Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es setzt die europäische NIS2-Richtlinie in nationales Recht um; die wesentlichen Regelungen finden sich nun im novellierten BSIG. Ziel der NIS2-Richtlinie ist es, das Cybersicherheitsniveau in der Europäischen Union insgesamt zu erhöhen und ein möglichst einheitlich hohes Sicherheitsniveau in den Mitgliedstaaten zu schaffen.
Das BSIG sieht unter anderem eine Registrierungspflicht für wichtige und besonders wichtige Einrichtungen vor. Maßgeblicher Stichtag hierfür war der 6. März 2026. Die Übergangsfrist ist damit abgelaufen; seit diesem Datum gilt die Registrierungspflicht für betroffene Unternehmen in Deutschland.
Dreh‑ und Angelpunkt: Bin ich „wichtig“, „besonders wichtig“ oder KRITIS?
Spätestens jetzt sollten Unternehmen prüfen, ob sie im Sinne der NIS2-Richtlinie als wichtige oder besonders wichtige Einrichtung einzustufen sind.
Maßgeblich sind dafür vor allem zwei Kriterien:
- Zum einen kommt es darauf an, in welchem Sektor das Unternehmen tätig ist;
- zum anderen darauf, ob bestimmte Größenmerkmale, insbesondere Beschäftigtenzahl, Jahresumsatz und Bilanzsumme erreicht werden.
Betroffen sind insbesondere Unternehmen aus regulierten Sektoren wie etwa Energie, Gesundheit, Banken oder Verkehr.
Hiervon zu unterscheiden ist die Frage, ob ein Unternehmen Betreiber einer kritischen Infrastruktur (KRITIS) ist. Dies stellt einen eigenständigen Anknüpfungspunkt dar. Betreiber kritischer Anlagen gelten unabhängig von den allgemeinen Größenkriterien automatisch als besonders wichtige Einrichtungen. Welche Anlagen und Dienstleistungen als kritisch einzustufen sind, ergibt sich aus dem BSIG, insbesondere aus § 2 Nr. 22 und Nr. 24 BSIG.
Die NIS2-Richtlinie erfasst damit Unternehmen, bei denen Sicherheitsvorfälle erhebliche Auswirkungen haben können, sei es aufgrund ihrer Sektorzugehörigkeit und Größe oder aufgrund ihrer Funktion als KRITIS-Betreiber. Die maßgeblichen Abgrenzungskriterien lassen sich wie folgt zusammenfassen:
Mitarbeitende Jahresumsatz Jahresbilanzsumme
Wichtige Einrichtung ≥50 oder >10 Mio. und > 10 Mio.
Besonders wichtige Einrichtung ≥250 oder >50 Mio. und > 43 Mio.
KRITIS Größen- und umsatzunabhängig
Zwei Schritte zur Registrierung
Steht fest, dass das Unternehmen eine wichtige oder besonders wichtige Einrichtung ist, muss der Registrierungsprozess durchlaufen werden. Hierbei handelt es sich um einen zweistufigen Registrierungsprozess:
- Registrierung beim digitalen Dienst „Mein Unternehmenskonto (MUK)
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-MUK/MUK_node.html - Registrierung im BSI‑Portal
https://portal.bsi.bund.de/
Jetzt besteht Handlungsbedarf
Die Übergangsfrist ist abgelaufen. Unternehmen haben nun zu prüfen, ob sie als wichtige oder besonders wichtige Einrichtung oder als KRITIS-Betreiber vom Anwendungsbereich der NIS2-Regelungen erfasst sind. Steht die Betroffenheit fest, ist die Registrierung durchzuführen. Zugleich sind die neuen gesetzlichen Anforderungen in die bestehenden Compliance-Strukturen zu überführen.