Mit gut einem Jahr Verspätung hat der Deutsche Bundestag am 13. November 2025 das Umsetzungsgesetz zur NIS-2-Richtlinie verabschiedet. Durch das neue Gesetz sind künftig viele Unternehmen von erhöhten Anforderungen an die IT-Sicherheit betroffen. Angesichts der verspäteten Umsetzung in Deutschland ist nicht damit zu rechnen, dass die zuständige Aufsichtsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), den betroffenen Unternehmen eine Schonfrist zur Umsetzung einräumen wird.

Wer ist betroffen? 

Nach dem bisher geltenden BSI-Gesetz waren in Deutschland ca. 4.500 Unternehmen von erhöhten Anforderungen an die IT-Sicherheit betroffen. Durch die Neuregelung werden künftig nach Schätzungen des BSI – die wir selbst für deutlich zu niedrig einschätzen - knapp 30.000 Unternehmen die erhöhten Anforderungen erfüllen müssen. Neben den klassischen Betreibern kritischer Infrastrukturen sind künftig u. a. auch IT-Dienstleister, digitale Versorger, Forschungseinrichtungen, Abfallbewirtschafter (also insbesondere alle Entsorgungsunternehmen) oder auch große Mittelständler im Gesundheitswesen oder der Logistik betroffen. Voraussetzung ist die Tätigkeit in einem der definierten Sektoren sowie eine Mindestanzahl von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.

Aber auch Unternehmen, die nicht direkt betroffen sind, können künftig ggf. erhöhten Anforderungen unterliegen. Unternehmen, die direkt betroffen sind, müssen unter anderem in ihrer Lieferkette für ein Mindestmaß an IT-Sicherheit sorgen. Somit werden bestimmte Pflichten auch an Zulieferer weitergereicht werden.

Welche Pflichten bestehen?

Betroffene Unternehmen müssen u. a. die folgenden Maßnahmen umsetzen:

• Registrierungspflicht 
• Meldepflicht von Störungen und Vorfällen (vorläufiger Bericht in 24 h, in 72 h vollständiger Bericht, nach einem Monat Abschlussbericht) 
• Umsetzung von Maßnahmen zum IT-Risikomanagement (höhere Anforderungen bei höherer Kritikalität) 
• Bereitstellung von Informationen an Kunden und Geschäftspartner
• Nachweispflichten der Umsetzung (jedenfalls bei hoher Kritikalität) 
• Umsetzungs-, Überwachungs- und Schulungspflichten der Geschäftsleitung

Das BSI gibt betroffenen Unternehmen auf der Website Hilfestellungen bei der Prüfung, ob sie von den Pflichten betroffen sind und wie diese umzusetzen sind.

Was ist jetzt zu tun?

Unternehmen sollten jetzt dringend prüfen, ob sie unter den erweiterten Anwendungsbereich des neuen BSI-Gesetzes fallen. Ist dies der Fall, empfiehlt es sich, die geforderten Maßnahmen zeitnah umzusetzen. Bei Verstößen drohen erhebliche Bußgelder zwischen 500.000 und 10 Millionen Euro; für Unternehmen mit einem Jahresumsatz von mehr als 500 Millionen Euro können umsatzabhängige Bußgelder von bis zu 2 % des jährlichen Umsatzes verhängt werden. 

Unsere Expert:innen aus den Bereichen Compliance, Daten- und IT-Recht unterstützen Sie bei Fragen selbstverständlich gerne.