Zurück zum Blog
HostingNIS2Compliance

NIS2 in Kraft: Was sich seit Dezember 2025 geändert hat

·6 Min. Lesezeit

NIS2 ist da: Die neue Realität der Cybersicherheit in Deutschland

Nach langem Ringen ist das **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** in Deutschland in Kraft getreten. Damit gelten für tausende Unternehmen neue, verbindliche Cybersicherheitspflichten. Die Zeit der Vorbereitung ist vorbei – jetzt zählt die Umsetzung.

Was sich konkret geändert hat

**Erweiterter Anwendungsbereich:** Während die alte NIS-Richtlinie in Deutschland nur etwa 800 Unternehmen betraf, sind es unter NIS2 schätzungsweise **29.000 bis 40.000 Unternehmen**. Besonders betroffen sind nun auch IT-Dienstleister, Managed Service Provider und Unternehmen des verarbeitenden Gewerbes.

**Persönliche Geschäftsführerhaftung:** Geschäftsführer und Vorstände haften nun persönlich für die Einhaltung der Cybersicherheitspflichten. Dies kann nicht an die IT-Abteilung oder externe Dienstleister delegiert werden.

**Verschärfte Meldepflichten:** Die dreistufige Meldepflicht (24 Stunden Frühwarnung, 72 Stunden Detailmeldung, 1 Monat Abschlussbericht) ist jetzt verbindlich. Das BSI hat die entsprechenden Meldeportale bereitgestellt.

**Bußgeldrahmen:** Bei wesentlichen Einrichtungen drohen Bußgelder von bis zu **10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes**. Bei wichtigen Einrichtungen sind es bis zu 7 Mio. Euro oder 1,4 % des Umsatzes.

Was Unternehmen jetzt sofort tun müssen

**1. Registrierung beim BSI**

Betroffene Unternehmen müssen sich innerhalb der vorgegebenen Frist beim BSI registrieren. Die Registrierung erfolgt über das BSI-Portal und umfasst:

Unternehmensname und Kontaktdaten
Sektor und Teilsektor
EU-Mitgliedstaaten, in denen Dienste erbracht werden

**2. Mindestmaßnahmen umsetzen**

Das Gesetz schreibt zehn Mindestmaßnahmen vor:

Risikoanalyse und Sicherheitskonzepte
Bewältigung von Sicherheitsvorfällen
Business Continuity Management
Sicherheit der Lieferkette
Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Bewertung der Wirksamkeit von Maßnahmen
Cyberhygiene und Schulungen
Kryptografie und Verschlüsselung
Personalsicherheit und Zugangskontrollen
Multi-Faktor-Authentifizierung

**3. Meldeprozesse etablieren**

Stellen Sie sicher, dass Ihr Unternehmen in der Lage ist, Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. Benennen Sie Verantwortliche und testen Sie den Prozess.

**Wichtig:** Das BSI hat angekündigt, bereits im ersten Quartal nach Inkrafttreten stichprobenartig die Umsetzung zu überprüfen. Warten Sie nicht ab.

Auswirkungen auf Hosting und IT-Dienstleister

IT-Dienstleister und Managed Service Provider sind unter NIS2 erstmals direkt betroffen. Das bedeutet:

Ihre Hosting-Anbieter: müssen NIS2-konform arbeiten
Vertragliche Vereinbarungen: mit IT-Dienstleistern müssen Sicherheitsanforderungen enthalten
Die Lieferkette: wird zum Prüfungsgegenstand

Fazit

NIS2 ist keine theoretische Regulierung mehr, sondern **geltendes Recht mit spürbaren Konsequenzen**. Unternehmen, die noch nicht mit der Umsetzung begonnen haben, sollten dies sofort nachholen. Die persönliche Haftung der Geschäftsführung macht Cybersicherheit endgültig zur Chefsache.

Interesse geweckt?

Lassen Sie uns über Ihr Projekt sprechen.

Kontakt aufnehmen
WhatsApp Chat