Was ist der Unterschied zwischen NIS-2 und IT-Sicherheitsgesetz 2.0?
Januar 2026
IT-Sicherheitsgesetz 2.0: Das Gesetz von 2021
Das IT-Sicherheitsgesetz 2.0 wurde am 28. Mai 2021 verabschiedet und trat größtenteils am 28. Mai 2021 in Kraft. Es war eine Weiterentwicklung des ersten IT-Sicherheitsgesetzes von 2015, das die erste NIS-Richtlinie (NIS-1) aus dem Jahr 2016 in deutsches Recht umsetzte.
Ziel des IT-Sicherheitsgesetzes 2.0: Stärkung der Cybersicherheit in Deutschland, insbesondere durch erweiterte Befugnisse des BSI, strengere Anforderungen an kritische Infrastrukturen (KRITIS) und neue Regelungen für Telekommunikationsanbieter. Das Gesetz ging bewusst über die Mindestanforderungen der NIS-1-Richtlinie hinaus und enthielt zusätzliche nationale Verschärfungen.
Wichtige Neuerungen des IT-Sicherheitsgesetzes 2.0:
Einführung eines IT-Sicherheitskennzeichens für digitale Produkte
Erweiterte Befugnisse des BSI zur Detektion von Schadprogrammen und Sicherheitslücken
Verpflichtung für Unternehmen im besonderen öffentlichen Interesse, Systeme zur Angriffserkennung einzusetzen
Neue Meldepflichten für Betreiber kritischer Infrastrukturen bei IT-Sicherheitsvorfällen
Verschärfung der Anforderungen an den Verbraucherschutz bei Telekommunikationsdiensten
Wichtig: Das IT-Sicherheitsgesetz 2.0 änderte primär das BSI-Gesetz, das Telekommunikationsgesetz und weitere Fachgesetze ab.
NIS-2-Umsetzungsgesetz: Das Gesetz von 2025
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Es setzt die europäische NIS-2-Richtlinie (EU) 2022/2555 in deutsches Recht um.
Ziel des NIS-2-Umsetzungsgesetzes: Umsetzung der EU-Vorgaben zur Cybersicherheit, erhebliche Ausweitung des Kreises betroffener Unternehmen und Harmonisierung der Anforderungen auf EU-Ebene.
Wichtige Neuerungen des NIS-2-Umsetzungsgesetzes:
Erweiterung des Anwendungsbereichs auf etwa 30.000 Unternehmen
Einführung der Kategorien "besonders wichtige Einrichtungen" und "wichtige Einrichtungen"
Ausdrückliche Verantwortung der Geschäftsleitung (§ 38 BSIG)
Verschärfte Meldepflichten mit konkreten Fristen (24 Stunden/72 Stunden/1 Monat)
Deutlich höhere Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes)
Registrierungspflicht beim BSI für alle betroffenen Einrichtungen
Die wichtigsten Unterschiede im Überblick
1. Zeitliche Einordnung:
IT-Sicherheitsgesetz 2.0: 2021
NIS-2-Umsetzungsgesetz: 2025
2. Rechtliche Grundlage:
IT-Sicherheitsgesetz 2.0: Nationale Initiative Deutschlands zur Verbesserung der Cybersicherheit
NIS-2-Umsetzungsgesetz: Pflicht zur Umsetzung der EU-Richtlinie (EU) 2022/2555
3. Anwendungsbereich:
IT-Sicherheitsgesetz 2.0: Fokus auf KRITIS-Betreiber und Telekommunikationsanbieter
NIS-2-Umsetzungsgesetz: Breite Erfassung von rund 30.000 Einrichtungen in diversen Sektoren der Wirtschaft, einschließlich mittelständischer Unternehmen
Verhältnis der beiden Gesetze zueinander
Beide Gesetze ändern das BSI-Gesetz ab. Das NIS-2-Umsetzungsgesetz novelliert das BSIG erneut und baut auf den Änderungen des IT-Sicherheitsgesetzes 2.0 auf.
Wichtig: Das NIS-2-Umsetzungsgesetz ersetzt das IT-Sicherheitsgesetz 2.0 nicht, sondern ergänzt und erweitert es. Viele der durch das IT-Sicherheitsgesetz 2.0 eingeführten Regelungen (z.B. IT-Sicherheitskennzeichen, Befugnisse des BSI) bleiben bestehen.
Was gilt jetzt für Ihr Unternehmen?
Wenn Sie bereits durch das IT-Sicherheitsgesetz 2.0 betroffen waren (KRITIS-Betreiber): Sie müssen prüfen, ob Sie nun auch unter die erweiterten Anforderungen des NIS-2-Umsetzungsgesetzes fallen, oder sich hieraus Änderungen ergeben insbesondere:
Registrierung beim BSI nach § 33 BSIG über die neu eigerichteten Protale
Einhaltung der neuen Meldepflichten nach § 32 BSIG (das bisherige Melde- ind INformationsprotal bleibt noch bis 31.07.2026, voraussichtlich sogar bis zum 31.12.2026 aktiv.
Sicherstellung der Geschäftsleitungsverantwortung nach § 38 BSIG
Wenn Sie bisher nicht betroffen waren: Prüfen Sie Ihre Betroffenheit unter dem NIS-2-Umsetzungsgesetz. Der Kreis der betroffenen Unternehmen hat sich massiv erweitert, insbesondere im Mittelstand.
Fazit: Cybersicherheit wird breiter, schärfer und verbindlicher
Die Entwicklung von IT-Sicherheitsgesetz 2.0 zu NIS-2 zeigt einen klaren Trend: Cybersicherheitsanforderungen werden kontinuierlich ausgeweitet, verschärft und für immer mehr Unternehmen verpflichtend. Was 2015 mit KRITIS-Betreibern begann, erfasst heute rund 30.000 Einrichtungen quer durch ein Vielzahl von Wirtschaftssektoren.
Die Anforderungen werden nicht nur breiter (mehr Unternehmen), sondern auch schärfer: höhere Bußgelder, persönliche Geschäftsleitungshaftung, kürzere Meldefristen und intensivere behördliche Kontrolle. Dieser Trend wird sich fortsetzen. Erfolgreiche Unternehmen begreifen diese Entwicklung nicht als Belastung, sondern als Chance: Wer heute strukturiert in Cybersecurity investiert, sichert seine Wettbewerbsfähigkeit von morgen.
Handeln Sie jetzt: Verstehen Sie die Entwicklung der Gesetzgebung als Warnsignal und strategische Chance. Prüfen Sie Ihre Betroffenheit nach dem novellierten BSI-Gesetz, registrieren Sie sich rechtzeitig beim BSI und bauen Sie ein zukunftssicheres ISMS auf. MAINLY unterstützt Sie bei der Betroffenheitsprüfung, der rechtssicheren Umsetzung und dem Aufbau compliance-konformer Strukturen im Bereich NIS-2, DSGVO und Cybersecurity-Recht.
