NIS2UmsuCG
Deutsches NIS2-Umsetzungsgesetz, in Kraft seit 06.12.2025
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Das Gesetz zur Umsetzung der NIS2-Richtlinie (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS2UmsuCG) wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 vom Bundesrat gebilligt und ist seit 06.12.2025 in Kraft (BGBl. 2025 I Nr. 301). Es novelliert das BSIG (Bundesgesetz für Informationssicherheit) und implementiert die EU-NIS2-Richtlinie 2022/2555.
Was ist NIS2UmsuCG?
Wichtigste Änderungen durch das NIS2UmsuCG:
- § 28 BSIG-neu: Definition wesentliche/wichtige/besonders wichtige Einrichtungen (~29.500 Unternehmen DE)
- § 30 BSIG-neu: 10 Pflichtmaßnahmen-Bereiche
- § 32 BSIG-neu: Meldepflichten 24h/72h/30 Tage
- § 33 BSIG-neu: BSI-Registrierungspflicht (Frist 06.03.2026 abgelaufen)
- § 38 BSIG-neu: Geschäftsleitungspflichten + persönliche Innenhaftung Abs. 5
- § 60 BSIG-neu: Bußgelder bis 10 Mio. / 7 Mio. EUR
Praxisbeispiel
Statistik 2026 (Stand 04/2026):
- ~29.500 Unternehmen NIS2-pflichtig in DE
- ~14.000 davon registriert beim BSI bis 06.03.2026
- ~15.500 noch nicht registriert (Vertragsverletzung)
- BSI-Aufsichtspraxis startet Q2/2026
- Erste Bußgeld-Verfahren erwartet Q3/2026
Häufig gestellte Fragen
Wann ist die BSI-Registrierungsfrist?
06.03.2026 (3 Monate nach Inkrafttreten 06.12.2025) — bereits abgelaufen. Verspätete Registrierung sofort nachholen.
Welche Übergangsfristen gibt es?
Keine. Mit Inkrafttreten 06.12.2025 greifen alle Pflichten unmittelbar. BSI fokussiert allerdings 2026 auf systematische Verstöße, weniger auf einzelne Versäumnisse.
Wie unterscheidet es sich vom alten BSIG?
Erweiterung des Anwendungsbereichs (~4.500 → ~29.500 Einrichtungen), strengere Pflichten in 10 Bereichen, GF-Innenhaftung, Meldepflichten 24/72/30, BSI-Registrierung.