Mit dem Beschluss des Bundestags am 13. November 2025 und der am 5. Dezember 2025 erfolgten Verkündung des Gesetzes gilt: Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 rechtskräftig. Damit tritt eine umfassende Reform des Cyber- und IT-Sicherheitsrechts in Deutschland in Kraft.
Was bedeutet das Inkrafttreten?
- Das Gesetz beinhaltet eine weitgehende Novellierung des bisherigen BSI-Gesetzes (BSIG). Damit wird der Kreis der regulierten Unternehmen deutlich ausgeweitet: Statt vormals rund 4.500 sind künftig bis zu circa 29.500 Einrichtungen erfasst — darunter viele mittelständische Unternehmen, die bislang nicht reguliert waren.
- Für betroffene Einrichtungen gelten damit verbindliche Pflichten: Registrierung beim zuständigen Portal, Aufbau und Dokumentation eines Informationssicherheits- und Risikomanagements sowie Meldepflichten für erhebliche Sicherheitsvorfälle.
Mit dem Inkrafttreten des Gesetzes endet die Übergangsphase endgültig. Unternehmen, die künftig unter die Regelungen fallen, sind verpflichtet, die gesetzlichen Vorgaben zu erfüllen.
Für viele mittelständische Unternehmen bedeutet das: Handeln statt abwarten! Wer bislang gezögert hat, sollte sich mit NIS2 beschäftigen.
„Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes markiert Deutschland einen wichtigen Wendepunkt in der nationalen Cybersicherheitslandschaft.“
Was müssen Entscheider und Inhaber wissen?
- Breiter Anwendungsbereich: NIS-2 gilt nicht mehr nur für große Betreiber kritischer Infrastruktur. Auch Unternehmen aus typischen KMU-Branchen können betroffen sein – sobald definierte Schwellenwerte (z. B. Mitarbeiterzahl, Umsatz) erreicht werden.
- Verbindliche Pflichten ohne Übergangsfrist: Registrierung, Risikomanagement und Meldeprozesse müssen aufgebaut bzw. angepasst werden.
- Ausgestaltung der Verantwortung: Insbesondere Geschäftsführung und Leitungsebene sind gefordert – das Gesetz richtet sich ausdrücklich nicht nur an die IT, sondern an die Gesamtverantwortung des Unternehmens.
Einschätzung der Lage – und Handlungsempfehlung von Ratisbona Compliance
„Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes markiert Deutschland einen wichtigen Wendepunkt in der nationalen Cybersicherheitslandschaft“, sagt Matthias Haßler, Geschäftsführer von Ratisbona Compliance. „Für viele Unternehmen heißt das: Planungssicherheit, aber auch klarer Handlungsdruck. Wer jetzt beginnt, sich strukturiert aufzustellen, spart morgen Zeit — und schützt sich effektiv.“
Fazit
Das neue IT-Sicherheitsgesetz ist nun in Kraft – und mit ihm ein neues, verbindliches Sicherheitsniveau in Deutschland. Für Unternehmen, insbesondere im Mittelstand, heißt das: nicht länger abwarten, sondern handeln. Ratisbona Compliance steht bereit, Sie auf diesem Weg zu begleiten.