NIS-2 in Deutschland – jetzt wird Cyber-Sicherheit (noch mehr) Chefsache

Die seit Januar 2023 geltende EU-Richtlinie NIS-2 sollte initial bis 17. Oktober 2024 in deutsches Recht umgesetzt werden. Deutschland verpasste diese Frist – neben einer Reihe anderer Mitgliedsstaaten – jedoch bei weitem, sodass das NIS-2-Umsetzungsgesetz bisher für viele Unternehmen in Deutschland nur vage Theorie war.

Diese Zeiten sind nun allerdings vorbei – das NIS-2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist. Betroffene Unternehmen (es wird eine eigenständige Prüfung seitens der Unternehmen vorausgesetzt!) müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI via „Mein Unternehmenskonto“ (MUK) registrieren, die Umsetzung erforderlicher technischer & organisatorischer Maßnahmen wird 2026 erwartet. Die letzten Änderungen der aktuellen Bundesregierung an den bisherigen Gesetzesentwürfen fielen dabei nicht mehr sehr umfangreich aus.

Wer ist betroffen & warum 

Übergeordnetes Ziel der NIS-2-Richtlinie ist es, EU-weite Mindeststandards zum Schutz der Netz- und Informationssicherheit in kritischen Sektoren zu gewährleisten. Dabei erweitert NIS-2 den Kreis betroffener Unternehmen von bisher rund 4.500 KRITIS-Betreiber auf jetzt etwa 29.000-30.000 betroffene Organisationen in rund 15 Sektoren.

Bereits ab 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Mio. EUR können Unternehmen NIS-2 unterliegen, wobei mit Blick auf die Anforderungen an die IT-Sicherheit zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen differenziert wird.

BSI-Präsidentin Claudia Plattner zur Zielsetzung des NIS-2-Umsetzungsgesetzes: „Die Cyber-Sicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“[1]

Inhalt & Pflichten – was NIS-2 verlangt

Zu den wichtigsten Änderungen im Rahmen von NIS-2 in Bezug auf die Cyber-Sicherheit von betroffenen Unternehmen zählen die folgenden Bereiche:

1. Governance & Managementhaftung
   Geschäftsleitungen müssen Cyber-Sicherheit als Managementaufgabe verankern, indem sie notwendige Maßnahmen des Risikomanagements genehmigen und deren Umsetzung überwachen. Bei Pflichtverletzungen oder Verstößen können sie persönlich haftbar gemacht werden. Cyber-Sicherheit wird damit (noch mehr) zur Chefsache! 
2. Risikomanagement-Maßnahmen im Bereich der Cyber-Sicherheit
   Unternehmen müssen eine Reihe an Mindeststandards rund um das Risikomanagement einhalten. Hierzu zählen insbesondere:
   • Systematische Risikoanalyse durch regelmäßige Bewertung von Bedrohungen und Schwachstellen für Informationssysteme, sowie Dokumentation und kontinuierliche Aktualisierung der Risikobewertung.
   • Informationssicherheits-Managementsystem (ISMS) nach anerkannten Standards (bspw. BSI-Grundschutz/ISO 27001) zur Dokumentation und Bewertung der ergriffenen Maßnahmen.
   • Incident-Handling & Meldepflichten: Prozesse zur Erkennung, Bewertung und Meldung von Vorfällen – Erstmeldung binnen 24 Std, Folgemeldung nach 72 Std, Abschlussbericht nach 30 Tagen.
   • Lieferketten-Risikomanagement: Prüfung und Überwachung von Sicherheitsanforderungen gegenüber Dienstleistern/Zulieferern, um etwaige Auswirkungen von Zwischenfällen in der Lieferkette zu verhindern bzw. zu minimieren.
   • Technische Sicherheitsanforderungen: hierzu zählen u.a. Zugriffskontrollen und Multi-Faktor-Authentifizierung (MFA), Patch- und Schwachstellenmanagement, Schutz sensibler Daten, etc.
3. Strikte Sanktionen & hohe Geldstrafen
   Ein Verstoß gegen NIS-2 kann für Unternehmen hohe Bußgelder zur Folge haben:
   • „Wichtige“ Einrichtungen: bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
   • Besonders wichtige“ Einrichtungen: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Kontext der Cyber-Bedrohungslage in Deutschland

Die Relevanz der Erhöhung der IT-Sicherheit deutscher Unternehmen unterstreichen auch die Ergebnisse des aktuellen BSI-Lagebericht 2025 die Gefährdungslage ist weiterhin angespannt, die Zahl der Ransomware-Angriffe ist unverändert hoch und die Angriffe – auch auf kleine und mittlere Unternehmen – steigen (80 % der angezeigten Angriffe stammen aus diesem Segment). Ebenfalls einen Anstieg verzeichnen Angriff auf Kritische Infrastrukturen – was den Bedarf nach NIS-2 nochmals unterstreicht. Auch die Tatsache, dass Business Continuity Management Systeme (BCMS) im KRITIS-Sektor noch stark ausbaufähig sind (nur knapp 13 % der KRITIS-Unternehmen überprüfen und verbessern ihr BCMS regelmäßig) zeigt, die Relevanz des Themas – aber auch, den Handlungsbedarf, den Unternehmen jetzt noch vor sich haben.

Auswirkungen auf den Versicherungsbedarf 

• Cyber-Versicherung: Die seitens NIS-2 geforderte IT-Sicherheitsmaßnahmen wirken sich für Unternehmen insgesamt positiv auf deren Risikoprofil und damit auch auf die Versicherbarkeit bzw. die Versicherungskonditionen im Rahmen der Cyber-Versicherung aus. Die Risikobewertung im Rahmen einer Cyber-Versicherung hilft Unternehmen zusätzlich, einen realistischen Blick auf das aktuelle Cyber-Sicherheitsniveau zu bekommen und zeigt Verbesserungspotentiale auf. Im Rahmen der präventiven Serviceleistungen bieten viele Versicherer Ihren Kunden aktuell auch kostenlose Zusatzdienstleistungen an, die sie dabei unterstützen, die Cyber-Resilienz weiter zu verbessern.
• D&O-Versicherung: Aufgrund der Umsetzung von NIS-2 stehen handelnde Organe noch mehr im Fokus, wenn es zu Cyber-Zwischenfällen kommt. Haben Führungskräfte IT-Risiken oder die Vorgaben von NIS-2 ignoriert, ist damit zu rechnen, dass es vermehrt zu Inanspruchnahmen kommt. Die Anforderungen erhöhen somit die Haftungsrisiken des Managements und die D&O-Versicherung gewinnt weiterhin an Relevanz in Bezug auf Cyber-Risiken.

Handlungsempfehlung für Unternehmen – jetzt aktiv werden

1. Betroffenheit prüfen & Registrierung einplanen – BSI #nis2know Betroffenheitscheck (Frist: 3 Monate nach 6. Dez 2025)
2. ISMS-Migration praxisnah anpassen: Risikoanalyse, Governance, Lieferketten
3. Incident-Management-Implementierung: Monitoring, Meldeprozesse, Reportingketten
4. Business Continuity testen

Gemeinsam mit dem spezialisierten Cyber Security Consulting-Unternehmen @-yet unterstützt Finlex Unternehmen bei der optimalen Umsetzung der NIS-2-Anforderungen: von der Analyse über die technische Implementierung bis hin zur Rechtsberatung. Erfahren Sie hier mehr über das NIS-2-Paket von @-yet.

Die folgenden Bilder sind für den Nachdruck unter dem Vorbehalt der redaktionellen, nicht kommerziellen Nutzung freigegeben.

Andrea Kotter | (Pressefoto)
Dr. Stephanie M. Belei | (Pressefoto)
Dr. Marcel Straub | (Pressefoto)
Bildnachweis: Finlex GmbH

Haben Sie noch Fragen zum Thema? Unsere Experten stehen Ihnen jederzeit für Rückfragen zur Verfügung.