NIS-2 Umsetzungsgesetz: Anwendung des NIS2UmsuCG in Deutschland

Das NIS-2 Umsetzungsgesetz übersetzt europäische Cybersecurity-Vorgaben in konkrete Anforderungen für Unternehmen und öffentliche Einrichtungen. Dieser Text beleuchtet, wie die NIS-2-Umsetzung in Deutschland rechtlich gesteuert wird, welche Rolle BSI und BSIG 2025 einnehmen und wo sich für Konzerne Hebel für die Anpassung von Governance, Risikomanagement und Compliance ergeben.

Eine Geschäftsführerin sitzt an einem großen Tisch im Büro. Sie sieht konzentriert auf den Bildschirm ihres Notebooks. Sie studiert das neue NIS-2 Umsetzungsgesetz.

1. NIS-2 Umsetzungsgesetz in Deutschland: Überblick
2. H2 2: Rechtsrahmen von NIS-2 und NIS2UmsuCG
3. Aufsicht und Registrierung nach NIS2UmsuCG
4. NIS-2-Umsetzung in Deutschland vs. EU

NIS-2 Umsetzungsgesetz in Deutschland: Überblick

Das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) ist der zentrale Baustein für die NIS-2-Umsetzung in Deutschland. Es konkretisiert, welche Einrichtungen rechtlich erfasst sind, welche Sicherheits- und Meldepflichten gelten und welche Rolle das BSI als Aufsichtsbehörde übernimmt. Damit schließt das NIS-2-Gesetz die Lücke zwischen EU-Vorgaben und praktischer NIS-2-Umsetzung in Deutschland.

Was ist das NIS2-Umsetzungsgesetz?

Das NIS2UmsuCG („Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“) überführt die NIS-2-Richtlinie 2022/2555 in deutsches Recht. Es wird häufig verkürzt als NIS-2-Gesetz oder NIS-2 Umsetzungsgesetz Deutschland bezeichnet.

Im Kern definiert das Gesetz:

wer als „besondere“ und „wichtige Einrichtung“ gilt (Sektoren + Schwellenwerte)
welche NIS-2-Maßnahmen zum Risikomanagement verpflichtend sind
welche Melde-, Registrierungs- und Nachweispflichten gegenüber dem BSI gelten

Das Bundesinnenministerium geht von rund 29.500 betroffenen Unternehmen und Einrichtungen aus – ein deutlicher Sprung gegenüber der bisherigen KRITIS-Regulierung (Quelle: Pressemitteilung des BMI von 2024).

Einen breiten Einstieg in Geltungsbereich, Sektoren und Beispiele bietet unsere NIS-2-Übersichtsseite. Konkrete technische und organisatorische Vorgaben werden im Text zu den NIS-2-Anforderungen vertieft. In vielen Fachbeiträgen wird das NIS2UmsuCG als Kern eines umfassenden NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz verstanden, das den bestehenden Rechtsrahmen zur Informationssicherheit systematisch ergänzt.

Was ist das Ziel von NIS2?

Die NIS-2-Vorgaben verfolgen das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu etablieren. Dazu definiert sie Mindestanforderungen für Cybersicherheit, harmonisiert Aufsicht und Meldepflichten und erweitert den Anwendungsbereich auf zusätzliche Sektoren und Lieferketten.

Für Konzerne und große Organisationen bedeutet das: Cybersicherheit wird von einem projektbezogenen Thema zu einem dauerhaften Governance- und Compliance-Baustein. Die NIS-2-Compliance eines Unternehmens beeinflusst zunehmend auch Ausschreibungen, Lieferbeziehungen und Finanzierungskonditionen – insbesondere in stark vernetzten Branchen.

Inkrafttreten und aktueller Stand des NIS-2 Umsetzungsgesetzes

Die NIS-2-Richtlinie gilt auf EU-Ebene seit Januar 2023, die Umsetzungsfrist endete im Oktober 2024. Deutschland hat die Vorgaben mit dem NIS-2 Umsetzungsgesetz in nationales Recht überführt. Das Gesetz ist hierzulande am 6. Dezember 2025 in Kraft getreten.

Parallel treiben andere Mitgliedstaaten die NIS-2-Umsetzung mit eigenen Umsetzungsgesetzen voran. Für den aktuellen Stand des NIS2UmsuCG sind insbesondere Veröffentlichungen von BMI und BSI maßgeblich, die den Rahmen für Aufsicht, Registrierung und künftige Detailregelungen abstecken und den Fokus auf belastbare NIS-2-Compliance verstärken.

H2 2: Rechtsrahmen von NIS-2 und NIS2UmsuCG

Der Rechtsrahmen besteht aus der europäischen NIS-2-Richtlinie und dem deutschen NIS-2 Umsetzungsgesetz (NIS2UmsuCG) mit dem neu gefassten BSIG. Die Richtlinie setzt Ziele und Mindeststandards, das NIS-2-Gesetz regelt die konkrete Umsetzung in Deutschland – inklusive Aufsicht, Meldewegen und Sanktionen. Für Konzerne und große Organisationen ist das Zusammenspiel dieser Ebenen entscheidend, um belastbare NIS-2-Compliance herzustellen.

Was ist der Unterschied zwischen der NIS-2-Richtlinie und dem NIS2-Umsetzungsgesetz in Deutschland?

Die NIS-2-Richtlinie (EU) 2022/2555 definiert ein „hohes gemeinsames Cybersicherheitsniveau“ in der EU und legt Mindestanforderungen an Risikomanagement, Meldepflichten und Aufsicht fest. Das NIS2UmsuCG setzt diese Vorgaben als NIS-2-Gesetz in nationales Recht um und ändert dazu insbesondere das BSI-Gesetz (BSIG-neu).

Kernunterschiede lassen sich klar strukturieren:

Rechtsebene: EU-Richtlinie vs. nationales NIS-2-Umsetzungsgesetz Deutschland
Adressaten: Vorgaben an Mitgliedstaaten vs. unmittelbar geltende Pflichten für Einrichtungen und Unternehmen
Inhalt: Zielvorgaben und Mindeststandards vs. konkrete Paragrafen, Fristen und Bußgeldrahmen
Aufsicht: Grundprinzip „effective, proportionate and dissuasive“ vs. detaillierte Befugnisse des BSI und der Landesbehörden im BSIG-neu

Die NIS-2-Richtlinie unterscheidet „essential“ und „important entities“ in 18 Sektoren; beide Kategorien müssen Risikomanagementmaßnahmen nach Art. 21 und Meldepflichten nach Art. 23 erfüllen (Quelle: nis-2-directive.com). Das NIS2UmsuCG übernimmt diese Logik und übersetzt sie in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ mit konkreten Schwellenwerten, Registrierungs- und Nachweispflichten nach BSIG-neu.

Für Konzernstrukturen bedeutet das: Die Frage „Gilt NIS-2-Umsetzung EU-weit?“ wird juristisch auf Ebene der Richtlinie beantwortet, während die operative Frage „Welche Gesellschaft ist nach NIS2UmsuCG betroffen und wie tief?“ ausschließlich das deutsche Umsetzungsgesetz und das BSIG 2025 klären.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz und BSIG 2025

Zentrale Elemente des BSIG 2025 im NIS-2-Kontext sind:

Kategorien
Einstufung als besonders wichtige oder wichtige Einrichtung mit Size-Cap-Rule und Sektorenzuordnung
Kernpflichten
Proaktive Risikomanagementmaßnahmen nach § 30 BSIG-neu, einschließlich Lieferkettensicherheit und lückenloser Dokumentation
Meldewesen
Dreistufige Meldefristen (24h / 72h / 1 Monat) für erhebliche IT-Sicherheitsvorfälle an das BSI
Leitungsorgane
Explizite NIS-2-Managementpflichten und persönliche Verantwortung der Geschäftsleitung nach § 38 BSIG-neu

Die bisherige BSI-Kritisverordnung bleibt als sektorspezifische Ausprägung relevant, wird aber in einen breiteren Regulierungsrahmen eingebettet, der auch viele nicht-klassische KRITIS-A Akteure erfasst. Damit wird aus einer vormals punktuellen KRITIS-Regulierung ein umfassendes NIS-2-Compliance-System, das Konzerne, öffentliche Unternehmen und große Dienstleister in Governance, Reporting und Auditfähigkeit deutlich stärker bindet. (Siehe dazu auch die Artikel NIS2-Governance im Konzern und Was ändert sich für KRITIS?)

Aufsicht und Registrierung nach NIS2UmsuCG

Aufsicht und Registrierung sind der operative Hebel des NIS-2 Umsetzungsgesetzes in Deutschland. Erst über die Erfassung beim BSI wird sichtbar, welche Einrichtungen unter das NIS2UmsuCG fallen, welche Meldepflichten gelten und wo Aufsichtsmaßnahmen ansetzen können. Für Konzerne entsteht damit ein klarer, aber eng getakteter Rahmen für NIS-2-Compliance.

Registrierung beim BSI

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz weist dem BSI eine zentrale Rolle zu: Es führt das Register der betroffenen Einrichtungen, betreibt Meldeportale und setzt auf Basis des BSIG-neu Aufsichts- und Ermittlungsbefugnisse durch. Die Registrierung erfolgt in der Regel elektronisch und ist keine Formalie, sondern Voraussetzung für:

Zuordnung von Meldewegen und Ansprechpartnern
risikoorientierte Prüfungen und Audits
Durchsetzung des Bußgeldrahmens bei Verstößen

Für Unternehmensgruppen ist entscheidend, dass die Registrierung auf Ebene der jeweils betroffenen juristischen Person erfolgt, nicht pauschal für den gesamten Konzern.
Verspätete oder fehlende Registrierung wird im Rahmen der NIS-2-Umsetzung als Verstoß gewertet.

NIS-2-Umsetzung in Deutschland vs. EU

NIS-2-Maßnahmen in Deutschland und der EU greifen auf dieselbe Richtlinie zurück, werden aber national unterschiedlich ausgestaltet. Für Konzerne mit Standorten in mehreren Mitgliedstaaten entstehen dadurch abweichende Prüfmaßstäbe, Aufsichtsintensitäten und Meldewege, die in einer gemeinsamen NIS-2-Compliance-Strategie zusammengeführt werden müssen.

Welche Rolle hat das BSI bei der NIS-2-Umsetzung in Deutschland?

Mit dem NIS-2 Umsetzungsgesetz und dem BSIG 2025 steuert das BSI nicht nur Formalien wie Registrierung, sondern die konkrete Aufsichtspraxis. Im Mittelpunkt stehen risikoorientierte Prüfungen, technische Vorgaben und die Bewertung des Reifegrads von NIS-2-Maßnahmen in den Unternehmen.

Kurz gefasst übernimmt das BSI im NIS2UmsuCG laut aktuellem Stand vor allem:

🔼 Definition und Konkretisierung technischer Mindeststandards und Leitlinien
🔼 Planung und Durchführung risikobasierter Prüf- und Kontrollprogramme
🔼 Koordination mit Landesbehörden und europäischen Gremien bei grenzüberschreitenden Vorfällen

Damit wird das BSI zum Taktgeber für die NIS-2-Umsetzung in Deutschland – und faktisch auch zum Referenzpunkt für interne Konzernstandards.

NIS-2-Umsetzung in der EU und Auswirkungen auf Unternehmen

Die NIS-2-Richtlinie musste bis 17. Oktober 2024 in nationales Recht überführt werden; zahlreiche Mitgliedstaaten haben diese Frist nur verzögert erfüllt oder teilweise umgesetzt. Nach Analysen von ECSO und Fachkanzleien liegt die Zahl der vollständig transponierenden Staaten zeitweise bei unter 20 von 27.

Für Unternehmen bedeutet das: Die NIS-2-Umsetzung ist EU-weit rechtlich harmonisiert, praktisch aber fragmentiert. Konzernweite Governance muss deshalb länderspezifische Umsetzungsgesetze, unterschiedliche Aufsichtsbehörden und divergierende Prüfanforderungen in einem konsistenten NIS-2-Compliance-Ansatz bündeln.

FAQs

Gilt das NIS2-Umsetzungsgesetz auch für Unternehmen mit ISO 27001 oder BSI-Grundschutz?

Das NIS2-Umsetzungsgesetz gilt unabhängig von ISO 27001 oder BSI-Grundschutz. Zertifizierungen ersetzen keine NIS-2-Compliance, sondern bilden nur eine wichtige Grundlage. NIS2UmsuCG und BSIG-neu fügen zusätzliche Pflichten hinzu, etwa zu Registrierung beim BSI, Meldeprozessen, Managementhaftung und Lieferkettensicherheit. Auch ein etabliertes ISMS muss deshalb an den Vorgaben der NIS-2-Richtlinie gespiegelt werden. In der Praxis bedeutet das: ISO 27001 oder BSI-Grundschutz reduzieren Anpassungsaufwand, entbinden aber nicht von einer eigenständigen NIS-2-Umsetzung in Deutschland.

Welche Länder haben NIS2 bereits umgesetzt?

Mehrere EU-Staaten haben NIS2 bereits in nationales Recht überführt, darunter Deutschland mit dem NIS-2 Umsetzungsgesetz, Frankreich, die Niederlande, Dänemark und Tschechien. Andere Länder befinden sich noch im Gesetzgebungsverfahren. Für Konzernstrukturen bleibt die NIS-2-Umsetzung der EU daher vorerst heterogen.

Müssen wir unser Unternehmen nach NIS2UmsuCG aktiv beim BSI registrieren?

Nach dem NIS2UmsuCG müssen nur Einrichtungen beim BSI registriert werden, die die definierten Schwellenwerte erfüllen. Die Registrierung erfolgt aktiv und fristgebunden je juristischer Person. Unterlassene Registrierung gilt als Verstoß gegen das NIS-2 Umsetzungsgesetz.