Das Wichtigste in Kürze: Das IT-Sicherheitsgesetz 3.0 – offiziell das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) – ist am 6. Dezember 2025 in Kraft getreten. Rund 29.500 Unternehmen in Deutschland sind betroffen und müssen die neuen Anforderungen an Cybersicherheit, Meldepflichten und Risikomanagement umsetzen. Es gibt keine Übergangsfrist: Die Pflichten gelten seit dem Tag des Inkrafttretens.
Das IT-Sicherheitsgesetz 3.0 ist am 6. Dezember 2025 in Kraft getreten. Der Bundestag verabschiedete das Gesetz am 13. November 2025, der Bundesrat stimmte wenige Tage später zu. Am 5. Dezember 2025 wurde es im Bundesgesetzblatt (BGBl. I Nr. 301/2025) verkündet. Es gibt keine Übergangsfrist: Alle Pflichten nach dem neuen BSIG gelten seit dem Tag des Inkrafttretens. Unternehmen, die die Anforderungen noch nicht umgesetzt haben, befinden sich bereits im Verzug. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Wer als betroffene Einrichtung noch nicht registriert ist, muss dies unverzüglich nachholen. Eine professionelle Informationssicherheitsberatung hilft, den aktuellen Stand zu bewerten und die nächsten Schritte zu priorisieren.
Der Begriff "IT-Sicherheitsgesetz 3.0" hat sich in der Praxis als Bezeichnung für die dritte große Novelle des deutschen IT-Sicherheitsrechts etabliert. Rechtlich korrekt handelt es sich um das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) – das Gesetz, mit dem Deutschland die europäische NIS-2-Richtlinie in nationales Recht überführt hat.
Kern des Gesetzes ist das neue Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das den bisherigen Rechtsrahmen grundlegend ersetzt. Das BSIG regelt, welche Unternehmen und Einrichtungen in Deutschland Cybersicherheitspflichten unterliegen, wie diese aussehen und welche Sanktionen bei Verstößen drohen.
Der Bundestag hat das Gesetz am 13. November 2025 beschlossen, der Bundesrat stimmte im November 2025 zu. Am 5. Dezember 2025 wurde es im Bundesgesetzblatt verkündet und trat am 6. Dezember 2025 in Kraft.
Um die aktuelle Rechtslage einzuordnen, lohnt ein Blick auf die Entwicklung:
IT-Sicherheitsgesetz 1.0 (2015): Das erste Gesetz richtete sich ausschließlich an Betreiber Kritischer Infrastrukturen (KRITIS) in sieben Sektoren. Es führte erstmals Mindeststandards und Meldepflichten für IT-Sicherheitsvorfälle ein. Betroffen waren rund 2.000 Unternehmen.
IT-Sicherheitsgesetz 2.0 (2021): Die zweite Fassung erweiterte den Kreis der Betroffenen um "Unternehmen im besonderen öffentlichen Interesse" (UBI) und stärkte die Befugnisse des BSI. Neue Pflichten wie die Einführung von Systemen zur Angriffserkennung (SzA) kamen hinzu. Der Anwendungsbereich wuchs auf ca. 4.500 Unternehmen.
IT-Sicherheitsgesetz 3.0 / NIS2UmsuCG (2025): Die aktuelle Novelle vervielfacht den Anwendungsbereich auf rund 29.500 Unternehmen, verschärft Meldepflichten und Sanktionen drastisch und führt eine persönliche Geschäftsführerhaftung ein.
| Merkmal | IT-SiG 1.0 (2015) | IT-SiG 2.0 (2021) | IT-SiG 3.0 / NIS2UmsuCG (2025) |
|---|---|---|---|
| Betroffene Unternehmen | ~2.000 (KRITIS) | ~4.500 (KRITIS + UBI) | ~29.500 (18 Sektoren) |
| Sektoren | 7 | 7 + UBI | 18 |
| Meldepflicht | unverzüglich | unverzüglich | 24h / 72h / 1 Monat (gestaffelt) |
| Maximale Bußgelder | 100.000 € | 2 Mio. € | 10 Mio. € oder 2 % Jahresumsatz |
| Geschäftsführerhaftung | Nein | Nein | Ja, persönlich (§ 38 BSIG) |
| Aufsicht | BSI | BSI (erweitert) | BSI (deutlich erweitert) |
Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten – dem Tag nach seiner Verkündung im Bundesgesetzblatt. Damit hat Deutschland die EU-Frist vom 17. Oktober 2024 zwar um über ein Jahr überzogen, aber das Gesetz ist nun geltendes Recht.
Entscheidend für die Praxis: Das Gesetz sieht keine Übergangsfrist vor. Alle Pflichten – Sicherheitsmaßnahmen nach § 30 BSIG, Meldepflichten, Registrierung – gelten seit dem Inkrafttreten. Unternehmen, die noch nicht compliant sind, befinden sich bereits im Verzug.
Anders als bei vielen Regulierungen gibt es beim NIS2UmsuCG keine "Schonfrist". Die Sicherheitsanforderungen nach § 30 BSIG und die Meldepflichten gelten seit dem 6. Dezember 2025 unmittelbar. Wer noch nicht vorbereitet ist, riskiert Bußgelder und Haftungsansprüche.
Das neue BSIG unterscheidet zwei Kategorien betroffener Einrichtungen:
Hierzu zählen Unternehmen aus den Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Die Schwelle liegt bei mindestens 250 Beschäftigten oder einem Jahresumsatz von über 50 Millionen Euro und einer Bilanzsumme von über 43 Millionen Euro. Betreiber Kritischer Infrastrukturen fallen unabhängig von der Unternehmensgröße in diese Kategorie.
Darunter fallen Unternehmen aus zusätzlichen Sektoren: Post und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung. Die Schwelle liegt bei mindestens 50 Beschäftigten oder einem Jahresumsatz von über 10 Millionen Euro.
Das NIS2UmsuCG erweitert die regulierten Sektoren massiv. Die DIHK listet 18 betroffene Sektoren:
Sektoren hoher Kritikalität (besonders wichtige Einrichtungen): Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Öffentliche Verwaltung, Weltraum
Sonstige kritische Sektoren (wichtige Einrichtungen): Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Vertrieb von Chemikalien, Produktion und Verarbeitung von Lebensmitteln, Verarbeitendes Gewerbe, Anbieter digitaler Dienste, Forschung
Die konkreten Pflichten ergeben sich primär aus den §§ 30–38 des neuen BSIG. Sie lassen sich in vier Kernbereiche gliedern:
Betroffene Einrichtungen müssen "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" ergreifen. Das Gesetz nennt konkret:
Erhebliche Sicherheitsvorfälle müssen dem BSI in einem dreistufigen Verfahren gemeldet werden:
Alle betroffenen Einrichtungen müssen sich beim BSI registrieren. Das Registrierungsportal wurde am 6. Januar 2026 freigeschaltet. Die Frist beträgt drei Monate nach Inkrafttreten, also bis zum 6. März 2026. Wer sich bisher nicht registriert hat, sollte dies umgehend nachholen.
Geschäftsleitungen müssen die Umsetzung der Sicherheitsmaßnahmen beaufsichtigen und an Schulungen teilnehmen. Die persönliche Haftung der Geschäftsführung nach § 38 BSIG ist eines der schärfsten Instrumente des neuen Gesetzes: Geschäftsführer haften persönlich für die Umsetzung der Sicherheitsmaßnahmen, und diese Haftung kann nicht durch interne Vereinbarungen ausgeschlossen werden.
Das neue BSIG sieht deutlich verschärfte Sanktionen vor. Die Bußgeldhöhe richtet sich nach dem Einrichtungstyp:
| Verstoß | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Maximales Bußgeld | 10 Mio. € oder 2 % Jahresumsatz | 7 Mio. € oder 1,4 % Jahresumsatz |
| Maßgeblich | Jeweils der höhere Betrag (Umsatz vs. Fixbetrag) | |
| Geschäftsführerhaftung | Persönliche Haftung nach § 38 BSIG – nicht abdingbar | |
| Bezugsgröße Umsatz | Weltweiter Jahresumsatz des Konzerns | |
Im Vergleich: Das alte IT-SiG 2.0 sah Bußgelder von maximal 2 Millionen Euro vor. Die Verfünffachung zeigt, dass der Gesetzgeber Cybersicherheit als strategische Priorität behandelt.
Diese Frage taucht regelmäßig auf und die Antwort ist einfacher als gedacht: Das IT-Sicherheitsgesetz 3.0 (NIS2UmsuCG) ist die deutsche Umsetzung der NIS-2-Richtlinie. Die NIS-2-Richtlinie der EU gibt den Rahmen vor, den jeder Mitgliedstaat in nationales Recht umsetzen muss. Deutschland hat das mit dem NIS2UmsuCG getan.
Allerdings geht die deutsche Umsetzung in einigen Punkten über die EU-Mindestanforderungen hinaus:
Neben dem IT-Sicherheitsgesetz 3.0 hat der Gesetzgeber mit dem KRITIS-Dachgesetz (KRITISDachG) eine zweite zentrale Regulierung geschaffen. Während das NIS2UmsuCG die Cybersicherheit regelt, adressiert das KRITIS-Dachgesetz die physische Resilienz kritischer Infrastrukturen.
Das KRITIS-Dachgesetz wurde am 29. Januar 2026 vom Bundestag verabschiedet und am 6. März 2026 vom Bundesrat bestätigt. Es setzt die EU-Richtlinie 2022/2557 (CER-Richtlinie) um und bringt eigene Pflichten mit sich:
Für Unternehmen, die sowohl unter das NIS2UmsuCG als auch unter das KRITIS-Dachgesetz fallen – also insbesondere KRITIS-Betreiber –, bedeutet das: doppelte Pflichten, unterschiedliche Aufsichtsbehörden (BSI für Cyber, BBK für physische Resilienz) und separate Registrierungen.
Die Uhr läuft. Wer noch nicht begonnen hat, sollte die folgenden Schritte priorisieren:
Schritt 1: Betroffenheit prüfen
Schritt 2: Registrierung beim BSI abschließen
Schritt 3: Gap-Analyse durchführen
Schritt 4: Technische und organisatorische Maßnahmen umsetzen
Schritt 5: Meldeprozesse etablieren
Schritt 6: Governance anpassen
Für viele mittelständische Unternehmen ist die Umsetzung allein kaum zu stemmen. Eine professionelle NIS2-Beratung kann helfen, die Anforderungen effizient zu erfüllen und typische Fehler zu vermeiden.
Ein Aspekt, den viele Unternehmen unterschätzen, ist die Pflicht zur Absicherung der Lieferkette nach § 30 Abs. 2 Nr. 4 BSIG. Betroffene Einrichtungen müssen sicherstellen, dass auch ihre Zulieferer und Dienstleister angemessene Sicherheitsstandards einhalten.
Das hat weitreichende Konsequenzen: Auch Unternehmen, die selbst nicht unter das NIS2UmsuCG fallen, können indirekt betroffen sein – nämlich dann, wenn ihre Kunden regulierte Einrichtungen sind und vertragliche Sicherheitsanforderungen weitergeben. Wer als Zulieferer keine angemessenen Sicherheitsstandards nachweisen kann, riskiert den Verlust von Aufträgen.
Eine fundierte IT-Sicherheitsberatung unterstützt bei der Analyse der eigenen Position in der Lieferkette und bei der Umsetzung der geforderten Maßnahmen.
Das NIS2UmsuCG und die DSGVO überschneiden sich in mehreren Bereichen. Beide verlangen technische und organisatorische Maßnahmen zum Schutz von Daten und Systemen. Beide sehen Meldepflichten bei Vorfällen vor. Und bei beiden drohen empfindliche Sanktionen.
Unternehmen sollten die Umsetzung beider Regelwerke daher nicht isoliert betrachten. Ein integrierter Ansatz – beispielsweise durch die Kombination von ISMS und Datenschutz-Managementsystem – spart Ressourcen und vermeidet Doppelarbeit. Ein externer Datenschutzbeauftragter kann dabei helfen, Synergien zwischen NIS2-Compliance und DSGVO-Compliance zu nutzen.
Wir beraten KMU zu NIS2, IT-Sicherheit und Compliance – persönlich und praxisnah.
Kostenlose Erstberatung buchenGrundsätzlich greift das Gesetz erst ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Allerdings gibt es Ausnahmen: Anbieter von DNS-Diensten, TLD-Registrierungsstellen, Cloud-Computing-Dienste, Rechenzentren und Vertrauensdiensteanbieter fallen unabhängig von ihrer Größe unter das Gesetz. Zudem können kleine Unternehmen indirekt über Lieferkettenanforderungen betroffen sein.
Die Registrierungsfrist lief am 6. März 2026 ab. Wer sich nicht registriert hat, riskiert Bußgelder. Darüber hinaus kann das BSI Unternehmen, die ihrer Registrierungspflicht nicht nachkommen, per Verwaltungsakt zur Registrierung zwingen. Die Bußgelder für Registrierungsverstöße sind zwar geringer als für fehlende Sicherheitsmaßnahmen, aber sie signalisieren den Behörden mangelnde Compliance-Bereitschaft – was zu intensiverer Prüfung führen kann.
Beide Gesetze bilden zusammen die neue deutsche Sicherheitsarchitektur für kritische Infrastrukturen. Das IT-Sicherheitsgesetz 3.0 (NIS2UmsuCG) reguliert die Cybersicherheit, das KRITIS-Dachgesetz die physische Resilienz. KRITIS-Betreiber müssen beide Regelwerke erfüllen. Die Zuständigkeiten sind aufgeteilt: BSI für Cybersicherheit, BBK für physische Sicherheit. Die Registrierungsfristen unterscheiden sich: 6. März 2026 (NIS2) bzw. 17. Juli 2026 (KRITIS-Dachgesetz).
Eine ISO-27001-Zertifizierung ist eine sehr gute Basis, deckt aber nicht automatisch alle NIS2-Anforderungen ab. Insbesondere die gestaffelten Meldepflichten, die Lieferkettensicherheit und die Governance-Anforderungen (§ 38 BSIG) gehen über den ISO-Standard hinaus. Unternehmen mit ISO 27001 haben jedoch einen erheblichen Vorsprung und müssen in der Regel nur gezielte Ergänzungen vornehmen.
Nein – die persönliche Haftung nach § 38 BSIG ist ausdrücklich nicht abdingbar. Geschäftsführer können die operative Umsetzung zwar delegieren, bleiben aber persönlich für die Überwachung verantwortlich. Eine D&O-Versicherung kann das finanzielle Risiko teilweise abfedern, befreit aber nicht von der Pflicht zur aktiven Beaufsichtigung. Die Teilnahme an Schulungen zur Cybersicherheit ist für die Geschäftsleitung verpflichtend.
Da keine Übergangsfrist gilt, besteht seit dem 6. Dezember 2025 ein Compliance-Risiko. Pragmatisch betrachtet: Das BSI wird voraussichtlich zunächst den Fokus auf die Registrierung und schwere Verstöße legen. Das bedeutet nicht, dass Sie Zeit haben – aber es bedeutet, dass ein dokumentierter Umsetzungsplan besser ist als Untätigkeit. Beginnen Sie mit der Registrierung, der Gap-Analyse und den dringendsten Maßnahmen. Dokumentieren Sie jeden Fortschritt. Im Falle einer Prüfung durch das BSI zählt der erkennbare Wille zur Compliance.
Sie wissen nicht, ob und wie Ihr Unternehmen vom IT-Sicherheitsgesetz 3.0 betroffen ist? Wir prüfen Ihre Betroffenheit, analysieren Ihren IST-Zustand und begleiten Sie bei der Umsetzung aller Anforderungen – pragmatisch und auf den Punkt.
NIS2-Beratung anfragenDas IT-Sicherheitsgesetz 3.0 ist keine ferne Zukunftsmusik. Es ist geltendes Recht. Die Pflichten gelten, die Fristen laufen, und das BSI baut seine Aufsichtskapazitäten aus. Zusammen mit dem KRITIS-Dachgesetz entsteht ein umfassendes Regulierungsregime, das Cybersicherheit und physische Resilienz erstmals gleichwertig behandelt.
Für die rund 29.500 betroffenen Unternehmen bedeutet das einen erheblichen Umsetzungsaufwand – aber auch eine Chance, die eigene IT-Sicherheit strategisch aufzustellen. Wer jetzt investiert, schützt nicht nur die Compliance, sondern die operative Handlungsfähigkeit des Unternehmens.
Die Botschaft des Gesetzgebers ist unmissverständlich: Cybersicherheit ist Chefsache. Und wer das ignoriert, haftet persönlich.
Inhaltsverzeichnis
Was ist OpenKRITIS? Die unabhängige Plattform hilft KRITIS-Betreibern bei NIS2, Schwellenwerten und Registrierung. Pflichten, Fristen und Bußgelder 2026.
WeiterlesenNIS-2-Richtlinie einfach erklärt: NIS2-Richtlinie zu Cybersicherheit und Informationssicherheit für Unternehmen. NIS 2 Pflichten, Sektoren, Meldepflichten und Umsetzung – was Sie jetzt wissen müssen.
WeiterlesenDie NIS2-Richtlinie ist seit Dezember 2025 in Kraft – ohne Übergangsfrist. Erfahren Sie, ob Ihr Unternehmen betroffen ist und welche Pflichten auf Sie zukommen.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
