Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Damit gelten erstmals für rund 30.000 Unternehmen in Deutschland verbindliche Cybersicherheitspflichten – fünfmal mehr als bisher. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endet am 6. März 2026. Doch viele Unternehmen wissen noch gar nicht, dass sie betroffen sind.
Wer ist betroffen? Der Anwendungsbereich wurde massiv erweitert. Erfasst sind nun 18 Sektoren:
- Gesundheitswesen,
- digitale Infrastruktur,
- kommunale Unternehmen,
- Energie,
- Transport,
- Lebensmittel,
- Abfallwirtschaft und verarbeitendes Gewerbe.
Entscheidend sind zwei Kriterien: die Zugehörigkeit zu einem regulierten Sektor und das Überschreiten bestimmter Schwellenwerte – bereits ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme.
Die Betroffenheitsprüfung liegt bei Ihnen. Das BSI prüft nicht proaktiv, welche Unternehmen betroffen sind. Sie müssen selbst ermitteln und sich registrieren. Eine fehlerhafte Einschätzung kann teuer werden: Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Achtung: Auch Konzern-IT ist betroffen. Wer zentrale IT-Services für andere Konzerngesellschaften erbringt, gilt in der Regel als regulierter Managed Service Provider – selbst wenn ausschließlich konzernintern gearbeitet wird. Viele Unternehmen übersehen diese Regelung.
Die Geschäftsleitung haftet persönlich. Das neue BSI-Gesetz verpflichtet Geschäftsführer:innen und Vorstände zur Umsetzung und Überwachung der Cybersicherheitsmaßnahmen. Bei Pflichtverletzungen haften sie gegenüber dem Unternehmen. Zudem müssen sie regelmäßig an Schulungen teilnehmen – diese Pflicht kann nicht delegiert werden.
Was müssen Sie jetzt tun? Die Anforderungen sind umfassend: Registrierung bis 6. März 2026, bei Betroffenheit: Einrichtung eines Risikomanagement-Systems, Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden und lückenlose Dokumentation. Die Zeit drängt.
Wir unterstützen Sie mit unserem NIS-2-Check
Wir prüfen Ihre Betroffenheit, begleiten ggf. in der Folge bei der Registrierung beim BSI und beraten bei der Umsetzung der gesetzlichen Vorgaben – etwa der Implementierung des Risikomanagements. Dabei berücksichtigen wir branchenspezifische Besonderheiten für Gesundheitswesen, Sozialwirtschaft, Kirche und kommunale Unternehmen.
Nutzen Sie die verbleibenden Wochen bis zur Registrierungsfrist zu einem NIS-2-Check. Wir identifizieren Ihren Handlungsbedarf und entwickeln gemeinsam mit Ihnen einen konkreten Umsetzungsplan. So sichern Sie sich rechtlich ab und vermeiden Bußgelder.
Kontaktieren Sie uns für Ihren NIS-2-Check – wir prüfen Ihre Betroffenheit und sichern Ihre fristgerechte Registrierung. Jetzt Kontakt aufnehmen!