Das deutsche NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Es setzt die europäische NIS-2-Richtlinie in nationales Recht um und verschärft die gesetzlichen Anforderungen an IT-Sicherheit, Risikomanagement und Governance erheblich. 

Mit der Reform des BSI-Gesetzes (BSIG) wird der Kreis der regulierten Unternehmen deutlich ausgeweitet: Statt bislang rund 4.500 fallen künftig rund 30.000 Unternehmen und Einrichtungen unter den Anwendungsbereich von NIS-2. 

Ziel des Gesetzes ist es, die Cybersicherheitsresilienz kritischer und wirtschaftlich relevanter Organisationen nachhaltig zu erhöhen und europaweit ein einheitliches Sicherheitsniveau zu etablieren. 

Welche Unternehmen fallen unter NIS-2? 

NIS-2 gilt für Unternehmen in definierten Sektoren, sofern bestimmte Schwellenwerte überschritten werden, insbesondere: 

• Anzahl der Beschäftigten 
• Jahresumsatz 
• Bilanzsumme 

Betroffene Organisationen werden rechtlich eingestuft als 

• „wesentliche Einrichtungen“ oder 
• „besonders wichtige Einrichtungen“ 

KRITIS-Unternehmen gelten automatisch als „besonders wichtige Einrichtungen“. Erstmals wird auch die Bundesverwaltung verbindlich in das NIS-2-Sicherheitsregime einbezogen. 

Gesetzliche Kernpflichten nach NIS-2 

Unternehmen im Anwendungsbereich müssen insbesondere drei zentrale Pflichten erfüllen: 

• Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) 
• Unverzügliche Meldung erheblicher IT-Sicherheitsvorfälle 
• Einführung, Umsetzung und Dokumentation eines Risikomanagementsystems
  nach dem Stand der Technik (u. a. IT-Grundschutz, BSI-Mindeststandards) 

Die Verantwortung liegt ausdrücklich auch bei der Unternehmensleitung. Verstöße können zu erheblichen Bußgeldern, behördlichen Maßnahmen und persönlichen Haftungsrisiken führen. 

Unternehmen sollten deshalb schnellstmöglich klären, ob und wie sie unter NIS-2 fallen und welche Maßnahmen rechtlich erforderlich sind. 

Rechtliche Unterstützung rund um NIS-2 durch SONNTAG 

SONNTAG begleitet Unternehmen bei der rechtskonformen und praxistauglichen Umsetzung der NIS-2-Anforderungen. 

Tätigkeiten unserer NIS-2-Experten 

Unsere Anwälte unterstützen u. a. bei der 

• Rechtssicheren Betroffenheitsprüfung und Einstufung 
• Auslegung der gesetzlichen Anforderungen nach BSIG und NIS-2 
• Gestaltung und Prüfung von Governance-, Risiko- und Compliance-Strukturen 
• Beratung zu Organisations- und Haftungsfragen der Geschäftsleitung 
• Registrierung und Meldepflichten gegenüber dem BSI 
• Begleitung bei Sicherheitsvorfällen, Prüfungen und Behördenkommunikation 
• Verzahnung von NIS-2 mit bestehenden Standards (z. B. ISO 27001, IT-Grundschutz, Datenschutz) 

NIS-2-Selbstcheck 

Zur unverbindlichen Ersteinschätzung steht der NIS-2-Selbstcheck der SONNTAG IT Solutions zur Verfügung. Er dient dazu, 

• die eigene Betroffenheit systematisch einzuordnen, 
• bestehende technische und organisatorische Maßnahmen zu bewerten, 
• konkrete Handlungsbedarfe für Recht, IT und Organisation zu identifizieren. 

Der Selbstcheck bildet eine Grundlage für die anschließende rechtliche und technische Umsetzung. 

Sie haben Fragen? 

Ihre NIS-2-Ansprechpartner