- Bedeutung
- Deutsche Umsetzung der NIS2-Richtlinie
- Kürzel
- NIS2UmsuCG
- In Kraft seit
- 06.12.2025
- Aufsicht
- BSI
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz – offiziell „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) – überführt die europäische NIS2-Richtlinie 2022/2555 in deutsches Recht. EU-Richtlinien gelten nicht unmittelbar: Erst das nationale Gesetz macht die Vorgaben für deutsche Unternehmen rechtlich verbindlich und durchsetzbar. Inhaltlich passt das Gesetz vor allem das BSI-Gesetz (BSIG) an und erweitert den Kreis der regulierten Einrichtungen deutlich über die bisherigen KRITIS-Betreiber hinaus.
Seit wann es gilt
Das Gesetz ist seit dem 06.12.2025 in Kraft. Damit sind die Cybersicherheits-Pflichten für betroffene Einrichtungen verbindlich – sie sind keine Empfehlung mehr, sondern gesetzliche Pflicht. Die Erstfrist für die Registrierung beim BSI endete am 06.03.2026 und ist damit abgelaufen; eine Nachregistrierung bleibt aber weiterhin möglich und notwendig, denn die Pflicht entfällt durch Fristablauf nicht.
Was es konkret verlangt
- Registrierung beim BSI über das BSI-Portal, inklusive Selbsteinstufung als wesentliche oder wichtige Einrichtung.
- Risikomanagement und angemessene technische sowie organisatorische Maßnahmen nach dem Stand der Technik.
- Einhaltung der dreistufigen Meldepflichten bei erheblichen Vorfällen: 24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht.
- Verantwortung, Billigung und Überwachung der Maßnahmen durch das Leitungsorgan sowie regelmäßige Schulungen.
Rechtsbezug: Welche Gesetze das NIS2UmsuCG berührt
Das NIS2UmsuCG ist ein Artikelgesetz. Es schreibt also keinen völlig neuen Paragrafenkörper, sondern ändert bestehende Gesetze – allen voran das BSI-Gesetz. Die wichtigsten Bezugspunkte im Überblick:
| Rechtsquelle | Worum es geht |
|---|---|
| NIS2UmsuCG (Artikelgesetz) | Das Mantelgesetz selbst. Es bündelt alle Änderungen, mit denen Deutschland die EU-Richtlinie 2022/2555 national in Kraft setzt. |
| Änderung des BSI-Gesetzes (BSIG) | Kern der Reform. Hier stehen die neuen Pflichten zu Risikomanagement, Registrierung und Meldungen sowie die Befugnisse des BSI als Aufsicht. |
| EU-Richtlinie NIS2 (2022/2555) | Die europäische Vorgabe. Sie wirkt nicht direkt, sondern erst durch das deutsche Umsetzungsgesetz auf Unternehmen. |
Was ändert sich konkret
- Der Kreis der regulierten Einrichtungen wächst weit über die klassischen KRITIS-Betreiber hinaus – erfasst werden nun viele mittelgroße Unternehmen aus 18 Sektoren.
- Aus dem freiwilligen „Stand der Technik" wird eine durchsetzbare Pflicht: Wer Maßnahmen unterlässt, riskiert Bußgelder.
- Die Meldekette wird verbindlich getaktet: 24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht.
- Das Leitungsorgan haftet erstmals persönlich für die Billigung und Überwachung der Cybersicherheitsmaßnahmen.
Wer beaufsichtigt das Gesetz?
Zuständige Behörde ist das BSI. Es führt die Aufsicht, betreibt das Melde- und Registrierungsportal und kann bei Verstößen Bußgelder verhängen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei wesentlichen, bis zu 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen.
Beispiel: Ein regionaler Wasserversorger merkt, dass er betroffen ist. Er prüft seine Betroffenheit, stuft sich als wesentliche Einrichtung ein und registriert sich im BSI-Portal; danach dokumentiert er sein Risikomanagement, richtet einen Meldeprozess für erhebliche Vorfälle ein und lässt die Geschäftsführung die Maßnahmen formal billigen, sodass die Kernpflichten des Gesetzes lückenlos nachweisbar sind.
Was müssen Sie konkret tun?
- Betroffenheit prüfen: Fällt Ihre Organisation nach Sektor und Größe unter das BSIG?
- Im BSI-Portal registrieren – auch jetzt noch, denn die Erstfrist (06.03.2026) ist zwar abgelaufen, die Pflicht aber nicht.
- Risikomanagement und technische Maßnahmen nach dem Stand der Technik dokumentieren.
- Einen Meldeprozess für die 24/72-Stunden-Fristen einrichten und testen.
- Das Leitungsorgan schulen und die Freigabe der Maßnahmen schriftlich festhalten.
Weiterführende Quelle: BSI – Informationen für NIS-2-regulierte Unternehmen
Häufige Fragen
Was ist das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist die deutsche gesetzliche Umsetzung der EU-Richtlinie NIS2 2022/2555. Da EU-Richtlinien nicht unmittelbar gelten, macht erst dieses nationale Artikelgesetz die Vorgaben für deutsche Unternehmen verbindlich. Es passt vor allem das BSI-Gesetz an und schreibt Cybersicherheitspflichten wie Risikomanagement, die dreistufige Meldepflicht und die Registrierung beim BSI für betroffene wesentliche und wichtige Einrichtungen vor.
Seit wann gilt das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz ist seit dem 06.12.2025 in Kraft. Damit sind die Cybersicherheitspflichten für betroffene Einrichtungen keine Empfehlung mehr, sondern gesetzliche Pflicht. Die Erstfrist für die Registrierung beim BSI endete am 06.03.2026 und ist abgelaufen; eine Nachregistrierung betroffener Einrichtungen bleibt jedoch weiterhin möglich und erforderlich, denn die Pflicht entfällt durch den Fristablauf nicht.
Wer beaufsichtigt das NIS2-Umsetzungsgesetz?
Zuständige Behörde für das NIS2-Umsetzungsgesetz ist das BSI. Es führt die Aufsicht, betreibt das Melde- und Registrierungsportal und nimmt die dreistufigen Vorfallsmeldungen entgegen. Bei Verstößen kann das BSI Bußgelder verhängen: bei wesentlichen Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Zusätzlich haftet das Leitungsorgan persönlich.