Volljurist und Compliance-Experte
22 Mar 2026
9 min
.svg)
Das NIS2UmsuCG wurde am 6. Dezember 2025 verkündet und gilt seitdem ohne Übergangsfrist für rund 29.500 Unternehmen in 18 Sektoren.
Die fünf zentralen Paragraphen sind §28 (Betroffenheit), §30 (Risikomanagement), §32 (Meldepflichten), §38 (Geschäftsleitungspflichten) und §65 (Bußgelder bis 10 Mio. Euro).
Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer noch nicht registriert ist, muss sofort handeln und riskiert ein Bußgeld.
NIS2-Compliance setzt praktisch ein ISMS voraus. Plattformen wie SECJUR Digital Compliance Office strukturieren den Aufbau und verkürzen die Umsetzung um bis zu 50 %.
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag verabschiedet, am 20. November 2025 vom Bundesrat bestätigt und trat am 6. Dezember 2025 in Kraft. Rund 29.500 Unternehmen in Deutschland müssen seitdem neue Pflichten in der Informationssicherheit erfüllen. Eine Übergangsfrist sieht das Gesetz nicht vor.
Dieser Artikel erklärt, wie das Gesetz entstanden ist, welche Paragraphen Unternehmen kennen müssen, wie die BSI-Registrierung funktioniert und welche Fristen jetzt gelten. Wenn Sie noch nicht wissen, ob Ihr Unternehmen überhaupt betroffen ist, lesen Sie zuerst unseren Artikel dazu, für wen NIS2 gilt. Einen vollständigen Überblick über die EU-Richtlinie finden Sie in unserem Hauptartikel zu NIS2.
Die EU-Richtlinie NIS2 trat im Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Deutschland hat diese Frist deutlich überschritten.
Der erste Referentenentwurf des BMI lag bereits im Juli 2023 vor. Im Juli 2024 folgte der Kabinettsbeschluss. Danach stockte das Verfahren: Die Bundestagswahl und Koalitionsverhandlungen verzögerten die parlamentarische Behandlung um Monate. Am 13. November 2025 verabschiedete der Bundestag das Gesetz, am 20. November 2025 stimmte der Bundesrat zu. Am 6. Dezember 2025 wurde es im Bundesgesetzblatt verkündet und trat sofort in Kraft.
Die Verzögerung hat Konsequenzen. Viele Unternehmen haben die Vorbereitungszeit genutzt, andere haben abgewartet und stehen jetzt unter Zeitdruck. Denn das Gesetz gilt ab Verkündung, nicht erst ab einem späteren Stichtag. Die EU-Kommission hatte zwischenzeitlich Vertragsverletzungsverfahren gegen Deutschland und andere säumige Mitgliedstaaten eingeleitet, was den politischen Druck erhöhte.
Für Unternehmen hat die Verzögerung einen positiven und einen negativen Effekt. Positiv: Wer ab 2023 bereits mit der Vorbereitung begonnen hat, hatte mehr als zwei Jahre Zeit. Negativ: Viele Detailfragen (Sektorzuordnung, Ausnahmen, Konkretisierung der Maßnahmen durch Rechtsverordnung) sind erst seit Dezember 2025 verbindlich geklärt. Der Gesetzgeber hat im parlamentarischen Verfahren noch wesentliche Änderungen vorgenommen, etwa bei der Rolle der Telekommunikationsanbieter und bei der Definition kritischer Komponenten.
Das NIS2UmsuCG ist das deutsche Gesetz zur Umsetzung der EU-Richtlinie NIS2. Es ändert vor allem das BSI-Gesetz (BSIG) und verpflichtet rund 29.500 Unternehmen in 18 Sektoren zu Risikomanagement, Vorfallsmeldung und Registrierung beim BSI. Anders als die Vorgängerregelung (IT-Sicherheitsgesetz 2.0, beschränkt auf KRITIS-Betreiber) erfasst das neue Gesetz auch mittlere und große Unternehmen in Sektoren wie Abfallwirtschaft, Lebensmittelproduktion, Chemie und digitale Infrastruktur. Die Schwelle liegt bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der 18 Sektoren.
Fünf Paragraphen sind für betroffene Unternehmen besonders relevant. Sie bilden den Kern dessen, was Compliance-Verantwortliche, IT-Leiter und Geschäftsführer kennen und umsetzen müssen.
| Paragraph | Regelungsbereich | Bedeutung in der Praxis |
|---|---|---|
| §28 BSIG | Besonders wichtige und wichtige Einrichtungen | Definiert, wer betroffen ist: Sektorzugehörigkeit + Unternehmensgröße bestimmen, ob ein Unternehmen als besonders wichtige Einrichtung (bwE) oder wichtige Einrichtung (wE) gilt. |
| §30 BSIG | Risikomanagementmaßnahmen | Enthält einen Katalog von zehn Maßnahmenbereichen, von Risikoanalyse über Backup-Management bis Kryptografie. Wer diese Liste liest, liest im Kern das Inhaltsverzeichnis eines ISMS. |
| §32 BSIG | Meldepflichten | Gestuftes Meldeverfahren: 24 Stunden (Frühwarnung), 72 Stunden (Vorfallsbericht), 1 Monat (Abschlussbericht). Die 24-Stunden-Frist ist die Anforderung, an der Unternehmen am häufigsten scheitern. |
| §38 BSIG | Geschäftsleitungspflichten | Geschäftsführer haften persönlich für NIS2-Verstöße. Sie müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßige Cybersicherheitsschulungen absolvieren. |
| §65 BSIG | Bußgeldvorschriften | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. |
§30 ist der Paragraph, den Unternehmen am meisten beschäftigt. Die zehn Maßnahmenbereiche reichen von Risikoanalyse und Sicherheitskonzepten über Vorfallsbewältigung, Business Continuity und Backup-Management bis hin zu Kryptografie und Multifaktor-Authentifizierung. Wer sich diese Anforderungen genauer ansehen will, findet in unserem Artikel zu den NIS2-Anforderungen eine vollständige Aufschlüsselung. Das Meldeverfahren nach §32 mit allen Praxistipps erklären wir im Artikel zur NIS2-Meldepflicht. Und wie sich die persönliche Haftung nach §38 konkret auswirkt, lesen Sie in unserem Artikel zur NIS2-Geschäftsführerhaftung.
Was auffällt: Der Gesetzgeber hat sich beim Maßnahmenkatalog erkennbar an ISO 27001 orientiert. Risikoanalyse, Vorfallsbewältigung, Business Continuity, Lieferkettensicherheit, Kryptografie, Zugangskontrolle: Das sind keine NIS2-Erfindungen, sondern ISMS-Standardprozesse. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, erfüllen erfahrungsgemäß 70 bis 80 % der NIS2-Anforderungen. Wer noch kein ISMS hat, baut nicht "NIS2-Compliance" auf, sondern ein Informationssicherheitsmanagementsystem, das NIS2 als Nebeneffekt abdeckt.
Die restlichen 20 bis 30 % betreffen NIS2-spezifische Pflichten, die ISO 27001 nicht kennt: die BSI-Registrierung, das gestufte Meldeverfahren nach §32 und die Geschäftsleitungspflichten nach §38. Genau diese Lücken müssen Unternehmen gezielt schließen. Tools wie das SECJUR Digital Compliance Office bilden beide Seiten ab: den ISMS-Kern und die NIS2-spezifischen Ergänzungen in einer Plattform.
"Das NIS2UmsuCG kennt keine Schonfrist. Unternehmen, die auf eine Übergangsfrist gehofft haben, müssen jetzt handeln. Die BSI-Registrierungsfrist ist abgelaufen, und das BSI hat angekündigt, die Einhaltung aktiv zu prüfen. Wer die zehn Maßnahmenbereiche aus §30 liest, liest das Inhaltsverzeichnis eines ISMS. Der schnellste Weg zur Compliance führt über den systematischen Aufbau eines solchen Systems."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Die BSI-Registrierung für NIS2-betroffene Unternehmen erfolgt über das Melde- und Unterrichtungskanal-Portal (MUK) unter muk.bsi.bund.de. Die dreimonatige Registrierungsfrist begann mit Inkrafttreten des Gesetzes am 6. Dezember 2025 und ist am 6. März 2026 abgelaufen. Eine verspätete Registrierung ist weiterhin möglich und auch ratsam, weil sie dem BSI zeigt, dass das Unternehmen reagiert. Nicht registriert zu sein, ist hingegen ein eigenständiger Bußgeldtatbestand.
ELSTER-Organisationszertifikat beantragen
Das BSI-Portal nutzt ELSTER als Authentifizierung. Unternehmen, die noch kein ELSTER-Organisationszertifikat haben, müssen es zuerst bei der Finanzverwaltung beantragen. Die Ausstellung dauert einige Werktage.
Im MUK-Portal registrieren
Mit dem ELSTER-Zertifikat wird das Unternehmen im BSI-Portal angelegt. Dabei werden Stammdaten, Sektorzuordnung und eine Kontaktperson für Sicherheitsmeldungen hinterlegt.
Sektorzuordnung sorgfältig vorbereiten
Die Zuordnung zu einem der 18 NIS2-Sektoren ist in der Praxis oft weniger eindeutig, als das Gesetz suggeriert. Unternehmen an der Schnittstelle mehrerer Branchen sollten die Zuordnung vorab intern klären, um Rückfragen des BSI zu vermeiden.
Ein häufiger Stolperstein bei der Registrierung ist die Sektorzuordnung. Das Gesetz definiert 18 Sektoren in zwei Kategorien: 11 Sektoren hoher Kritikalität (Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung und Weltraum) und 7 sonstige kritische Sektoren (Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung). Unternehmen, die in mehreren Sektoren tätig sind, müssen prüfen, ob sie als besonders wichtige oder als wichtige Einrichtung gelten, weil sich daraus unterschiedliche Pflichten ergeben.
Wer sich unsicher ist, ob das eigene Unternehmen registrierungspflichtig ist, findet Orientierung in unserem Artikel dazu, für wen NIS2 gilt. Das BSI bietet zudem eigene Infopakete und eine Roadmap an, die den Einstieg erleichtern.
Das NIS2UmsuCG sieht keine Übergangsfrist für betroffene Unternehmen vor. Seit dem 6. Dezember 2025 gelten Registrierungspflicht, Meldepflicht und Risikomanagementpflichten. Besonders wichtige Einrichtungen müssen ihre Maßnahmen innerhalb von drei Jahren (also bis Dezember 2028) gegenüber dem BSI nachweisen. Die Unterscheidung zwischen Sofort-Pflichten und Nachweisfristen ist in der Praxis wichtig, weil sie die Priorisierung bestimmt.
| Pflicht | Gilt seit | Nachweisfrist | Rechtsgrundlage |
|---|---|---|---|
| BSI-Registrierung | 06.12.2025 | Frist 06.03.2026 abgelaufen | §33, §34 BSIG |
| Vorfallsmeldung | 06.12.2025 | Sofort (24h/72h/1 Monat je Stufe) | §32 BSIG |
| Risikomanagement | 06.12.2025 | Sofort (Aufbau starten) | §30 BSIG |
| Nachweis (bwE) | 06.12.2025 | Bis Dezember 2028 (3 Jahre) | §39 BSIG |
| GF-Schulungspflicht | 06.12.2025 | Sofort und regelmäßig | §38 Abs. 3 BSIG |
Die Sofort-Pflichten bedeuten nicht, dass am Tag des Inkrafttretens alles fertig sein muss. Sie bedeuten, dass Unternehmen den Aufbau begonnen haben müssen und bei einem Vorfall meldepflichtig sind. Das BSI wird in den ersten Monaten voraussichtlich Unternehmen priorisieren, die weder registriert sind noch erkennbare Maßnahmen ergriffen haben. Wer zumindest registriert ist und einen dokumentierten Umsetzungsplan vorlegen kann, steht deutlich besser da.
In der Praxis empfiehlt sich ein Stufenmodell: Zuerst die BSI-Registrierung abschließen (sofern noch nicht geschehen), dann eine Gap-Analyse gegen die zehn Maßnahmenbereiche aus §30 durchführen, anschließend die Lücken priorisiert schließen. Unternehmen sollten nicht versuchen, alle Bereiche gleichzeitig aufzubauen, sondern mit den Themen beginnen, bei denen die größten Defizite bestehen. Ein dokumentierter Meldeprozess für Sicherheitsvorfälle gehört zu den ersten Prioritäten, weil die Meldepflicht keine Vorbereitungszeit kennt: Wenn morgen ein Ransomware-Angriff erfolgt, muss die 24-Stunden-Frist eingehalten werden.
Für besonders wichtige Einrichtungen kommt die Nachweispflicht nach §39 BSIG hinzu. Innerhalb von drei Jahren nach Inkrafttreten muss das BSI durch Audits, Prüfungen oder Zertifizierungen den Nachweis erhalten, dass die Risikomanagementmaßnahmen wirksam umgesetzt sind. Eine ISO-27001-Zertifizierung kann dabei als Nachweis dienen, deckt aber nicht alle NIS2-spezifischen Anforderungen ab (insbesondere das Meldeverfahren und die Geschäftsleitungspflichten fallen nicht unter ISO 27001).
Parallel arbeitet das Bundesministerium des Innern an einer Rechtsverordnung, die die Maßnahmen aus §30 weiter konkretisieren soll. Diese Verordnung wird voraussichtlich branchenspezifische Anforderungen definieren und sich an etablierten Standards wie dem BSI IT-Grundschutz und ISO 27001 orientieren. Bis die Rechtsverordnung vorliegt, gilt der Maßnahmenkatalog aus §30 BSIG als Orientierungsrahmen. Unternehmen, die sich an ISO 27001 oder dem BSI IT-Grundschutz ausrichten, sind auf der sicheren Seite.
Die zehn Maßnahmenbereiche aus §30 BSIG laufen auf eines hinaus: ein funktionierendes Informationssicherheitsmanagementsystem. Risikoanalyse, Dokumentation, Vorfallsmanagement, Lieferkettensicherheit, Schulungsnachweise, Wirksamkeitsprüfung. All das sind ISMS-Kernprozesse. Unternehmen, die diese Prozesse manuell in Excel-Tabellen und E-Mail-Ordnern abbilden, stoßen bei der Nachweisführung schnell an Grenzen.
ISMS-Plattformen wie SECJUR Digital Compliance Office strukturieren den Aufbau: Risikoinventar, Maßnahmenplanung, Dokumentation und Nachweisführung laufen in einer Lösung zusammen. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform Workflows, Vorlagen und Mappings mitbringt. Statt 9 bis 12 Monate mit einem Berater rechnen viele Unternehmen mit einer Plattform mit 3 bis 6 Monaten bis zum auditierbaren ISMS.
Der Vorteil liegt nicht nur in der Geschwindigkeit. Ein ISMS, das auf einer Plattform läuft, bleibt im Unternehmen. Es ist kein Beratungsprojekt, das nach dem Audit in der Schublade verschwindet, sondern ein System, das für die regelmäßigen Nachweise nach §39 BSIG weiterarbeitet. Wer die NIS2-Umsetzung als Startpunkt für ein dauerhaftes ISMS nutzt, investiert in eine Infrastruktur, die auch für künftige Regulierung (DORA, CRA, KRITIS-Dachgesetz) trägt.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist das deutsche Gesetz zur Umsetzung der EU-Richtlinie NIS2. Es ändert insbesondere das BSI-Gesetz und verpflichtet rund 29.500 Unternehmen in 18 Sektoren zu Risikomanagement, Vorfallsmeldung und Registrierung beim BSI. Das Gesetz trat am 6. Dezember 2025 in Kraft.
Das NIS2UmsuCG wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und gilt seitdem. Es gibt keine Übergangsfrist. Betroffene Unternehmen müssen seit dem Tag der Verkündung die Pflichten aus dem Gesetz erfüllen.
Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden (24h-Frühwarnung, 72h-Bericht, 1-Monats-Abschluss) und Risikomanagementmaßnahmen in zehn Bereichen implementieren, darunter Risikoanalyse, Backup-Management, Lieferkettensicherheit und Multifaktor-Authentifizierung.
Die Registrierung erfolgt über das BSI-Portal MUK (muk.bsi.bund.de). Voraussetzung ist ein ELSTER-Organisationszertifikat. Unternehmen geben Stammdaten, Sektorzuordnung und eine Kontaktperson an. Die Registrierungsfrist lief am 6. März 2026 ab, verspätete Registrierungen sind weiterhin möglich. SECJUR Digital Compliance Office unterstützt Unternehmen dabei, die Anforderungen systematisch umzusetzen.
Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Höchstgrenzen bei 7 Millionen Euro oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführer nach §38 BSIG persönlich.
Der EU AI Act sorgt in der Open-Source-Community für viel Unsicherheit, doch mit dem richtigen Verständnis verlieren die Regeln ihren Schrecken. Dieser Leitfaden zeigt Entwicklern praxisnah, wann die Open-Source-Ausnahme wirklich gilt, welche Projekte trotz freier Lizenz voll reguliert sind und wie Sie Transparenz, Dokumentation und Risikomanagement effizient umsetzen. Erfahren Sie, wie Sie Open-Source-KI verantwortungsvoll entwickeln und gleichzeitig rechtssicher bleiben, ohne Ihre Innovationsfreiheit einzuschränken.
Viele Unternehmen kämpfen damit, Funktionstrennung in zunehmend hybriden IT-Landschaften sauber umzusetzen. Dieser Leitfaden zeigt praxisnah, wie Sie SoD-Konflikte in On-Premise-, Cloud- und SaaS-Umgebungen identifizieren, technische Kontrollen wirksam einsetzen und ISO-27001-konform strukturieren. Erfahren Sie, wie moderne Self-Service-Modelle, zentrale Rollenmatrix und automatisiertes Berechtigungsmanagement aus komplexen Zugriffsszenarien ein robustes, auditsicheres Sicherheitsfundament machen.
Die Bundesregierung rechnet mit 70.000 EUR einmalig und 73.000 EUR jährlich pro Unternehmen für die NIS2-Umsetzung. Wir zeigen, wohin das Geld fließt und wie Plattformen die Kosten senken.
.svg)
.svg)
.svg){kind=small}