Es ist offiziell: Die Bundesregierung hat das neue NIS-2-Umsetzungsgesetz am Freitag, den 5. Dezember 2025 verabschiedet — und ohne Übergangsfrist. Damit gelten die verschärften Vorgaben ab sofort.
🔹 Warum NIS-2?
Prävention schützt vor wirtschaftlichen Schäden!
Der Digitalverband Bitkom begrüßt die anstehende Umsetzung der EU-Richtlinie in nationales Recht. „Dadurch wird das Sicherheitsniveau in deutschen Unternehmen gestärkt“, sagt Felix Kuhlenkamp, zuständiger Referent für Sicherheitspolitik. So müssten die betroffenen Unternehmen unter anderem Fortbildungsmaßnahmen umsetzen und Notfallpläne aufstellen, die regeln, was passiert, wenn Systeme ausfallen.
Der wichtigste Punkt des Gesetzes ist aus Sicht des Digitalverbandes die Ausweitung der Sicherheitsanforderungen auf eine größere Anzahl von Unternehmen. „Dies stellt sicher, dass auch kleinere Unternehmen, die oft das Ziel von Cyberangriffen sind, in das harmonisierte Schutzniveau integriert werden.“
Durch das neue Gesetz werden auf die betroffenen Unternehmen insgesamt finanzielle Belastungen in Milliardenhöhe zukommen. Je nach Unternehmensgröße und Branche wird die Höhe variieren. Der Digitalverband Bitkom schätzt den Nutzen der Sicherheitsmaßnahmen aber als höher ein als deren Kosten – „da der wirtschaftliche Schaden durch erfolgreiche Cyberangriffe deutlich höher ist als die Investitionen in präventive Maßnahmen“, wie Kuhlenkamp sagt.
🔹 Was bedeutet das kurz und knapp für Unternehmen?
- Der Geltungsbereich für verpflichtete Unternehmen wächst deutlich: Statt weniger als 5.000 Betroffener werden nun rund 30.000 Organisationen reguliert.
- Unternehmen in Sektoren wie Energie, Gesundheit, IT-Dienste, öffentliche Verwaltung und weiteren sind besonders betroffen. Auch viele bisher unregulierte Unternehmen müssen jetzt prüfen, ob sie unter die neuen Regeln fallen. Und auch Zulieferer unabhängig von Größe und Umsatz, die nur in der Lieferkette stehen, sind betroffen, da die regulierten Organisationen, eine sichere Lieferkette gewährleisten müssen!
- Neue gesetzliche Pflichten betreffen u.a. Risiko- und Sicherheitsmanagement, Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), Meldung von Sicherheitsvorfällen sowie Nachweispflichten für Compliance und IT-Sicherheit.
✅ Warum Sie jetzt handeln sollten
Das Gesetz sieht keine Übergangsfrist vor — das heißt: wer betroffen ist, muss seine Prozesse, Dokumentation und Sicherheit unmittelbar prüfen und ggfs. anpassen.
Ohne Anpassungen drohen nicht nur rechtliche Risiken, sondern auch mögliche Bußgelder und im Worst-Case schwere Konsequenzen bei Sicherheitsvorfällen.
💡 Unser Angebot: Wir helfen Ihnen bei der Umsetzung
Als erfahrene Spezialisten im Bereich IT-Sicherheit, Datenschutz und Compliance stehen wir bereit, um Sie bei:
- der Einschätzung Ihrer Betroffenheit,
- der Umsetzung der notwendigen Maßnahmen,
- der Registrierung und Dokumentation sowie
- dem Aufbau eines ISMS
- …
zu unterstützen — damit Sie fit für die neuen NIS-2-Anforderungen sind.
Melden Sie sich gern für eine unverbindliche Einschätzung. Hier der Link zur Buchung: https://petzka-consulting.com/nis2-compliance/
Quellen & weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „NIS-2-Umsetzungsgesetz in Kraft“ – https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
- Bundesgesetzblatt: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
- Beitrag der Tagesschau: https://www.tagesschau.de/wirtschaft/digitales/cybersicherheit-unternehmen-richtlinie-nis-2-100.html
- Stellungnahme bitkom: https://www.bitkom.org/Bitkom/Publikationen/Umsetzung-NIS-2-Richtlinie
- Beitrag der Newsplattform Heise.de: „Zu Nikolaus: NIS2-Umsetzungsgesetz tritt in Kraft“: https://www.heise.de/news/Zu-Nikolaus-NIS2-Umsetzungsgesetz-tritt-in-Kraft-11104030.html