Mit Inkrafttreten des neuen NIS-2-Umsetzungsgesetzes modernisiert Deutschland umfassend sein Cybersicherheitsrecht. Die Anforderungen an die IT-Sicherheit steigen damit spürbar – für die Bundesverwaltung ebenso wie für eine große Zahl an Unternehmen.
Die Novelle des BSI-Gesetzes (BSIG) erweitert den Kreis der verpflichteten Einrichtungen erheblich: Statt bisher rund 4.500 sind künftig etwa 29.500 Organisationen betroffen. Unternehmen aus relevanten Sektoren, die gesetzliche Schwellenwerte bei Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten, werden als „wichtige“ oder „besonders wichtige Einrichtungen“ eingestuft. Für sie gelten verbindliche Pflichten:
- Registrierung als NIS-2-Unternehmen
- Meldung erheblicher Sicherheitsvorfälle an das BSI
- Umsetzung und Dokumentation eines IT-Risikomanagements
Betreiber Kritischer Infrastrukturen (KRITIS) zählen automatisch zu den „besonders wichtigen Einrichtungen“.
Auch die Bundesverwaltung ist verpflichtet, IT-Grundschutz-basierte Sicherheitsmaßnahmen sowie die BSI-Mindeststandards einzuhalten.
Für die Registrierung führt das BSI einen neuen, zweistufigen Prozess ein. Zuerst benötigen Unternehmen ein Konto bei „Mein Unternehmenskonto“ (MUK) auf ELSTER-Basis. Ab Januar 2026 erfolgt die Registrierung im neuen BSI-Portal, das auch als Meldeplattform für Sicherheitsvorfälle dient.
Mit dieser Gesetzesnovelle stärkt Deutschland seine Cyberresilienz und setzt die Anforderungen der EU-NIS-2-Richtlinie umfassend um.