Thought Leadership
Mit der heutigen Veröffentlichung des Gesetzes zur Umsetzung der NIS-2-Richtlinie sowie neuer Vorgaben für das Informationssicherheitsmanagement der Bundesverwaltung startet morgen 06. Dezember 2025, ein umfassendes Modernisierungsprogramm für das deutsche Cybersicherheitsrecht.
Das Gesetz, das zudem neue Vorgaben für das Informationssicherheitsmanagement der Bundesverwaltung festlegt, hebt die Sicherheitsanforderungen für die öffentliche Verwaltung und eine deutlich größere Zahl an Unternehmen signifikant an.
Kern des Reformpakets ist die umfassende Novellierung des BSI-Gesetzes (BSIG). Damit reagiert der Gesetzgeber auf die weiterhin angespannte Cybersicherheitslage in Deutschland, die BSI-Präsidentin Claudia Plattner als dringend verbesserungswürdig einordnet: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“
Wer ist betroffen? Der Anwendungsbereich wächst massiv
Bislang waren vor allem Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) sowie Unternehmen im besonderen öffentlichen Interesse (UBI) reguliert. Mit NIS-2 erweitert sich der Adressatenkreis jedoch substantiell:
- Kritische Infrastrukturen gelten automatisch als „besonders wichtig“.
- Künftig unterliegen rund 29.500 Einrichtungen der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI).
- Unternehmen in bestimmten Sektoren, die definierte Schwellenwerte bei Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten, werden als „wichtige“ beziehungsweise „besonders wichtige Einrichtungen“ eingestuft.
Die drei zentralen Pflichten für NIS-2-Unternehmen
Die neu regulierten Unternehmen müssen künftig drei Kernanforderungen erfüllen:
- Registrierungspflicht: Offizielle Registrierung als NIS-2-Unternehmen.
- Meldepflicht: Unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI.
- Risikomanagement: Einführung und vollständige Dokumentation angemessener Sicherheits- und Risikomanagementmaßnahmen.
Zweistufiger Registrierungsprozess
Das BSI definiert einen klaren zweistufigen Registrierungsweg:
Schritt 1 – Mein Unternehmenskonto (MUK):
Zunächst erfolgt die Anmeldung beim digitalen Dienst “Mein Unternehmenskonto” (MUK), dem geschäftlichen Pendant zur BundID. Die Plattform basiert auf ELSTER-Technologie und dient künftig als zentraler Identitätsnachweis für Verwaltungsprozesse.
Empfehlung des BSI: MUK-Zugang spätestens bis Ende 2025 einrichten.
Schritt 2 – Registrierung im BSI-Portal:
Ab Anfang 2026 – die Freischaltung ist für den 6. Januar 2026 vorgesehen – erfolgt die Registrierung im neu entwickelten BSI-Portal über das bestehende MUK-Nutzerkonto. Das Portal wird künftig auch als zentrale Meldestelle für Sicherheitsvorfälle genutzt.
Einrichtungen, die vor ihrer Portalregistrierung einen erheblichen Sicherheitsvorfall erleiden, müssen diesen über ein Online-Formular melden. KRITIS-Betreiber und Bundesbehörden setzen bis dahin ihre etablierten Meldewege fort.
BSI/vm
