betroffenheitsanalyse & Scoping
Prüfung, ob das Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt, Zuordnung zu „besonders wichtigen“ bzw. „wichtigen“ Einrichtungen und Abgrenzung der relevanten Geschäftsprozesse und Systeme.
2. Gap-Analyse & Risikoaufnahme
Systematische Analyse bestehender Prozesse und Kontrollen entlang der NIS-2-Vorgaben – von Governance-Strukturen und ISMS über Incident-Management bis hin zu Lieferketten-Risiken – zur Identifikation konkreter Lücken.
3. Maßnahmenplan & Roadmap
Entwicklung eines priorisierten Maßnahmenplans mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen, der sowohl schnelle „Quick Wins“ als auch die Einführung oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. nach ISO 27001) umfasst.
4. Umsetzung, Schulung und kontinuierliche Verbesserung
Umsetzung der technischen und organisatorischen Maßnahmen, Aufbau eines wirksamen Melde- und Reporting-Regimes, Sensibilisierung der Mitarbeitenden sowie Etablierung eines kontinuierlichen Verbesserungsprozesses.
5. Registrierung beim BSI
Frühzeitige Identifikation als „wichtige“ oder „besonders wichtige“ Einrichtung und rechtssichere Registrierung beim BSI gemäß NIS2UmsuCG.
Wie ISiCO unterstützt
Als spezialisierte Beratung für Datenschutz, Informationssicherheit, KI und Datenstrategien begleitet ISiCO Unternehmen aller Größenordnungen bei der Umsetzung der NIS2-Anforderungen – von der Betroffenheitsanalyse über die Gap-Analyse bis zur Implementierung eines passgenauen ISMS und gezielter Awareness-Maßnahmen.
Ein frühzeitiger Einstieg, z. B. über einen kompakten NIS2-Check und ein Erstgespräch, hilft,
- Compliance-Risiken zu reduzieren,
- Ressourcen effizient zu steuern und
- die Cyberresilienz spürbar zu erhöhen.
Lassen Sie uns in einem persönlichen Erstgespräch einmal ganz unverbindlich besprechen, wie wir Ihre NIS2-Strategie gemeinsam aufbauen und umsetzen können.
Informationssicherheit, die schützt – und weiterdenkt
Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.
Weitere Neuigkeiten
29.05.2026
Microsoft 365 & Datenschutz: Risiken erkennen, Maßnahmen umsetzen, DSGVO-konform arbeiten
Ob sich Microsoft 365 datenschutzkonform einsetzen lässt, ist weder pauschal mit Ja noch mit Nein zu beantworten — entscheidend ist der konkrete Einsatz im jeweiligen Unternehmen. Die Lage hat sich seit 2022 verbessert, doch Teile der damaligen Behördenkritik bestehen fort. Wir zeigen die tatsächlichen Risiken, die aktuelle Behördenhaltung und die Maßnahmen, die jetzt zählen.
26.05.2026
NIS2 Tools für KMUs — warum Tools helfen, aber keine Compliance erkaufen
Kein Tool macht ein Unternehmen automatisch NIS2-konform. Tools beschleunigen die Umsetzung nur, wenn Risiken, Verantwortlichkeiten und Prozesse vorher geklärt sind. Wir zeigen, welche Tool-Kategorien Sie wirklich brauchen, wie ein pragmatischer Basis-Stack aussieht und welche Fragen Sie vor jedem Kauf klären sollten.
Weiterlesen … NIS2 Tools für KMUs — warum Tools helfen, aber keine Compliance erkaufen
21.05.2026
Datenschutz & IT-Sicherheit im M&A-Verfahren — Prüfrahmen für Datenwert, Risiken und Deal-Folgen
Daten erhöhen den Unternehmenswert nur, wenn sie wirtschaftlich nutzbar, rechtlich verwertbar und technisch geschützt sind. Fehlende Rechtsgrundlagen, schwache IT-Sicherheit oder unklare Datenqualität können aus einem vermeintlichen Werttreiber ein konkretes Deal-Risiko machen. Wir zeigen, wie Private-Equity-Investoren und Deal Teams Datenwert, Datenschutz und IT-Sicherheit in der Due Diligence strukturiert prüfen und in konkrete Deal-Mechanik übersetzen.