Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie tritt ab morgen eine umfassende Modernisierung des deutschen Cybersicherheitsrechts in Kraft. Das neue Gesetz regelt zentrale Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung und erhöht gleichzeitig die Anforderungen an Unternehmen. Ziel ist es, die Resilienz Deutschlands gegenüber wachsenden Cyberbedrohungen nachhaltig zu stärken und die digitale Infrastruktur zukunftssicher zu gestalten.
Die nationale Umsetzung der EU-Richtlinie erfolgt insbesondere durch eine Novellierung des BSI-Gesetzes (BSIG). Bislang waren rund 4.500 Organisationen reguliert, darunter Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste und Unternehmen von besonderem öffentlichen Interesse. Mit dem NIS-2-Umsetzungsgesetz steigt die Zahl der betroffenen Einrichtungen auf etwa 29.500. Unternehmen, die in bestimmten Sektoren tätig sind und definierte Schwellenwerte hinsichtlich Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten, fallen künftig unter die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“. KRITIS gelten automatisch als besonders wichtig. Diese Unternehmen sind verpflichtet, sich als NIS-2-Unternehmen zu registrieren, erhebliche Sicherheitsvorfälle dem BSI zu melden und wirksame Risikomanagementmaßnahmen zu implementieren und zu dokumentieren.
Auch Einrichtungen der Bundesverwaltung sind betroffen, darunter Bundesbehörden, öffentlich-rechtliche IT-Dienstleister sowie bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Sie müssen IT-Risikomanagementmaßnahmen auf Basis des IT-Grundschutzes umsetzen und die BSI-Mindeststandards einhalten. Damit wird erstmals flächendeckend ein verbindliches Sicherheitsniveau für staatliche Einrichtungen festgeschrieben. BSI-Präsidentin Claudia Plattner betont die Dringlichkeit der Maßnahme: „Die Cybersicherheitslage Deutschlands ist angespannt. Schlecht geschützte Angriffsflächen machen die Bundesrepublik verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort: Es wird die Resilienz unseres Landes spürbar und messbar verbessern.“
Für betroffene Einrichtungen sieht das BSI einen zweistufigen Registrierungsprozess vor. Zunächst müssen Unternehmen ein Nutzerkonto bei „Mein Unternehmenskonto“ (MUK) anlegen – einem OZG-konformen Zugang für juristische Personen, der auf ELSTER-Zertifikaten basiert. Das BSI empfiehlt, diesen Account bis Ende 2025 einzurichten. Anschließend erfolgt ab dem 6. Januar 2026 die Registrierung im neuen BSI-Portal, das künftig als zentrale Meldestelle für erhebliche Sicherheitsvorfälle dient. Bis zur Freischaltung des Portals nutzen KRITIS und Bundesbehörden weiterhin ihre bisherigen Meldewege; andere betroffene Einrichtungen reichen Vorfälle über ein bereitgestelltes Online-Formular ein.
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes beginnt für Deutschland eine neue Phase der Cyberregulierung. Die Anforderungen an Unternehmen und Behörden steigen erheblich, zugleich wird ein einheitliches, EU-konformes Sicherheitsniveau geschaffen. Betroffene Einrichtungen sind nun gefordert, die Registrierung rechtzeitig vorzunehmen, Risikomanagementmaßnahmen zu implementieren und Meldeprozesse einzurichten. Nur so lässt sich sicherstellen, dass die digitale Infrastruktur des Landes gegen die wachsenden Bedrohungen im Cyberraum resilient bleibt.
