NIS2-Umsetzungsgesetz: Der aktuelle Stand 2026 und was Unternehmen jetzt tun müssen

Seit Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft, die BSI-Registrierungsfrist ist abgelaufen. Was jetzt konkret gilt, wer noch handeln muss und welche Fristen als Nächstes kommen.

Lange wurde diskutiert, verschoben und nachverhandelt - seit dem 6. Dezember 2025 ist es amtlich: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist in Kraft. Deutschland hat die EU-Richtlinie damit über ein Jahr nach Ablauf der EU-Frist umgesetzt, dafür aber ohne Übergangsfrist: Alle Pflichten gelten seit dem ersten Tag. Dieser Beitrag fasst zusammen, was im Juni 2026 konkret gilt und wo Unternehmen jetzt stehen sollten.

Die wichtigsten Eckdaten im Überblick

• 6. Dezember 2025: NIS2-Umsetzungsgesetz in Kraft getreten - ohne Übergangsfrist
• 6. Januar 2026: BSI-Melde- und Informationsportal (MIP) für Registrierung und Meldungen online
• 6. März 2026: Ablauf der Registrierungsfrist für betroffene Einrichtungen
• Rund 29.500 Unternehmen in 18 Sektoren sind direkt betroffen

Wer ist betroffen?

Das Gesetz unterscheidet 11 Sektoren hoher Kritikalität (u.a. Energie, Transport, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung) und 7 sonstige kritische Sektoren (u.a. verarbeitendes Gewerbe, Chemie, Lebensmittel, digitale Dienste). Die Schwellenwerte: ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Gerade im baden-württembergischen Mittelstand sind damit viele Maschinenbauer, Zulieferer und Medizintechnikunternehmen pflichtig - oft ohne es zu wissen. Prüfen Sie Ihre Betroffenheit in 3 Minuten mit unserem kostenlosen NIS2-Check.

Die fünf zentralen Paragraphen

• § 28: Definiert, welche Einrichtungen betroffen sind (Betroffenheitsprüfung)
• § 30: Risikomanagementmaßnahmen - von Risikoanalyse über MFA bis Lieferkettensicherheit
• § 32: Meldepflichten - Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden
• § 38: Pflichten der Geschäftsleitung - Überwachung, Schulung, persönliche Haftung
• § 65: Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes

Registrierung versäumt? Das ist jetzt zu tun

Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Wer sich noch nicht über das Melde- und Informationsportal (MIP) registriert hat, sollte das unverzüglich nachholen - die fehlende Registrierung ist bußgeldbewehrt und fällt spätestens beim ersten meldepflichtigen Vorfall auf. Parallel sollte die Geschäftsleitung den Stand der Risikomanagementmaßnahmen nach § 30 dokumentieren lassen: Was ist umgesetzt, was fehlt, bis wann wird nachgezogen?

Der pragmatische Fahrplan für Nachzügler

1. Betroffenheit klären und registrieren

Sektor und Schwellenwerte prüfen, Einstufung als wesentliche oder wichtige Einrichtung dokumentieren, Registrierung im MIP nachholen.

2. Gap-Analyse gegen § 30

Den Ist-Zustand systematisch gegen die zehn Maßnahmenbereiche prüfen: Risikoanalyse, Incident Management, Business Continuity, Lieferkette, MFA, Verschlüsselung, Schulungen und mehr. Das Ergebnis ist ein priorisierter Maßnahmenplan mit realistischen Terminen.

3. Wirksamkeit nachweisen

Papier schützt nicht: § 30 verlangt auch die Bewertung der Wirksamkeit. Ein Penetrationstest liefert genau diesen Nachweis - und deckt gleichzeitig die Lücken auf, die Angreifer zuerst finden würden. Die vollständige Begleitung von der Registrierung bis zum Nachweis bietet unsere NIS2-Compliance-Beratung.

Fazit: 2026 ist das Jahr der Nachweise

Die Diskussionsphase ist vorbei - seit Dezember 2025 zählt nur noch die Umsetzung. Unternehmen, die jetzt strukturiert vorgehen, erfüllen nicht nur das Gesetz, sondern sind messbar widerstandsfähiger gegen die Angriffe, die ohnehin kommen. Den Einstieg macht die Betroffenheitsprüfung: kostenloser NIS2-Check - in 3 Minuten wissen Sie, wo Sie stehen.

Samir Shamdin

IT-Sicherheitsberater & NIS2-Experte · 3. Platz NISCON Awards 2026 (Deutschlands beste Pentester)

LinkedIn-Profil

Weitere Artikel