Neues Gesetz
Am 13. November 2025 hat der Deutsche Bundestag die bisherige EU-Richtlinie NIS-2 in nationales Recht umgesetzt (NIS2UmsuCG). Damit müssen viele Unternehmen höhere Cybersicherheitsregeln erfüllen.
Es gelten keine Übergangsfristen, die neuen Regeln gelten ab sofort.
NIS-2
Die NIS-2-Richtlinie wurde 2022 von der EU verabschiedet, um Cybersicherheit und Resilienz in der EU zu stärken.
Im Unterschied zur ersten NIS-Richtlinie wurde der Kreis der betroffenen Unternehmen und ihre Pflichten deutlich ausgeweitet. So werden inzwischen deutlich mehr Wirtschaftssektoren als kritische Infrastruktur eingeordnet.
Auch wurden Ausnahmeregelungen für kleine Unternehmen anhand von Mitarbeiteranzahl und Umsatz deutlich reduziert. Bereits ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz pro Jahr können Unternehmen von NIS-2 betroffen sein, wenn sie zu kritischen oder essenziellen Wirtschaftssektoren zählen.
Betroffenheitsprüfung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine kostenlose, einfache Prüfung an, ob ein Unternehmen von den neuen NIS-2-Regeln betroffen sein könnte. Mit einer kurzen Selbstauskunft kann die Situation unverbindlich eingeschätzt werden.
Hier geht es zur Betroffenheitsprüfung des BSI.
Eine anschauliche Übersicht der Kriterien lässt sich auch bei OpenKRITIS finden.
Empfehlungen
- Prüfen Sie, ob Ihr Unternehmen durch NIS-2 betroffen ist.