Am 6. Dezember 2025 ist in Deutschland das Gesetz zur Umsetzung der EU-weiten NIS-2-Richtlinie in Kraft getreten. Die neuen gesetzlichen Regelungen betreffen zahlreiche Unternehmen – auch aus Rheinstetten. Ziel ist es, die Cybersicherheit europaweit zu stärken und kritische Infrastrukturen besser zu schützen. Welche Unternehmen betroffen sind und welche Pflichten jetzt gelten, erfahren Sie in dieser Übersicht.
Hintergrund: Warum die NIS-2-Richtlinie?
In den letzten Jahren haben sich die digitalen Bedrohungslagen in Europa dramatisch verschärft. Gezielte Cyberangriffe, Spionage, Sabotage und Desinformationen bedrohen zunehmend Wirtschaft, öffentliche Verwaltung und kritische Infrastrukturen. Besonders der russische Angriffskrieg gegen die Ukraine und der Nahostkonflikt unterstreichen die Dringlichkeit besserer Sicherheitsvorkehrungen – auch im digitalen Raum. Die EU sieht in solchen Angriffen eine der größten Bedrohungen für die Stabilität ihrer Mitgliedsstaaten. Die NIS-2-Richtlinie (Network and Information Security) setzt daher neue Standards in der IT-Sicherheit – verpflichtend für weit mehr Unternehmen als bislang.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist die Weiterentwicklung der bisherigen europäischen NIS-Richtlinie von 2016. Ziel ist ein einheitlich hohes Cybersicherheitsniveau innerhalb der EU. Die neue Richtlinie verpflichtet deutlich mehr Unternehmen zur Einhaltung strenger Sicherheitsvorgaben. Dabei liegt der Fokus auf besonders systemrelevanten Organisationen in den Bereichen Energie, Gesundheit, Transport und Kommunikation – aber auch viele mittelgroße Unternehmen fallen künftig unter die neuen Vorgaben.
Die zentralen Anforderungen richten sich an zwei Gruppen:
– „Besonders wichtige Einrichtungen“ (z. B. Betreiber kritischer Infrastrukturen mit über 250 Mitarbeitenden oder einem hohen Jahresumsatz)
– „Wichtige Einrichtungen“ (z. B. Unternehmen mit mehr als 50 Mitarbeitenden im Gesundheits-, Energie- oder Transportbereich)
Umsetzung in Deutschland ohne Übergangsfrist
Obwohl die Richtlinie auf EU-Ebene bereits im Januar 2023 in Kraft trat, erfolgte die Umsetzung in deutsches Recht erst ein Jahr später. Am 6. Dezember 2025 trat das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung der Informationssicherheit in der Bundesverwaltung“ in Kraft. Besonders wichtig: Es gibt keine Übergangsfristen – die Pflichten gelten unmittelbar.
Zum erweiterten Anwendungsbereich zählen künftig rund 30.000 Einrichtungen – deutlich mehr als die etwa 4.500 bisher erfassten Organisationen. Neben kritischen Infrastrukturen (KRITIS) und digital tätigen Unternehmen betrifft das Gesetz nun auch Einrichtungen mit bestimmter Mitarbeiterzahl oder Bilanzgrößen in Sektoren wie Gesundheitsversorgung, Energie, Wasser, Transport, Telekommunikation oder Finanzwesen.
Was müssen betroffene Unternehmen tun?
1. Registrierungspflicht
Alle betroffenen Unternehmen müssen sich aktiv registrieren – innerhalb von drei Monaten nach Feststellung der Betroffenheit. Die Anmeldung erfolgt über den Online-Dienst „Mein Unternehmenskonto“ (MUK), bei dem für juristische Personen ein digitales Unternehmenskonto eingerichtet wird. Anschließend erfolgt die eigentliche Registrierung im NIS-Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI).
2. Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen
Registrierte Unternehmen müssen ein umfangreiches Risikomanagement zur IT-Sicherheit nachweisen. Dazu gehören unter anderem:
– Risikoanalyse- und Sicherheitskonzepte
– Notfallpläne und Krisenmanagement (z. B. Daten-Backups)
– Sicherheitsmaßnahmen in der Lieferkette
– Schulungen für Mitarbeitende
– IT-Sicherheitsrichtlinien für Systemanschaffung und Wartung
– Einsatz moderner Authentifizierungs- und Kommunikationssysteme
Diese Maßnahmen müssen dokumentiert und regelmäßig aktualisiert werden. Je nach Risikoprofil des Unternehmens können zusätzliche branchenspezifische Standards erforderlich sein.
3. Meldepflicht bei Sicherheitsvorfällen
Sicherheitsvorfälle müssen künftig stufenweise gemeldet werden:
– Vorabmeldung innerhalb von 24 Stunden
– vollständiger Bericht innerhalb von 72 Stunden
– Abschlussbericht innerhalb eines Monats
Diese Meldungen laufen über das neue BSI-Portal, das ab dem 6. Januar 2026 zur Verfügung stehen soll. In der Übergangszeit werden bestehende Wege zur Meldung überbrückend weiterverwendet.
Kontrolle und Sanktionen
Das BSI übernimmt die Aufsicht über die Einhaltung der NIS-2-Anforderungen. Es kann Unternehmen zur Vorlage von Nachweisen, zur Zusammenarbeit bei Audits oder zur Umsetzung konkreter Maßnahmen verpflichten.
Die neuen Bußgelder sind empfindlich:
– Für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
– Für wichtige Einrichtungen: bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes
Obwohl eine persönliche Haftung von Geschäftsführern nicht ausdrücklich geregelt ist, besteht eine gesetzliche Pflicht der Geschäftsleitung zur aktiven Überwachung und Teilnahme an Schulungen zur IT-Sicherheit. Damit steigt auch die persönliche Verantwortung.
Pflichten für die Bundesverwaltung
Neben Unternehmen gilt das Gesetz ebenfalls für Einrichtungen der Bundesverwaltung. Diese müssen verbindliche IT-Sicherheitsstandards einhalten und unterliegen dabei ebenfalls der Aufsicht des BSI. Die Umsetzung erfolgt nach IT-Grundschutz und den Mindeststandards des Bundes.
Handlungsempfehlung für Unternehmen
Für Unternehmen – auch in Rheinstetten – ist es jetzt entscheidend, schnell zu prüfen, ob sie unter die Vorgaben der NIS-2-Richtlinie fallen. Eine unverbindliche Ersteinschätzung kann mit dem sogenannten „NIS2-Checker“ des BSI erfolgen. Verbindlich ist jedoch nur eine individuelle rechtliche Bewertung.
Erforderlich ist in jedem Fall:
– Prüfung der Betroffenheit
– Einrichtung eines Unternehmenskontos (MUK)
– rechtzeitige Registrierung bis Anfang 2026
– Umsetzung von IT-Risikomanagement und Dokumentation
– Einführung interner Meldeprozesse und Schulungsmaßnahmen
Fazit
Die europäische NIS-2-Richtlinie bedeutet für viele Unternehmen in Deutschland – auch im Raum Karlsruhe und Rheinstetten – eine erhebliche Ausweitung von Compliance-Pflichten im Bereich IT-Sicherheit. Die Umsetzung ist aufwendig, aber zugleich eine Chance, die digitale Sicherheit systematisch zu verbessern und sich proaktiv gegen Cyberangriffe zu wappnen.
Unternehmen sollten zeitnah klären, ob sie betroffen sind – und gegebenenfalls konkrete Maßnahmen einleiten. Juristische Begleitung kann dabei helfen, gesetzeskonforme Lösungen zu finden und Bußgelder zu vermeiden.
Bei Fragen unterstützen wir Sie gern mit unserer langjährigen Erfahrung im IT- und Datenschutzrecht.