NIS 2: ab jetzt tickt die Uhr

Der Bundestag hat am 13. November 2025 das NIS2-Umsetzungsgesetz verabschiedet – ein Meilenstein für die Cybersicherheit in Deutschland. Mit dem neuen Gesetz ändert sich für Unternehmen und Organisationen fundamental, wie digitale Risiken erkannt, gemeldet und gemanagt werden müssen. Fachleute und Branchenverbände sind sich einig: Wer jetzt zögert, riskiert empfindliche Bußgelder, Cybervorfälle – und langfristig seine Reputation.

Was ändert sich konkret?

Die NIS2-Pflichten erfassen künftig deutlich mehr Unternehmen als bisher – Schätzungen sprechen von rund 29.500 Organisationen in 18 Sektoren, darunter erstmals auch große Teile der öffentlichen Verwaltung und kritische Zulieferer. Unternehmen müssen sich binnen drei Monaten nach Veröffentlichung des Gesetzes beim BSI registrieren. Im Unterschied zur bisherigen Regelung gibt es keine verlängerten Übergangsfristen mehr: Nach dem Eintrag ins Bundesgesetzblatt ist das Gesetz sofort bindend.

Kernpunkte der Pflichten sind:

• Schnelle Registrierung nach Identifikation als „betroffen“ (maximal drei Monate)
• Einführung eines strengen, dreistufigen Meldewesens für Sicherheitsvorfälle mit Fristen von 24 Stunden, 72 Stunden und einem Monat
• Nachweispflichten: Betreiber kritischer Anlagen werden im Turnus von drei Jahren überprüft, für andere Unternehmen ist statt der aktiven Nachweispflicht ein Fokus auf die innere Organisation und Dokumentation vorgesehen.
• Deutlich erhöhte Bußgelder und engmaschigere staatliche Kontrollen

Was müssen Unternehmen jetzt tun?

Die wichtigsten Schritte, die betroffene Unternehmen und Organisationen JETZT Unternehmen sollten, lassen sich wie folgt zusammenfassen:

1. Betroffenheitsanalyse: Prüfen Sie sofort, ob Ihr Unternehmen unter die neuen NIS2-Regelungen fällt. Dokumentieren Sie Ihre Analyse sorgfältig – die Behörden werden sie bei Registrierung und im Rahmen eventueller Überprüfungen einfordern.
2. Registrierung vorbereiten: Halten Sie alle erforderlichen Angaben und Nachweisdokumente bereit, um sich zeitnah nach Inkrafttreten beim BSI registrieren zu können.
3. ISMS (Informationssicherheits-Managementsystem) aufbauen oder weiterentwickeln: Die Implementierung eines ISMS ist in der Regel unverzichtbar, um die Anforderungen von NIS2 zu erfüllen.
4. Meldeprozesse und Kommunikationswege etablieren: Ein klar strukturiertes internes Meldesystem ist entscheidend, um im Ernstfall innerhalb der vorgeschriebenen Fristen reagieren zu können.
5. Nachweis- und Prüfprozesse installieren: Planen Sie bereits jetzt Kontrollen und Audits ein, um spätestens zum Stichtag 2027 die vollständige Einhaltung nachzuweisen.
6. Sicherheitskultur stärken: Schulen Sie Mitarbeitende und schaffen Sie ein Bewusstsein für Cybersicherheit auf allen Ebenen des Unternehmens.

Expertenrat: Warum handeln jetzt zählt!

Der Gesetzgeber macht keine halben Sachen: Es gibt keine Schonfrist, und selbst eine Übergangsfrist von drei Monaten ist im Hinblick auf die Komplexität nur schwer einzuhalten. Wer zu lange wartet, setzt sich massivem Stress aus und riskiert empfindliche Bußgelder oder Imageschäden. Auch wenn Details zur Bewertung und behördlichen Auslegung teils noch offen sind: Das Grundgerüst steht – und damit die Pflicht zur Vorbereitung.

Unterstützung durch enthus

Als IT-Security- und Digitalisierungspartner bietet enthus umfassende Unterstützung:

• Durchführung von Betroffenheitsanalysen
• Beratung bei der Einführung oder Weiterentwicklung eines ISMS
• Umsetzung der notwendigen IT-Security Standards, sowohl in der aktiven als auch der passiven Infrastruktur
• Umsetzung der erforderlichen Melde- und Nachweisstrukturen
• Schulung von Führungskräften und Belegschaft

Mit erfahrenen Expertinnen und Experten begleiten wir Ihr Unternehmen von der Erstprüfung bis zur fortlaufenden Compliance-Kontrolle – praxisnah, lösungsorientiert und transparent.

Jetzt Kontakt aufnehmen und Ihr Unternehmen fit für das neue NIS2-Gesetz machen – bevor Fristen, Stress und potenzieller Schaden drohen.

Melden Sie sich gerne über das Kontaktformular oder direkt über die hallo@enthus.de.