Das Ende der Hängepartie: Am 13. November 2025 hat der Deutsche Bundestag das Gesetz beschlossen. Für die deutsche Wirtschaft, insbesondere den Mittelstand, endet die Unsicherheit. IT-Sicherheit wird endgültig zur zentralen Compliance- und Haftungsfrage der Geschäftsführung.
Der Zeitplan: Fristen laufen jetzt
Unternehmen müssen sich auf folgende Timeline einstellen:
Der Gesetzestext ist inhaltlich fixiert.
Meldepflichten und Haftungsregelungen gelten ab sofort.
Meldung der Einrichtung beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Technische und organisatorische Maßnahmen nach dem „Stand der Technik“.
Wer ist betroffen?
Der Kreis der regulierten Unternehmen erweitert sich massiv über die klassischen KRITIS-Sektoren hinaus:
Die 5 Handlungsfelder für Unternehmer
Nutzen Sie die verbleibende Zeit bis zum Inkrafttreten effizient. Hier sind Ihre Aufgaben:
Validierung der Betroffenheit
🔍Analyse durchführen: Sind wir eine „Wichtige“ oder „Besonders wichtige“ Einrichtung? Dokumentieren Sie die Einstufung anhand von Sektor, Mitarbeiterzahl (>50) und Umsatz.
Meldewesen etablieren
⚡Straffe Fristen: Erstmeldung binnen 24 Stunden. Prozesse schaffen, um Vorfälle 24/7 zu erkennen und zu melden.
Leitungsverantwortung (Governance)
⚖Chefsache: Die Geschäftsleitung muss Maßnahmen billigen, überwachen und Schulungen besuchen. Haftung ist nicht delegierbar.
Technische Maßnahmen (TOMs)
🛡Stand der Technik umsetzen: Risikoanalyse, Kryptografie, Backups, Notfallwiederherstellung und Multi-Faktor-Authentifizierung (MFA).
Sicherheit in der Lieferkette
📦Zulieferer prüfen: Verträge anpassen und sicherstellen, dass Partner das geforderte Sicherheitsniveau nicht unterschreiten.
Häufige Fragen zum NIS2-Umsetzungsgesetz
Wann tritt das NIS2-Umsetzungsgesetz genau in Kraft?
Das Gesetz tritt am Tag nach der Verkündung im Bundesgesetzblatt in Kraft. Nach dem Beschluss des Bundestages am 13. November 2025 wird die Verkündung voraussichtlich im Dezember 2025 oder Januar 2026 erwartet. Ab diesem Tag gelten die Pflichten unmittelbar.
Hafte ich als Geschäftsführer persönlich?
Ja. NIS2 verschärft die Haftung der Geschäftsleitung deutlich. Geschäftsführer sind verpflichtet, die Risikomanagementmaßnahmen zu billigen und zu überwachen. Bei Verstößen gegen diese Pflichten kann eine persönliche Haftung gegenüber dem Unternehmen entstehen, wobei ein Verzicht auf Ersatzansprüche durch das Unternehmen gesetzlich eingeschränkt ist.
Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?
Grundsätzlich zielt NIS2 auf mittlere und große Unternehmen (ab 50 Mitarbeiter oder 10 Mio. € Umsatz) in bestimmten Sektoren ab. Allerdings können auch kleinere Unternehmen betroffen sein, wenn sie als Zulieferer für wichtige Einrichtungen fungieren (Lieferkettensicherheit) oder wenn sie in speziellen Bereichen wie der digitalen Infrastruktur tätig sind.
Was passiert, wenn ich die Registrierungsfrist verpasse?
Betroffene Unternehmen müssen sich innerhalb von 3 Monaten nach Inkrafttreten beim BSI registrieren. Ein Versäumnis dieser Meldung stellt eine Ordnungswidrigkeit dar und kann zu Bußgeldern führen. Es empfiehlt sich, die Betroffenheit frühzeitig zu klären.
