NIS2-Umsetzungsgesetz ist in Kraft getreten

Was ändert sich durch das NIS2-Umsetzungsgesetz?

Mit dem NIS2-Umsetzungsgesetz wird insbesondere das BSI-Gesetz (BSIG) novelliert. Der Kreis der regulierten Unternehmen wächst damit erheblich:

• Bisher: ca. 4.500 regulierte Organisationen
• Künftig: rund 29.500 durch das BSI beaufsichtigte Einrichtungen

Betroffen sind Unternehmen, die

• in bestimmten Sektoren tätig sind und
• festgelegte Schwellenwerte hinsichtlich Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten.

Es werden zwei neue Kategorien eingeführt:

• Wichtige Einrichtungen
• Besonders wichtige Einrichtungen

Betreiber Kritischer Infrastrukturen (KRITIS) gelten automatisch als besonders wichtige Einrichtungen.

Alle Infos zum Anwendungsbereich und den Pflichten finden Sie in unserem ausführlichen Beitrag zur NIS2-Richtlinie.

Zentrale Pflichten für betroffene Unternehmen

Unternehmen, die unter den Anwendungsbereich der NIS2-Umsetzung fallen, müssen nun insbesondere vier Kernpflichten erfüllen:

1. Registrierungspflicht beim BSI: Registrierung als NIS2-betroffene Einrichtung im künftigen BSI-Portal.
2. Meldepflicht bei erheblichen Sicherheitsvorfällen: Relevante Sicherheitsvorfälle müssen dem BSI fristgerecht gemeldet werden.
3. Risikomanagementmaßnahmen umsetzen und dokumentieren: Implementierung geeigneter technischer und organisatorischer Maßnahmen der Informationssicherheit sowie deren Dokumentation.
4. Lieferkettenmanagement: Sicherheitsrisiken in der gesamten Lieferkette erkennen, bewerten und aktiv managen – durch technische, organisatorische und vertragliche Maßnahmen.

NIS2-Registrierung in 2 Schritten

Das BSI sieht für betroffene Einrichtungen einen zweistufigen Prozess vor:

1. Registrierung bei „Mein Unternehmenskonto“ (MUK)

• MUK ist das digitale Unternehmenskonto als Zugang zu Verwaltungsleistungen.
• Es basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate.
• Empfehlung des BSI: Anlage des Accounts bis spätestens Jahresende 2025.

2. Registrierung im neuen BSI-Portal

• Das BSI-Portal wird am 6. Januar 2026 freigeschaltet.
• Es dient u. a. als Meldestelle für erhebliche Sicherheitsvorfälle.

Für meldepflichtige Einrichtungen gilt:

Tritt ein erheblicher Sicherheitsvorfall ein, bevor die Registrierung im BSI-Portal abgeschlossen ist, erfolgt die Meldung über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.

Trotz der BSI-Empfehlung gibt es aber keinen Grund zur Panik. Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut in den Anwendungsbereich fallen, registrieren.

Was sollten Unternehmen jetzt tun?

Aus unserer Sicht sind insbesondere folgende Schritte wichtig:

1. Prüfen, ob das eigene Unternehmen unter die Regelungen der NIS2-Umsetzung fällt
2. Verantwortlichkeiten für Informationssicherheit und Compliance klar definieren
3. Risikomanagement und ISMS (Informationssicherheitsmanagement) prüfen, ggf. auf- oder ausbauen
4. Meldewege und Prozesse für Sicherheitsvorfälle festlegen
5. „Mein Unternehmenskonto“ (MUK) rechtzeitig einrichten, um für die Registrierung im BSI-Portal ab Anfang 2026 bereit zu sein

Wie wir Sie unterstützen können

• Prüfung, ob Ihr Unternehmen unter NIS2 fällt
• Gap-Analyse zwischen aktuellem Stand Ihrer Informationssicherheit und den NIS2-Anforderungen
• Entwicklung eines Umsetzungsfahrplans (Prioritäten, Maßnahmen, Zeitplan)
• Schulungen für Management und Mitarbeitende zu Pflichten nach NIS2 und Meldeprozessen