Es ist soweit: Am 05.12.2025 wurde die Umsetzung der NIS 2‑Richtlinie in deutsches Recht im Bundesgesetzblatt verkündet. Seit dem Nikolaustag ist das Gesetz damit offiziell in Kraft. Was das für Unternehmen bedeutet – und warum NIS 2 keineswegs als reines Cybersicherheitsgesetz behandelt werden sollte –, erfahren Sie in diesem Beitrag.
Mit dem deutschen NIS 2‑Umsetzungsgesetz wurde die EU‑Richtlinie (EU) 2022/2555 in nationales Recht überführt. Ziel ist ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der EU. Deutschland geht dabei über das Minimum hinaus: Das Gesetz modernisiert das BSI‑Gesetz und macht Informationssicherheit endgültig zur strategischen Führungsaufgabe – inklusive Verantwortung für die physische Umgebung der Systeme.
Eine zentrale Änderung ist die Ausweitung des Anwendungsbereichs. Statt bislang rund 4.500 sind künftig etwa 30.000 Einrichtungen reguliert – „besonders wichtige“ und „wichtige“ Einrichtungen aus 18 Sektoren, etwa Energie, Verkehr, Gesundheit, Finanzwesen oder digitale Infrastruktur. Als grobe Orientierung dienen Schwellenwerte von 50 bzw. 250 Beschäftigten und Umsatz‑ oder Bilanzsummen ab 10 Mio. Euro; Betreiber kritischer Infrastrukturen gelten unabhängig von ihrer Größe automatisch als besonders wichtig.
Damit geraten auch Unternehmen in den Fokus, die sich bislang nicht als „kritische Infrastruktur“ gesehen haben. Viele nutzen bereits heute Zutrittskontrollsysteme und Schließlösungen in Serverräumen, Leitständen oder Verwaltungsgebäuden und werden sich künftig nicht nur mit ihrer Cyber‑Resilienz, sondern auch mit ihrer physischen Sicherheitsarchitektur auseinandersetzen müssen.
Lange in den Gesetzesentwürfen ausgeklammert, fallen nun auch Einrichtungen der Bundesverwaltung unter NIS 2: Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung sowie bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts müssen nun mindestens IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis umsetzen und teils zusätzlich die BSI-Mindeststandards erfüllen.
Mit dem erweiterten Kreis der Verpflichteten gehen klare Pflichten einher. Unternehmen müssen ein Informationssicherheits‑Risikomanagement etablieren, Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen, Sicherheitsvorfälle zeitnah melden, sich beim BSI registrieren und die Geschäftsleitung aktiv einbinden – ohne nennenswerte Übergangsfristen, denn die Anforderungen gelten seit dem 6. Dezember 2025.
Wer sich bislang noch nicht eingehender mit NIS 2 befasst hat, sollte nun umgehend handeln, zumal der Gesetzgeber verlangt, dass Unternehmen selbständig ihre Betroffenheit prüfen, beispielsweise im offiziellen Portal.
Ergibt die Prüfung eine Verpflichtung zur Einhaltung der NIS 2-Auflagen, müssen Organisationen zudem einem zweistufigen Registrierungsprozess auf der zeitgleich mit dem Gesetz freigeschalteten Online-Plattform durchlaufen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, dieses Unternehmenskonto spätestens bis Ende 2025 anzulegen. Bereits zum 6. Januar 2026 wird dann ein Online-Formular des BSI zur Verfügung stehen, das unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle dient.
NIS 2 lässt sich im Kern auf wenige, aber anspruchsvolle Aufgaben herunterbrechen. Unternehmen sollen ihre kritischen Systeme, Prozesse und Daten identifizieren, Risiken bewerten und geeignete technische wie organisatorische Maßnahmen definieren – vom Netzwerk‑ und Patch‑Management über Notfallplanung bis hin zu Lieferkettenmanagement und Schulungen.
Zentral ist außerdem ein belastbarer Incident‑ und Meldeprozess: Erhebliche Sicherheitsvorfälle dürfen nicht mehr im Stillen bearbeitet werden, sondern müssen binnen kurzer Fristen an das BSI gemeldet werden. Das setzt klare Eskalationswege, definierte Zuständigkeiten und eine verlässliche Erreichbarkeit relevanter Stellen voraus. Auf Governance‑Ebene gilt: Informationssicherheit ist Chefsache. Die Geschäftsleitung muss das Risikomanagement billigen, Ressourcen bereitstellen, Berichte einfordern und sich regelmäßig fortbilden. Schulungen, Beschlüsse, Budgets und dokumentierte Prozesse werden damit zu prüfbaren Nachweisen.
Dass der Gesetzgeber es ernst meint, zeigt der Sanktionsrahmen: Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen entsprechend etwas geringere, aber immer noch schmerzhafte Summen. Hinzu kommen Reputationsschäden, operative Ausfälle und persönliche Haftungsrisiken für Organmitglieder.
Besonders wichtig ist der gefahrenübergreifende Ansatz von NIS 2. Sicherheitsmaßnahmen sollen auf einem „All‑Hazards‑Ansatz“ beruhen. Damit rücken neben klassischen Cyberbedrohungen auch physische Risiken in den Mittelpunkt – etwa Naturereignisse, technische Defekte, menschliche Fehler, Sabotage oder Angriffe über die Lieferkette.
Für Unternehmen heißt das: Es reicht nicht, Firewalls und Endpoint‑Security zu stärken. Genauso wichtig ist die Frage, wer physisch Zugang zu kritischen Systemen und Räumen hat – und wie dieser Zugang gesteuert, überwacht und protokolliert wird. Ein ungeschützter Serverraum oder ein schlecht gesichertes Nebengebäude können im Ergebnis genauso gefährlich sein wie eine ungepatchte Sicherheitslücke.
Hier kommen integrierte Sicherheitskonzepte ins Spiel, in denen digitale und physische Sicherheit gemeinsam geplant werden. Moderne Zutrittskontrollsysteme und Schließlösungen sind dann nicht mehr nur Komfortfunktionen, sondern Bausteine des Informationssicherheitsmanagements. Revisionssichere Protokolle, fein granulare Berechtigungen, temporäre Zugänge für Dienstleister oder die schnelle Sperrung verlorener Medien helfen, den gefahrenübergreifenden Ansatz von NIS 2 in der Praxis umzusetzen. Genau hier kann ASSA ABLOY mit seinen Lösungen unterstützen.
In vielen Fällen hilft bereits ein strukturierter Blick auf drei Fragen:
• Sind wir von NIS 2 betroffen – und wenn ja, in welcher Kategorie?
• Wo stehen wir heute beim Informationssicherheits‑ und Zutrittsmanagement?
• Welche Lücken sind kurzfristig zu schließen, um Risiken und Haftung zu reduzieren?
Auf dieser Basis lässt sich eine Roadmap entwickeln, die technische, organisatorische und physische Maßnahmen kombiniert. Wichtig ist, die Geschäftsleitung früh einzubinden – ohne klare Entscheidungen auf Top‑Level bleibt NIS 2 ein Papiertiger.