09.12.2025 – Durch das Inkrafttreten der NIS-2-Richtlinie erhöhen sich für einige Unternehmen die Anforderungen an die Cybersicherheit – auch in der Versorgungswirtschaft.
Mit dem Wirksamwerden des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des novellierten BSI-Gesetzes (BSIG) deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“. Diese Unternehmen müssen nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und zu dokumentieren. Dabei gelten Betreiber Kritischer Infrastrukturen (KRITIS) automatisch als „besonders wichtige Einrichtungen“.
Deutlich mehr Unternehmen betroffen
Die nationale Umsetzung der EU-Richtlinie erfolgt insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen sind nun angewiesen, selbständig zu prüfen, ob sie von der NIS-2-Richtlinie betroffen sind – und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten. Bislang waren etwa 4.500 Organisationen durch das BSI-Gesetz reguliert, wobei insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI) unter die Regulierung fielen.
Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie tritt eine umfassende Modernisierung des Cybersicherheitsrechts in Kraft – mit neuen Pflichten und Verfahren für betroffene Unternehmen und Institutionen. (Bild: Wisnu / stock.adobe.com)
Registrieren und melden
Das BSI sieht für diejenigen Einrichtungen in Deutschland, die unter die NIS-2-Richtlinie fallen, einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich nach Angaben des BSI um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Die Behörde empfiehlt, den Account bei „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim neu für das NIS-2 entwickelten BSI-Portal zu registrieren.
Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und soll unter anderem als Meldestelle für erhebliche Cybersicherheitsvorfälle dienen. Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, sollen diesen dem BSI über ein Online-Formular melden – KRITIS und Bundesbehörden sollen in dem Fall vorübergehend ihre bisherigen Meldewege nutzen. (cp)