Kontaktieren Sie uns direkt unter: +49 89 716 80 24-0 oder info[at]msecure.de

30. März 2026

NIS-2 Umsetzungsgesetz greift voll und bringt harte Konsequenzen

Die Frist ist endgültig verstrichen:

Seit dem 6. März 2026 müssen betroffene Unternehmen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben.

Das NIS-2-Umsetzungsgesetz greift voll und bringt harte Konsequenzen – inklusive persönlicher Haftung der Geschäftsführung.

 

Wer ist betroffen?

 

Das Gesetz erfasst rund 30.000 Unternehmen und Institutionen in Deutschland. Nicht nur die klassischen kritischen Infrastrukturen wie Energie, Verkehr, Finanzwesen oder Gesundheit, sondern auch erweiterte Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Medizintechnik, Maschinenbau, Fahrzeugbau sowie digitale Dienste wie Cloud-Provider, Rechenzentren, MSP/MSSP, Online-Marktplätze und Suchmaschinen.

Schwellenwerte:
  • Wichtige Einrichtungen: Ab 50 Mitarbeitern und 10 Mio. € Umsatz oder Bilanzsumme.
  • Besonders wichtige Einrichtungen: Ab 250 Mitarbeitern oder >50 Mio. € Umsatz und >43 Mio. € Bilanzsumme.

 

Verbundene Unternehmen zählen zusammen – Holdings und Konzerne prüfen bitte gründlich. Unabhängig von Größe fallen Telekom-Netze, DNS-Resolver, TLD-Registries, eIDAS-Trust-Dienste und kritische Anlagen unter die Pflicht.

 

Was müssen Sie tun – und welche Fristen gelten?

 

Seit dem 6. Dezember 2025 (Inkrafttreten des novellierten BSIG) müssen Sie:

  • Angemessene technische und organisatorische Maßnahmen (TOM) für Verfügbarkeit, Integrität und Vertraulichkeit Ihrer IT-Infrastruktur umsetzen.
  • Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden beim BSI melden.

Die Registrierung selbst erfolgt über das BSI-Portal (Login | BSI-Portal). Voraussetzung: Ein ELSTER-Organisationszertifikat (beantragen unter ELSTER.de mit deutscher Steuernummer). Der Prozess dauert – wer noch nicht registriert ist, handelt jetzt.

 

Persönliche Haftung: Die Geschäftsführung im Fokus

Die Geschäftsleitung trägt die Verantwortung für Umsetzung und Überwachung der TOM. Verstöße bedeuten persönliche Haftung.

Bußgelder reichen bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes – und das nicht nur für das Unternehmen, sondern auch für Vorstände und GF.

Im Kontext steigender Cyberangriffe (Ransomware, KI-Phishing) wird das zur Realität: Vorfälle wie bei Paass Logistik oder ASB Saarland zeigen, wie schnell es teuer wird.

 

Nächste Schritte: Checkliste für betroffene KMU

  1. Betroffenheitsprüfung: Sektoren und Schwellenwerte inkl. verbundener Firmen checken.
  2. ELSTER-Zertifikat beantragen: Sofort starten, dauert Wochen.
  3. Registrierung im BSI-Portal: Daten eingeben und Vorfallmeldung aktivieren.
  4. TOM überprüfen/aufsetzen: Risikoanalyse, Incident-Response-Plan, Schulungen – NIS-2-konform.
  5. Dokumentation sichern: Für Audits und Bußgeldverfahren.

 

Ohne Registrierung drohen Bußgelder und Reputationsschäden. Mit ISO 27001 oder vergleichbarem ISMS erfüllen Sie viele Anforderungen bereits – aber nur, wenn es gelebt wird.

 

Fazit:

 

Handeln Sie jetzt!

NIS-2 ist kein Papiergesetz mehr – es hat Biss. Geschäftsführer, die es ignorieren, riskieren Persönliches. Führen Sie eine schnelle Prüfung durch und sichern Sie Ihre Registrierung. Bei msecure.de helfen wir KMU bei der Betroffenheitsanalyse, Registrierung und Umsetzung – praxisnah und ohne Schnellschuss.

 

Quelle Titelbild: iStock.com

Tags: