Wann ist NIS-2 in Deutschland in Kraft getreten?
Januar 2026
Das NIS-2-Umsetzungsgesetz ist da – und zwar schneller als erwartet. Viele Geschäftsführer fragen sich: Seit wann gilt das Gesetz konkret, welche Fristen laufen und was bedeutet das für mein Unternehmen? Hier sind die wichtigsten Fakten zum Inkrafttreten in Deutschland.
Das NIS-2-Umsetzungsgesetz: Seit 6. Dezember 2025 in Kraft
Das Gesetz zur Umsetzung der NIS-2-Richtlinie wurde am 13. November 2025 im Bundestag und am 21. November 2025 im Bundesrat beschlossen. Es wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und trat am 6. Dezember 2025 in Kraft.
Wichtig: Das Gesetz tritt ohne jegliche Übergangsfrist in Kraft. Anders als bei vielen anderen Gesetzen gibt es keine Schonfrist, in der Unternehmen sich vorbereiten können. Die Pflichten gelten ab dem Tag des Inkrafttretens unmittelbar.
Keine Übergangsfristen: Was das konkret bedeutet
Seit dem 6. Dezember 2025 können bei Nichteinhaltung Sanktionen und Bußgelder verhängt werden. Das bedeutet: Betroffene Unternehmen müssen handeln. Die Meldepflichten und Anforderungen an das Risikomanagement greifen ab dem ersten Tag.
Unternehmen werden nicht von offizieller Seite informiert, ob die Anforderungen von NIS-2 für sie gelten. Die Prüfung der Betroffenheit liegt in Ihrer Verantwortung.
Die wichtigsten Fristen nach Inkrafttreten
Auch wenn das Gesetz ohne Übergangsfrist gilt, gibt es ein gestaffeltes Vorgehen für die Registrierung:
Für alle betroffenen Einrichtungen: Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt die erforderlichen Angaben zu übermitteln.
Das bedeutet konkret: Wenn ein Unternehmen am 6. Dezember 2025 bereits die Kriterien einer besonders wichtigen oder wichtigen Einrichtung erfüllte, läuft die Dreimonatsfrist ab diesem Datum. Die Registrierung muss also spätestens bis zum 6. März 2026 erfolgen.
Der Registrierungsprozess ist zweistufig:
Schritt 1: Anmeldung beim digitalen Dienst "Mein Unternehmenskonto" (MUK).
Schritt 2: Registrierung im BSI-Portal, seit dem 6. Januar 2026 freigeschaltet wurde.
Warum kam das Gesetz so spät?
Deutschland hat die EU-Frist zur Umsetzung der NIS-2-Richtlinie deutlich überschritten. Alle EU-Staaten hatten bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzuwandeln. Die Bundesregierung nutzte diese Frist nicht, sodass Deutschland zu den Nachzüglern gehört.
Ein wesentlicher Grund für die Verzögerung war der Regierungswechsel im Februar 2025. Nach dem Bruch der Ampel-Koalition im November 2024 und der Neuwahl musste das Gesetzgebungsverfahren neu gestartet werden, da aufgrund des Diskontinuitätsprinzips alle nicht abgeschlossenen Gesetzesvorhaben mit dem Ende der Legislaturperiode verfallen.
Der erste Referentenentwurf der vorherigen Bundesregierung wurde bereits am 8. Mai 2024 vorgelegt, konnte aber vor der Bundestagswahl nicht mehr verabschiedet werden. Die neue Bundesregierung musste den Entwurf überarbeiten und erneut einbringen.
Was ändert sich mit dem Inkrafttreten konkret?
Mit dem 6. Dezember 2025 ändert sich die Cybersecurity-Landschaft in Deutschland grundlegend:
Deutlich mehr Unternehmen betroffen: Rund 29.500 Unternehmen sind betroffen, ein deutlicher Anstieg gegenüber den bisher regulierten Einrichtungen.
Neue Kategorien: Das BSI-Gesetz wird um die Kategorien "wichtige Einrichtungen" und "besonders wichtige Einrichtungen" erweitert.
Zentrale Pflichten: Betroffene Unternehmen sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und zu dokumentieren.
Fazit: Handeln Sie jetzt
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist und ohne Vorwarnung für betroffene Unternehmen. Trotz der politisch bedingten Verzögerungen durch Regierungswechsel und Diskontinuitätsprinzip müssen Unternehmen nun schnell handeln. Erfolgreiche Unternehmen begreifen die enge Zeitschiene nicht als Problem, sondern als Ansporn: Wer jetzt strukturiert vorgeht, seine Betroffenheit klärt und die Registrierung sowie die ersten Risikomanagementmaßnahmen umsetzt, verschafft sich nicht nur rechtliche Sicherheit, sondern auch einen Wettbewerbsvorteil durch professionelle Cybersecurity.
