Update: NIS-2UmsuCG trat am 06.12.2025 in Kraft – Umsetzung der NIS-2-Richtlinie in deutsches Recht

Bereits am 11.09.2024 haben wir hier über die NIS-2-Richtlinie und deren Anwendungsbereich berichtet. Mit dem Inkrafttreten des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2UmsuCG) am 6.12.2025 ist die NIS-2-Richtlinie (EU) 2022/2555 nun vollständig in deutsches Recht umgesetzt. Die Novelle des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) bringt umfassende Neuerungen im Bereich der Cybersicherheit mit sich, von denen Unternehmen und Organisationen in Deutschland künftig erheblich betroffen sein werden.

NIS-2UmsuCG: Neue Anforderungen und erweiterte Pflichten

Das NIS-2UmsuCG setzt die Ziele der NIS-2-Richtlinie um. Diese zielen auf eine Stärkung der Cybersicherheit in der gesamten EU ab. Die Richtlinie legt fest, dass Unternehmen, die in sogenannten kritischen Sektoren tätig sind oder einen signifikanten Einfluss auf die öffentliche Sicherheit oder Wirtschaft haben, strenge Cybersicherheitsvorgaben erfüllen müssen. Mit der Umsetzung des Gesetzes geht eine Ausweitung des Anwendungsbereichs einher, von der viele Unternehmen betroffen sind, die bisher nicht unter die ursprüngliche NIS-Richtlinie fielen.

Ein zentrales Element des NIS-2UmsuCG ist die verstärkte Verantwortung von Unternehmen, die in den Anwendungsbereich der Richtlinie fallen. Diese sind künftig verpflichtet, Cybersicherheitsmaßnahmen zu ergreifen, die den neuesten Bedrohungen standhalten, und ihre IT-Infrastruktur kontinuierlich zu überwachen und zu verbessern. Um die erforderlichen technischen und organisatorischen Maßnahmen umzusetzen, sollten Unternehmen insbesondere ein Informationssicherheitsmanagementsystem (ISMS) einführen und den Behörden auf Anfrage zudem detaillierte Informationen über ihre Cybersicherheitsstrategien zur Verfügung stellen.

Wer ist betroffen?

Unternehmen, die von den Regelungen des NIS-2UmsuCG betroffen sind, müssen die neuen Anforderungen schnell und umfassend umsetzen. Für die Betroffenheit sind vor allem der Sektor, in dem das Unternehmen tätig ist, sowie dessen Größe entscheidend (vgl. unsere Ausführungen im Beitrag vom 11.09.2024).

Praxistipp

Um den neuen Anforderungen des NIS-2UmsuCG gerecht zu werden, sollten Unternehmen schnellstmöglich herauszufinden, ob sie unter die neuen Regelungen fallen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf seiner Website eine detaillierte Betroffenheitsprüfung zur Verfügung. Mithilfe dieser können Unternehmen systematisch prüfen, ob sie den Anforderungen des NIS-2UmsuCG unterliegen.

Unternehmen, die unter die neuen Regelungen fallen, müssen jetzt aktiv werden, um die Vorgaben umzusetzen und rechtzeitig die notwendigen Maßnahmen zu ergreifen. Wer sich nicht frühzeitig mit den neuen Anforderungen auseinandersetzt, riskiert hohe Bußgelder und haftungsrechtliche Konsequenzen.

Gerne unterstützen wir Sie sowohl bei der individuellen Betroffenheitsprüfung als auch beratend zu den einzelnen umzusetzenden Maßnahmen.

Ihre Ansprechpartner in unserem Büro Dresden im Zusammenhang mit der NIS-2-Richtlinie sind:

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Urheber- und Medienrecht Heike Nikolov

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin Nicole Marquardt

Rechtsanwältin Anne Graurock

Wirtschaftsjuristin im Bereich Datenschutz & Compliance Aleksandra Friemel, LL.M.