Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung ist zum 6. Dezember 2025 die Modernisierung des Cybersicherheitsrechts in Kraft getreten.
Dadurch erhöhen sich die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.
Geltungsbereich erweitert sich
Die nationale Umsetzung der EU-Richtlinie erfolgt insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in einer Pressemitteilung darauf hin, dass Unternehmen selbständig prüfen müssen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 vom BSI beaufsichtigten Einrichtungen gehören, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten. Bislang waren etwa 4.500 Organisationen durch das BSI-Gesetz reguliert – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse.
Drei zentrale Pflichten
Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des BSIG deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien ‚wichtige Einrichtungen‘ und ‚besonders wichtige Einrichtungen‘. Diese müssen drei zentralen Pflichten nachkommen:
Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren,
dem BSI erhebliche Sicherheitsvorfälle zu melden und
Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren.
KRITIS-Organisationen gelten automatisch als besonders wichtige Einrichtungen.
Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Von den Einrichtungen der Bundesverwaltung verlangt das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis. Zusätzlich muss die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, die das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der Website des BSI abrufbar.
In der Pressemitteilung des BSI äußert sich auch Präsidentin Claudia Plattner zur Novellierung: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“
Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Demnach muss zunächst eine Anmeldung beim digitalen Dienst ‚Mein Unternehmenskonto‘ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiert auf der Elster-Technologie und nutzt Elster-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
Das BSI empfiehlt, den Account bei ‚Mein Unternehmenskonto‘ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle. Die Behörde weist zudem darauf hin, dass meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im Portal einen erheblichen Sicherheitsvorfall erleiden, diesen dem BSI über ein Online-Formular melden, KRITIS-Einrichtungen und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.
