NIS2-Fristen-Kalender: Was kommt als nächstes auf dich zu?

Die Frist zur nationalen Umsetzung der NIS2-Richtlinie war der 17. Oktober 2024 (Art. 41 NIS2). Deutschland hat das NIS2UmsuCG am 6. Dezember 2025 in Kraft gesetzt (BGBl. 2025 I Nr. 301). Für die unternehmensseitige Planung bedeutet das: aktive Pflichten laufen — Form und Tiefe hängen vom Sektor ab.

Welche regulatorischen Vorgaben sind einschlägig?

Art. 41 NIS2 verpflichtete die EU-Mitgliedstaaten zur Umsetzung der Richtlinie in nationales Recht bis zum 17. Oktober 2024. Deutschland hat diese Frist überschritten; die EU-Kommission hat im November 2024 ein Vertragsverletzungsverfahren eingeleitet (Pressemitteilung INF_24_5807). Mit Inkrafttreten des NIS2UmsuCG am 6.

Detail

Dezember 2025 ist die Umsetzung erfolgt.

Das nationale Umsetzungsgesetz heißt NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet (BGBl. 2025 I Nr. 301); es trat zum selben Datum in Kraft.

Seit Inkrafttreten am 6.12.2025 gelten:

• NIS2UmsuCG direkt anwendbar: Die §§ zu Mindestmaßnahmen, Meldepflichten, Geschäftsleitungs-Verantwortung und Sanktionen sind operatives Recht.
• Übergang von Altrecht: Für KRITIS-Betreiber wird § 8a BSIG durch die §§ NIS2UmsuCG abgelöst; sektorale Vorgaben (z.B. EnWG, TKG, § 75c SGB V) gelten ergänzend fort.
• Lieferketten-Wirkung: Die Anforderungen aus Art. 21 Abs. 2 lit. d NIS2 / NIS2UmsuCG sind durchzureichen an Lieferanten; vertragliche Anforderungen sind seit Inkrafttreten anzupassen.

Welche Konstellation passt zu deinem Unternehmen?

Die angemessene Planungs-Tiefe hängt vom NIS2-Status ab:

• Wesentliche Einrichtung (Anhang I NIS2, über 250 Mitarbeitende oder über 50 Mio. € Umsatz): Selbstregistrierung beim BSI bis 6.3.2026, Gap-Analyse und Maßnahmen-Plan sind im Regelfall zeitnah aufzusetzen.
• Wichtige Einrichtung (Anhang II NIS2, 50-250 Mitarbeitende oder 10-50 Mio. € Umsatz): Scoping-Bewertung, Selbstregistrierung und ein Maßnahmen-Backlog auf Basis BSI IT-Grundschutz sind verbreitete Schritte.

Detail

• Sektor-Sonderregel ohne Schwellwerte (eIDAS, DNS, TLD, MSSP, öffentliche TK-Netze nach Art. 2 Abs. 2 NIS2): Die Pflicht greift unabhängig von der Größe — Registrierung und Maßnahmen-Umsetzung laufen seit Inkrafttreten.
• Indirekte Betroffenheit über Lieferketten: Anpassung an den Lieferanten-Anforderungsdruck konkreter B2B-Kunden; eine Übersicht der NIS2-pflichtigen Großkunden ist Ausgangspunkt.
• Nicht im Anwendungsbereich: Periodische Re-Evaluation (mindestens jährlich) bleibt empfehlenswert; eine vorausgreifende Strukturarbeit ist regulatorisch nicht erforderlich.

Welcher Aufbau-Rahmen ist verbreitet?

Mit Inkrafttreten des NIS2UmsuCG am 6.12.2025 strukturieren viele KMU ihre Aktivierung in zwei Bahnen:

• Laufende Beobachtung der Konkretisierungen: Quellen sind das BSI-Bulletin „NIS2 regulierte Unternehmen", die BSI-Sektor-Hinweise sowie die Veröffentlichungen einschlägiger Branchenverbände (Bitkom, IHK, VDMA, BDI). Aufwand: typischerweise unter einer Stunde pro Monat.
• Substanz-Arbeit: Scope-Klärung, Asset-Inventar nach BSI-Baustein OPS.1.2.4, Identifikation der verantwortlichen Person nach Art. 20 NIS2, Sichtung der Verträge mit IT-Dienstleistern auf die Anforderungen aus Art. 21 NIS2 / NIS2UmsuCG.

Detail

Im NIS2UmsuCG (in Kraft seit 6.12.2025) sind gestaffelte Übergangsfristen geregelt — die konkrete Länge ist in den jeweiligen §§ definiert. Eine strukturierte Aktivierungs-Roadmap orientiert sich an den folgenden typischen Meilensteinen:

• Selbstregistrierung bei der zuständigen Aufsichtsbehörde (für die meisten Sektoren das BSI über das Meldeportal) — Frist nach § 33 NIS2UmsuCG: 3 Monate nach Inkrafttreten, also bis 6. März 2026 für am Inkrafttreten bereits erfasste Einrichtungen.
• Implementierung der einschlägigen Mindestmaßnahmen nach Art. 21 NIS2 / § 30 NIS2UmsuCG.
• Aufbau der Lieferketten-Sicherheits-Struktur nach Art. 21 Abs. 2 lit. d NIS2.

Die Reihenfolge — Registrierung vor Maßnahmen-Vollumsetzung — ergibt sich aus der Logik des Aufsichtsverhältnisses: ohne Registrierung ist die Einrichtung der Aufsicht nicht bekannt.

Welche Konstellationen erfordern abweichendes Vorgehen?

Der hier skizzierte Beobachtungs- und Vorbereitungs-Rahmen ist nicht ausreichend, sofern eine der folgenden Konstellationen vorliegt:

• KRITIS-Betreiber nach BSI-Kritisverordnung: Die Pflichten nach § 8a BSIG, einschließlich der zweijährlichen Audit-Pflicht, werden im Übergang durch die §§ NIS2UmsuCG abgelöst — Übergangsregelungen sind in den jeweiligen Sektor-Verordnungen zu beachten.
• Sektorspezifische Vorgaben mit eigenen Fristen-Logiken (EnWG, DORA für Finanzwesen, KRITIS-Sektoren Gesundheit/Energie/Wasser): Die sektoralen Fristen laufen ergänzend zum NIS2UmsuCG; eine sektorspezifische Beobachtung ist zwingend.

Detail

• Konzern-Töchter EU-pflichtiger Mutter-Einrichtungen: Konzern-Compliance-Anforderungen können über das NIS2UmsuCG hinausgehen; die strengeren Vorgaben sind dann maßgeblich.
• Aktive Lieferanten-Anforderungen pflichtiger EU-Einrichtungen: Vertragliche Verpflichtungen aus B2B-Kontexten gelten zusätzlich zum NIS2UmsuCG; deren Erfüllung erfolgt nach Vertragstakt.

Nächster Schritt

Die erste strukturierte Einordnung des NIS2-Status liefert der NIS2-Scope-Check. Daraus ergibt sich die angemessene Aktivierungs-Tiefe nach Inkrafttreten des NIS2UmsuCG am 6.12.2025.

Bei Unklarheit über die sektorale Einordnung, KRITIS-Status oder Konzern-Verflechtung empfiehlt sich eine Einzelfall-Prüfung durch eine auf IT-Sicherheits- und Verwaltungsrecht spezialisierte Beratung. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung im Einzelfall.

Hintergrund zu den zuständigen Aufsichtsbehörden in Deutschland: Zuständige Behörden in Deutschland — wer prüft dich?.