NIS-2 in Deutschland: Cyber-Gesetz zwingt 30.000 Firmen zum Handeln

Die Schonfrist ist vorbei. Seit vergangenem Freitag, dem 6. Dezember, gilt in Deutschland das NIS-2-Umsetzungsgesetz – und damit die schärfste Verschärfung des IT-Sicherheitsrechts seit einem Jahrzehnt. Fast 30.000 Unternehmen müssen ab sofort strengen Compliance-Pflichten nachkommen. Übergangsfristen? Fehlanzeige.

Was viele Beobachter überrascht: Anders als bei vielen EU-Richtlinien gibt es keine Eingewöhnungsphase. Die Anforderungen gelten “ab dem Tag nach der Veröffentlichung”, wie die Kanzlei Greenberg Traurig am 6. Dezember klarstellte. Wer als “wesentlich” oder “wichtig” eingestuft wird, haftet bereits jetzt bei Verstößen. Kein Wunder also, dass in deutschen Vorstandsetagen derzeit Alarmstimmung herrscht.

Die Spielregeln haben sich fundamental geändert. Cybersicherheit ist nicht mehr nur IT-Thema, sondern Chefsache – im wahrsten Sinne. Das überarbeitete BSI-Gesetz macht Geschäftsführer persönlich haftbar, wenn sie keine angemessenen Risikomanagement-Maßnahmen umsetzen.

Passend zum Thema NIS‑2 und die neuen Meldepflichten: Viele Unternehmen unterschätzen jetzt ihre Cyber-Pflichten – von strengen Meldefristen bis zur persönlichen Haftung von Vorständen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche technischen und organisatorischen Maßnahmen sofort zu greifen haben, wie Sie Incident-Response nach den 24/72/1‑Stunden‑Regeln einrichten und welche Schwachstellen das BSI jetzt prüft. Speziell für Geschäftsführer und IT‑Verantwortliche. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Die Strafen haben es in sich: Bis zu zehn Millionen Euro oder einen Prozentsatz des weltweiten Jahresumsatzes können fällig werden. Diese Dimension ist neu für Deutschland. Bisher war IT-Sicherheit primär eine technische Compliance-Frage – jetzt wird sie zur direkten Haftungsfalle für das Management.

Von 4.500 auf 30.000: Wer ist betroffen?

Die Reichweite des Gesetzes ist gewaltig. Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge steigt die Zahl regulierter Unternehmen von rund 4.500 auf knapp 30.000. Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe – Branchen, die bisher unter dem Radar flogen, stehen nun neben klassischer kritischer Infrastruktur wie Energie und Finanzen.

Doch es gibt eine Hintertür. Wie die Kanzlei Reuschlaw am 5. Dezember analysierte, erlaubt Paragraf 28 Absatz 3 des BSI-Gesetzes eine Ausnahme für “unwesentliche Tätigkeiten”. Kleinere Geschäftsbereiche können von den NIS-2-Pflichten ausgenommen werden, wenn deren Einbeziehung unverhältnismäßig wäre.

“Das ist eine bemerkenswerte Besonderheit der deutschen Umsetzung”, erklärten die Experten. Diese Klausel dürfte in den kommenden Wochen für erheblichen juristischen Diskussionsbedarf sorgen. Sind Sie “unwesentlich” genug? Diese Frage werden sich Tausende Unternehmen stellen müssen.

Das Rennen startet am 6. Januar: Registrierung läuft

Während das Gesetz bereits gilt, läuft die logistische Maschinerie noch an. Das BSI öffnet sein Pflichtregistrierungsportal erst am 6. Januar 2026. Ab dann haben betroffene Firmen drei Monate Zeit, sich mit Status, Kontaktdaten und Branchenzuordnung anzumelden.

Doch Vorsicht: Die Meldepflichten für Cyber-Vorfälle gelten bereits jetzt. Ab dieser Woche müssen betroffene Unternehmen bei erheblichen Sicherheitsvorfällen einen strikten Drei-Stufen-Zeitplan einhalten:

• 24 Stunden: Frühwarnung an das BSI
• 72 Stunden: Detaillierter Vorfallbericht
• Ein Monat: Abschließende Analyse mit Ursache und Auswirkungen

Die Kanzlei Pinsent Masons warnte gestern, dass viele neu regulierte Organisationen “sich ihrer Pflichten möglicherweise nicht bewusst sind”. Partner Lars Hettich betonte, dass besonders Gesundheits- und Transportsektor strengen Bedingungen unterliegen. Wer jetzt keine klaren Governance-Prozesse etabliert, spielt mit dem Feuer.

BSI zeigt Muskeln: Erste Warnungen

Das Bundesamt für Sicherheit nutzt seine erweiterten Befugnisse bereits aktiv. Am Montag veröffentlichte das BSI zusammen mit dem FZI Forschungszentrum Informatik Erkenntnisse zur Sicherheit von Passwort-Managern. Bei zehn getesteten Tools fanden die Experten bei vier Sicherheitslücken, die theoretisch Herstellerzugriff auf Nutzerdaten ermöglichen könnten.

Zwar handelt es sich nicht um eine direkte NIS-2-Durchsetzungsmaßnahme, doch die öffentliche Warnung sendet ein klares Signal: Das BSI meint es ernst. Die Behörde ist bereit, digitale Werkzeuge zu prüfen, die für die Unternehmensresilienz kritisch sind.

“Die digitale Welt verändert sich rasant, und mit ihr die Bedrohungen”, stellte das BSI am 8. Dezember fest. Der Bericht Lage der IT-Sicherheit 2025 untermauert, was viele befürchten: Öffentliche Verwaltung und kritische Infrastruktur bleiben Hauptziele staatlich gesteuerter Angreifer.

Was jetzt zu tun ist

Das erste Quartal 2026 wird für Tausende deutsche Unternehmen turbulent. Die wichtigsten Termine:

• 6. Januar 2026: Öffnung des BSI-Registrierungsportals
• April 2026: Ende der dreimonatigen Registrierungsfrist

Experten raten: Im Zweifel lieber vorsichtig sein. Die “Unwesentlichkeits”-Ausnahme bietet nur begrenzte Erleichterung, und mit der persönlichen Haftung für Vorstände war die Unwissenheit noch nie so teuer. Das deutsche BSI hat jetzt schärfere Zähne – und es ist bereit, sie zu zeigen.

PS: Sie möchten Ihr Unternehmen schnell und kosteneffizient gegen steigende Cyberrisiken rüsten? Der Gratis‑Report “Cyber Security Awareness Trends” gibt konkrete Checklisten, Vorlagen für Meldeprozesse und Maßnahmen, mit denen Sie Compliance‑Lücken schließen und Vorstände vor Haftungsrisiken schützen. Viele Mittelständler setzen diese Praxislösungen ohne zusätzliche IT‑Einstellungen um. Holen Sie sich praxisnahe Sofortmaßnahmen, Vorbereitungschecklisten für die BSI‑Registrierung und Praxisbeispiele – sofort umsetzbar und kostenfrei. Jetzt Cyber-Security-Report gratis anfordern