NIS2-Umsetzungsgesetz Deutschland 2026: Stand, Pflichten, Fristen
Die europaeische NIS2-Richtlinie musste eigentlich bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Deutschland hat diese Frist gerissen — das NIS2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz (NIS2UmsuCG) ist Stand April 2026 immer noch in der parlamentarischen Umsetzung. Trotzdem gilt: Unternehmen sollten NICHT warten. Dieser Artikel erklaert den aktuellen Stand, was Sie schon heute umsetzen muessen und warum.
Was ist das NIS2-Umsetzungsgesetz?
Das NIS2UmsuCG ist die deutsche Umsetzung der EU-Richtlinie (EU) 2022/2555 (NIS2). Es aendert hauptsaechlich:
- Das BSI-Gesetz (BSIG) — grosser Umfang neuer Pflichten
- Das Telekommunikationsgesetz (TKG) — Netzbetreiberpflichten
- Das Energiewirtschaftsgesetz (EnWG) — Energieversorger
- Diverse Fachgesetze (z.B. gesundheitsrechtliche Bestimmungen)
Das Gesetz ueberfuehrt NIS2 in deutsches Recht und erweitert es teilweise (z.B. niedrigere Schwellenwerte in kritischen Sektoren).
Aktueller Gesetzgebungsstand (Stand April 2026)
Chronologie:
- Mai 2023: Erster Referentenentwurf des BMI
- Juli 2024: Regierungsentwurf im Bundeskabinett beschlossen
- Oktober 2024: Urspruengliche EU-Umsetzungsfrist — verpasst
- Dezember 2024: Erste Lesung im Bundestag
- Q1-Q2 2025: Bundestag- und Bundesrat-Beratung, Ausschuss-Anhoerungen
- Q3 2025: Nach den Neuwahlen politische Neuverhandlung, diverse Aenderungen
- Anfang 2026: Verabschiedung erwartet (mehrfach verschoben)
- In Kraft (Prognose): Mitte 2026, mit Uebergangsfristen
Die genaue Finalisierung bleibt offen. Aber: die materiellen Pflichten aus der NIS2-Richtlinie gelten bereits unmittelbar ab dem 18. Oktober 2024 — die Verzoegerung in DE aendert das nicht.
Was bedeutet "unmittelbar gueltig"?
Die NIS2-Richtlinie ist formal noch nicht in DE umgesetzt, aber:
- Aufsichtsbehoerden (BSI, Landesbehoerden) orientieren sich bereits an NIS2-Anforderungen bei Pruefungen
- Zivilrechtliche Haftung fuer Geschaeftsleitung (Art. 20) entsteht auch ohne explizite Umsetzung aus bestehendem Zivilrecht (Sorgfaltspflicht)
- Versicherungen pruefen Cyber-Deckung bereits gegen NIS2-Kriterien
- Kunden und Auftraggeber fordern NIS2-Konformitaet als Vertragsvoraussetzung
- Vertragspflichten entlang der Lieferkette (z.B. mit oeffentlichen Auftraggebern) setzen NIS2 praktisch voraus
Wer 2026 abwartet, riskiert: Vertragsverluste, Versicherungsausschluss, Haftungsansprueche bei Sicherheitsvorfaellen.
Zwei Arten von Einrichtungen
Das NIS2UmsuCG unterscheidet — wie NIS2 — zwischen:
Wesentliche Einrichtungen (§ BSIG-neu)
- Grossunternehmen (>= 250 Mitarbeiter oder >= 50 Mio. Jahresumsatz) in bestimmten Sektoren
- Sektoren: Energie, Verkehr, Bank, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, oeffentliche Verwaltung, Weltraum
- Bussgelder bis EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen (§ BSIG-neu)
- Mittlere Unternehmen (ab 50 MA oder 10 Mio. Umsatz) in erweiterten Sektoren
- Erweitert: Post und Kurier, Abfall, Chemie, Lebensmittel, Herstellung (kritische Produkte), digitale Anbieter
- Bussgelder bis EUR 7 Mio. oder 1,4% des weltweiten Jahresumsatzes
Groesse ist nicht allein entscheidend. Einige Einrichtungen fallen unabhaengig von der Groesse unter NIS2, z.B.:
- Kritische Betreiber (wie im KritisV gelistet)
- Vertrauensdiensteanbieter
- TLD-Registries
- Bestimmte oeffentliche Einrichtungen
Sind Sie betroffen? NIS2-Betroffenheitscheck — in 5 Minuten klaeren.
Die 10 zentralen Pflichten nach § 30 BSIG-neu
Das deutsche Gesetz uebernimmt im Wesentlichen die 10 Massnahmen aus NIS2 Art. 21:
- Risikoanalyse und Sicherheitsrichtlinien — dokumentiert, regelmaessig aktualisiert
- Behandlung von Sicherheitsvorfaellen — Incident Response Plan mit Playbooks
- Business Continuity Management — BCM/DR-Plaene, Backup-Konzept
- Lieferkettensicherheit — Lieferantenmanagement, Pruefung der Lieferanten
- Sicherheit bei Erwerb, Entwicklung und Wartung — sichere SDLC, Patch-Management
- Wirksamkeitsbewertung — regelmaessige Pruefungen (implizit Pentests)
- Cyber-Hygiene und Schulung — verpflichtend fuer alle Mitarbeitenden
- Kryptographie — Verschluesselung, Zertifikatsmanagement
- Personalsicherheit — Hintergrundpruefungen, Zugriffskontrollen, Beendigung
- Multi-Faktor-Authentifizierung und Kommunikationssicherheit
Mehr zu Massnahme 6 ("Wirksamkeitsbewertung") im Artikel NIS2 und Penetrationstests.
Neuigkeiten im Vergleich zur NIS2-Richtlinie
Das deutsche Gesetz geht in Teilen ueber die EU-Mindestanforderungen hinaus:
Erweiterte Sektorenliste
- DE erfasst manche Sektoren frueher oder breiter als die Richtlinie verlangt
- KRITIS-Sektoren (bereits unter BSIG alt) werden in NIS2 aufgenommen, erweitert
Strengere Meldefristen
- Erstmeldung: unverzueglich, spaetestens 24 Stunden nach Kenntnis
- Update-Meldung: 72 Stunden nach Erstmeldung
- Abschlussbericht: einen Monat nach Vorfall
Mehr dazu: NIS2 Meldepflicht.
Erweiterte Registrierungspflicht
- Bestimmte Einrichtungen muessen sich aktiv beim BSI registrieren
- Frist meist 3 Monate nach Inkrafttreten des Gesetzes bzw. nach Erfuellung der Kriterien
Mehr: NIS2 Registrierungspflicht.
Haftung der Geschaeftsleitung (§ 38 BSIG-neu)
- Geschaeftsleitungen sind persoenlich verantwortlich fuer die Einhaltung
- Bei grober Fahrlaessigkeit: persoenliche Haftung moeglich
- Schulungspflicht: Geschaeftsleitungen muessen regelmaessig geschult werden
Klagebefugnis
- Wettbewerber koennen bei Nicht-Einhaltung unter Umstaenden abmahnen (UWG-Bezug)
Was Sie schon heute tun sollten
Auch vor formaler Verabschiedung:
- Betroffenheitscheck — sind Sie wesentliche, wichtige oder nicht-relevante Einrichtung? Jetzt pruefen
- Gap-Analyse gegen die 10 Pflichtmassnahmen — NIS2 Readiness
- Geschaeftsleitung informieren — Haftungsrisiken transparent machen
- Pilot-Budget fuer 2026 einplanen (Tooling + externe Beratung + Pentest)
- Registrierungsvorbereitung — welche Daten werden gebraucht, welche Ansprechpersonen?
- Dokumentationsbasis aufbauen — Richtlinien, Risikoanalyse, Vorfallprozess dokumentieren
- Meldewege intern und Richtung BSI vorbereiten
- Lieferantenpruefung starten — welche Lieferanten brauchen welche Nachweise?
Uebergangsfristen (Prognose)
Das verabschiedete Gesetz wird voraussichtlich folgende Fristen setzen:
| Pflicht | Frist nach Inkrafttreten |
|---|---|
| Registrierung beim BSI | 3 Monate |
| Einfuehrung der Sicherheitsmassnahmen | 6-12 Monate (je nach Massnahme) |
| Erste Wirksamkeitsbewertung / Pentest | 12 Monate |
| Schulung Geschaeftsleitung | 3-6 Monate |
| Meldewege etabliert | sofort |
Konkrete Fristen werden sich im finalen Gesetzestext zeigen. Aufgrund der Verzoegerung rechnen viele Aufsichtsbehoerden bereits mit deutlich beschleunigten Fristen, um aufzuholen.
Was das fuer Ihre Planung bedeutet
- Planen Sie 2026 als Umsetzungsjahr ein
- Budgetieren Sie 2027 als Bewaehrungsjahr (erste Audits, erste Vorfaelle, erste Reports)
- Nutzen Sie die Verzoegerung fuer den strukturierten Aufbau — nicht fuer Abwarten
- Kommunizieren Sie die Pflichten intern bereits als verbindlich
Wie Matproof unterstuetzt
Matproof bildet alle 10 NIS2-Pflichtmassnahmen (Art. 21 / § 30 BSIG-neu) in einer Compliance-Plattform ab:
- Richtlinien-Bibliothek mit 40+ NIS2-relevanten Templates
- Automatisierte Kontrollen-Pruefung (MFA, Logging, Access Reviews)
- Integriertes AI Pentesting fuer die Wirksamkeitsbewertung
- Lieferantenmanagement mit SOC 2 / ISO 27001-Dokumenten-Tracking
- Incident-Response-Workflow mit BSI-Meldefrist-Tracker
- Schulungsmodule fuer Mitarbeitende und Geschaeftsleitung
- EU-gehostet (Frankfurt), DSGVO-nativ
NIS2 Readiness Assessment • NIS2 Umsetzungsleitfaden • Demo anfordern