NIS-2-Gesetz: Erste Frist verpasst, Ära der Cybersicherheit beginnt

Die erste große Hürde des neuen deutschen IT-Sicherheitsgesetzes ist genommen – doch viele Unternehmen und Behörden hinken hinterher. Am 6. März 2026 endete die dreimonatige Registrierungsfrist für das erweiterte IT-Sicherheitsgesetz (BSIG), das die EU-Richtlinie NIS-2 national umsetzt. Aus rund 4.500 werden nun schätzungsweise 30.000 regulierte Organisationen. Für den öffentlichen Sektor bedeutet dies einen fundamentalen Wandel: Aus freiwilligen Empfehlungen werden verbindliche Pflichten mit hohen Strafen.

Angesichts der verschärften IT-Sicherheitsgesetze und der neuen EU-KI-Regulierungen stehen viele Unternehmen vor massiven Compliance-Herausforderungen. Dieser Experten-Report enthüllt effektive Strategien, wie Sie Ihre IT-Sicherheit proaktiv stärken können, ohne dass Ihr Budget explodiert. Effektive Cyber-Security-Strategien kostenlos entdecken

März-Frist verstreicht, Unsicherheit bleibt groß

Der Weg war vorgezeichnet: Nach der Verabschiedung im Bundestag im November 2025 trat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft. Eine Übergangsfrist gab es nicht. Betroffene mussten sofort technische und organisatorische Maßnahmen umsetzen und sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Dazu aktivierte das BSI ein Portal, das eine Anmeldung über das „Mein Unternehmenskonto“ mit ELSTER-Zertifikat verlangt.

Doch die Bilanz fällt ernüchternd aus. Branchenbeobachter schätzen, dass bis zur Frist nur zwischen 5.000 und 6.000 Organisationen die Registrierung abgeschlossen haben. Der Grund ist weniger böser Wille als vielmehr massive Verunsicherung. „Viele wissen schlicht nicht, ob sie überhaupt unter das Gesetz fallen“, erklärt ein Rechtsanwalt für IT-Compliance. Die komplexen Abgrenzungsfragen und Schwellenwerte sorgen für administrative Hürden.

Öffentlicher Sektor im Fokus: Von der Verwaltung bis zur Müllabfuhr

Während viel über die Privatwirtschaft gesprochen wird, trifft das Gesetz den öffentlichen Sektor mit voller Wucht. Es schreibt erstmals einheitliche Mindeststandards für die IT-Sicherheit in der Bundesverwaltung verbindlich vor. Das BSI erhält erweiterte Aufsichtsrechte und interne IT-Sicherheitsbeauftragte in Behörden bekommen klare Durchgriffsbefugnisse.

Die Lage auf Landes- und Kommunalebene ist noch diffuser. Nicht jede Stadtverwaltung oder Universität fällt automatisch unter die Regelung. Doch wer in kritischen Sektoren aktiv ist, wird erfasst. Dazu zählen kommunale Versorger (Stadtwerke), öffentliche Entsorger, Verkehrsbetriebe und Gesundheitseinrichtungen. Besonders im Gesundheits- und Rettungswesen herrscht Rechtsunsicherheit. Sind Rettungsdienste Teil der öffentlichen Sicherheit (und damit potenziell ausgenommen) oder Gesundheitsdienstleister (und damit erfasst)? Die aktuellen Leitlinien des BSI tendieren zur zweiten Lesart.

Die neuen gesetzlichen Anforderungen betreffen nicht nur die IT-Sicherheit, sondern auch den Einsatz moderner Technologien wie Künstlicher Intelligenz in Behörden und Unternehmen. Sichern Sie sich diesen kostenlosen Leitfaden, der Ihnen die Kennzeichnungspflichten, Risikoklassen und Dokumentationsanforderungen der neuen KI-Verordnung kompakt erklärt. Gratis E-Book zur KI-Verordnung herunterladen

Harte Pflichten: Meldefristen und persönliche Haftung

Für erfasste öffentliche Einrichtungen und Staatsunternehmen beginnt nun der operative Ernstfall. Eine der einschneidendsten Neuerungen ist der strikte Meldeweg bei IT-Vorfällen. Innerhalb von 24 Stunden nach Bekanntwerden muss eine Frühwarnung ans BSI gehen, binnen 72 Stunden ein detaillierter Vorfallbericht folgen und nach 30 Tagen eine abschließende Analyse.

Noch gravierender ist die neue persönliche Haftung für Führungskräfte. Nach § 38 des neuen BSIG-Entwurfs sind Vorstände und Behördenleitungen direkt verantwortlich für die Identifizierung und Behandlung von Cyberrisiken. Sie müssen sich speziell schulen lassen, um digitale Gefahren bewerten zu können. IT-Sicherheit ist damit Chefsache und kein Thema mehr, das allein an die IT-Abteilung delegiert werden kann.

Die Strafen bei Verstößen sind empfindliche: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sind möglich. Für öffentliche Einrichtungen gelten zwar besondere strukturelle Überlegungen, doch der Druck ist immens.

Die Lieferkette im Blick und der Weg zur aktiven Überwachung

Mit dem Verstreichen der Registrierungsfrist beginnt die nächste Mammutaufgabe: die Sicherheit der gesamten Lieferkette zu gewährleisten. Das Gesetz verpflichtet regulierte Stellen, auch bei ihren Zulieferern und Dienstleistern für angemessene IT-Sicherheitsstandards zu sorgen. Öffentliche Auftragsvergaben müssen künftig strenge Cybersicherheits-Klauseln und Risikoaudits enthalten.

Das BSI wird seinen Fokus nun voraussichtlich von der Registrierung auf die aktive Überwachung verlagern. Als „wesentlich“ eingestufte Einrichtungen müssen mit regelmäßigen Prüfungen rechnen. Für Verantwortliche in Verwaltung und öffentlichen Unternehmen heißt das: Dokumentation, kontinuierliche Risikobewertung und der Einsatz automatisierter Compliance-Tools werden zur Daueraufgabe. Der 6. März 2026 war kein Endpunkt, sondern der Startschuss in ein dauerhaft hochreguliertes digitales Zeitalter.

boerse | 68672061 |