Die produzierende Industrie bekommt in diesem Jahr ein besonderes Nikolausgeschenk. Mit der heutigen Verkündung NIS-2-Umsetzungsgesetzes startet ab morgen eine grundlegende Modernisierung des deutschen Cybersicherheitsrechts. Der neue Rechtsrahmen verschärft die Sicherheitsanforderungen sowohl für die Bundesverwaltung als auch für zahlreiche Unternehmen in Deutschland.
Deutlich erweiterter Anwendungsbereich des BSIG
Die EU-Vorgaben werden im Rahmen der Novellierung des BSI-Gesetzes (BSIG) umgesetzt. Unternehmen müssen eigenständig prüfen, ob sie künftig unter die NIS-2-Richtlinie fallen – und damit zu den rund 29.500 Einrichtungen gehören, die vom BSI beaufsichtigt werden. Bislang waren etwa 4.500 Organisationen reguliert, vor allem aus dem KRITIS-Umfeld, digitale Dienste sowie Unternehmen im besonderen öffentlichen Interesse.
Mit dem neuen Gesetz wird der Geltungsbereich erheblich ausgedehnt: Unternehmen bestimmter Sektoren, die definierte Schwellenwerte bei Mitarbeitendenzahl, Umsatz oder Bilanzsumme überschreiten, werden als „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ eingestuft. Für sie gelten drei zentrale Pflichten:
- Registrierung als NIS-2-Einrichtung
- Meldung erheblicher Sicherheitsvorfälle an das BSI
- Einführung und Dokumentation geeigneter Risikomanagementmaßnahmen
- KRITIS-Organisationen werden automatisch als „besonders wichtige Einrichtungen“ geführt.
NIS2-Umsetzungsgesetzt stellt Anforderungen an die Bundesverwaltung
Für Behörden und öffentlich-rechtliche IT-Dienstleister des Bundes schreibt das Gesetz unter anderem IT-Risikomanagement nach IT-Grundschutz sowie die Einhaltung der BSI-Mindeststandards vor. Weitere Details stellt das BSI online bereit.
BSI-Präsidentin Claudia Plattner betont die Dringlichkeit: „Die Cybersicherheitslage Deutschlands ist angespannt. Das novellierte BSI-Gesetz ist eine starke Antwort und wird die digitale Resilienz unseres Landes spürbar steigern.“
Digitaler Registrierungsprozess über „Mein Unternehmenskonto“
Für betroffene Einrichtungen führt das BSI einen zweistufigen, vollständig digitalen Registrierungsprozess ein:
- Anmeldung bei „Mein Unternehmenskonto“ (MUK)
– zentrales OZG-Nutzerkonto für juristische Personen
– basiert auf ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate - Registrierung im neuen BSI-Portal ab 6. Januar 2026
– Meldestelle für erhebliche Sicherheitsvorfälle
– zentrale Plattform für NIS-2-relevante Prozesse
Das BSI empfiehlt, das Unternehmenskonto spätestens bis Ende 2025 einzurichten. Tritt vor der Registrierung im BSI-Portal ein meldepflichtiger Vorfall auf, erfolgt die Meldung über ein Online-Formular bzw. für KRITIS und Bundesbehörden über die bisherigen Meldewege.
Weitere Informationen gibt es unter www.bsi.bund.de.
