NIS-2-Gesetz: Modernisierung des Cybersicherheitsrechts tritt in Kraf

Mit der heutigen Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beginnt ab morgen eine neue Ära der Cybersicherheit in Deutschland. Das Gesetz erhöht die Anforderungen an die IT-Sicherheit sowohl für die Bundesverwaltung als auch für zahlreiche Unternehmen.

Die BSI-Präsidentin Claudia Plattner betont:
„Die Cybersicherheitslage Deutschlands ist angespannt. Das novellierte BSI-Gesetz ist eine starke Antwort und wird die Resilienz unseres Landes spürbar verbessern.“

Was bedeutet das konkret?

  • Die nationale Umsetzung der EU-Richtlinie erfolgt durch eine Novellierung des BSI-Gesetzes (BSIG).
  • Der Anwendungsbereich wird deutlich erweitert: Statt bisher rund 4.500 Organisationen fallen künftig etwa 30- bis 50.000 Einrichtungen unter die Aufsicht des BSI.
  • Unternehmen in bestimmten Sektoren, die gesetzlich festgelegte Schwellenwerte (Mitarbeiterzahl, Umsatz, Bilanzsumme) überschreiten, werden als
    „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ eingestuft.
    KRITIS gelten automatisch als besonders wichtig.

Die vier zentralen Pflichten ab Inkrafttreten:

➡️ Anlage eines Accounts bei „Mein Unternehmenskonto“ (MUK) bis Ende 2025
➡️ Registrierung als NIS‑2‑Einrichtung beim BSI ab 06. Januar 2026
➡️ Meldung erheblicher Sicherheitsvorfälle an das BSI
➡️ Implementierung & Dokumentation eines Risikomanagements
 (organisatorisch & technisch, nach Stand der Technik)

Wichtig für die Geschäftsleitung:
NIS-2 verlangt nachweisbare Schulungen aller Mitglieder der Geschäftsleitung und eine aktive Überwachung‑ und Umsetzungsrolle im Risikomanagement. Fehlende Teilnahme‑ und Audit‑Nachweise können zu empfindlichen Sanktionen führen.

Unser Tipp aus der Praxis:
Ein professionelles Audit‑Management mit sauberer Dokumentation und regelmäßigen internen Audits senkt Aufwand und Kosten nachhaltig. MCSS bietet hierzu eine Reihe an Maßnahmen an.

Was ist jetzt konkret zu tun

  • Betroffenheit prüfen (Sektor + Schwellenwerte)
  • Registrierung vorbereiten
  • GAP-Analyse durchführen
  • ISMS/Risikomanagement etablieren bzw. anpassen
  • Meldewege und Incident‑Prozesse fixieren
  • Vorstand/GL schulen und Audit‑Nachweise sichern

Die Uhr tickt: Versäumnisse bei NIS-2 können nicht nur hohe Strafen, sondern auch massive Reputationsschäden nach sich ziehen. Wir empfehlen sofortiges Handeln, bevor Risiken Realität werden.