1. Home
  2. NIS‑2‑Umsetzungsgesetz tritt...
DataAgenda

NIS‑2‑Umsetzungsgesetz tritt in Kraft

NIS-2 tritt in Kraft

Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie offiziell verkündet. Damit tritt das NIS‑2‑Umsetzungsgesetz am 6. Dezember 2025 in Kraft und markiert den Abschluss eines jahrelangen Gesetzgebungsprozesses.

Umfangreiche Erweiterung des Anwendungsbereichs und neue Verpflichtungen

Mit dem Gesetz wird das bestehende BSI-Gesetz (BSIG) grundlegend novelliert. Der Kreis der regulierten Einrichtungen erweitert sich drastisch: Statt bisher rund 4.500 Organisationen dürften künftig etwa 30.000 private und öffentliche Einrichtungen unter die neuen Anforderungen fallen.

Betroffen sind nun Unternehmen und Institutionen aus zahlreichen Sektoren, wie etwa Energie, Gesundheit, Infrastruktur, Transport, IT, Finanzwesen, Lebensmittel und weitere kritische Versorgungsbereiche. Auch Einrichtungen der Bundesverwaltung werden künftig verbindlich in den Geltungsbereich einbezogen.

Mit Inkrafttreten gelten neue, verbindliche Pflichten:

  • Registrierungspflicht bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffene Einrichtungen müssen sich über das Portal „Mein Unternehmenskonto (MUK)“ registrieren. Ab Anfang 2026 soll das neue BSI-Portal freigeschaltet werden.
  • Umfangreiches Risiko- und Sicherheitsmanagement: Einrichtungen müssen technische und organisatorische Maßnahmen (TOM) implementieren, ein Informationssicherheitsmanagement einführen und laufend dokumentieren.
  • Meldepflicht bei Sicherheitsvorfällen: Erhebliche IT-Sicherheitsvorfälle müssen dem BSI gemeldet werden. Die bisherigen Meldevorschriften werden durch ein neues, abgestuftes Melderegime ersetzt.
  • Haftung der Leitungsebene und Schulungspflicht: Die Geschäftsleitungen sind ausdrücklich verantwortlich für die Umsetzung der Informationssicherheit; regelmäßige Schulungen zur Risiko- und Sicherheitsbewertung werden Pflicht.

Praktische Bedeutung für Organisationen und Datenschutzverantwortliche

Für viele Unternehmen und Behörden bedeutet das: Der Alltag der IT‑ und Datenschutzverantwortlichen ändert sich substanziell. Wer bisher nicht unter das alte BSIG fiel, muss nun prüfen, ob neue Pflichten greifen und gegebenenfalls ein Compliance‑Programm sowie ein Informationssicherheitsmanagement aufbauen.

Insbesondere die Kombination aus Registrierungspflicht, Vorfalls‑Meldewesen, dokumentiertem Risikomanagement und Systempflege (z. B. Updates, Zugriffs- und Lieferketten‑Management) erfordert strukturierte Prozesse und klare Verantwortlichkeiten. Für Datenschutzbeauftragte und Leitungsebenen heißt das: Jetzt zeitnah die Betroffenheit klären, Risikomanalysen starten und Compliance‑Prozesse anpassen.

Das Inkrafttreten des NIS‑2‑Umsetzungsgesetzes stellt einen klaren Wendepunkt dar. Cybersicherheit wird verbindlich zu einem integralen Bestandteil von Governance, Compliance und organisatorischem Risikomanagement.

(Foto: andranik123 – stock.adobe.com)

Letztes Update:06.12.25

Das könnte Sie auch interessieren

  • Datenschutz-Defizite bei Paypal

    Gutachten: Datenschutz‑Defizite bei PayPal

    Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend

    Mehr erfahren
  • Sicherheit und Passwortmanager

    BSI‑Analyse: Sicherheitslage bei Passwortmanagern

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde

    Mehr erfahren
  • Sicherheit E-Mail-Clients

    BSI-Bewertung zur Sicherheit von E-Mail-Programmen

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst im Rahmen seines Digitalen Verbraucherschutz-Berichts (DVS) eine Untersuchung zur Sicherheit gängiger E-Mail-Programme veröffentlicht. Der Report beleuchtet, inwiefern etablierte Clients und Softwarelösungen zentrale Sicherheits- und Datenschutzanforderungen erfüllen, insbesondere im Hinblick auf Verschlüsselung, Authentifizierung und Schadsoftware-Abwehr. Kernpunkte der Analyse Ergebnisse und Einordnung Die vorläufige Bewertung des BSI

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner