Das NIS-2-Umsetzungsgesetz ist in Kraft getreten – welche Schritte sind nun erforderlich?

Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) ist am 05.12.2025 im Bundesgesetzblatt veröffentlicht worden und somit seit dem 06.12.2025 in Kraft. Durch das NIS-2-Umsetzungsgesetz wurde das bisherige BSI-Gesetz (BSIG) neu gefasst.

Die Pflichten gelten nicht nur für Unternehmen, sondern für alle Einrichtungen, die unter den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fallen – unabhängig von ihrer Rechtsform. In § 28 BSIG werden „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ und in § 29 BSIG die „Einrichtungen der Bundesverwaltung“ genau beschrieben.

Betreiber kritischer Anlagen werden anhand der BSI-KritisV ermittelt und sind unabhängig von diesen Kriterien immer auch besonders wichtige Einrichtungen. Die BSI-KritisV wurde durch Artikel 8 des NIS-2-Umsetzungsgesetzes überarbeitet.

Damit Unternehmen und Organisationen konform zum NIS-2-Umsetzungsgesetz handeln, sollten die folgenden Schritte eingeleitet werden, auf die wir im Beitrag näher eingehen. Wichtig: Diese Aufgabe kommt der Geschäftsleitung zu. Als Geschäftsleitung gilt

„eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach § 29 gelten nicht als Geschäftsleitung“ (§ 2 Nr. 14 BSIG ).

Betroffenheitsprüfung

Falls eine Betroffenheitsprüfung noch nicht durchgeführt wurde, sollte die Geschäftsleitung dies dringend nachholen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass sich für etwa 29.000 Unternehmen in Deutschland gesetzliche Registrierungs- und Meldepflichten ergeben (vgl. NIS-2-Richtlinie kompakt).

Ob das NIS-2-Umsetzungsgesetz einschlägig ist, kann anhand § 28 des BSIG in Verbindung mit Anlage 1 bzw. Anlage 2 ermittelt werden (siehe auch unsere Seite FAQ zur Umsetzung von NIS 2).

Das Ergebnis sollte dokumentiert werden. Dies gilt auch für den Fall, dass das Unternehmen für sich keine Betroffenheit ermittelt hat. So kann die Durchführung der Prüfung und das Ergebnis im Zweifel dem zuständigen BSI, wie von § 33 Abs. 4 BSIG gefordert, nachgewiesen werden.

Als erste Orientierung kann die Nutzung der NIS-2-Betroffenheitsprüfung des BSI hilfreich sein.

Unsere Compliance-Berater unterstützen gerne bei der Klärung der Betroffenheit.

Initialplanung

Ist die Einschlägigkeit des NIS-2-Umsetzungsgesetzes festgestellt worden, sollte die Geschäftsleitung umgehend eine Initialplanung vornehmen. Laut § 38 Abs. 1 BSIG ist die Geschäftsleitung wichtiger und besonders wichtiger Einrichtungen dafür verantwortlich, die Gesetzesanforderungen umzusetzen und ihre Umsetzung zu überwachen. Zuständigkeiten, Befugnisse sowie Kommunikations- und Meldewegen innerhalb des Unternehmens müssen ermittelt und festgelegt werden, vor allem, wenn die Geschäftsleitung entsprechende Aufgaben delegieren möchte. Für die anschließende Registrierung als besonders wichtige oder wichtige Einrichtung ist eine verantwortliche Kontaktstelle zu definieren.

Ebenso müssen notwendige Kompetenzen zur Aufgabenerfüllung vorhanden sein. § 38 Abs. 3 BSIG fordert von der Geschäftsleitung, dass sie regelmäßig an Schulungen teilnimmt, um erforderliche Kenntnisse und Fähigkeiten in den Bereichen des Risiko- und Informationssicherheitsmanagement zu erlangen (siehe auch hierzu unseren Blogbeitrag). Tipp: Die DSN Akademie bietet sowohl Schulungen für die Geschäftsleitung als auch für Mitarbeitende an.

Registrierungspflicht

§ 33 BSIG legt allgemein die Registrierungspflicht und § 34 BSIG weitere besondere Registrierungspflichten für bestimmte Einrichtungsarten nach § 60 Abs. 1 BSIG, wie u. a. Anbietern von Cloud-Computing-Diensten, fest. Die Registrierung, so § 33 Abs. 1 BSIG bzw. § 34 Abs. 1 BSIG, muss spätestens drei Monate nachdem ein Unternehmen eine besonders wichtige oder wichtige Einrichtung geworden ist, erfolgen.

Das BSI sieht dazu ein zweistufiges Registrierungsverfahren vor:

Als erstes ist eine Registrierung der „digitalen Identität“ in Form eines Unternehmenskontos notwendig. Das Unternehmenskonto basiert auf der ELSTER-Technologie, die auch in der Steuerverwaltung zum Einsatz kommt, und ermöglicht Unternehmen generell digitale Verwaltungsleistungen deutscher Behörden zu nutzen (vgl. Website des BSI). Die Erstellung dieses Kontos ist bereits jetzt unter „Mein Unternehmenskonto“ (MUK) möglich. MUK wird benötigt, um sich anschließend im BSI-Portal authentifizieren zu können.

Im zweiten Schritt haben sich die Einrichtungen über das BSI-Portal zu registrieren. Dieses soll ab Anfang Januar 2026 zur Verfügung stehen (vgl. Website des BSI).

Bestandsaufnahme

Anhand der Anforderungen aus § 30 BSIG, die von besonders wichtigen und wichtigen Einrichtungen ein Risikomanagement und die Umsetzung entsprechender Maßnahmen fordert, muss das Unternehmen nun ein passendes Vorgehen erarbeiten. Das gleiche gilt analog für KRITIS-Betreiber, für die zusätzlich § 31 BSIG („Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen“) einschlägig ist.

Hierzu bietet sich die Durchführung einer Gap-Analyse an. Konkret bedeutet das, dass gegenüber den NIS-2-Anforderungen der Ist-Zustand der Informationssicherheit zu erfassen und zu bewerten ist. Dabei ist zu prüfen, inwiefern bereits Kernprozesse für die Dienstleistungserbringung erfasst sind und welchen Risiken sie unterliegen. Je nachdem, ob bereits ein Risikomanagement betrieben wird und informationstechnische Sicherheitskonzepte vorliegen, kann der Ist-Zustand weitere Bereiche analysiert werden. Dies sind nach § 30 Abs. 2 BSIG u. a. die Verwaltung von IKT-Systemen, -Produkten und -Prozessen (Nr. 8), die Sicherheit der Lieferkette (Nr. 4), die Bewältigung von Sicherheitsvorfällen (Nr. 3) sowie das Notfall-Krisenmanagement (Nr. 3).

Bei der Gap-Analyse ist zu berücksichtigen, dass bereits umgesetzte Maßnahmen auch dem Stand der Technik bzw. den Vorgaben anerkannter Normen entsprechen müssen (§ 30 Abs. 2 BSIG).

Bei einer Unterteilung der NIS-2-Anforderungen in Prüfthemen und der Orientierung an z. B. den Erfordernissen der ISO/IEC 27001 kann tabellarisch der Ist- und Soll-Zustand dokumentiert und verglichen werden.

Maßnahmenplanung und Umsetzung

Anhand der in der Gap-Analyse festgestellten Lücken und Abweichungen, lässt sich im Anschluss ein Maßnahmen- und Umsetzungsplan ausarbeiten. Wenn erforderlich, müssen die Organisation und die Verantwortlichkeiten aus der Initialplanung angepasst werden. Dazu gehört ebenfalls eine angemessene personelle und finanzielle Ressourcenplanung.

Ist bereits ein Risikomanagement etabliert, sind Maßnahmen und ihre Umsetzung anhand der Höhe des Risikos zu priorisieren. Ansonsten sind zunächst grundlegende Konzepte zur Risikoanalyse und zur Informationssicherheit zu erarbeiten.

Weitere Pflichten der Unternehmen

Nach der Registrierung haben besonders wichtige und wichtige Einrichtungen weitere Pflichten zu berücksichtigen. Diese sind:

Meldung von Änderungen der bei der Registrierung zu übermittelnden Angaben (§ 33 Abs. 5 BSIG innerhalb von zwei Wochen bzw. § 34 Abs. 2 BSIG innerhalb von drei Monaten)
Veränderungen an Versorgungskennzahlen sowie von zum Einsatz kommenden Typen von kritischen Komponenten sind von Betreibern kritischer Anlagen einmal jährlich zu übermitteln (§ 33 Abs. 5 BSIG)
Meldungen von erheblichen Sicherheitsvorfällen an das BSI (§ 32 BSIG)
Unterrichtung von Kunden (Dienstleistungsempfängern) über erhebliche Sicherheitsvorfälle (§ 35 BSIG)
Nachweispflichten für Betreiber kritischer Anlagen (§ 39 BSIG)

Erhebliche Sicherheitsvorfälle sollen ab dem 06.01.2026 über das BSI-Portal gemeldet werden. Bis zur Freischaltung ist ein Online-Formular des BSI zu nutzen (vgl. Website des BSI).

Betreiber kritischer Anlagen sind verpflichtet, dem BSI alle drei Jahre nachzuweisen, dass sie die Anforderungen nach § 30 BSIG in Verbindung mit § 31 BSIG umsetzen.

Eine derartige Überprüfung der Anforderungen und eine Nachweispflicht kann analog dazu ebenfalls andere besonders wichtige Einrichtungen treffen. Dies ist der Fall, wenn das BSI nach § 61 BSIG Audits, Prüfungen, Zertifizierungen und die Vorlage der dazugehörigen Nachweise anordnet.

Bei wichtigen Einrichtungen kann die Einhaltung der Anforderungen aus dem NIS-2-Umsetzungsgesetz nach § 62 BSIG geprüft werden. Das trifft zu, wenn Tatsachen die Annahme rechtfertigen, dass Unternehmen ihren Verpflichtungen nicht oder nicht ausreichend nachkommen.

Fortlaufende Verbesserung

Die Erstellung von Konzepten und die Einführung respektive Umsetzung von Maßnahmen reicht nicht aus, um den gestellten Ansprüchen an ein Risiko- und Informationssicherheitsmanagement zu erfüllen. Es muss auch anhand eines Konzeptes die Wirksamkeit der Maßnahmen (§ 30 Abs. 2 Nr. 6 BSIG) erfasst werden können. In der praktischen Umsetzung gehören dazu typischerweise die regelmäßige Erhebung von maßnahmenbezogenen Kennzahlen, die Berücksichtigung von Auswirkungen an Veränderungen (z. B. im Betriebsablauf, Gesetzesänderungen etc.) sowie die Vornahme von Verbesserungen aufgrund von „Lessons Learned“.

Fazit

Es ist wichtig, dass betroffene Unternehmen nun gezielt die an sie durch das NIS-2-Umsetzungsgesetz gestellten Anforderungen prüft. Ein strukturiertes Vorgehen hilft den aktuellen Umsetzungsstand zu ermitteln, etwaige Lücken aufzudecken und erforderliche Maßnahmen zu ergreifen.

Wir unterstützen Sie gerne bei der Durchführung einer NIS-2-Gap-Analyse, der Durchführung und Umsetzung entsprechender Risikomanagementmaßnahmen sowie bei der Schulung von Geschäftsführung und Mitarbeitenden. Nehmen Sie Kontakt mit uns auf: dsn-group.de/informationssicherheit

Pia Lämmerhirt | 11. Dezember 2025 | Informationssicherheit | besonders wichtige Einrichtungen, Betroffenheitsprüfung, BSIG, Compliance, Cybersicherheit, Geschäftsleitung, Informationssicherheit, Meldepflicht, NIS 2, NIS-2-Richtlinie, NIS-2-Umsetzungsgesetz, Registrierungspflicht, Risikomanagement, wichtige Einrichtungen