NIS2UmsuCG: Pflichten für Unternehmen seit Jahresende definiert – Registrierungspflicht läuft

Im Dezember 2025 ist das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-Umsetzungsgesetz; NIS2UmsuCG) in Kraft getreten (BGBl I 25, Nr. 301). Es zielt darauf ab, die Cyber- und Informationssicherheit in Deutschland zu stärken – sowohl in Unternehmen als auch in der öffentlichen Verwaltung. BBP berichtet, was Unternehmen jetzt beachten müssen.

1. BSI als Herzstück: Registrierungsfrist läuft

Das neu gefasste „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)“, BGBl I 25, Nr. 301, S. 2, definiert weitgehend den relevanten Ordnungsrahmen. Grundlage ist die „Richtlinie (EU) 2022/2555 des EU-Parlaments und des Rats vom 14.12.22 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)“, die am 16.1.23 in Kraft trat. Die Umsetzungsfrist in nationales Recht endete am 17.10.24 und wurde in Deutschland zunächst nicht eingehalten.

Das BSI bildet das Herzstück des neuen Regelungsregimes. Es verantwortet nicht nur wesentliche Bausteine der Sicherheitsarchitektur, sondern ist zugleich Aufsichtsbehörde, Meldestelle und zuständig für Zertifizierungsaufgaben der Bundesverwaltung. Für betroffene Unternehmen ist es zudem der zentrale Einstiegspunkt: iww.de/s15246.