Was ist das NIS2UmsuCG und seit wann gilt es?

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist Deutschlands NIS-2-Umsetzung, in Kraft seit dem 6. Dezember 2025. Artikel 1 erlässt das BSI-Gesetz neu (BSIG 2025); ältere Paragraphenzitate (§ 8a, § 8b a.F.) sind überholt. Es gibt keine allgemeine Übergangsfrist — die § 30-Pflichten binden ab Inkrafttreten.

Bis wann muss ich mich beim BSI registrieren?

Bis zum 6. März 2026 — drei Monate nach Inkrafttreten (§ 33 BSIG) für alle bereits am 6.12.2025 betroffenen Einrichtungen. Die Registrierung läuft in zwei Schritten über „Mein Unternehmenskonto“ und das seit 6.1.2026 verfügbare BSI-Portal. Eine verspätete Registrierung ist selbst eine Ordnungswidrigkeit.

Wie hoch sind die Bußgelder in Deutschland?

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag) für besonders wichtige Einrichtungen, 7 Mio. € oder 1,4 % für wichtige Einrichtungen — Obergrenzen nach § 65 BSIG. Die Geschäftsleitung trägt nach § 38 eine persönliche Verantwortung (umsetzen, überwachen, schulen).

← Zurück zu Reglyze

Umgesetzt und anwendbar

NIS 2 in Deutschland: § 30 BSIG

Der nationale Rahmen, der NIS 2 in Deutschland messbar macht, ist § 30 BSIG. § 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen in zehn Bereichen (§ 30 Abs. 2 Nr. 1–10). Der IT-Grundschutz des BSI ist die etablierte Methodik, um diese Anforderungen umzusetzen, und bildet die Grundlage für „ISO 27001 auf der Basis von IT-Grundschutz“.

Status: in Kraft (seit 6.12.2025)

Das Wichtigste auf einen Blick

Umsetzungsgesetz

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG); Artikel 1 erlässt das BSIG 2025 neu

In Kraft seit: 2025-12-06

Zuständige Behörde

Bundesamt für Sicherheit in der Informationstechnik (BSI)

https://www.bsi.bund.de

Nationaler Rahmen

§ 30 BSIG

Zehn Risikomanagement-Bereiche nach § 30 Abs. 2 Nr. 1–10; IT-Grundschutz als Umsetzungsmethodik (10 Schichten, 111 Bausteine).

Bußgelder

besonders wichtige Einrichtungen : bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
wichtige Einrichtungen : bis zu 7 Mio. € oder 1.4 % des weltweiten Jahresumsatzes

Wer ist betroffen?

besonders wichtige Einrichtungen

Große Einrichtungen in Sektoren hoher Kritikalität (Anhang I). Laufende, anlasslose Aufsicht durch das BSI (§ 61 BSIG).

wichtige Einrichtungen

Mittlere Einrichtungen in Anhang-I-Sektoren sowie Einrichtungen der Anhang-II-Sektoren. Anlassbezogene Aufsicht (§ 62 BSIG).

Früheres Regime: KRITIS / IT-Sicherheitsgesetz 2.0. BSI nennt rund 29.500 erstmals verpflichtete Einrichtungen; der Regierungsentwurf beziffert rund 29.850 betroffene Einrichtungen (jährlicher Erfüllungsaufwand ~2,3 Mrd. €).

Wichtige Fristen

2024-10-17

EU-Umsetzungsfrist der Richtlinie — von Deutschland verfehlt (Gesetz erst Ende 2025).

2025-12-06

NIS2UmsuCG tritt in Kraft. Die § 30-Pflichten binden unmittelbar — keine allgemeine Übergangsfrist.

2026-01-06

BSI-Meldeportal verfügbar (Registrierung und Meldungen).

2026-03-06

Registrierungsfrist beim BSI — drei Monate nach Inkrafttreten (§ 33 BSIG).

Meldung von Vorfällen: 24 h (Frühwarnung) / 72 h (Meldung) / 1 Monat (Abschlussbericht), an BSI / CERT-Bund.

Prioritäre Sektoren

Energie, Wasser und KRITIS-Betreiber

KRITIS-Betreiber (§ 31 BSIG) behalten ihre strengeren Pflichten oberhalb der allgemeinen § 30-Basis — dreijährliche Nachweise (§ 39) und Systeme zur Angriffserkennung. NIS 2 ersetzt KRITIS nicht, sondern erweitert den Kreis darum herum.

Industrie und Mittelstand

Der Großteil der rund 29.500 neu erfassten Einrichtungen sind mittelständische Hersteller — Automobilzulieferer, Maschinenbau, Chemie, Lebensmittel — die als wichtige Einrichtungen unter Anhang II fallen, sobald sie die Schwellenwerte (50 Beschäftigte / 10 Mio. € Umsatz) überschreiten.

Digitale Dienste und IT-Dienstleister

Cloud-Anbieter, Rechenzentren, Managed-Service-Provider und DNS-/TLD-Betreiber sind unabhängig von der Größe erfasst. Ein kleiner deutscher MSP mit regulierten Kunden ist häufig schon unterhalb von 50 Beschäftigten betroffen.

How IT-Grundschutz maps to NIS2

Each layer of IT-Grundschutz — the national framework for NIS2 — shown against the NIS2 controls it covers. This is the authority's own correspondence, not a generic article list: where a layer has no direct NIS2 control nexus, we say so.

Layer (IT-Grundschutz)	NIS2 control(s)	Status
Security ManagementISMS · 1 building block	—	No direct NIS2 mapping
Organisation and PersonnelORP · 5 building blocks	Art. 20(2) Art. 21(2)(a) Art. 21(2)(f) Art. 21(2)(g) Art. 21(2)(i) Art. 21(2)(j)	Mapped
Concepts and ApproachesCON · 9 building blocks	Art. 21(2)(c) Art. 21(2)(c)(1) Art. 21(2)(e) Art. 21(2)(g) Art. 21(2)(h) Art. 21(2)(i) Art. 21(2)(j)	Mapped
OperationsOPS · 14 building blocks	Art. 21(2)(a) Art. 21(2)(b) Art. 21(2)(c) Art. 21(2)(d) Art. 21(2)(e) Art. 21(2)(g) Art. 21(2)(i) Art. 21(2)(j)	Mapped
Detection and ResponseDER · 7 building blocks	Art. 21(2)(b) Art. 21(2)(b)(1) Art. 21(2)(c) Art. 21(2)(c)(3) Art. 21(2)(f)	Mapped
ApplicationsAPP · 20 building blocks	Art. 21(2)(e) Art. 21(2)(g) Art. 21(2)(i) Art. 21(2)(j)	Mapped
IT SystemsSYS · 25 building blocks	Art. 21(2)(c) Art. 21(2)(e) Art. 21(2)(i)	Mapped
Industrial IT (OT/ICS)IND · 7 building blocks	Art. 21(2)(b) Art. 21(2)(c) Art. 21(2)(d) Art. 21(2)(e) Art. 21(2)(j)	Mapped
Networks and CommunicationNET · 11 building blocks	Art. 21(2)(e) Art. 21(2)(h) Art. 21(2)(i) Art. 21(2)(j)	Mapped
Infrastructure (Physical)INF · 12 building blocks	Art. 21(2)(c) Art. 21(2)(e) Art. 21(2)(g) Art. 21(2)(i)	Mapped

ISO 27001: IT-Grundschutz can be certified as “ISO 27001 auf der Basis von IT-Grundschutz”; the BSI does not publish a per-layer ISO 27001:2022 Annex A correspondence.

Mapping derived from the authority's published IT-Grundschutz framework. Reglyze maintains it as the source data evolves — see the platform for the full control-by-control view.

Häufige Fragen

Was ist das NIS2UmsuCG und seit wann gilt es?: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist Deutschlands NIS-2-Umsetzung, in Kraft seit dem 6. Dezember 2025. Artikel 1 erlässt das BSI-Gesetz neu (BSIG 2025); ältere Paragraphenzitate (§ 8a, § 8b a.F.) sind überholt. Es gibt keine allgemeine Übergangsfrist — die § 30-Pflichten binden ab Inkrafttreten.
Bis wann muss ich mich beim BSI registrieren?: Bis zum 6. März 2026 — drei Monate nach Inkrafttreten (§ 33 BSIG) für alle bereits am 6.12.2025 betroffenen Einrichtungen. Die Registrierung läuft in zwei Schritten über „Mein Unternehmenskonto“ und das seit 6.1.2026 verfügbare BSI-Portal. Eine verspätete Registrierung ist selbst eine Ordnungswidrigkeit.
Wie hoch sind die Bußgelder in Deutschland?: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag) für besonders wichtige Einrichtungen, 7 Mio. € oder 1,4 % für wichtige Einrichtungen — Obergrenzen nach § 65 BSIG. Die Geschäftsleitung trägt nach § 38 eine persönliche Verantwortung (umsetzen, überwachen, schulen).
Was ist der Unterschied zwischen KRITIS und NIS 2?: KRITIS-Betreiber (§ 31 BSIG) behalten ihre strengeren Pflichten zusätzlich zur allgemeinen NIS-2-Basis (§ 30) — dreijährliche Nachweise (§ 39) und Systeme zur Angriffserkennung. NIS 2 weitet den Kreis auf rund 29.500 Einrichtungen aus; KRITIS bleibt eine kleinere, strenger regulierte Teilmenge.

Offizielle Quellen

Zuletzt geprüft: 2026-06-01 · nächste Überprüfung nach 2026-09-01.

Bereit für die NIS-2-Konformität in Deutschland?

Reglyze nutzt KI, um Sie einfach und schnell konform zu machen — Scoping, Gap-Analyse und Richtliniengenerierung ausgerichtet auf § 30 BSIG.